3.1. FIC-FW

3.1.1. サービス概要

  • NTT Comが提供する高品質・高信頼なインターコネクトサービスであるFlexible InterConnect(以下FIC)のコンポーネントの1つとして、FIC環境内にお客さま専用のファイアウォール(FIC-FW)を提供します。

  • FIC-FWは作成・設定・削除がオンデマンドに対応しており、お客さまにて好きな時に好きな分だけご利用いただくことができます。

../_images/FW-Overview.png

図 3.1.1 FIC-FWの提供イメージ

3.1.1.1. FIC-FWの特長

FIC-FWは、以下の特長をもったファイアウォール(FIC-FW)です。

  • ファイアウォール
    異なるRouting Group間におけるフィルタリング機能を提供し、お客さまが設定した通信ルール(ルールグループ、アドレスセット、アプリケーション、アクション)で制御することが可能です。
../_images/FW-settingimage.png

図 3.1.2 FIC-FWの通信ルール設定イメージ


3.1.1.2. 用語の定義

  • テナント:契約に紐づくFICリソースの管理単位

  • Flexible InterConnectコンソール(以下FICコンソール)/API:当サービスにて提供する申し込み方法

  • F番:各リソースに払い出される13桁のリソースID

  • アドレスセット:フィルタ対象の指定に使う送信元、または宛先IPアドレスの組み合わせ

  • アプリケーションセット:フィルタ対象の指定に使うアプリケーションの組み合わせ
    FIC-FWに事前に定義されているアプリケーション 、または作成した カスタムアプリケーション から選択可能

3.1.2. 利用できる機能

本メニューにて利用できる機能は、以下の機能です。各機能を利用するためのFICコンソール/APIを提供致します。

表 3.1.1 機能一覧

項番

機能

説明

操作方法

1

ファイアウォール機能

異なるRouting Group間におけるフィルタリング機能(IP/Portでの制御)を提供します。

FICコンソール/API

2

セルフマネジメント機能

お客さまご自身の操作により、FIC-FWを管理できるFICコンソール/APIを提供します。

FICコンソール/API

3.1.3. メニュー

お客さまが契約したFIC-Routerの構成が適用されます。

表 3.1.2 メニュー種別一覧

メニュー種別

説明

冗長

FIC-FW (Single)

FIC-RouterがSingle時

無し

FIC-FW (Paired)

FIC-RouterがPaired時

有り

3.1.4. 申し込み種別と方法

FICコンソール/APIにて、FIC-FWを申し込みいただくことが可能です。

表 3.1.3 申し込み種別一覧

申し込み種別

変更項目

納期

一時的な通信影響

新設

即日

設定

ルール ※1 ※2

即日

なし ※3

設定

カスタムアプリケーション

即日

なし

設定

アプリケーションセット

即日

なし

設定

アドレスセット

即日

なし

廃止

即日

注釈

  • ※1 フィルタリングログを取得したい場合「アクション」時に「deny(ログ有)」を指定することでフィルタリングログを取得することができます。

  • ※2 各Routing Group間のルール設定にデフォルトで暗黙の「deny」がプリインストールされていますので、ルール設定時にはご注意ください。

  • ※3 ルール設定でアクションの項目を「deny」に設定した場合は、該当する通信ができなくなるなど、既存の通信へ影響がある場合があります。

  • FICコンソールでの申し込み方法は チュートリアル をご参照ください。

  • APIでの申し込み方法は APIリファレンス をご参照ください。

  • FIC-FWに事前に定義されているアプリケーションについては、こちら をご参照ください。


3.1.5. 上限値

3.1.5.1. セッション数

  • FIC-NATを利用していない場合、同時接続可能なセッション数の上限はありません。

  • FIC-NATを利用している場合、同時接続可能なセッション数の上限は、グローバルIPアドレス1つにつき約62,000セッションです。

3.1.5.2. ルール数

  • FIC-FW1つにつき、Routing Group 1~Routing Group 4のみルール運用が可能です。

  • 1対のRouting Group間に定義可能な合算ルール数は、50個です。
    例)
    Routing Group 1とRouting Group 2の相互間で定義可能なルール数の上限は、以下の2つのルールグループに定義したルール数を合算した50個です。
    ルールグループ①(Routing Group 1 → Routing Group 2)
    ルールグループ②(Routing Group 2 → Routing Group 1)

  • 定義可能な総ルール数は、FIC-FW1つにつき300個です。

3.1.5.3. 通信ログ量

  • 保存できる通信ログ量の上限は、FIC-FW1つにつき9GBまたは93日間です。

3.1.5.4. アドレス数

  • 定義可能なアドレス数の上限は、FIC-FW1つにつき160個です。

  • 定義可能なアドレスセット数の上限は、Routing Group1つにつき4セットです。

  • アドレスセットに定義可能なアドレス数の上限は、アドレスセット1つにつき10個です。

3.1.5.5. アプリケーション数

  • 定義可能なアプリケーションセット数の上限は、FIC-FW1つにつき2セットです。

  • アプリケーションセットに定義可能なアプリケーション数の上限は、アプリケーションセット1つにつき10個です。

  • 定義可能なカスタムアプリケーション数の上限は、FIC-FW1つにつき20個です。


3.1.6. 注意事項

3.1.6.1. ご利用時の注意事項

  • FIC-FWはFIC-Routerとセットで利用可能なコンポーネントであり、FIC-FW単独での利用は不可能です。なお、FIC-NATとの併用は可能です。

  • FIC-Router1つにつきFIC-FW1つが利用可能です。

  • 「FIC-Router× 1に対しFIC-FW×2」 や、「FIC-Router×2に対しFIC-FW×1」のような構成は不可能です。

  • アドオン設定の有無にかかわらず、FIC-FWの購入時点でRouting Group1~4で経路交換されます。

  • FIC-FWの内部AS番号として「64601」が割り当てられます。

  • FIC-FWは、ステートフルインスペクションの機能を有しており、通信内容の通過可否を動的に判断します。
  • FIC-FW(Paired)のPrimary/Secondaryの切り替わりが発生した場合、運用系(Primaryおよびsecondary)のセッションは引き継がれません。
    そのため、お客さま通信によっては通信の再接続が必要となる場合がございます。

3.1.6.2. お申し込み時の注意事項(共通)

  • 申し込み受付完了後、設定が完了するまでの間は他の申し込みを行うことができません。

  • API権限管理機能 のIAMロールにて、読み取り専用(GETメソッドのみ許可)の権限を割り当てたユーザのお客さまは、申し込みできません。


3.1.6.3. お申し込み時の注意事項(購入)

  • FIC-FW作成にはFIC-Routerが必要となります。

  • FIC-Router(Single)で購入済みの場合には、FIC-FW(Single)での購入です。
    また、FIC-Router(Paired)で購入済みの場合には、FIC-FW(Paired)での購入となります。
  • FIC-FW作成後にFICコンソール/API上で利用アドレス設定はできません。
    利用アドレス設定を変更する際は、FIC-FWの廃止/新規購入にて実施してください。
  • FIC-FWを購入せず、FIC-NATのみをご利用されている場合も、Routing Group間を疎通させるためにFIC-FWが動作しており、FIC-NAT通信を通過させるためのルールがFIC-FWに対して自動的に付与されます。
    (※ FIC-NATのポリシー設定 は必須です。)
  • FIC-FW購入後に、FIC-NATを購入した場合、FIC-NAT通信を通過させるためのルールは自動付与されません。
    お客さま自身にて ルール設定 をお願いします。
  • FIC-FWの購入によって既存の通信(同一Routing Group内での通信、FIC-NATを利用した通信)に影響はございません。
  • FIC-FW申し込み時に利用できない接続アドレスは以下となります。
    1)接続元FIC-Routerの「網内利用アドレス」と重複したアドレス
    2)接続元FIC-RouterのFIC-FW/FIC-NATの「接続アドレス」と重複したアドレス
    3)接続元FIC-Routerに接続されているFIC-Connectionの「接続ネットワークアドレス」と重複したアドレス
    4)下記の利用不可IPアドレス

    • 0.0.0.0/8(0.0.0.0~0.255.255.255)

    • 100.64.0.0/10(100.64.0.0~100.127.255.255)

    • 127.0.0.0/8(127.0.0.0~127.255.255.255)

    • 169.254.0.0/16(169.254.0.0~169.254.255.255)

    • 192.0.0.0/24(192.0.0.0~ 192.0.0.255)

    • 192.88.99.0/24(192.88.99.0~192.88.99.255)

    • 198.18.0.0/15(198.18.0.0~198.19.255.255)

    • 198.51.100.0/24(198.51.100.0~198.51.100.255)

    • 203.0.113.0/24(203.0.113.0~ 203.0.113.255)

    • 224.0.0.0/4(224.0.0.0~239.255.255.255)

    • 240.0.0.0/4(240.0.0.0~255.255.255.255)


3.1.6.4. お申し込み時の注意事項(設定)

  • ルール設定でアクションの項目を「deny」に設定した場合は、該当する通信ができなくなるなど、既存の通信へ影響がある場合があります。
    FIC-FWのルール設定手順については こちら をご参照ください。

3.1.6.5. お申し込み時の注意事項(廃止)

  • FIC-FWを廃止したタイミングで異なるRouting Group間の通信ができなくなります。
    なお、同一Routing Group内で行われている通信に関しては、通信断は発生しません。
  • FIC-NATをすでにご購入の場合、FIC-FWを廃止しても、FIC-NATを利用した既存の通信への影響はありません。
3. FIC-FW
3.2. FIC-FWに事前に定義されているアプリケーション