Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LIFのファイアウォールポリシーを設定する

共同作成者
PDF

ファイアウォールを設定すると、クラスタのセキュリティが強化され、ストレージシステムへの不正アクセスを防止できます。デフォルトでは、オンボードファイアウォールは、データLIF、管理LIF、およびクラスタ間LIFに対して特定のIPサービスセットへのリモートアクセスを許可するように設定されています。

ONTAP 9 .10.1以降:

  • ファイアウォールポリシーは廃止され、LIFのサービスポリシーに置き換えられました。以前は、オンボードファイアウォールはファイアウォールポリシーを使用して管理されていました。これにはLIFサービスポリシーを使用します。

  • ファイアウォールポリシーはすべて空で、基盤となるファイアウォールのポートは開かれません。代わりに、LIFサービスポリシーを使用してすべてのポートを開く必要があります。

  • 9.10.1以降にアップグレードしたあとも、ファイアウォールポリシーからLIFのサービスポリシーに移行するための対処は必要ありません。以前のONTAPリリースで使用していたファイアウォールポリシーと整合性のあるLIFのサービスポリシーが自動的に作成されます。カスタムファイアウォールポリシーを作成および管理するスクリプトやその他のツールを使用する場合は、それらのスクリプトをアップグレードしてカスタムサービスポリシーを作成する必要があります。

詳細については、を参照してください"ONTAP 9 .6以降のLIFとサービスポリシー"

ファイアウォールポリシーを使用して、SSH、HTTP、HTTPS、Telnet、NTP、NDMP、NDMPS、RSH、DNS、SNMPなどの管理サービスプロトコルへのアクセスを制御できます。NFSやSMBなどのデータプロトコルにファイアウォールポリシーを設定することはできません。

ファイアウォールサービスとポリシーは次の方法で管理できます。

  • ファイアウォールサービスの有効化と無効化

  • 現在のファイアウォールサービス設定の表示

  • ポリシー名とネットワークサービスを指定して新しいファイアウォールポリシーを作成する

  • 論理インターフェイスへのファイアウォールポリシーの適用

  • 既存のポリシーとまったく同じ新しいファイアウォールポリシーを作成する

    この機能は、同じSVM内で同様の特性を持つポリシーを作成する場合や、別のSVMにポリシーをコピーする場合に使用できます。

  • ファイアウォールポリシーに関する情報の表示

  • ファイアウォールポリシーで使用されるIPアドレスとネットマスクの変更

  • LIFで使用されていないファイアウォールポリシーを削除する

ファイアウォールポリシーとLIF

LIFのファイアウォールポリシーは、各LIFを介したクラスタへのアクセスを制限するために使用されます。デフォルトのファイアウォールポリシーが各タイプのLIFを介したシステムアクセスに与える影響と、ファイアウォールポリシーをカスタマイズしてLIFのセキュリティを増減する方法を理解しておく必要があります。

コマンドまたは `network interface modify`コマンドを使用してLIFを設定する場合、 `network interface create`パラメータに指定した値 `-firewall-policy`によって、LIFへのアクセスが許可されるサービスプロトコルとIPアドレスが決まります。

多くの場合、デフォルトのファイアウォールポリシーの値をそのまま使用できます。また、特定のIPアドレスや管理サービスプロトコルへのアクセスを制限しなければならない場合もあります。使用可能な管理サービスプロトコルには、SSH、HTTP、HTTPS、Telnet、NTP、NDMP、NDMPS、RSH、DNS、およびSNMPがあります。

すべてのクラスタLIFのファイアウォールポリシーはデフォルトで設定さ `""`れており、変更することはできません。

次の表に、LIFの作成時にロール(ONTAP 9 .5以前)またはサービスポリシー(ONTAP 9 .6以降)に応じて各LIFに割り当てられるデフォルトのファイアウォールポリシーを示します。

ファイアウォールポリシー

デフォルトのサービスプロトコル

デフォルトのアクセス

適用先のLIF

管理

dns、http、https、ndmp、ndmps、ntp、snmp、ssh

任意のアドレス( 0.0.0.0/0 )

クラスタ管理 LIF 、 SVM 管理 LIF 、ノード管理 LIF

管理- NFS

dns、http、https、ndmp、ndmps、ntp、portmap、snmp、ssh

任意のアドレス( 0.0.0.0/0 )

SVM 管理アクセスもサポートするデータ LIF

クラスタ間

HTTPS、NDMP、ndmps

任意のアドレス( 0.0.0.0/0 )

すべてのクラスタ間LIF

データ

DNS 、 NDMP 、 ndmps 、 portmap

任意のアドレス( 0.0.0.0/0 )

すべてのデータLIF

portmapサービスの設定

portmapサービスは、RPCサービスをリッスンするポートにマッピングします。

portmapサービスはONTAP 9 .3以前では常にアクセス可能であり、ONTAP 9 .4ではONTAP 9 .6を使用して設定可能になり、ONTAP 9 .7から自動的に管理されるようになりました。

  • ONTAP 9 .3以前では、サードパーティ製のファイアウォールではなく組み込みのONTAPファイアウォールを使用するネットワーク構成では、ポート111でportmapサービス(rpcbind)に常にアクセスできました。

  • ONTAP 9 .4~lif.6 ONTAP 9では、ファイアウォールポリシーを変更して、portmapサービスへのアクセスを許可するかどうかをLIFごとに制御できます。

  • ONTAP 9 .7以降では、portmapファイアウォールサービスは廃止されています。代わりに、NFSサービスをサポートするすべてのLIFに対してportmapポートが自動的に開きます。

  • ポートマップサービスは、 ONTAP 9.4 ~ ONTAP 9.6* のファイアウォールで設定可能です

このトピックの残りの部分では、ONTAP 9 .4~ONTAP 9 .6リリースのportmapファイアウォールサービスを設定する方法について説明します。

構成によっては、特定のタイプのLIF(通常は管理LIFとクラスタ間LIF)でサービスへのアクセスを禁止することができます。状況によっては、データLIFへのアクセスを禁止することもできます。

想定される動作

ONTAP 9.4~ONTAP 9.6の動作は、アップグレード時にシームレスに移行できるように設計されています。portmapサービスにすでに特定のタイプのLIFからアクセスしている場合、それらのタイプのLIFからは引き続きサービスにアクセスできます。ONTAP 9.3以前と同様に、ファイアウォール内でアクセスを許可するサービスをLIFのタイプ別のファイアウォール ポリシーで指定できます。

この動作を有効にするには、クラスタ内のすべてのノードでONTAP 9.4~ONTAP 9.6が実行されている必要があります。影響するのはインバウンド トラフィックのみです。

新しいルールは次のとおりです。

  • リリース9.4~9.6にアップグレードすると、既存のすべてのファイアウォール ポリシー(デフォルトまたはカスタム)にportmapサービスが追加されます。

  • 新しいクラスタやIPspaceを作成した場合、portmapサービスはデフォルトのデータ ポリシーにのみ追加され、デフォルトの管理ポリシーまたはクラスタ間ポリシーには追加されません。

  • 必要に応じて、デフォルトまたはカスタムのポリシーにportmapサービスを追加したり削除したりできます。

portmapサービスを追加または削除する方法

SVMまたはクラスタのファイアウォール ポリシーにportmapサービスを追加する(ファイアウォール内でのアクセスを許可する)には、次のように入力します。

system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

SVMまたはクラスタのファイアウォール ポリシーからportmapサービスを削除する(ファイアウォール内でのアクセスを禁止する)には、次のように入力します。

system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

network interface modifyコマンドを使用して既存のLIFにファイアウォール ポリシーを適用できます。コマンド構文全体については、を参照してください "ONTAPコマンド リファレンス"

ファイアウォールポリシーを作成してLIFに割り当てる

LIFの作成時に、デフォルトのファイアウォールポリシーが各LIFに割り当てられます。多くの場合、ファイアウォールのデフォルト設定をそのまま使用でき、変更する必要はありません。ただし、LIFにアクセスできるネットワーク サービスやIPアドレスを変更したい場合は、カスタム ファイアウォール ポリシーを作成してLIFに割り当てます。

タスクの内容

  • intercluster、、 cluster、またはの mgmt`名前 `data`でファイアウォールポリシーを作成することはできません `policy

    これらの値は、システム定義のファイアウォールポリシー用に予約されています。

  • クラスタLIFのファイアウォールポリシーを設定または変更することはできません。

    クラスタLIFのファイアウォールポリシーは、すべてのサービスタイプで0.0.0.0/0に設定されます。

  • ポリシーからサービスを削除する必要がある場合は、既存のファイアウォールポリシーを削除して新しいポリシーを作成する必要があります。

  • クラスタでIPv6が有効になっている場合は、IPv6アドレスを使用してファイアウォールポリシーを作成できます。

    IPv6を有効にすると、 data、 `intercluster`および `mgmt`ファイアウォールポリシーの有効なアドレスのリストに::/0というIPv6ワイルドカードが含まれます。

  • System Managerを使用してクラスタ全体のデータ保護機能を設定する場合は、許可されるアドレスのリストにクラスタ間LIFのIPアドレスを含め、クラスタ間LIFと会社所有のファイアウォールの両方でHTTPSサービスを許可する必要があります。

    デフォルトでは、ファイアウォールポリシーは `intercluster`すべてのIPアドレス(IPv6の場合は0.0.0.0/0、または:::/0)からのアクセスを許可し、HTTPS、NDMP、およびNDMPSサービスを有効にします。このデフォルトポリシーを変更する場合、またはインタークラスタLIF用に独自のファイアウォールポリシーを作成する場合は、許可されるリストに各インタークラスタLIFのIPアドレスを追加し、HTTPSサービスを有効にする必要があります。

  • ONTAP 9 .6以降では、HTTPSおよびSSHファイアウォールサービスはサポートされていません。

    ONTAP 9 .6では management-https management-ssh、HTTPSおよびSSH管理アクセスにLIFサービスとLIFサービスを使用できます。

手順

  1. 特定のSVMのLIFで使用できるファイアウォールポリシーを作成します。

    system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask

    このコマンドを複数回使用して、ファイアウォールポリシーに複数のネットワークサービスと各サービスで許可されるIPアドレスのリストを追加できます。

  2. コマンドを使用して、ポリシーが正しく追加されたことを確認します system services firewall policy show

  3. ファイアウォールポリシーをLIFに適用します。

    network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name

  4. コマンドを使用して、ポリシーがLIFに正しく追加されたことを確認します network interface show -fields firewall-policy

ファイアウォールポリシーを作成してLIFに割り当てる例

次のコマンドは、10.10サブネットのIPアドレスからのHTTPおよびHTTPSプロトコルによるアクセスを許可するdata_httpというファイアウォールポリシーを作成し、SVM vs1のdata1というLIFに適用してから、クラスタのすべてのファイアウォールポリシーを表示します。

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data