日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LIF のファイアウォールポリシーを設定します

寄稿者 netapp-barbe このページの PDF をダウンロード

ファイアウォールを設定すると、クラスタのセキュリティを強化して、ストレージシステムへの不正アクセスを防止するのに役立ちます。デフォルトでは、ファイアウォールサービスは、データ LIF 、管理 LIF 、クラスタ間 LIF の特定のデフォルトサービスに対するリモートシステムからのアクセスを許可します。

ファイアウォールポリシーを使用して、 SSH 、 HTTP 、 HTTPS 、 Telnet 、 NTP などの管理サービスプロトコルへのアクセスを制御できます。 NDMP 、 NDMPS 、 RSH 、 DNS 、または SNMP 。NFS や SMB / CIFS などのデータプロトコル用にファイアウォールポリシーを設定することはできません。

ファイアウォールサービスとポリシーは、次の方法で管理できます。

  • ファイアウォールサービスを有効または無効にします

  • 現在のファイアウォールサービスの設定を表示しています

  • ポリシー名とネットワークサービスを指定して新しいファイアウォールポリシーを作成してください

  • ファイアウォールポリシーを論理インターフェイスに適用する

  • 既存のファイアウォールポリシーとまったく同一の新しいポリシーを作成する

    この機能は、同じ SVM 内でよく似たポリシーを作成するときや、別の SVM にポリシーをコピーするときに使用できます。

  • ファイアウォールポリシーに関する情報を表示する

  • ファイアウォールポリシーで使用する IP アドレスとネットマスクを変更する

  • LIF で使用していないファイアウォールポリシーを削除する

ファイアウォールポリシーと LIF

LIF のファイアウォールポリシーは、各 LIF を介したクラスタへのアクセスを制限するために使用します。デフォルトのファイアウォールポリシーが、各タイプの LIF を介したシステムアクセスにどのように影響するか、および LIF のセキュリティを強化または低下させるためにファイアウォールポリシーをカスタマイズする方法について理解しておく必要があります。

「 network interface create 」コマンドまたは「 network interface modify 」コマンドを使用して LIF を設定するときに、「 -firewall-policy 」パラメータに指定した値によって、 LIF へのアクセスが許可されるサービスプロトコルと IP アドレスが決まります。

多くの場合、デフォルトのファイアウォールポリシーの値をそのまま使用できます。特定の IP アドレスや管理サービスプロトコルへのアクセスを制限しなければならない場合もあります。使用可能な管理サービスプロトコルは、 SSH 、 HTTP 、 HTTPS 、 Telnet 、 NTP 、 NDMP 、 NDMPS 、 RSH 、 DNS 、および SNMP 。

すべてのクラスタ LIF のファイアウォールポリシーはデフォルトで「」に設定され、変更することはできません。

次の表に、 LIF の作成時にそのロール( ONTAP 9.5 以前)またはサービスポリシー( ONTAP 9.6 以降)に応じて LIF に割り当てられるデフォルトのファイアウォールポリシーを示します。

ファイアウォールポリシー デフォルトのサービスプロトコル デフォルトのアクセス権 割り当て先の LIF

管理

DNS 、 http 、 https 、 ndmp 、 ndmps 、 NTP 、 SNMP 、 ssh

任意のアドレス( 0.0.0.0/0 )

クラスタ管理 LIF 、 SVM 管理 LIF 、ノード管理 LIF

Mgmt - NFS を管理します

DNS 、 http 、 https 、 ndmp 、 ndmps 、 NTP 、 portmap 、 SNMP 、 ssh

任意のアドレス( 0.0.0.0/0 )

SVM 管理アクセスもサポートするデータ LIF

クラスタ間

HTTPS 、 NDMP 、 ndmps

任意のアドレス( 0.0.0.0/0 )

すべてのクラスタ間 LIF

データ

DNS 、 NDMP 、 ndmps 、 portmap

任意のアドレス( 0.0.0.0/0 )

すべてのデータ LIF

portmap サービスの設定

portmap サービスは、 RPC サービスを RPC サービスがリスンするポートにマッピングします。

ONTAP 9.3 以前では portmap サービスに常にアクセス可能で、 ONTAP 9.4 では ONTAP 9.6 で設定可能になっており、 ONTAP 9.7 以降では自動的に管理されます。

  • ONTAP 9.3 までは、サードパーティのファイアウォールではなく組み込みの ONTAP ファイアウォールを使用するネットワーク構成では、ポート 111 で portmap サービス( rpcbind )へのアクセスが常に許可されていました。

  • ONTAP 9.4 から ONTAP 9.6 までは、ファイアウォールポリシーを変更して、 portmap サービスへのアクセスを許可するかどうかを LIF ごとに制御できます。

  • ONTAP 9.7 以降では、 portmap ファイアウォールサービスが廃止されています。代わりに、 NFS サービスをサポートするすべての LIF に対して portmap ポートが自動的に開きます。

  • ポートマップサービスは、 ONTAP 9.4 ~ ONTAP 9.6* のファイアウォールで設定可能です

このトピックの残りの部分では、 ONTAP 9.4 リリースから ONTAP 9.6 リリースまでの portmap ファイアウォールサービスの設定方法について説明します。

設定によっては、特定のタイプの LIF 、通常は管理 LIF とクラスタ間 LIF でのサービスへのアクセスを禁止できる場合があります。状況によっては、データ LIF からのアクセスも禁止できます。

ONTAP 9.4 から ONTAP 9.6 への動作は、アップグレード時にシームレスに移行できるように設計されています。portmap サービスにすでに特定のタイプの LIF からアクセスしている場合、それらのタイプの LIF からは引き続きサービスにアクセスできます。以前のバージョンの ONTAP と同様に、ファイアウォール内でアクセスを許可するサービスを LIF のタイプ別のファイアウォールポリシーで指定できます。

この動作を有効にするには、クラスタ内のすべてのノードで ONTAP 9.4 ~ ONTAP 9.6 が実行されている必要があります。影響を受けるのはインバウンドトラフィックのみです。

新しいルールは次のとおりです。 * リリース 9.4 から 9.6 へのアップグレードでは、 ONTAP によって、既存のすべてのファイアウォールポリシー(デフォルトまたはカスタム)に portmap サービスが追加されます。* ONTAP 新しいクラスタや IPspace を作成した場合、 portmap サービスはデフォルトのデータポリシーにのみ追加され、デフォルトの管理ポリシーまたはクラスタ間ポリシーには追加されません。* 必要に応じて、既定またはカスタムのポリシーに portmap サービスを追加したり、サービスを削除したりできます。

SVM またはクラスタのファイアウォールポリシーに portmap サービスを追加する(ファイアウォール内でのアクセスを許可する)には、次のように入力します。

「 system services firewall policy create -vserver SVM-policy mgmt | intercluster | data | custom-service portmap 」を使用します

SVM またはクラスタのファイアウォールポリシーから portmap サービスを削除する(ファイアウォール内でのアクセスを禁止する)には、次のように入力します。

「 system services firewall policy delete -vserver SVM-policy mgmt | intercluster | data | custom-service portmap 」を参照してください

既存の LIF にファイアウォールポリシーを適用するには、 network interface modify コマンドを使用します。コマンド構文全体については、を参照してください "ONTAP 9 のコマンド"

ファイアウォールポリシーを作成して LIF に割り当てます

LIF を作成するときに、デフォルトのファイアウォールポリシーが割り当てられます。多くの場合、ファイアウォールのデフォルト設定をそのまま使用でき、変更する必要はありません。LIF にアクセスできるネットワークサービスや IP アドレスを変更する場合は、カスタムファイアウォールポリシーを作成して LIF に割り当てることができます。

このタスクについて
  • 「 policy 'name 'd ata, 'intercluster ’ , 'cluster' 」、または「 m GMT' 」を使用してファイアウォールポリシーを作成することはできません。

    これらの値は、システム定義のファイアウォールポリシー用に予約されています。

  • クラスタ LIF のファイアウォールポリシーを設定したり変更したりすることはできません。

    クラスタ LIF のファイアウォールポリシーは、どのサービスタイプでも 0.0.0.0/0 に設定されます。

  • ポリシーからサービスを削除する必要がある場合は、既存のファイアウォールポリシーを削除してから、新しいポリシーを作成する必要があります。

  • クラスタで IPv6 が有効になっている場合は、 IPv6 アドレスを使用してファイアウォールポリシーを作成できます。

    IPv6 を有効にすると、「 data 」、「 intercluster 」、および「 m GMT 」のファイアウォールポリシーには、許可されるアドレスのリストに「 : /0 」という IPv6 ワイルドカードが含まれます。

  • ONTAP System Manager を使用してクラスタ全体のデータ保護機能を設定するときは、許可されるアドレスのリストにクラスタ間 LIF の IP アドレスを含め、必ず、クラスタ間 LIF と会社所有のファイアウォールの両方で HTTPS サービスを許可してください。

    デフォルトでは、「 intercluster 」ファイアウォールポリシーはすべての IP アドレスからのアクセスを許可し( 0.0.0.0/0 、または IPv6 の場合は ::/0 )、 HTTPS 、 NDMP 、および NDMPS サービスを有効にします。このデフォルトポリシーを変更する場合や、クラスタ間 LIF の独自のファイアウォールポリシーを作成する場合は、許可されるアドレスのリストに各クラスタ間 LIF の IP アドレスを追加して、 HTTPS サービスを有効にする必要があります。

  • ONTAP 9.6 以降では、 HTTPS および SSH のファイアウォールサービスはサポートされていません。

    ONTAP 9.6 では、 HTTPS および SSH の管理アクセスに「管理 - https 」および「管理 - ssh 」 LIF サービスを使用できます。

手順
  1. 特定の SVM の LIF で使用できるファイアウォールポリシーを作成します。

    「 system services firewall policy create -vserver vserver_name 」 -policy_policy_policy_policy_name_service_network_service_-allow-list_ip_address /mask_`

    ファイアウォールポリシーに追加するネットワークサービスごとに上記のコマンドを繰り返して、各サービスで許可される IP アドレスを指定できます。

  2. 「 system services firewall policy show 」コマンドを使用して、ポリシーが正しく追加されたことを確認します。

  3. ファイアウォールポリシーを LIF に適用します。

    「 network interface modify -vserver vserver_name _ lif_lif_name_-firewall-policy name 」 - 「 firewall 」 - 「 policy_policy_policy_policy_policy_policy_name_`

  4. network interface show -fields firewall-policy コマンドを使用して、ポリシーが LIF に正しく追加されたことを確認します。

次のコマンドは、 10.10 サブネットの IP アドレスからの HTTP および HTTPS プロトコルによるアクセスを許可する data_http というファイアウォールポリシーを作成し、 SVM vs1 の data1 という LIF に適用してから、クラスタのすべてのファイアウォールポリシーを表示します。

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data