Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LIF のファイアウォールポリシーを設定します

共同作成者
PDF

ファイアウォールを設定すると、クラスタのセキュリティを強化して、ストレージシステムへの不正アクセスを防止するのに役立ちます。デフォルトでは、オンボードファイアウォールは、データ LIF 、管理 LIF 、クラスタ間 LIF の特定の IP サービスへのリモートアクセスを許可するように設定されています。

ONTAP 9.10.1 以降:

  • ファイアウォールポリシーは廃止され、LIFのサービスポリシーに置き換えられました。これまでは、オンボードファイアウォールはファイアウォールポリシーを使用して管理されていました。この機能は、 LIF のサービスポリシーを使用して実行されるようになりました。

  • すべてのファイアウォールポリシーが空であり、基盤となるファイアウォールのどのポートも開かない。代わりに、 LIF のサービスポリシーを使用してすべてのポートを開く必要があります。

  • ファイアウォールポリシーからLIFサービスポリシーに移行するために9.10.1以降にアップグレードしたあとは必要な処理はありません。以前のONTAP リリースで使用されていたファイアウォールポリシーと整合性のあるLIFサービスポリシーが自動的に構築されます。カスタムファイアウォールポリシーを作成および管理するスクリプトやその他のツールを使用している場合は、カスタムサービスポリシーを作成するスクリプトのアップグレードが必要になることがあります。

詳細については、を参照してください "ONTAP 9.6 以降の LIF とサービスポリシー"

ファイアウォールポリシーを使用して、 SSH 、 HTTP 、 HTTPS 、 Telnet 、 NTP などの管理サービスプロトコルへのアクセスを制御できます。 NDMP 、 NDMPS 、 RSH 、 DNS 、または SNMP 。NFS や SMB などのデータプロトコル用にファイアウォールポリシーを設定することはできません。

ファイアウォールサービスとポリシーは、次の方法で管理できます。

  • ファイアウォールサービスを有効または無効にします

  • 現在のファイアウォールサービスの設定を表示しています

  • ポリシー名とネットワークサービスを指定して新しいファイアウォールポリシーを作成してください

  • ファイアウォールポリシーを論理インターフェイスに適用する

  • 既存のファイアウォールポリシーとまったく同一の新しいポリシーを作成する

    この機能は、同じ SVM 内でよく似たポリシーを作成するときや、別の SVM にポリシーをコピーするときに使用できます。

  • ファイアウォールポリシーに関する情報を表示する

  • ファイアウォールポリシーで使用する IP アドレスとネットマスクを変更する

  • LIF で使用していないファイアウォールポリシーを削除する

ファイアウォールポリシーと LIF

LIF のファイアウォールポリシーは、各 LIF を介したクラスタへのアクセスを制限するために使用します。デフォルトのファイアウォールポリシーが、各タイプの LIF を介したシステムアクセスにどのように影響するか、および LIF のセキュリティを強化または低下させるためにファイアウォールポリシーをカスタマイズする方法について理解しておく必要があります。

を使用してLIFを設定する場合 network interface create または network interface modify コマンドを入力します。に指定した値です -firewall-policy パラメータは、LIFへのアクセスを許可するサービスプロトコルとIPアドレスを決定します。

多くの場合、デフォルトのファイアウォールポリシーの値をそのまま使用できます。特定の IP アドレスや管理サービスプロトコルへのアクセスを制限しなければならない場合もあります。使用可能な管理サービスプロトコルは、 SSH 、 HTTP 、 HTTPS 、 Telnet 、 NTP 、 NDMP 、 NDMPS 、 RSH 、 DNS 、および SNMP 。

すべてのクラスタLIFのファイアウォールポリシーのデフォルトはです "" およびは変更できません。

次の表に、 LIF の作成時にそのロール( ONTAP 9.5 以前)またはサービスポリシー( ONTAP 9.6 以降)に応じて LIF に割り当てられるデフォルトのファイアウォールポリシーを示します。

ファイアウォールポリシー

デフォルトのサービスプロトコル

デフォルトのアクセス権

割り当て先の LIF

管理

DNS 、 http 、 https 、 ndmp 、 ndmps 、 NTP 、 SNMP 、 ssh

任意のアドレス( 0.0.0.0/0 )

クラスタ管理 LIF 、 SVM 管理 LIF 、ノード管理 LIF

Mgmt - NFS を管理します

DNS 、 http 、 https 、 ndmp 、 ndmps 、 NTP 、 portmap 、 SNMP 、 ssh

任意のアドレス( 0.0.0.0/0 )

SVM 管理アクセスもサポートするデータ LIF

クラスタ間

HTTPS 、 NDMP 、 ndmps

任意のアドレス( 0.0.0.0/0 )

すべてのクラスタ間 LIF

データ

DNS 、 NDMP 、 ndmps 、 portmap

任意のアドレス( 0.0.0.0/0 )

すべてのデータ LIF

portmap サービスの設定

portmap サービスは、 RPC サービスを RPC サービスがリスンするポートにマッピングします。

ONTAP 9.3 以前では portmap サービスに常にアクセス可能で、 ONTAP 9.4 では ONTAP 9.6 で設定可能になっており、 ONTAP 9.7 以降では自動的に管理されます。

  • ONTAP 9.3 までは、サードパーティのファイアウォールではなく組み込みの ONTAP ファイアウォールを使用するネットワーク構成では、ポート 111 で portmap サービス( rpcbind )へのアクセスが常に許可されていました。

  • ONTAP 9.4 から ONTAP 9.6 までは、ファイアウォールポリシーを変更して、 portmap サービスへのアクセスを許可するかどうかを LIF ごとに制御できます。

  • ONTAP 9.7 以降では、 portmap ファイアウォールサービスが廃止されています。代わりに、 NFS サービスをサポートするすべての LIF に対して portmap ポートが自動的に開きます。

  • ポートマップサービスは、 ONTAP 9.4 ~ ONTAP 9.6* のファイアウォールで設定可能です

このトピックの残りの部分では、 ONTAP 9.4 リリースから ONTAP 9.6 リリースまでの portmap ファイアウォールサービスの設定方法について説明します。

設定によっては、特定のタイプの LIF 、通常は管理 LIF とクラスタ間 LIF でのサービスへのアクセスを禁止できる場合があります。状況によっては、データ LIF からのアクセスも禁止できます。

想定される動作

ONTAP 9.4 から ONTAP 9.6 への動作は、アップグレード時にシームレスに移行できるように設計されています。portmap サービスにすでに特定のタイプの LIF からアクセスしている場合、それらのタイプの LIF からは引き続きサービスにアクセスできます。ONTAP 9.3以前と同様に、ファイアウォール内でアクセス可能なサービスをLIFタイプのファイアウォールポリシーで指定できます。

この動作を有効にするには、クラスタ内のすべてのノードで ONTAP 9.4 ~ ONTAP 9.6 が実行されている必要があります。影響を受けるのはインバウンドトラフィックのみです。

新しいルールは次のとおりです。

  • リリース 9.4 から 9.6 にアップグレードした場合、 ONTAP は、既存のすべてのファイアウォールポリシー(デフォルトまたはカスタム)に portmap サービスを追加します。

  • 新しいクラスタ ONTAP や IPspace を作成した場合、 portmap サービスはデフォルトのデータポリシーにのみ追加され、デフォルトの管理ポリシーまたはクラスタ間ポリシーには追加されません。

  • 必要に応じて、デフォルトまたはカスタムのポリシーに portmap サービスを追加したり削除したりできます。

portmapサービスを追加または削除する方法

SVM またはクラスタのファイアウォールポリシーに portmap サービスを追加する(ファイアウォール内でのアクセスを許可する)には、次のように入力します。

system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

SVM またはクラスタのファイアウォールポリシーから portmap サービスを削除する(ファイアウォール内でのアクセスを禁止する)には、次のように入力します。

system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

既存の LIF にファイアウォールポリシーを適用するには、 network interface modify コマンドを使用します。コマンド構文全体については、を参照してください "ONTAP 9 のコマンド"

ファイアウォールポリシーを作成して LIF に割り当てます

LIF を作成するときに、デフォルトのファイアウォールポリシーが割り当てられます。多くの場合、ファイアウォールのデフォルト設定をそのまま使用でき、変更する必要はありません。LIF にアクセスできるネットワークサービスや IP アドレスを変更する場合は、カスタムファイアウォールポリシーを作成して LIF に割り当てることができます。

このタスクについて

  • でファイアウォールポリシーを作成することはできません policy 名前 datainterclustercluster`または `mgmt

    これらの値は、システム定義のファイアウォールポリシー用に予約されています。

  • クラスタ LIF のファイアウォールポリシーを設定したり変更したりすることはできません。

    クラスタ LIF のファイアウォールポリシーは、どのサービスタイプでも 0.0.0.0/0 に設定されます。

  • ポリシーからサービスを削除する必要がある場合は、既存のファイアウォールポリシーを削除してから、新しいポリシーを作成する必要があります。

  • クラスタで IPv6 が有効になっている場合は、 IPv6 アドレスを使用してファイアウォールポリシーを作成できます。

    IPv6を有効にすると、 dataintercluster`および `mgmt ファイアウォールポリシーには、許可されるアドレスのリストにIPv6ワイルドカード::/0が含まれます。

  • System Manager を使用してクラスタ全体のデータ保護機能を設定するときは、許可されるアドレスのリストにクラスタ間 LIF の IP アドレスを含め、必ず、クラスタ間 LIF と会社所有のファイアウォールの両方で HTTPS サービスを許可してください。

    デフォルトでは、が表示されます intercluster ファイアウォールポリシーは、すべてのIPアドレス(IPv6の場合は0.0.0.0/0、または:::/0)からのアクセスを許可し、HTTPS、NDMP、およびNDMPSサービスを有効にします。このデフォルトポリシーを変更する場合や、クラスタ間 LIF の独自のファイアウォールポリシーを作成する場合は、許可されるアドレスのリストに各クラスタ間 LIF の IP アドレスを追加して、 HTTPS サービスを有効にする必要があります。

  • ONTAP 9.6 以降では、 HTTPS および SSH のファイアウォールサービスはサポートされていません。

    ONTAP 9.6では、 management-https および management-ssh LIFサービスは、HTTPSとSSHの管理アクセスに使用できます。

手順

  1. 特定の SVM の LIF で使用できるファイアウォールポリシーを作成します。

    system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask

    ファイアウォールポリシーに追加するネットワークサービスごとに上記のコマンドを繰り返して、各サービスで許可される IP アドレスを指定できます。

  2. を使用して、ポリシーが正しく追加されたことを確認します system services firewall policy show コマンドを実行します

  3. ファイアウォールポリシーを LIF に適用します。

    network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name

  4. を使用して、ポリシーがLIFに正しく追加されたことを確認します network interface show -fields firewall-policy コマンドを実行します

ファイアウォールポリシーを作成してLIFに適用する例

次のコマンドは、 10.10 サブネットの IP アドレスからの HTTP および HTTPS プロトコルによるアクセスを許可する data_http というファイアウォールポリシーを作成し、 SVM vs1 の data1 という LIF に適用してから、クラスタのすべてのファイアウォールポリシーを表示します。

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data