ファイアウォール(vSRX)¶
メニューの概要¶
メニューの概要¶
本メニューではJuniper NetworksR vSRX Virtual Firewall(以下、vSRX)を提供します。
- ファイアウォール(vSRX)メニューでは、共用の物理サーバーに収容されるお客さま専用のサーバーインスタンスに、vSRXをインストールして提供します。
- ファイアウォール(vSRX)の作成・設定・削除等は自動化されており、お客さまにて好きな時に好きな分だけご利用いただくことができます。
メニューの特長¶
ファイアウォール(vSRX)メニューは、以下の特長を持つメニューです。
- vSRXの提供機能を最大限に開放
- vSRXが本来持つ機能を最大限お客さまに開放し、高性能ネットワークセキュリティを実現します。
- SDN技術を活用した自動プロビジョニング
- SDN技術活用によりファイアウォール(vSRX)のプロビジョニングは自動化されており、お客さまにて煩雑な操作をしていただく必要なく、柔軟にリソースをご利用いただくことが可能です。
用語の定義¶
- カスタマーポータル/API: 当サービスにて提供するポータル/API
- vSRXのポータル/API/CLI: vSRXが標準機能として提供するポータル/API/CLI
利用できる機能¶
機能一覧¶
- 本メニューにて利用できる機能は、以下の機能です。各機能を利用するためのポータル/API/CLIを提供致します。
| 項番 | 機能 | 説明 | 操作方法 |
| 1 | インスタンス制御機能 | ファイアウォール(vSRX)の作成、情報参照、編集、削除等インスタンスを制御する機能を提供します。 | カスタマーポータル/API |
| 2 | ファイアウォール機能 | vSRXのコントロールパネルをお客さまに開放し、製品が持つファイアウォール機能を提供します。 | vSRXのポータル/API/CLI |
各機能の説明¶
1. インスタンス制御機能¶
ファイアウォール(vSRX)の作成
- お客さまにて、新しいファイアウォール(vSRX)をカスタマーポータルないしAPI操作により作成することができます。
- ファイアウォール(vSRX)の作成時に、カスタマーポータルで以下のパラメータを指定することができます。
- APIで参照可能な項目については APIリファレンス をご覧ください。
| 指定可能なパラメータ | 詳細 | 必須/任意 |
| 名前 | ファイアウォール(vSRX)の名前を指定することができます。 | 任意 |
| 説明 | ファイアウォール(vSRX)の説明を指定することができます。 | 任意 |
| タグ | ファイアウォール(vSRX)のタグ情報を指定することができます。 | 任意 |
| プラン | ファイアウォール(vSRX)のプランを指定することができます。 | 必須 |
| ゾーン/グループ | ファイアウォール(vSRX)を収容するゾーン/グループを指定することができます。 | 任意 |
| インターフェイス名 | ファイアウォール(vSRX)のインターフェイスの名前を指定することができます。 | 任意 |
| インターフェイスの説明 | ファイアウォール(vSRX)のインターフェイスの説明を指定することができます。 | 任意 |
| インターフェイスのタグ | ファイアウォール(vSRX)のインターフェイスのタグ情報を指定することができます。 | 任意 |
| ロジカルネットワーク | ファイアウォール(vSRX)を接続するロジカルネットワークを1本指定することができます。 | 必須 |
| IPアドレス | ファイアウォール(vSRX)のインターフェイス(ge-0/0/0.0)のIPアドレスを1個指定することができます。指定したIPアドレスがファイアウォール(vSRX)に設定されます。 また「自動払い出しをする」を選択することも可能です。 | 必須 |
| デフォルトゲートウェイ | ファイアウォール(vSRX)のデフォルトゲートウェイを指定することができます。 | 任意 |
注釈
- 本操作は20〜30分程度で完了します。本時間を踏まえた工程見積もりをお願いします。
- 本パラメータにて指定したインターフェイス(ge-0/0/0.0)のIPアドレスがvSRXのポータル/API/CLIへのアクセスポイントとなります。
- ファイアウォール(vSRX)作成時インターフェイス(ge-0/0/0.0)はTrustゾーンに設定されております。作成後はお客さまの設計に合わせてvSRXポータル/API/CLIにて設定を変更ください。
- ファイアウォール(vSRX)作成後にカスタマーポータル/API上でIPアドレス設定はできません。IPアドレスの追加/変更/削除はvSRXポータル/API/CLIにて実施してください。
- ファイアウォール(vSRX)作成後のデフォルトゲートウェイの追加/変更/削除はvSRXのポータル/API/CLIにて実施してください。
- 事前にファイアウォール(vSRX)を接続するロジカルネットワーク及びサブネットを作成していただく必要があります。
- ロジカルネットワーク(ストレージプレーン)とは接続致しません。ロジカルネットワーク(データプレーン)とのみ接続致します。
- ファイアウォール(vSRX)作成時に処理が失敗し、お客さまがカスタマーポータル/API経由で該当ファイアウォール(vSRX)を削除されていない場合、30日経過後に自動的に削除されます。
- ISP shared address(100.64.0.0/10)のアドレス帯は利用できません。
ファイアウォール(vSRX)の情報参照
- お客さまにて、既に契約いただいているファイアウォール(vSRX)の以下の情報をカスタマーポータルないしAPIで参照することができます。
- 情報参照時に、カスタマーポータルで以下のパラメータを参照することができます。
- APIで参照可能な項目については APIリファレンス をご覧ください。
| 参照可能な情報 | 詳細 |
| 名前 | ファイアウォール(vSRX)の名前を参照することができます。 |
| ID | ファイアウォール(vSRX)のIDを参照することができます。 |
| 説明 | ファイアウォール(vSRX)の説明を参照することができます。 |
| タグ | ファイアウォール(vSRX)のタグ情報を参照することができます。 |
| プラン | ファイアウォール(vSRX)のプランを参照することができます。 |
| アプライアンス種別 | ファイアウォール(vSRX)のアプライアンス種別を参照することができます。 |
| テナントID | ファイアウォール(vSRX)が所属するテナントIDを参照することができます。 |
| ゾーン/グループ | ファイアウォール(vSRX)が収容されているゾーン/グループを参照することができます。 |
| モニタリングステータス(OS Monitoring Status) | ファイアウォール(vSRX)からSNMP sysUptimeを取得した返り値から、SNMPによるモニタリングが正常かどうか判定した結果を参照することができます。 |
| ログインステータス(OS Login Status) | ファイアウォール(vSRX)へrestAPIでログインに処理実施可能かどうか判定した結果を参照することができます。 |
| 仮想サーバーステータス(VM Status) | ファイアウォール(vSRX)が起動しているサーバーインスタンスのステータスを参照することができます。 |
| オペレーション | ファイアウォール(vSRX)に対して行った操作のステータスについて参照することができます。 |
注釈
- モニタリングステータス(OS Monitoring Status)/ログインステータス(OS Login Status)/仮想サーバーステータス(VM Status)の詳細な定義は 詳細情報(モニタリング) をご覧ください。
- 仮想サーバーステータス(VM Status)がERRORの場合はファイアウォール(vSRX)の停止を実行し、停止となることをご確認ください。停止できない場合はKnowledge Centerの障害情報等をご覧の上、必要に応じてチケットにて問い合わせてください。
- ファイアウォール(vSRX)作成時に指定したデフォルトゲートウェイの情報参照は、別途オペレーションの履歴からご参照ください。
ファイアウォール(vSRX)の編集
- お客さまにて、新しいファイアウォール(vSRX)をカスタマーポータルないしAPIで編集することができます。
- 編集時に、カスタマーポータルで以下のパラメータを指定することができます。
- APIで編集可能な項目については APIリファレンス をご覧ください。
| 指定可能なパラメータ | 詳細 | 必須/任意 |
| 名前 | ファイアウォール(vSRX)の名前を指定することができます。 | 任意 |
| 説明 | ファイアウォール(vSRX)の説明を指定することができます。 | 任意 |
| タグ | ファイアウォール(vSRX)のタグ情報を指定することができます。 | 任意 |
ファイアウォール(vSRX)インターフェイスの編集
- お客さまにて、新しいファイアウォール(vSRX)のインターフェイスをカスタマーポータルないしAPIで編集することができます。
- 編集時に、カスタマーポータルで以下のパラメータを指定することができます。
- APIで編集可能な項目については APIリファレンス をご覧ください。
| 指定可能なパラメータ | 詳細 | 必須/任意 |
| 名前 | ファイアウォール(vSRX)のインターフェイスの名前を指定することができます。 | 任意 |
| 説明 | ファイアウォール(vSRX)のインターフェイスの説明を指定することができます。 | 任意 |
| タグ | ファイアウォール(vSRX)のインターフェイスのタグ情報を指定することができます。 | 任意 |
| ロジカルネットワーク | 接続/切断先ロジカルネットワークを複数本指定することができます。 | 必須 |
| IPアドレス | ファイアウォール(vSRX)のインターフェイスのIPアドレスを1個指定することができます。また「自動払い出しをする」を選択することも可能です。 | 任意 |
注釈
- カスタマーポータル/APIのインターフェイス「1 - 8」は、vSRXのポータル/API/CLIのInterface「ge-0/0/0 - ge-0/0/7」に対応しております。
- ロジカルネットワーク及びIPアドレスの編集時、15〜20分程度かかります。
- すでに同一のロジカルネットワークに繋がっている場合やロジカルネットワークのネットワークアドレスが重複している場合は、編集実行後エラーとなります。
- 本編集時に指定、あるいは自動払い出しされるIPアドレスは、ファイアウォール(vSRX)作成時と異なりvSRXへの設定は行われません。vSRXのポータル/API/CLIにて実施してください。
- インターフェイスの編集完了後、オペレーションのwarningに異常がある旨が表示された場合は、vSRXの起動が完了していない、あるいはconfig変更(インターフェイスの有効化/無効化)が実施できていない可能性がございます。恐れ入りますがお客さまにて、vSRXの停止/起動やconfig変更を実施ください。時間を空けて再度操作された際に、なおwarningが表示される場合は、チケットでお問い合わせください。
許可されたアドレスペアの編集
- お客さまにて、新しいファイアウォール(vSRX)の許可されたアドレスペアをカスタマーポータルないしAPIで編集することができます。
- 編集時に、カスタマーポータルで以下のパラメータを指定することができます。
- APIで編集可能な項目については APIリファレンス をご覧ください。
| 指定可能なパラメータ | 詳細 | 必須/任意 |
| IPアドレス(許可されたアドレスペア) | ファイアウォール(vSRX)の該当のインターフェイスで通信許可するアドレスのペア(IPアドレス)を指定することができます。 | 必須 |
| 種別(許可されたアドレスペア) | ファイアウォール(vSRX)の該当のインターフェイスで通信許可するアドレスのペアに登録するプロトコルを指定することができます。 | 必須 |
| MACアドレス(許可されたアドレスペア) | ファイアウォール(vSRX)の該当のインターフェイスで通信許可するアドレスのペア(MACアドレス)を指定することができます。 | 任意(許可されたIPアドレスペアの種別の指定がない場合、必須) |
| VRID(許可されたアドレスペア) | 許可されたIPアドレスペアの種別でVRRPを指定した際に、VRIDを指定することができます。 | 任意(許可されたIPアドレスペアの種別でVRRPを指定した場合、必須) |
注釈
- VRRPを利用する場合、本設定を実施する必要があります。本設定を実施しない場合、VRRPで利用する仮想IPアドレス宛てに正しく通信が出来ません。
- 許可されたアドレスペアの1インターフェイスあたりの上限数は1です。
- VRRP設定を実施する場合、VRRPを構成するそれぞれのファイアウォール(vSRX)に対して行う必要があります。
- 実際にVRRPを用いた通信を行うためには、本設定を実施後に、vSRXのポータル/API/CLIにてVRRP設定を行う必要があります。
- 許可されたアドレスペアの編集完了後、オペレーションのwarningに異常がある旨が表示された場合は、指定したアドレスペアが設定されていない、あるいは該当ポートに対してアドレスペアの編集が実行できない状態になっている可能性がございます。恐れ入りますがお客さまにて、一度該当インターフェイスの接続先ロジカルネットワークを切断し、再度接続した上で、許可されたアドレスペアの編集を実施してください。
- ISP shared address(100.64.0.0/10)のアドレス帯のアドレスを許可されたアドレスペアに登録することはできません。
ファイアウォール(vSRX)インスタンスへのコンソール接続
- お客さまにて、既に契約いただいているファイアウォール(vSRX)インスタンスへカスタマーポータルによりコンソール接続することができます。
注釈
- 画面右上のSend Ctrl + Alt + Delは動作しません。再起動を実施する場合は、「ファイアウォールの再起動」から実施ください。
ファイアウォール(vSRX)の停止/起動
- お客さまにて、既に契約いただいているファイアウォール(vSRX)をカスタマーポータルないしAPI操作により停止/起動することができます。
注釈
- 本操作は10分程度で完了します。本時間を踏まえた工程見積もりをお願いします。
- ファイアウォールの停止やロジカルネットワーク切断実施後、課金は継続されますのでご注意ください。課金を停止したい場合は、ファイアウォールの削除を実施ください。
ファイアウォール(vSRX)の再起動
- お客さまにて、既に契約いただいているファイアウォール(vSRX)をカスタマーポータルないしAPI操作により再起動することができます。
注釈
- 本操作は10分程度で完了します。本時間を踏まえた工程見積もりをお願いします。
ファイアウォール(vSRX)のパスワードリセット
- お客さまが、ファイアウォール(vSRX)へのアクセスに利用するアカウントのパスワードをカスタマーポータルないしAPI操作によりリセットすることができます。
注釈
- ファイアウォール(vSRX)のパスワードリセットは、初期アカウント(root)に対してのみ実行可能です。
- お客さまが作成されたアカウントのパスワードリセットを実施する場合は、vSRXのポータル/CLI/API経由でパスワードリセットを実施してください。
- パスワードリセット後、オペレーションのwarningに異常がある旨が表示された場合は、パスワードの変更が実施されていない可能性がございます。恐れ入りますがお客さまにて、変更後のパスワードでログインを試行し、失敗した際は再度パスワードリセットを実施してください。
ファイアウォール(vSRX)の削除
- お客さまにて、既に契約いただいているファイアウォール(vSRX)をカスタマーポータルないしAPI経由で削除することができます。
2. ファイアウォール機能¶
機能概要
- vSRXをサーバーインスタンス上で構築し、ファイアウォール機能を提供します。
- vSRXのポータル/API/CLI経由で、ファイアウォール機能を設定・利用することができます。
- カスタマーポータル/APIで提供する機能を実現するために、vSRXのご利用条件がございます。詳細については 制約事項 を参照してください。
- 弊社の動作確認済機能については、動作確認済設定例 を公開しています。SDPF基盤上で動作させるために必須となる設定や vSRXをご利用いただく際の留意事項について を掲載しておりますので、必ずご確認ください。
- その他のvSRXが提供する機能は、Juniper Networks社 TechLibrary vSRX をご参照ください。
- Juniper Networks社のSRXシリーズの機能のうち本サービスで提供するvSRXでサポートされていない機能がございます。vSRXでサポートされているまたはされていない機能一覧は Junos OS Features Supported on vSRX をご確認ください。
- サーバーインスタンス基盤が故障した際は、サーバーインスタンスのHA機能によって、他の正常なサーバーへ自動的に収容変更されます。サーバーインスタンスおよび、HA機能の詳細は、サーバーインスタンス詳細情報 をご参照ください。
バージョン
- ファイアウォール(vSRX)で、提供しているバージョンは下記の通りです。
| No | バージョン | 改善内容 |
| 1 | 20.4R2 | 15.1X49-D105.1, 19.2R1.8では、コントロールプレーンで制御される機能 について、CPU負荷が高くなりやすい傾向があることが確認されていましたが、20.4R2では、本事象について改善されております。 |
| 2 | 22.4R1 |
ライセンス種別
- ファイアウォール(vSRX)で、提供しているライセンス種別は下記の通りです。
| No | ライセンス種別 |
| 1 | STD(Standard) |
ライフサイクルポリシー
ファイアウォール(vSRX)のライフサイクルポリシーは以下の通りです。
- 基本方針
- 提供数は原則最大2バージョンまで提供致します。(例外として、旧バージョンからの切替期間を考慮し、新バージョン提供後約1年間は3バージョン提供になることがあります。)
- 提供バージョンは、バージョンの安定性、利用状況、サポート期間等を考慮し、弊社にて総合的に判断致します。
- SDPFで新リージョンが展開される際は、リージョン展開時の最新バージョンのみ提供致します。
- 新規販売停止(EOS)方針
- 新バージョン提供時、上記提供数を上回る場合、提供日の約1年後に 旧バージョンを新規販売停止します。
- 製品自体の新規販売停止が決定した場合やバージョンの安定性、利用状況、サポート期間等を弊社にて総合的に判断した結果、上記に関わらず新規販売停止することがあります。
- 本メニューで提供されるOSバージョンのEoE/EoS情報は、Junos Dates & Milestones を参照ください。
- ※1 End of Engineering(EoE):Juniper Networks社による機能追加、不具合改修が不可能な状態
- ※2 End of Support(EoS):Juniper Networks社によるテクニカルサポートが終了する日
- サポート終了(EOL)方針
- 新規販売停止したものを含む弊社提供バージョンの技術的内容および利用方法等に関する問合せ/故障対応サポートを、製品メーカーのEOLまで対応致します。
- サポート内容は、サポート範囲 をご覧ください。
- EOL後は、サーバーインスタンス基盤とカスタマーポータル/APIの故障対応のサポート以外のサポートを提供いたしません。同額で課金が継続し、将来的な基盤バージョン変更後の動作を保証するものではないことをご留意ください。
- バージョンの切替方法
- 将来的に新バージョンが提供された場合、本メニューは新バージョンへのアップグレードを提供しませんので、新バージョンのファイアウォール(vSRX)を別途ご契約いただき、旧バージョンのファイアウォール(vSRX)から切替えてご利用いただく必要があります。
- 下記EOS/EOL情報を参考にお客様のコストと責任により切替計画をご検討ください。
EOS/EOL情報
| バージョン | EOS | EOL |
| 15.1X49-D105.1 | 2021年7月1日 | 2021年6月30日 |
| 19.2R1.8 | 2022年12月23日 | 2022年12月26日 |
| 20.4R2 | 2024年6月予定 | 2024年6月25日 |
| 22.4R1 | 未定 | 2026年6月予定 |
- 本情報は、お客さまへの事前通知なく、変更となる可能性がございます。ご了承ください。
サービスプラン¶
申し込み方法¶
- 申し込みの種類としては以下の通りです。なお、以下の申し込みにより、課金額が変更となる点、ご留意ください。
| 申し込み種別 | 申し込み方法 | 納期 |
| ファイアウォール(vSRX)の作成 | カスタマーポータル/API経由で、お客さま自身の操作により申し込み | 即時提供 |
| ファイアウォール(vSRX)の削除 | カスタマーポータル/API経由で、お客さま自身の操作により申し込み | 即時提供 |
料金¶
メニュー提供の品質¶
サポート範囲¶
本メニューでは サポート - ベーシックプラン として、次の範囲のサポートを提供いたします。
- 以下を対象とするメニュー利用不可・性能劣化などに関するお問い合わせ
- ファイアウォールリソース (ファイアウォールのインフラストラクチャ (サーバーインスタンス (仮想ハードウェア) 等) を含む)
- vSRX (ファイアウォールメニューにおいて 動作確認済の機能 に限る)
- API , コントロールパネル
- 以下を対象とするメニュー仕様・設定方法に関するお問い合わせ
- ファイアウォールリソース
- vSRX (ファイアウォールメニューにおいて 動作確認済の機能 に限る)
- API , コントロールパネル
Professional Support Services - 運用支援 (ベーシックプラス/プレミアムプラン) をご利用のお客さまに限り、上記に加えて次の内容を提供いたします。
- 当社にて動作確認を行っていない製品機能( 動作確認済の機能 に記載のない製品機能)に関して、ベンダーエスカレーション(提供ベンダーへの問い合わせ代行)によるサポート
なお、サポート - ベーシック , Professional Support Services - 運用支援 (ベーシックプラス・プレミアムプラン) では、導入支援のサポートはいたしておりません。 具体的なシステム構成・パラメーター作成などの設計支援をご希望の場合には、Professional Support Services - 導入支援 (設計サポート) をご利用ください。 設定代行・動作試験などの構築支援をご希望の場合には、Professional Support Services - 導入支援 (構築サポート) をご利用ください。
運用¶
本メニューのサーバーインスタンス基盤では、以下のとおり運用を行います。
- 本メニューのサービス基盤は24時間365日監視を行います。
- メンテナンス、故障対応等については別途定めるサポートの内容に従って提供いたします。
- 本メニューではHA機能を提供しており、サーバーインスタンスを収容する基盤が故障した際には自動的に他の正常なサーバーへ自動的に収容変更されますが、収容変更時には再起動が発生し切り替わりに伴う通信断が発生いたします。切り替わり時にはサーバーインスタンスの操作はできなくなりますので、予めご了承ください。
- その他、運用品質は、本サービスに標準で定められた運用品質に準じます。詳細については、詳細情報(サーバーインスタンス) 及び 詳細情報(Support) を参照ください。
- サーバーインスタンスに対する死活監視の結果は仮想サーバーステータス(VM Status)にて確認いただけます。
本メニューのOSレイヤの運用は、お客さまのご要望に合わせて以下の通り実施ください。
- OSに対する死活監視の結果はモニタリングステータス(OS Monitoring Status)/ログインステータス(OS Login Status)にて確認いただけます。
- 各監視項目に対して閾値を設定することで、アラームを設定出来ます。アラームは指定したメールアドレスに送られます。
- 詳しくは 詳細情報(モニタリング) をご覧ください。
注釈
- 事業者がメンテナンスを実施する際にオペレーション履歴にログが残ることがございますが、ご了承ください。
- メンテナンス実施時に編集中のconfigは保存されないため、コンフィグはこまめに保存していただきますようお願いいたします。
制約事項¶
注釈
- 本制約事項に対応するために必須となる設定方法や性能情報を、チュートリアル に公開しています。必ずご確認ください。
提供方式
- サーバーインスタンス上にvSRXをインストールして提供します。
- 1テナントで利用できるファイアウォール(vSRX)は最大64個です。
- カスタマーポータル/APIで提供する機能を実現するために、vSRXのご利用条件がございます。詳細については「制約事項」の提供方式以外のその他の項目を参照してください。
- 初期構築時はフィルタリングルールが設定されていません。セキュリティの観点から、インターネットに接続する前に、プライベートなネットワークにのみ接続してフィルタリングルールを設定ください。
- 弊社の動作確認済機能については、動作確認済設定例 を公開しています。SDPF基盤上で動作させるために必須となる設定も記載しているため、必ずご確認ください。その他のvSRXが提供する機能は、Juniper Networks社 TechLibrary vSRX をご参照ください。
- vSRXのポータルでは、CLIによって設定できる項目の一部を設定することができません。CLI操作による設定を推奨しております。また、ポータルはCLIで設定追加後にアクセス可能です。手順は チュートリアル をご確認ください。
- Juniper社のSRXシリーズの機能のうち本サービスで提供するvSRXで利用できない、またサポートされていない機能がございます。機能一覧は SRX Series Features Not Supported on vSRX をご確認ください。
- ファイアウォールの停止やロジカルネットワーク切断実施後、課金は継続されますのでご注意ください。課金を停止したい場合は、ファイアウォールの削除を実施ください。
ライセンス
- 本サービスに設定されたライセンスをSDPF以外の他の環境やvSRXで利用しないでください。該当する行為が確認された場合、本サービスの利用を停止します。
- お客さまにてvSRXの機能拡張ライセンスを持ち込んでいただくことは制限しておりません。(ただし、機能拡張ライセンスの利用は推奨いたしません。)弊社クラウドサービスにて利用可能なものであるか等ライセンス提供元とご確認の上、お客さま責任にてご利用ください。また、機能拡張ライセンスを利用されているお客さまが弊社に問い合わせを行う場合、一時的に拡張ライセンスを外していただき再現するか等、拡張部分での問題でないことを明らかにしていただいた上でお問い合わせください。弊社にて拡張部分でないことが確認できない場合、サポートをお断りする可能性がございます。
インターフェイス関連
- ロジカルネットワークへの接続は、カスタマーポータル/API経由で「ファイアウォール(vSRX)の作成」あるいは「ファイアウォールインターフェイスの編集」から実施ください。
- ロジカルネットワーク及びIPアドレスの編集時、15〜20分程度かかります。
- 事前にファイアウォール(vSRX)を接続するロジカルネットワーク及びサブネットを作成していただく必要があります。
- ロジカルネットワーク(ストレージプレーン)とは接続致しません。ロジカルネットワーク(データプレーン)とのみ接続致します。
- すでに同一のロジカルネットワークに繋がっている場合やロジカルネットワークのネットワークアドレスが重複している場合は、編集実行後エラーとなります。
- インターフェイス編集時に指定、あるいは自動払い出しされるIPアドレスは、ファイアウォール(vSRX)作成時と異なりvSRXへの設定は行われません。vSRXのポータル/API/CLIにて実施してください。
- ファイアウォール(vSRX)作成時、インターフェイス(ge-0/0/0.0)はTrustゾーンに設定されております。作成後はお客さまの設計に合わせてvSRXポータル/API/CLI経由で設定を変更ください。
- インターフェイスの接続および切断を実施すると、ファイアウォールインスタンスが再起動します。必要に応じて実施前にコンフィグのセーブをお願いします。
- インターフェイスの接続・切断を実施すると、インターフェイスのMACアドレスが変更されるためご留意ください。
- インターフェイスの編集完了後、オペレーションのwarningに異常がある旨が表示された場合は、vSRXの起動が完了していない、あるいはconfig変更(インターフェイスの有効化/無効化)が実施できていない可能性がございます。恐れ入りますがお客さまにて、vSRXの停止/起動やconfig変更を実施ください。なお時間を空けて再度操作された際に、なおwarningが表示される場合は、チケットでお問い合わせください。
- ロジカルネットワークに接続されていないインターフェイスは無効化されております。無効化の解除を実施しないでください。
アドレス/ルーティング関連
- ファイアウォール(vSRX)作成にて指定したIPアドレスがvSRXのポータル/API/CLIへのアクセスポイントとなります。
- ファイアウォール(vSRX)作成時を除き、カスタマーポータル/API経由でファイアウォール(vSRX)へのIPアドレスの設定は実施しませんので、vSRXポータル/API/CLI経由でお客さまの設計に合わせて設定を変更ください。
- デフォルトゲートウェイはカスタマーポータル/APIのファイアウォール(vSRX)の作成時にのみ設定を行います。デフォルトゲートウェイの変更/削除はvSRXのポータル/API/CLIにて実施してください。
- ファイアウォール(vSRX)作成時に指定しなかった場合のデフォルトゲートウェイの追加はvSRXのポータル/API/CLIにて実施してください。
- ファイアウォール(vSRX)作成時に指定したデフォルトゲートウェイの情報参照は、別途オペレーションの履歴からご参照ください。
- ge-0/0/0.0のIPアドレスはファイアウォール(vSRX)作成時にのみ設定を行います。
冗長化(VRRP)関連
- 本メニューでは冗長化プロトコルとしてVRRPを利用することができます。
- VRRP設定を実施する場合、VRRPを構成するそれぞれのファイアウォール(vSRX)に対して行う必要があります。
- VRRP設定は、カスタマーポータル/APIからの「許可されたアドレスペア設定」を実施後に、vSRXのポータル/API/CLIからVRRPコンフィグ設定を行う必要があります。VRID(VRRPグループID)等のパラメータは同じ値を設定してください。
- 許可されたアドレスペアの1インターフェイスあたりの上限数は1です。
- 許可されたアドレスペアの編集完了後、オペレーションのwarningに異常がある旨が表示された場合は、指定したアドレスペアが設定されているか不明、あるいはこれ以降、該当ポートに対してアドレスペアの編集が実行できない可能性がございます。恐れ入りますがお客さまにて、該当インターフェイスの接続先ロジカルネットワークを切断し、再度接続した上で、許可されたアドレスペアの編集を実施してください。
- VRRPのアドレス(許可されたアドレスペア)にISP shared address(100.64.0.0/10)のアドレス帯のアドレスを登録することはできません。
- VRID(VRRPグループID)は同一セグメント内で重複しない値を指定してください。
- VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としていただくようお願い致します。DHCP機能が「無効」の場合には、弊社ネットワークにおいてソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、一部アプライアンスでARPリプライしないことが確認されています。
- VRRPのPreemptはデフォルトのまま有効にしておく必要があります。
- Preemptが無効になっている場合、全インターフェイスでステータスが一致せず、通信断が継続する場合があります。
- Preemptの設定方法については、 VRRPのPreempt設定 をご覧ください。
- VRRPを用いた通信を行うためには、Preempt設定を行った後に、vSRXのポータル/API/CLIにてVRRP設定を行う必要があります。
- VRRPの仕様により、VRRPグループメンバー間のセッション同期は行われません。またvSRXの仕様により、VRRPが切り替わると既存の通信中のTCPセッションはすべて一度切断されます。
- セッションの引継ぎを行いたい場合は Managed Firewall のご利用をご検討ください。
- VRRPの切り替わり頻度を調整したい場合は チュートリアル の「advertise-interval」の設定を行ってください。また、VRRP切り替わり発生時にセッション切断の発生を軽減したい場合は こちらのFAQ を参照してください。
- 本サービスにおいて非対称通信はサポートしておりません。
アカウント関連
- ファイアウォール(vSRX)のパスワードリセットは、初期アカウント(root)に対してのみ実行可能です。
- お客さまが作成されたアカウントのパスワードリセットを実施する場合は、vSRXのポータル/CLI/API経由でパスワードリセットを実施してください。
- パスワードリセット後、オペレーションのwarningに異常がある旨が表示された場合は、パスワードの変更が実施されていない可能性がございます。恐れ入りますがお客さまにて、変更後のパスワードでログインを試行し、失敗した際は再度パスワードリセットを実施してください。
- 「provider-」で始まるアカウントは事業者用のアカウントのため、お客さまにて編集、パスワードリセット、削除等を実施しないでください。前述の行為が確認された場合、弊社にてサービス停止等の対応を行います。
管理通信関連
- サービスを提供するために、事業者では管理インターフェイス(fxp0)を使用しています。サービス提供ができなくなるため、お客さまにて管理インターフェイス(fxp0)に対し設定変更やACL等による通信制限を実施しないでください。
- 上記通信を実現するための事業者はfxp0を通じて以下のことを行っていますので、該当する設定を削除しないでください。
- Monitoringサービス提供のためのsnmpによるメトリクス取得
- カスタマーポータルからの各種操作
- 事業者が必要だと判断した場合のトラブルシューティング等のためのログイン
- 上記通信を実現するためのStatic Route、fxp0へのIPアドレス付与
- 削除と同等の行為として製品出荷時の状態にしてしまう以下コマンドを実行しないでください。
- load factory-default
- コンフィグの改ざんや悪用、事業者が使用する管理IFから不正な通信が出ていることを確認した場合、恣意的かどうかに関係なく事前通知なくサービスを停止します。
- 事業者が設定したコンフィグの詳細は 事業者が設定するコンフィグレーションの説明 をご覧ください。サービス提供のために必要と弊社が判断した場合は、予告なく追加、変更する場合があります。
脆弱性対応
- 本メニューでは全ての脆弱性への対応方針についてお知らせしておりません。
- 脆弱性発覚時、弊社にて注意喚起が必要と判断したものについて対応方法をKnowledge centerへ掲載しますので、ご確認の上対応の要否をご判断ください。
- 脆弱性発覚時、緊急性が高いと弊社にて判断したものは脆弱性改修済みの新バージョンを提供する場合があります。その場合、脆弱性改修済みの新バージョンへの移行はお客さまご自身で実施ください。
新バージョンへの移行
- 新バージョンのファイアウォール(vSRX)を別途ご契約いただき、旧バージョンのファイアウォール(vSRX)から切り替えてご利用ください。切り替え方法は こちら をご参照ください。
- 本メニューで提示している切り替え方法以外でバージョンアップを実施された場合や、本メニューで提供していないバージョンへバージョンアップを実施された場合は、サポート対象外ですのでご留意ください。
- ご利用のバージョンの脆弱性発覚時、緊急性が高いと弊社にて判断したものは脆弱性改修済みの新バージョンを提供する場合があります。その場合、脆弱性改修済みの新バージョンへの移行はお客さまご自身で実施ください。
ログ関連
- 負荷が増大し通信に影響が出るため、ログ取得対象を必要最低限に留めるようにしてください。
参考性能情報
- ファイアウォール(vSRX)の性能測定結果を (参考)ファイアウォール(vSRX)の性能測定結果 に公開しています。
- 各性能項目における最大値を計測しており、各性能項目の全ての最大値が同時に測定されたものではございません。
- 本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。
- セッション数に関しては、ファイアウォール(vSRX)をインストールするサーバーインスタンスの制約条件がございます。詳しくは インスタンスの制約事項 をご覧ください。