FIC-FW¶
1. サービス概要¶
1.1. FIC-FWの概要¶
- NTT Comが提供する高品質・高信頼なインターコネクトサービスであるFlexible InterConnect(以下FIC)のコンポーネントの1つとして、FIC環境内にお客さま専用のファイアウォール(FIC-FW)を提供します。
- FIC-FWは作成・設定・削除がオンデマンドに対応しており、お客さまにて好きな時に好きな分だけご利用いただくことができます。
1.2. FIC-FWの特長¶
FIC-FWは、以下の特長をもったファイアウォール(FIC-FW)です。
- ファイアウォール - 異なるRouting Group間におけるフィルタリング機能を提供し、お客さまのルールで制御することが可能です。
- 自動プロビジョニング - FIC-FWのプロビジョニングは自動化されており、お客さまにて煩雑な操作をしていただく必要なく、柔軟にリソースをご利用いただくことが可能です。
1.3. 用語の定義¶
- テナント:契約に紐づくFICリソースの管理単位
- Flexible InterConnectコンソール(以下FICコンソール)/API:当サービスにて提供する申し込み方法
- F番:各リソースに払い出される13桁のリソースID
2. 利用できる機能¶
2.1. 機能一覧¶
本メニューにて利用できる機能は、以下の機能です。各機能を利用するためのFICコンソール/APIを提供致します。
2.1.1. 機能一覧
| 項番 | 機能 | 説明 | 操作方法 |
| 1 | インスタンス制御機能 | FIC-FWの作成、情報参照、編集、削除などインスタンスを制御する機能を提供します。 | FICコンソール/API |
| 2 | ファイアウォール機能 | 異なるRouting Group間におけるフィルタリング機能(IP/Portでの制御)を提供します。 | FICコンソール/API |
| 3 | セルフマネジメント機能 | お客さまご自身の操作により、FIC-FWを管理できるFICコンソール/APIを提供します。 | FICコンソール/API |
2.2. 各機能の説明¶
2.2.1. インスタンス制御機能¶
2.2.1.1. FIC-FWの作成
- お客さまにて、新しいFIC-FWをFICコンソール/API操作により作成することができます。
- FIC-FWは、「FIC-FW(Single)」と、物理的冗長性を担保した「FIC-FW(Paired)」の2種類があり、お客さまFIC-Router(Single/Paired)の種類によって自動選択されます。
- APIで参照可能な項目については APIリファレンス をご覧ください。
2.2.1.2. FIC-FWの情報参照
- お客さまにて、すでに契約いただいているFIC-FWの情報はFICコンソール/APIで参照することができます。
- APIで参照可能な項目については APIリファレンス をご覧ください。
2.2.1.3. FIC-FWルール設定の編集
- お客さまにて、FIC-FWのルール設定をFICコンソール/APIで編集することができます。
- デフォルトで設定されているアプリケーションについては こちら をご覧ください。
- APIで編集可能な項目については APIリファレンス をご覧ください。
注釈
- フィルタリングログを取得したい場合「アクション」時に「deny(ログ有)」を指定することでフィルタリングログを取得することができます。
- 各Routing Group間のルール設定にデフォルトで暗黙の「deny」がプリインストールされていますので、ルール設定時にはご注意ください。
2.2.1.4. FIC-FWカスタムアプリケーション設定の編集
- お客さまにて、FIC-FWのカスタムアプリケーション設定をFICコンソール/APIで編集することができます。
- APIで編集可能な項目については APIリファレンス をご覧ください。
2.2.1.5. FIC-FWアプリケーション設定の編集
- お客さまにて、FIC-FWのアプリケーション設定をFICコンソール/APIで編集することが可能です。
- デフォルトで設定されているアプリケーションについては こちら をご覧ください。
- APIで編集可能な項目については APIリファレンス をご覧ください。
2.2.1.6. FIC-FWアドレスセット設定の編集
- お客さまにて、FIC-FWのアドレスセット設定をFICコンソール/APIで編集することができます。
- APIで編集可能な項目については APIリファレンス をご覧ください。
3. メニュー¶
3.1. メニューリスト¶
- FIC-FWは、お客さまが契約したFIC-Routerの構成が適用されます。
3.1.1. メニュー種別一覧
| メニュー種別 | 説明 | 冗長 |
|---|---|---|
| FIC-FW (Single) | FIC-RouterがSingle時 | 無し |
| FIC-FW (Paired) | FIC-RouterがPaired時 | 有り |
3.2 申し込み種別と方法¶
FICコンソール/APIにて、FIC-FWを申し込みいただくことが可能です。
3.2.1. 申し込み種別一覧
| 申し込み種別 | 変更項目 | 申し込み方法 | 納期 | 一時的なBGP Down |
| 新設 | ー | FICコンソール/API経由で、お客さま自身の操作により申し込み | 即日 | ー |
| 設定 | ルール | FICコンソール/API経由で、お客さま自身の操作により申し込み | 即日 | なし |
| 設定 | カスタムアプリケーション | FICコンソール/API経由で、お客さま自身の操作により申し込み | 即日 | なし |
| 設定 | アプリケーションセット | FICコンソール/API経由で、お客さま自身の操作により申し込み | 即日 | なし |
| 設定 | アドレスセット | FICコンソール/API経由で、お客さま自身の操作により申し込み | 即日 | なし |
| 廃止 | ー | FICコンソール/API経由で、お客さま自身の操作により申し込み | 即日 | ー |
4. 上限値¶
- 同時接続可能数上限は、ありません。
- FIC-FW1つにつき、Routing Group 1~Routing Group 4のみルール運用が可能です。
- 保存できる通信ログ量の上限は、FIC-FW1つにつき9GBまたは93日間です。
- 1対のRouting Group間に定義可能な合算ルール数は、Routing Group1つにつき50行です。
- 定義可能な総ルール数は、FIC-FW1つにつき300個です。
- 定義可能なアドレスセット数の上限は、Routing Group1つにつき4セットです。
- アドレスセットに定義可能なアドレス数の上限は、アドレスセット1つにつき10個です。
- 定義可能なアドレス数の上限は、FIC-FW1つにつき160個です。
- 定義可能なアプリケーションセット数の上限は、FIC-FW1つにつき2セットです。
- アプリケーションセットに定義可能なアプリケーション数の上限は、アプリケーションセット1つにつき10個です。
- 定義可能なカスタムアプリケーション数の上限は、FIC-FW1つにつき20個です。
5. 注意事項¶
5.1. ご利用時の注意事項¶
FIC-FWはFIC-Routerとセットで利用可能なコンポーネントであり、FIC-FW単独での利用は不可能です。なお、FIC-NATとの併用は可能です。
FIC-Router1つにつきFIC-FW1つが利用可能です。
「FIC-Router× 1に対しFIC-FW×2」 や、「FIC-Router×2に対しFIC-FW×1」のような構成は不可能です。
アドオン設定の有無にかかわらず、FIC-FWの購入時点でRouting Group1~4で経路交換されます。
FIC-FWはステートフルインスペクションの機能を有しています。
- FIC-FW(Paired)のPrimary/Secondaryの切り替わりが発生した場合、運用系(Primaryおよびsecondary)のセッションは引き継がれません。そのため、お客さま通信によっては通信の再接続が必要となる場合がございます。
5.3. お申し込み時の注意事項(購入)¶
FIC-FW作成にはFIC-Routerが必要となります。
- FIC-Router(Single)で購入済みの場合には、FIC-FW(Single)での購入です。また、FIC-Router(Paired)で購入済みの場合には、FIC-FW(Paired)での購入となります。
- FIC-FW作成後にFICコンソール/API上で利用アドレス設定はできません。利用アドレス設定を変更する際は、FIC-FWの廃止/新規購入にて実施してください。
- FIC-FWを購入せず、FIC-NATを購入した場合、FIC-NAT通信を通過させるためのルールが、FIC-FWに対して自動的に付与されます。(※ FIC-NATのポリシー設定 は必須です。)
- FIC-FW購入後に、FIC-NATを購入した場合、FIC-NAT通信を通過させるためのルールは自動付与されません。お客さま自身にて ルール設定 をお願いします。
- FIC-FW申し込み時に利用できない接続アドレスは以下となります。1)接続元FIC-Routerの「網内利用アドレス」と重複したアドレス2)接続元FIC-RouterのFIC-FW/FIC-NATの「接続アドレス」と重複したアドレス3)接続元FIC-Routerに接続されているFIC-Connectionの「接続ネットワークアドレス」と重複したアドレス4)下記の利用不可IPアドレス・0.0.0.0/8(0.0.0.0~0.255.255.255)・100.64.0.0/10(100.64.0.0~100.127.255.255)・127.0.0.0/8(127.0.0.0~127.255.255.255)・169.254.0.0/16(169.254.0.0~169.254.255.255)・192.0.0.0/24(192.0.0.0~ 192.0.0.255)・192.88.99.0/24(192.88.99.0~192.88.99.255)・198.18.0.0/15(198.18.0.0~198.19.255.255)・198.51.100.0/24(198.51.100.0~198.51.100.255)・203.0.113.0/24(203.0.113.0~ 203.0.113.255)・224.0.0.0/4(224.0.0.0~239.255.255.255)・240.0.0.0/4(240.0.0.0~255.255.255.255)
5.5. お申し込み時の注意事項(廃止)¶
- なし