LIF のファイアウォールポリシーを設定します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ファイアウォールを設定すると、クラスタのセキュリティを強化して、ストレージシステムへの不正アクセスを防止するのに役立ちます。デフォルトでは、オンボードファイアウォールは、データ LIF 、管理 LIF 、クラスタ間 LIF の特定の IP サービスへのリモートアクセスを許可するように設定されています。
ONTAP 9.10.1 以降:
-
ファイアウォールポリシーは廃止され、LIFのサービスポリシーに置き換えられました。これまでは、オンボードファイアウォールはファイアウォールポリシーを使用して管理されていました。この機能は、 LIF のサービスポリシーを使用して実行されるようになりました。
-
すべてのファイアウォールポリシーが空であり、基盤となるファイアウォールのどのポートも開かない。代わりに、 LIF のサービスポリシーを使用してすべてのポートを開く必要があります。
-
ファイアウォールポリシーからLIFサービスポリシーに移行するために9.10.1以降にアップグレードしたあとは必要な処理はありません。以前のONTAP リリースで使用されていたファイアウォールポリシーと整合性のあるLIFサービスポリシーが自動的に構築されます。カスタムファイアウォールポリシーを作成および管理するスクリプトやその他のツールを使用している場合は、カスタムサービスポリシーを作成するスクリプトのアップグレードが必要になることがあります。
詳細については、を参照してください "ONTAP 9.6 以降の LIF とサービスポリシー"。
ファイアウォールポリシーを使用して、 SSH 、 HTTP 、 HTTPS 、 Telnet 、 NTP などの管理サービスプロトコルへのアクセスを制御できます。 NDMP 、 NDMPS 、 RSH 、 DNS 、または SNMP 。NFS や SMB などのデータプロトコル用にファイアウォールポリシーを設定することはできません。
ファイアウォールサービスとポリシーは、次の方法で管理できます。
-
ファイアウォールサービスを有効または無効にします
-
現在のファイアウォールサービスの設定を表示しています
-
ポリシー名とネットワークサービスを指定して新しいファイアウォールポリシーを作成してください
-
ファイアウォールポリシーを論理インターフェイスに適用する
-
既存のファイアウォールポリシーとまったく同一の新しいポリシーを作成する
この機能は、同じ SVM 内でよく似たポリシーを作成するときや、別の SVM にポリシーをコピーするときに使用できます。
-
ファイアウォールポリシーに関する情報を表示する
-
ファイアウォールポリシーで使用する IP アドレスとネットマスクを変更する
-
LIF で使用していないファイアウォールポリシーを削除する
ファイアウォールポリシーと LIF
LIF のファイアウォールポリシーは、各 LIF を介したクラスタへのアクセスを制限するために使用します。デフォルトのファイアウォールポリシーが、各タイプの LIF を介したシステムアクセスにどのように影響するか、および LIF のセキュリティを強化または低下させるためにファイアウォールポリシーをカスタマイズする方法について理解しておく必要があります。
を使用してLIFを設定する場合 network interface create
または network interface modify
コマンドを入力します。に指定した値です -firewall-policy
パラメータは、LIFへのアクセスを許可するサービスプロトコルとIPアドレスを決定します。
多くの場合、デフォルトのファイアウォールポリシーの値をそのまま使用できます。特定の IP アドレスや管理サービスプロトコルへのアクセスを制限しなければならない場合もあります。使用可能な管理サービスプロトコルは、 SSH 、 HTTP 、 HTTPS 、 Telnet 、 NTP 、 NDMP 、 NDMPS 、 RSH 、 DNS 、および SNMP 。
すべてのクラスタLIFのファイアウォールポリシーのデフォルトはです ""
およびは変更できません。
次の表に、 LIF の作成時にそのロール( ONTAP 9.5 以前)またはサービスポリシー( ONTAP 9.6 以降)に応じて LIF に割り当てられるデフォルトのファイアウォールポリシーを示します。
ファイアウォールポリシー |
デフォルトのサービスプロトコル |
デフォルトのアクセス権 |
割り当て先の LIF |
管理 |
DNS 、 http 、 https 、 ndmp 、 ndmps 、 NTP 、 SNMP 、 ssh |
任意のアドレス( 0.0.0.0/0 ) |
クラスタ管理 LIF 、 SVM 管理 LIF 、ノード管理 LIF |
Mgmt - NFS を管理します |
DNS 、 http 、 https 、 ndmp 、 ndmps 、 NTP 、 portmap 、 SNMP 、 ssh |
任意のアドレス( 0.0.0.0/0 ) |
SVM 管理アクセスもサポートするデータ LIF |
クラスタ間 |
HTTPS 、 NDMP 、 ndmps |
任意のアドレス( 0.0.0.0/0 ) |
すべてのクラスタ間 LIF |
データ |
DNS 、 NDMP 、 ndmps 、 portmap |
任意のアドレス( 0.0.0.0/0 ) |
すべてのデータ LIF |
portmap サービスの設定
portmap サービスは、 RPC サービスを RPC サービスがリスンするポートにマッピングします。
ONTAP 9.3 以前では portmap サービスに常にアクセス可能で、 ONTAP 9.4 では ONTAP 9.6 で設定可能になっており、 ONTAP 9.7 以降では自動的に管理されます。
-
ONTAP 9.3 までは、サードパーティのファイアウォールではなく組み込みの ONTAP ファイアウォールを使用するネットワーク構成では、ポート 111 で portmap サービス( rpcbind )へのアクセスが常に許可されていました。
-
ONTAP 9.4 から ONTAP 9.6 までは、ファイアウォールポリシーを変更して、 portmap サービスへのアクセスを許可するかどうかを LIF ごとに制御できます。
-
ONTAP 9.7 以降では、 portmap ファイアウォールサービスが廃止されています。代わりに、 NFS サービスをサポートするすべての LIF に対して portmap ポートが自動的に開きます。
-
ポートマップサービスは、 ONTAP 9.4 ~ ONTAP 9.6* のファイアウォールで設定可能です
このトピックの残りの部分では、 ONTAP 9.4 リリースから ONTAP 9.6 リリースまでの portmap ファイアウォールサービスの設定方法について説明します。
設定によっては、特定のタイプの LIF 、通常は管理 LIF とクラスタ間 LIF でのサービスへのアクセスを禁止できる場合があります。状況によっては、データ LIF からのアクセスも禁止できます。
ONTAP 9.4 から ONTAP 9.6 への動作は、アップグレード時にシームレスに移行できるように設計されています。portmap サービスにすでに特定のタイプの LIF からアクセスしている場合、それらのタイプの LIF からは引き続きサービスにアクセスできます。ONTAP 9.3以前と同様に、ファイアウォール内でアクセス可能なサービスをLIFタイプのファイアウォールポリシーで指定できます。
この動作を有効にするには、クラスタ内のすべてのノードで ONTAP 9.4 ~ ONTAP 9.6 が実行されている必要があります。影響を受けるのはインバウンドトラフィックのみです。
新しいルールは次のとおりです。
-
リリース 9.4 から 9.6 にアップグレードした場合、 ONTAP は、既存のすべてのファイアウォールポリシー(デフォルトまたはカスタム)に portmap サービスを追加します。
-
新しいクラスタ ONTAP や IPspace を作成した場合、 portmap サービスはデフォルトのデータポリシーにのみ追加され、デフォルトの管理ポリシーまたはクラスタ間ポリシーには追加されません。
-
必要に応じて、デフォルトまたはカスタムのポリシーに portmap サービスを追加したり削除したりできます。
SVM またはクラスタのファイアウォールポリシーに portmap サービスを追加する(ファイアウォール内でのアクセスを許可する)には、次のように入力します。
system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
SVM またはクラスタのファイアウォールポリシーから portmap サービスを削除する(ファイアウォール内でのアクセスを禁止する)には、次のように入力します。
system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
既存の LIF にファイアウォールポリシーを適用するには、 network interface modify コマンドを使用します。コマンド構文全体については、を参照してください "ONTAP 9 のコマンド"。
ファイアウォールポリシーを作成して LIF に割り当てます
LIF を作成するときに、デフォルトのファイアウォールポリシーが割り当てられます。多くの場合、ファイアウォールのデフォルト設定をそのまま使用でき、変更する必要はありません。LIF にアクセスできるネットワークサービスや IP アドレスを変更する場合は、カスタムファイアウォールポリシーを作成して LIF に割り当てることができます。
-
でファイアウォールポリシーを作成することはできません
policy
名前data
、intercluster
、cluster`または `mgmt
。これらの値は、システム定義のファイアウォールポリシー用に予約されています。
-
クラスタ LIF のファイアウォールポリシーを設定したり変更したりすることはできません。
クラスタ LIF のファイアウォールポリシーは、どのサービスタイプでも 0.0.0.0/0 に設定されます。
-
ポリシーからサービスを削除する必要がある場合は、既存のファイアウォールポリシーを削除してから、新しいポリシーを作成する必要があります。
-
クラスタで IPv6 が有効になっている場合は、 IPv6 アドレスを使用してファイアウォールポリシーを作成できます。
IPv6を有効にすると、
data
、intercluster`および `mgmt
ファイアウォールポリシーには、許可されるアドレスのリストにIPv6ワイルドカード::/0が含まれます。 -
System Manager を使用してクラスタ全体のデータ保護機能を設定するときは、許可されるアドレスのリストにクラスタ間 LIF の IP アドレスを含め、必ず、クラスタ間 LIF と会社所有のファイアウォールの両方で HTTPS サービスを許可してください。
デフォルトでは、が表示されます
intercluster
ファイアウォールポリシーは、すべてのIPアドレス(IPv6の場合は0.0.0.0/0、または:::/0)からのアクセスを許可し、HTTPS、NDMP、およびNDMPSサービスを有効にします。このデフォルトポリシーを変更する場合や、クラスタ間 LIF の独自のファイアウォールポリシーを作成する場合は、許可されるアドレスのリストに各クラスタ間 LIF の IP アドレスを追加して、 HTTPS サービスを有効にする必要があります。 -
ONTAP 9.6 以降では、 HTTPS および SSH のファイアウォールサービスはサポートされていません。
ONTAP 9.6では、
management-https
およびmanagement-ssh
LIFサービスは、HTTPSとSSHの管理アクセスに使用できます。
-
特定の SVM の LIF で使用できるファイアウォールポリシーを作成します。
system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask
ファイアウォールポリシーに追加するネットワークサービスごとに上記のコマンドを繰り返して、各サービスで許可される IP アドレスを指定できます。
-
を使用して、ポリシーが正しく追加されたことを確認します
system services firewall policy show
コマンドを実行します -
ファイアウォールポリシーを LIF に適用します。
network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name
-
を使用して、ポリシーがLIFに正しく追加されたことを確認します
network interface show -fields firewall-policy
コマンドを実行します
次のコマンドは、 10.10 サブネットの IP アドレスからの HTTP および HTTPS プロトコルによるアクセスを許可する data_http というファイアウォールポリシーを作成し、 SVM vs1 の data1 という LIF に適用してから、クラスタのすべてのファイアウォールポリシーを表示します。
system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show Vserver Policy Service Allowed ------- ------------ ---------- ------------------- cluster-1 data dns 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 cluster-1 intercluster https 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 cluster-1 mgmt dns 0.0.0.0/0 http 0.0.0.0/0 https 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 ntp 0.0.0.0/0 snmp 0.0.0.0/0 ssh 0.0.0.0/0 vs1 data_http http 10.10.0.0/16 https 10.10.0.0/16 network interface modify -vserver vs1 -lif data1 -firewall-policy data_http network interface show -fields firewall-policy vserver lif firewall-policy ------- -------------------- --------------- Cluster node1_clus_1 Cluster node1_clus_2 Cluster node2_clus_1 Cluster node2_clus_2 cluster-1 cluster_mgmt mgmt cluster-1 node1_mgmt1 mgmt cluster-1 node2_mgmt1 mgmt vs1 data1 data_http vs3 data2 data