FIC-FW

1. サービス概要

1.1. FIC-FWの概要

  • NTT Comが提供する高品質・高信頼なインターコネクトサービスであるFlexible InterConnect(以下FIC)のコンポーネントの1つとして、FIC環境内にお客さま専用の仮想ファイアウォール(FIC-FW)を提供します。
  • FIC-FWの作成・設定・削除等は自動化されており、お客さまにて好きな時に好きな分だけご利用いただくことができます。

1.2. FIC-FWの特長

FIC-FWは、以下の特長をもった仮想ファイアウォール(FIC-FW)です。

  • ファイアウォール - 異なるRouting Group間におけるフィルタリング機能を提供し、お客さまのルールで制御することが可能です。
  • 自動プロビジョニング - FIC-FWのプロビジョニングは自動化されており、お客さまにて煩雑な操作をしていただく必要なく、柔軟にリソースをご利用いただくことが可能です。

1.3. 用語の定義

  • テナント:契約に紐づくFICリソースの管理単位
  • FIC-Console/API:当サービスにて提供するポータル/API
  • F番:各リソースに払い出される13桁のリソースID

2. 利用できる機能

2.1. 機能一覧

本メニューにて利用できる機能は、以下の機能です。各機能を利用するためのFIC-Console/APIを提供致します。

2.1.1. 機能一覧

項番 機能 説明 操作方法
1 インスタンス制御機能 FIC-FWの作成、情報参照、編集、削除等インスタンスを制御する機能を提供します。 FIC-Console/API
2 ファイアウォール機能 異なるRouting Group間におけるフィルタリング機能(IP/Portでの制御)を提供します。 FIC-Console/API
3 セルフマネジメント機能 お客さまご自身の操作により、FIC-FWを管理できるポータル/APIを提供します。 FIC-Console/API

2.2. 各機能の説明

2.2.1. インスタンス制御機能

2.2.1.1. FIC-FWの作成

  • お客さまにて、新しいFIC-FWをFIC-Console/API操作により作成することができます。
  • FIC-FWは、冗長がない「FIC-FW (Single)」と、冗長がある「FIC-FW (Paired)」の2種類があり、それぞれお客様FIC-Routerの仕様により自動選択されます。
  • APIで参照可能な項目については APIリファレンス をご覧ください。

2.2.1.2. FIC-FWの情報参照

  • お客さまにて、既に契約いただいているFIC-FWの以下の情報をFIC-Console/APIで参照することができます。
  • APIで参照可能な項目については APIリファレンス をご覧ください。

2.2.1.3. FIC-FWルール設定の編集

  • お客さまにて、FIC-FWのルール設定をFIC-Console/APIで編集することができます。
  • デフォルトで設定されているアプリケーションについては こちら をご覧ください。
  • APIで編集可能な項目については APIリファレンス をご覧ください。

注釈

  • フィルタリングログを取得したい場合「アクション」時に「deny(ログ有)」を指定することでフィルタリングログを取得することができます。
  • 各Routing Group間のルール設定にデフォルトで暗黙の「deny」がプリインストールされていますので、ルール設定時にはご注意ください。

2.2.1.4. FIC-FWカスタムアプリケーション設定の編集

  • お客さまにて、FIC-FWのカスタムアプリケーション設定をFIC-Console/APIで編集することができます。
  • APIで編集可能な項目については APIリファレンス をご覧ください。

2.2.1.5. FIC-FWアプリケーション設定の編集

  • お客さまにて、FIC-FWのアプリケーション設定FIC-Console/APIで編集することができます。
  • デフォルトで設定されているアプリケーションについては こちら をご覧ください。
  • APIで編集可能な項目については APIリファレンス をご覧ください。

2.2.1.6. FIC-FWアドレスセット設定の編集

  • お客さまにて、FIC-FWのアドレスセット設定をFIC-Console/APIで編集することができます。
  • APIで編集可能な項目については APIリファレンス をご覧ください。

3. メニュー

3.1. メニューリスト

  • FIC-FWは、お客さまが契約したFIC-Routerの構成が適用されます。

3.1.1. メニュー種別一覧

メニュー種別 説明 冗長
FIC-FW (Single) FIC-RouterがSingle時 無し
FIC-FW (Paired) FIC-RouterがPaired時 有り

3.2 申し込み種別と方法

FIC-Console/APIにて、FIC-FWを申し込みいただくことが可能です。

3.2.1. 申し込み種別一覧

申し込み種別 変更項目 申し込み方法 納期 一時的なBGP Down
新設 FIC-Console/API経由で、お客さま自身の操作により申し込み 即日
設定 ルール FIC-Console/API経由で、お客さま自身の操作により申し込み 即日 なし
設定 カスタムアプリケーション FIC-Console/API経由で、お客さま自身の操作により申し込み 即日 なし
設定 アプリケーションセット FIC-Console/API経由で、お客さま自身の操作により申し込み 即日 なし
設定 アドレスセット FIC-Console/API経由で、お客さま自身の操作により申し込み 即日 なし
廃止 FIC-Console/API経由で、お客さま自身の操作により申し込み 即日

4. 上限値

  • 同時接続可能数上限は、ありません。
  • ルール運用可能なRouting Group数の上限は、1FIC-FWあたり4個です。
  • 保存できる通信ログ量の上限は、1FIC-FWあたり9GBまたは93日間です。
  • 1対のRouting Group間に定義可能な合算ルール数は、1Routing Groupあたり50個です。
  • 定義可能な総ルール数は、1FIC-FWあたり300個です。
  • 定義可能なアドレスセット数の上限は、1Routing Groupあたり4セットです。
  • アドレスセットに定義可能なアドレス数の上限は、1アドレスセットあたり10個です。
  • 定義可能なアドレス数の上限は、1FIC-FWあたり160個です。
  • 定義可能なアプリケーションセット数の上限は、1FIC-FWあたり2セットです。
  • アプリケーションセットに定義可能なアプリケーション数の上限は、1アプリケーションセットあたり10個です。
  • 定義可能なカスタムアプリケーション数の上限は、20個です。

5. 注意事項

5.1. ご利用時の注意事項

  • FIC-FWはFIC-Routerとセットで利用可能なコンポーネントであり、FIC-FW単独での利用は不可となります。
    また、FIC-NATとの併用は可能となります。
  • 1FIC-Routerにつき1ファイアウォール(FIC-FW)が利用可能となります。

  • FIC-Router 1台にファイアウォール(FIC-FW)2台」 や、「FIC-Router2台にファイアウォール(FIC-FW)1台」のような構成は不可能です。

  • アドオン設定の有無にかかわらず、FIC-FWの購入時点でRouting Group1~4で経路交換されます。

  • FIC-FWはステートフルインスペクションの機能を有しています。

  • FIC-FW(Paired)のPrimary/Secondaryの切り替わりが発生した場合、運用系(Primaryおよびsecondary)のセッションは引き継がれません。
    そのため、お客様通信によっては通信の再接続が必要となる場合がございます。

5.2. お申し込み時の注意事項(共通)

  • 申し込み受付完了後、設定が完了するまでの間は他の申し込みを行うことが出来ません。
  • 読み取り専用ユーザのお客様は申し込み出来ません。

5.3. お申し込み時の注意事項(購入)

  • FIC-FW作成にはFIC-Routerが必要となります。

  • FIC-Router(Single)で購入済みの場合には、FIC-FW(Single)での購入です。
    また、FIC-Router(Paired)で購入済みの場合には、FIC-FW(Paired)での購入となります。
  • FIC-FW作成後にFIC-Console/API上で利用アドレス設定はできません。
    利用アドレス設定を変更する際は、FIC-FWの廃止/新規購入にて実施してください。
  • FIC-FWを購入せず、FIC-NATを購入した場合、FIC-NAT通信を通過させるためのルールが、FIC-FWに対して自動的に付与されます。
    (※ FIC-NATのポリシー設定 は必須です。)
  • FIC-FW購入後に、FIC-NATを購入した場合、FIC-NAT通信を通過させるためのルールは自動付与されません。
    お客様自身にて ルール設定 をお願いします。
  • FIC-FW申し込み時に利用できない接続アドレスは以下となります。
     1)接続元FIC-Routerの「網内利用アドレス」と重複したアドレス
     2)接続元FIC-RouterのFIC-FW/FIC-NATの「接続アドレス」と重複したアドレス
     3)接続元FIC-Routerに接続されているFIC-Connectionの「接続ネットワークアドレス」と重複したアドレス
     4)下記の利用不可IPアドレス
       ・0.0.0.0/8
       ・100.64.0.0/10
       ・127.0.0.0/8
       ・169.254.0.0/16
       ・192.0.0.0/24
       ・192.88.99.0/24
       ・198.18.0.0/15
       ・198.51.100.0/24
       ・203.0.113.0/24
       ・224.0.0.0/4
       ・240.0.0.0/4

5.4. お申し込み時の注意事項(設定)

  • なし

5.5. お申し込み時の注意事項(廃止)

  • なし