Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPネットワーク内のLIFのファイアウォールポリシーを設定する

共同作成者 netapp-barbe netapp-aherbin netapp-pcarriga netapp-aaron-holt netapp-ahibbard netapp-thomi netapp-dbagwell
PDF

ファイアウォールの設定は、クラスタのセキュリティを強化し、ストレージ システムへの不正アクセスを防止するのに役立ちます。デフォルトでは、オンボード ファイアウォールは、データLIF、管理LIF、クラスタ間LIFの特定のIPサービスに対するリモート アクセスを許可するように設定されています。

ONTAP 9.10.1以降:

  • ファイアウォール ポリシーは廃止され、LIFサービス ポリシーに置き換えられました。以前は、オンボード ファイアウォールはファイアウォール ポリシーを使用して管理していました。今後はLIFサービス ポリシーを使用します。

  • ファイアウォール ポリシーはすべて空であり、基盤となるファイアウォールでいずれのポートも開きません。代わりに、LIFのサービス ポリシーを使用してすべてのポートを開く必要があります。

  • 9.10.1以降にアップグレードしたあとに、ファイアウォール ポリシーからLIFサービス ポリシーに移行するための操作は必要ありません。以前のリリースのONTAPで使用されていたファイアウォール ポリシーと整合性のあるLIFサービス ポリシーが自動的に構築されます。カスタム ファイアウォール ポリシーを作成および管理するスクリプトやその他のツールを使用している場合は、代わりにカスタム サービス ポリシーを作成するようにスクリプトのアップグレードが必要になることがあります。

詳細については、"LIFとサービス ポリシー(ONTAP 9.6以降)"を参照してください。

ファイアウォール ポリシーは、SSH、HTTP、HTTPS、Telnet、NTP、NDMP、NDMPS、RSH、DNS、SNMPなどの管理サービス プロトコルへのアクセスを制御するのに使用できます。NFSやSMBなどのデータ プロトコル用にファイアウォール ポリシーを設定することはできません。

ファイアウォール サービスとポリシーの管理には、次のような操作があります。

  • ファイアウォール サービスを有効または無効にする

  • 現在のファイアウォール サービスの設定を表示する

  • ポリシー名とネットワーク サービスを指定して新しいファイアウォール ポリシーを作成する

  • ファイアウォール ポリシーを論理インターフェイスに適用する

  • 既存のファイアウォール ポリシーとまったく同一の新しいポリシーを作成する

    この機能は、同じSVM内でよく似たポリシーを作成するときや、別のSVMにポリシーをコピーするときに使用できます。

  • ファイアウォール ポリシーについての情報を表示する

  • ファイアウォール ポリシーで使用するIPアドレスおよびネットマスクを変更する

  • LIFで使用していないファイアウォール ポリシーを削除する

ファイアウォール ポリシーとLIF

LIFのファイアウォール ポリシーは、各LIFを介したクラスタへのアクセスを制限するために使用します。デフォルトのファイアウォール ポリシーが、各タイプのLIFを介したシステムへのアクセスにどのように影響し、LIFのセキュリティを調節するためにファイアウォール ポリシーをどのようにカスタマイズできるかを理解する必要があります。

`network interface create`または `network interface modify`コマンドを使用してLIFを設定する場合、 `-firewall-policy`パラメータに指定された値によって、LIFへのアクセスが許可されるサービスプロトコルとIPアドレスが決まります。 `network interface`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=network+interface["ONTAPコマンド リファレンス"^]を参照してください。

ほとんどの場合、デフォルトのファイアウォール ポリシーの値をそのまま使用できますが、特定のIPアドレスや管理サービス プロトコルへのアクセスを制限しなければならない場合もあります。設定可能な管理サービス プロトコルは、SSH、HTTP、HTTPS、Telnet、NTP、NDMP、NDMPS、RSH、DNS、およびSNMPです。

すべてのクラスタ LIF のファイアウォール ポリシーはデフォルトで `""`に設定されており、変更できません。

次の表に、LIFの作成時にそのロール(ONTAP 9.5以前)またはサービス ポリシー(ONTAP 9.6以降)に基づいてLIFに割り当てられるデフォルトのファイアウォール ポリシーを示します。

ファイアウォール ポリシー

デフォルトのサービス プロトコル

デフォルトのアクセス

割り当て対象のLIF

mgmt

dns、http、https、ndmp、ndmps、ntp、snmp、ssh

任意のアドレス(0.0.0.0/0)

クラスタ管理、SVM管理、ノード管理LIF

mgmt-nfs

dns、http、https、ndmp、ndmps、ntp、portmap、snmp、ssh

任意のアドレス(0.0.0.0/0)

SVM管理アクセスもサポートするデータLIF

intercluster

https、ndmp、ndmps

任意のアドレス(0.0.0.0/0)

すべてのインタークラスタLIF

data

dns、ndmp、ndmps、portmap

任意のアドレス(0.0.0.0/0)

すべてのデータLIF

portmapサービスの設定

portmapサービスは、RPCサービスをRPCサービスがリスンするポートにマップします。

portmapサービスはONTAP 9.3までは常にアクセス可能でしたが、ONTAP 9.4から設定対象となり、ONTAP 9.7からは自動で管理されるようになりました。

  • ONTAP 9.3までは、サードパーティのファイアウォールではなく組み込みのONTAPファイアウォールを使用するネットワーク構成では、ポート111でportmapサービス(rpcbind)へのアクセスが常に許可されていました。

  • ONTAP 9.4~ONTAP 9.6では、ファイアウォール ポリシーを変更してportmapサービスへのアクセスを許可するかどうかをLIFごとに制御できます。

  • ONTAP 9.7以降ではportmapファイアウォール サービスは廃止され、代わりに、NFSサービスをサポートするすべてのLIFに対してportmapポートが自動的に開かれます。

Portmap サービスは、ONTAP 9.4 から ONTAP 9.6 のファイアウォールで設定できます。

ここからは、ONTAP 9.4~ONTAP 9.6リリースでportmapファイアウォール サービスを設定する方法について説明します。

構成に応じて、特定のタイプのLIF(管理LIFとクラスタ間LIFなど)にサービスへのアクセスを禁止することができます。状況によっては、データLIFからのアクセスも禁止できます。

想定される動作

ONTAP 9.4~ONTAP 9.6の動作は、アップグレード時にシームレスに移行できるように設計されています。portmapサービスにすでに特定のタイプのLIFからアクセスしている場合、それらのタイプのLIFからは引き続きサービスにアクセスできます。ONTAP 9.3以前と同様に、ファイアウォール内でアクセスを許可するサービスをLIFのタイプ別のファイアウォール ポリシーで指定できます。

この動作を有効にするには、クラスタ内のすべてのノードでONTAP 9.4~ONTAP 9.6が実行されている必要があります。影響するのはインバウンド トラフィックのみです。

新しいルールは次のとおりです。

  • リリース9.4~9.6にアップグレードすると、既存のすべてのファイアウォール ポリシー(デフォルトまたはカスタム)にportmapサービスが追加されます。

  • 新しいクラスタやIPspaceを作成した場合、portmapサービスはデフォルトのデータ ポリシーにのみ追加され、デフォルトの管理ポリシーまたはクラスタ間ポリシーには追加されません。

  • 必要に応じて、デフォルトまたはカスタムのポリシーにportmapサービスを追加したり削除したりできます。

portmapサービスを追加または削除する方法

SVMまたはクラスタのファイアウォール ポリシーにportmapサービスを追加する(ファイアウォール内でのアクセスを許可する)には、次のように入力します。

system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

SVMまたはクラスタのファイアウォール ポリシーからportmapサービスを削除する(ファイアウォール内でのアクセスを禁止する)には、次のように入力します。

system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

network interface modifyコマンドを使用して、既存のLIFにファイアウォールポリシーを適用できます。この手順で説明するコマンドの詳細については、"ONTAPコマンド リファレンス"を参照してください。

ファイアウォール ポリシーの作成とLIFへの割り当て

LIFを作成するときに、デフォルトのファイアウォール ポリシーが割り当てられます。多くの場合、ファイアウォールのデフォルト設定をそのまま使用でき、変更する必要はありません。ただし、LIFにアクセスできるネットワーク サービスやIPアドレスを変更したい場合は、カスタム ファイアウォール ポリシーを作成してLIFに割り当てます。

タスク概要

  • policy`名前 `data intercluster cluster、または `mgmt`でファイアウォールポリシーを作成することはできません。

    これらの値は、システム定義のファイアウォール ポリシー用に予約されています。

  • クラスタLIFのファイアウォール ポリシーを設定したり変更したりすることはできません。

    クラスタLIFのファイアウォール ポリシーは、どのサービス タイプでも0.0.0.0/0に設定されます。

  • ポリシーからサービスを削除する必要がある場合は、既存のファイアウォール ポリシーを削除してから、新しいポリシーを作成する必要があります。

  • クラスタでIPv6が有効になっている場合は、IPv6アドレスを指定してファイアウォール ポリシーを作成できます。

    IPv6 を有効にすると、 dataintercluster、および `mgmt`ファイアウォール ポリシーの受け入れ可能なアドレスのリストに IPv6 ワイルドカードである ::/0 が含まれるようになります。

  • System Managerを使用してクラスタ全体のデータ保護機能を設定するときは、必ず、許可されるアドレスのリストにクラスタ間LIFのIPアドレスを含め、クラスタ間LIFと会社所有のファイアウォールの両方でHTTPSサービスを許可してください。

    デフォルトでは、 `intercluster`ファイアウォールポリシーはすべてのIPアドレス(0.0.0.0/0、またはIPv6の場合は::/0)からのアクセスを許可し、HTTPS、NDMP、およびNDMPSサービスを有効にします。このデフォルトポリシーを変更する場合、またはクラスタ間LIF用に独自のファイアウォールポリシーを作成する場合は、各クラスタ間LIFのIPアドレスを許可リストに追加し、HTTPSサービスを有効にする必要があります。

  • ONTAP 9.6以降では、HTTPSおよびSSHのファイアウォール サービスはサポートされていません。

    ONTAP 9.6では、 `management-https`および `management-ssh`LIFサービスは、HTTPSおよびSSH管理アクセスに使用できます。

手順

  1. 特定のSVMのLIFで使用可能なファイアウォール ポリシーを作成します。

    system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask

    ファイアウォール ポリシーに追加するネットワーク サービスごとに上記のコマンドを繰り返して、各サービスで許可されるIPアドレスを指定できます。

  2. `system services firewall policy show`コマンドを使用して、ポリシーが正しく追加されたことを確認します。

  3. ファイアウォール ポリシーをLIFに適用します。

    network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name

  4. `network interface show -fields firewall-policy`コマンドを使用して、ポリシーがLIFに正しく追加されたことを確認します。

    `network interface show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/network-interface-show.html["ONTAPコマンド リファレンス"^]を参照してください。
ファイアウォール ポリシーを作成してLIFに割り当てる例

次のコマンドは、10.10サブネットのIPアドレスからのHTTPおよびHTTPSプロトコルによるアクセスを許可するdata_httpというファイアウォール ポリシーを作成し、SVM vs1のdata1というLIFに適用してから、クラスタのすべてのファイアウォール ポリシーを表示します。

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data