ファイアウォール

IBM Cloud Gateway Appliance は、プライベートとパブリックの両方の接続トラフィックをフィルタリングして、外部および内部の脅威から環境を保護するために配備します。 お客様は、(数あるアクションの中で特に) インバウンドやアウトバウンドのネットワーク・トラフィックを許可したり拒否したりするポリシーとルールを定義し、内部と外部のユーザーから自分のアプリケーションを保護して、アプライアンスを自分で管理できます。 IPv4 スタックと IPv6 スタックの両方がステートフルな方法でサポートされます。

仮想プライベート・ネットワーク (VPN) ゲートウェイ

vSRX または VRA をネットワーク・ゲートウェイ・デバイスとしてプロビジョニングすることにより、VPN トンネリングを使用して、オンサイト・データ・センターまたはオフィスを IBM Cloud に接続します。 IPsec サイト間 VPN トンネルを使用して、エンタープライズ・データ・センターまたはオフィスから IBM Cloud ネットワークへのセキュアな通信を行うことができます。 リモート・アクセス IPsec VPN もサポートされます。

ネットワーク・アドレス変換 (NAT) (Network Address Translation (NAT))

ご使用のサーバーが送信元 NAT を使用したインターネット・アクセスを依然として許可している場合でも、IBM Cloud Gateway Appliance を使用して、パブリック・ネットワーク・インターフェースなしでアプリケーション・サーバーとデータベース・サーバーをプロビジョンすることができます。 セキュリティー強化のために、宛先 NAT を使用してゲートウェイ・デバイスの背後にあるサーバーを非表示にすることもできます。

エンタープライズ・グレードの経路指定

異なる分離ネットワーク上の多階層アプリケーションの場合、アプライアンスを使用すると、これらのネットワーク間に高い柔軟性を持つ接続を構築できます。 Border Gateway Protocol (BGP) を使用して動的ルーティングをセットアップできます。これにより、IBM Cloud ルーターに対する独自のパブリック IP スペースを公表できます。 また、BGP により、トンネルと直接リンク・ソリューションを混合して使用する場合に、より柔軟にカスタム・プライベート・ネットワーク構成を行うことができます。

VLAN およびゲートウェイ・アプライアンスの役割

VLAN (仮想 LAN) は、1 つの物理ネットワークを多数の仮想セグメントに分離するメカニズムです。 利便性のため、選択した複数の VLAN からのトラフィックは、単一のネットワーク・ケーブルで送信できます。このプロセスは一般的に「トランキング」と呼ばれます。

IBM Cloud ゲートウェイ・アプライアンスの管理では 2 種類のインターフェース (ゲートウェイ・アプライアンス・サーバーとゲートウェイ・アプライアンス・フィクスチャー) を使用します。 ゲートウェイ・アプライアンス・サーバーは、ご使用の vSRX や VRA と関連付けようとしている VLAN を選択するためのインターフェース (GUI と API) を提供します。 VLAN をゲートウェイ・アプライアンスと関連付けると、VLAN とそのすべてのサブネットがご使用のアプライアンスに経路変更 (トランク) されるため、フィルタリング、転送、および保護を制御することが可能になります。 関連付けられた VLAN 内のサーバーは、ご使用のアプライアンスを介してのみ、他の VLAN から到達することが可能になります。つまり、VLAN をバイパスするか関連付けを解除しない限り、アプライアンスを回避することはできません。

デフォルトでは、新しいゲートウェイ・アプライアンスは、取り外しのできない 2 つの「トランジット」VLAN に関連付けられます。1 つは パブリック ネットワーク用であり、もう 1 つは 非公開 ネットワーク用です。 通常これらのネットワークは管理に使用され、ゲートウェイ・アプライアンス・コマンドによって個別に保護できます。

vSRX または VRA は、ゲートウェイ・アプライアンスを介して関連付けられた VLAN のみを管理できます。

**「ゲートウェイ・アプライアンスの詳細 (Gateway Appliances Details)」**画面から VLAN を管理する方法については、VLAN の管理のトピックを参照してください。