ファイアウォールとは何ですか?

ファイアウォールとは、所定のサーバーの上流に接続されるネットワーク・デバイスです。 ファイアウォールは、サーバーへの不要なトラフィックを、そのサーバーに到着する前にブロックします。

なぜファイアウォールを使うのか？

ファイアウォールを持つことの第一の利点は、サーバーが「良い」トラフィックだけを処理することです。 これは、不要なトラフィックを処理するのではなく、リソースが本来の目的にのみ使用されていることを意味する。

IBM からどのようなファイアウォール製品が提供されていますか

提供されているすべてのファイアウォール製品の詳細な比較は、ファイアウォールを探る でご覧いただけます。

ハードウェア・ファイアウォールは IBM のロード・バランサー製品に対応していますか?

はい。 Hardware Firewall は、クラウド・ロードバランサー・サービス、ローカル・ロードバランサー、 Citrix Netscaler VPX および MPX と互換性がある。

ポータブル IP をハードウェア・ファイアウォールで保護できますか?

いいえ ポータブル IP はサーバー間で移動できるため、保護に使用できません。 例外はケースバイケースで、多くの注意事項があり、顧客のシステム設計についてより詳細な情報を必要とするためである。

ハードウェア・ファイアウォールとネットワーク・ゲートウェイを同じ VLAN に関連付けることはできますか?

いいえ。 Hardware Firewall、同じVLANに割り当てられたネットワークゲートウェイデバイスを持つことはできません。 ネットワークゲートウェイデバイスの拡張機能は、標準的なファイアウォールの代わりにネットワークのファイアウォール機能を提供します。

パブリック・トラフィックは、ロード・バランサーとハードウェア・ファイアウォールのどちらを最初に通過しますか?

パブリック・インターネットから最初にロード・バランシング製品を通過します。 次に Hardware Firewall、最後に NetScaler。

サーバーのアップリンク・ポート速度をハードウェア・ファイアウォールに一致させる必要がありますか?

ハードウェア・ファイアウォールを、サーバーのパブリック・アップリンク速度に一致させる必要があります。 しかし、ネットワークのパブリック側のみを保護するため、パブリック側のアップリンク速度がファイアウォールの選択と一致しなければならない。 顧客は、パブリック・インターフェースのみのダウングレードを要求するケースを作成することができる。

IBM Cloud ではファイアウォールの帯域幅に対して課金していますか?

Hardware Firewall および FortiGate セキュリティアプライアンス ( FSA ) 1G は、帯域幅の従量制ではありません。 FSA 10G は、20TB使用後にファイアウォールの帯域幅に対して課金される。 また、これらの製品は、サーバーが応答しなければならないトラフィックを制限することにより、総帯域幅使用量を削減することができます。

ハードウェア・ファイアウォールのアップリンクはどのようにアップグレードしますか?

ハードウェア・ファイアウォールは、サーバーのパブリック・アップリンク・ポート速度にロックされます。 ファイアウォールをキャンセルし、サーバーのポート速度をアップグレードし、新しいファイアウォールを発注することで、アップグレードを実施できます。 あるいは、必要なアップリンクと関連ファイアウォールを備えた新しいサーバーを配備することもできます。

ハードウェア・ファイアウォールで高可用性は可能ですか?

いいえ ハードウェア・ファイアウォール・プラットフォームはエンタープライズ・レベルで高い耐久性を備えていますが、本当の意味での高可用性 (冗長デバイス) はハードウェア・ファイアウォールのオプションには含まれません。 HAには、 Hardware Firewall （高可用性）または FortiGate セキュリティアプライアンス（高可用性）が必要です。 ネットワーク・ゲートウェイ製品にも、ファイアウォール機能を備えた HA オプションがあります。

IBM Cloud サーバーでハイパーバイザーを稼働しています。 Hardware Firewall は、ハイパーバイザー上で実行される仮想マシンを保護しますか？

いいえ ポータブル IP はハイパーバイザー環境の VM に使用され、ポータブル IP はハードウェア・ファイアウォールによって保護されません。 FortiGate Security Appliance が推奨されます。

Windowsファイアウォールで利用できないポートは何ですか？

IBM Cloud は、EVault、SNMP、 モニタリングなど、サーバーで使用できるさまざまなサービスを提供しています。 Nagios これらのサービスでは、当社の内部システムがお客様のサーバーとある程度まで通信することが必要になります。 例外リストに表示される使用できないポートは、内部ネットワーク・ポートのみで開いているポートです。 これらは、パブリック (インターネット) ネットワーク接続ではブロックされたままです。 内部ネットワークは保護されたネットワークであるため、これらのポートを開いていることはセキュアだと考えられます。

これらのポートは一般に変更できませんが、ファイアウォール・ルールをリセットすると、例外リストからそれらのポートがクリアされます。 ファイアウォールルールのリセットは、これらの追加サービスだけでなく、サーバーの他の問題（現在の設定による）にも悪影響を及ぼす可能性があることに注意してください。

10 Gbps サーバーではどんなハードウェア・ファイアウォール・オプションを使用できますか?

FSA 10G は、パブリック・トラフィックとプライベート・トラフィックの両方で10Gbpsサーバーをサポートする唯一のオプションである。 10Gbpsがプライベート・ネットワーク（データベース、バックアップ、ストレージなど）でのみ必要な場合は、パブリック・アップリンクのみのダウングレードをリクエストし、 Hardware Firewall。

どの IP 範囲を、ファイアウォール通過の許可対象にしますか?

ファイアウォールを通して許可するIPアドレスとIP範囲のリストについては、 こちらをご覧ください。

各ファイアウォール製品には、どのような VPN オプションが組み込まれていますか?

すべてのファイアウォールが VPN を提供しているわけではなく、またすべての VPN オプションが同じではありません。 VPN の一般的なオプションは次のとおりです。

• お客様はそれぞれ、当社のプライベート・ネットワークへの無制限の SSL VPN 接続を利用できます。 これらの接続は、IBM Cloud コンソールへのログイン中に VPN リンクをクリックすることで確立できます。
• IBM Cloud は、基本的なマルチテナント IPsec VPN サービスも提供します。
• FortiGate Security Appliance 1G では、パブリック・ネットワーク・アクセスのみ (IBM Cloud プライベート・ネットワークへのアクセスなし) の SSL オプションと IPsecVPN オプションを提供しています。 FSA 10G では、パブリック・ネットワーク・アクセスまたはプライベート・ネットワーク・アクセスの SSL オプションと IPsecVPN オプションを提供しています。
• ネットワーク・ゲートウェイは、SSL、IPsec、 OpenVPN の機能をパブリックまたはプライベート・ネットワーク上で提供します
• NetScaler 製品では、パブリック・ネットワークまたはプライベート・ネットワークで SSL および IPsecVPN を提供できます。
• お客様は、IBM Cloud 環境内のサーバーに VPN ソリューションをデプロイすることもできます。

パブリック-プライベートNAT、プライベートVLANセグメンテーション、またはその両方をサポートするファイアウォール製品はどれですか？

Fortigate Security Appliance 10G では、NAT およびプライベート VLAN セグメンテーションをサポートしています。 他のファイアウォールはパブリック・トラフィックのみをサポートする。