Cisco ACE Web Application Firewall ユーザ ガイド
Firewall クラスタの管理
Firewall クラスタの管理
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Firewall クラスタの管理

複数のクラスタ管理について

Default Cluster とは

複数のクラスタを使用する場合の考慮事項

クラスタに関する作業

クラスタの作成

クラスタの編集

クラスタの削除

Firewall クラスタの管理

この章では、ACE Web Application Firewall クラスタの管理方法について説明します。内容は次のとおりです。

「複数のクラスタ管理について」

「複数のクラスタを使用する場合の考慮事項」

「クラスタに関する作業」

複数のクラスタ管理について

ACE Web Application Firewall Manager によって制御される ACE Web Application Firewall インスタンスは ACE Web Application Firewall Manager の設定でクラスタ別に整理されます。ACE Web Application Firewall を ACE Web Application Firewall Manager の管理コントロールに置くには、管理対象クラスタのいずれかに ACE Web Application Firewall Manager を追加します。

ACE Web Application Firewall Manager の設定には、常に少なくとも 1 つのクラスタが含まれます。ただし、クラスタは複数になることがあります。1 つのクラスタ内のすべての Firewall は同じポリシー バージョンを適用しなければなりませんが、1 つの Manager によって管理される異なるクラスタは異なるポリシーを適用できます。通常、この機能は、異なるビジネス単位に異なるトラフィック処理ルールを適用するために使用されます。また、この機能を使用すると、あるポリシーのライフ サイクルの異なるステージを表すさまざまな Firewall 環境(開発環境、テスト環境、実稼動環境など)を一元的に管理できます。

Default Cluster とは

Manager Web コンソールは、特定の Firewall クラスタのポリシーのコンテキストでだけ開くことができます。インストール後に、すべての Manager には、作業の開始点として機能する「Default Cluster」と呼ばれる単一クラスタが含まれます。

独立型モードに設定されたアプライアンスの場合は、Default Cluster がこのアプライアンスをクラスタ メンバとして持つよう事前に設定されます。Manager 専用アプライアンスは、Firewall を追加する空の Default Cluster を持ちます。必要に応じて、Default Cluster の名前を変更したり、Firewall をさらに追加したりすることができます。

Manager には少なくとも 1 つのクラスタが定義されている必要があります。唯一のクラスタを削除すると、次回のログイン時に新しい Default Cluster が自動的に作成されます。

複数のクラスタを使用する場合の考慮事項

この Manager のコントロールへのクラスタの追加は [Cluster Management] ページで行うことができます。[Cluster Management] ページにアクセスするには、操作メニューの [Administration] セクションで [Cluster Management] リンクをクリックします。クラスタ設定ページで、IP アドレス別のクラスタ内の Firewall を指定します。


) クラスタの追加の詳細については、「Manager のコントロールへの Firewall の追加」を参照してください。


ACE Web Application Firewall Manager の管理者は、次の複数の方法でポリシーへのアクセスを公開できます。

ログイン ページでのメニュー選択。[Cluster] メニューに、この Manager に設定されたクラスタの名前が表示されます。

特定の管理ポート。Web コンソールは、デフォルトでポート 8243 で表されます。追加のクラスタのコンソールは、他のポート番号を使用できます。

特定の IP アドレス。ポート番号は、クラスタ マネージャを区別する 1 つのメカニズムを提供します。ただし、異なる IP アドレスを使用すると、コンソール ユーザにとってクラスタ マネージャがまったく異なって見えます。たとえば、クラスタ A のマネージャを 192.168.1.1 に配置し、クラスタ B のマネージャを 192.168.1.2 に配置できます。この場合、ネットワークの DNS インフラストラクチャを使用して、ある IP アドレスに内容を示すホスト名(ある IP アドレスに gateway-prod、別の IP アドレスに gateway-test など)を設定できます。ユーザは https://gateway-prod:8243 または https://gateway-test:8243 と指定することにより、これらがまったく異なるアプライアンスであるかのように各クラスタにログインできます。

クラスタ設定ページでは、クラスタの IP アドレスを選択できます。利用可能なアドレスは、Manager ネットワーク インターフェイスが設定されたものです。


) インターフェイスでの IP アドレス エイリアス設定の詳細については、『Cisco ACE Web Application Firewall Administration Guide』を参照してください。


ユーザが特定のクラスタにログインすると、そのクラスタの Manager Web コンソールが他のクラスタとまったく異なる環境(独自のポリシー、ユーザ アカウント、およびログ情報を持つ)として表示されます。

コンソール ユーザ アカウントはクラスタのコンテキストに存在するため、各ユーザ(組み込みの administrator ユーザ アカウント以外)は、ユーザが追加されたクラスタのポリシーだけにアクセスできます。追加のクラスタにアクセスするには、ユーザは他のクラスタ ポリシーの有効なアカウントを持っている必要があります。

クラスタ間でポリシーを移動するには、「サブポリシー間でのオブジェクトのコピー」で説明された PPF メカニズムを使用する必要があります。特別にソース クラスタのコンソールで、ポリシーを PPF ファイルとしてエクスポートし、他のクラスタにログインし、PPF にインポートします。

多くの場合、単一 Manager の各クラスタの設定は他のクラスタと完全に独立して保持されます。つまり、ポリシー設定はクラスタ間で共有されません。このルールにはいくつかの例外(主にコンソール システム管理設定に関係)が存在します。例外は次のとおりです。

監査ログ設定

Manager ログ レベル

これらのいずれかの設定が変更されると、変更がクラスタ環境間で反映されます。Manager Web コンソール(特に、[System Management] > [Manager Settings] ページ)には、クラスタ間に適用される設定が示されます。

複数のクラスタが有効な場合も、ログインに関する考慮事項が存在します。Firewall により生成されたログ イベントと Manager により生成されたログ イベントの次の違いに注意してください。

Manager Web コンソールが現在アクセスしているクラスタの Firewall だけに関する Firewall イベントがイベント ログに示されます。

すべてのクラスタのすべての Manager イベントがイベント ログに示されます。わかりやすくするために、イベントはクラスタの名前で修飾されます。たとえば、次のようになります。

User "administrator" has logged in to cluster "Default Cluster" from IP address 10.0.4.5(ユーザ「administrator」が、クラスタ「Default Cluster」に IP アドレス 10.0.4.5 からログインしました).

また、ACE Web Application Firewall 実装の監視点として、Manager は ACE Web Application Firewall アクティビティに関する情報を継続的に受け取ります。高負荷の Firewall は、大量のイベント トラフィックを生成することがあります。イベント情報は Syslog を経由して Manager に渡されます(Syslog は UDP プロトコルとしてベストエフォート型の送信だけを行います)。高負荷のネットワークでは、イベント ログ情報が失われることがあります。システムのクラスタ トポロジを設計する場合は、このようなことを考慮することが重要です。特に、単一 Manager を使用して実稼動クラスタと、パフォーマンス テストを実行するテスト クラスタを管理することは避けてください。この場合、実稼動クラスタを監視する Manager の機能に影響が出ることがあります。

単一 ACE Web Application Firewall を一度に複数の ACE Web Application Firewall Manager によって制御してはならない(つまり、Firewall が複数のクラスタに存在してはならない)ことに注意してください。この制限は、クラスタが単一の Manager 上にあるか、異なる複数の ACE Web Application Firewall Manager アプライアンス上にあるかに関係なく適用されます。

クラスタに関する作業

ここでは、Manager でクラスタ定義を追加、変更、および削除する方法について説明します。

クラスタの作成

ほとんどの実装には単一クラスタしか必要ありません。特にさまざまな Firewall または Firewall のグループに対して独立したポリシーを単一 Manager から管理する場合にだけ、次の手順に従ってください。

ACE Web Application Firewall Manager の新しいクラスタを定義するには、次の手順に従います。


ステップ 1 Web コンソールで管理権限を持つユーザとして、操作メニューから [Cluster Management] リンクをクリックします。

クラスタ管理ページに、「Default Cluster」という名前のクラスタが表示されるはずです。独立型モードのアプライアンスの Manager で、Default Cluster はこのアプライアンスを唯一のメンバ Firewall として示します。その他の場合は、デフォルト クラスタが空になります。

ステップ 2 新しいクラスタを定義するために [Manage a New Cluster] をクリックして、Firewall を新しいクラスタに追加します。

ステップ 3 新しいクラスタに次の設定を行います。

[Cluster Name] フィールドにクラスタの名前を入力します。複数のクラスタがこの Manager の同じポートで提供されている場合は、Web コンソールにアクセスしようとしているユーザのログイン ページにその名前が表示されます。したがって、クラスタ名は一意であり、コンソール ユーザにとって意味のあるものでなければなりません。

[Manager HTTPS Port] で、Manager が、このクラスタのポリシーにアクセスするための Web コンソールを提供する HTTP ポートを指定します。デフォルト ポート(8243)を受け入れるか、別のポートを入力します。

複数のクラスタは、同じ Manager ポートを使用できます。同じ IP アドレスが使用される場合は、アクセスするクラスタのメニュー選択がログイン ページに表示されます。

IP アドレス メニューでは、このクラスタの Web コンソールを提供するアドレスを選択できます。このメニューは、アプライアンスの物理的なイーサネット インターフェイスに設定されたアドレスを示します。すべてのクラスタ マネージャは同じ IP アドレスを使用できます。ただし、異なる IP アドレスを使用すると、コンソール ユーザのクラスタ環境を分離しやすくなります。異なる IP アドレスと DNS インフラストラクチャを使用することにより、意味のあるホスト名を各クラスタの Web コンソールに関連付けることができます。この結果、ユーザは、https://gateway-prod:8243 や https://gateway-test:8243 などの URL を使用してクラスタにアクセスできるようになります。

Manager Web コンソールとブラウザ間の接続をセキュアにするために、このページに示された SSL 証明書 が使用されます。メニューに示されたように、Manager では一時的な証明書が提供されます。この証明書をこの目的のために生成された証明書に置き換える必要があります。CSR を作成するには、[Manage Certificates] ボタンをクリックします。

クラスタ マネージャを区別するために複数の IP アドレスを使用している場合は、サブジェクト CN が各クラスタ マネージャのホスト名に対応する各クラスタの証明書が必要です。

ステップ 4 [Cluster Members] テキスト フィールドに、このクラスタに追加する Firewall の IP アドレスを入力します。次のように、各 Firewall の IP がテキスト フィールドの独自の行に表示されるはずです。

10.0.5.12
10.0.5.22

Firewall の IP アドレスの入力は慎重に行ってください。Web コンソール インターフェイスは、入力した値が実際に ACE Web Application Firewall アプライアンスのアドレスであることを検証しません。ホスト IP が正しくない場合は、ターゲット Firewall への導入が試行されるまで(この時点で導入の試行が失敗します)エラーを検出できません。

ステップ 5 [Save Changes] をクリックします。


) 各 ACE Web Application Firewall には、ACE Web Application Firewall を制御する ACE Web Application Firewall Manager の IP アドレスを設定する必要があります。この設定がまだ行われていない場合は、各クラスタ メンバのシェル インターフェイスにアクセスし、Manager のアドレスを設定します。詳細については、『Cisco ACE Web Application Firewall Administration Guide』を参照してください。


現在のクラスタ名が、コンソール ページの上部に表示されます。

ステップ 6 ポート設定の変更などの Manager の再起動が必要な変更を行った場合は、Manager を再起動するよう要求されます。再起動するには、[Cluster Management] ページの上部にある [Restart the ACE Web Application Firewall Manager] ボタンをクリックします。

ステップ 7 多くの場合、追加された Firewall のライセンスを設定する必要があります。ポリシーは、ライセンス設定が行われるまで ACE Web Application Firewall に導入できません。ライセンスの設定の詳細については、『 Cisco ACE Web Application Firewall Administration Guide 』を参照してください。


 

この時点でクラスタの設定は完了です。新しいクラスタのポリシーにアクセスするには、クラスタ設定に応じて、ログイン ページの [Cluster] メニューからポリシーに選択するか、適切なポートまたは IP アドレスにナビゲートして Manager からログアウトし、新しいクラスタ Web コンソールにログインします。新しいクラスタにログインするには、組み込みの administrator ユーザ アカウントを使用します。

クラスタの編集

クラスタの作成後は、いつでもその設定(名前や管理ポート番号など)を変更できます。クラスタ設定を変更するには、変更するクラスタの Web コンソールが Web コンソールでアクティブである必要があります。Manager が別のクラスタの設定にアクセスしている間はクラスタ設定を変更できません。

クラスタの Manager Web コンソールにアクセスしている間に、次のようなクラスタ固有の設定を変更します。


ステップ 1 操作メニューの [Cluster Management] リンクをクリックします。

ステップ 2 ページに一覧表示されたクラスタの隣にある [edit] リンクをクリックします。

ステップ 3 [Edit Cluster Configuration] ページで、必要に応じてクラスタ設定を変更します。この設定の詳細については、「クラスタに関する作業」を参照してください。

ステップ 4 [Save Changes] をクリックして、変更をクラスタの設定に反映します。

ステップ 5 ポート設定の変更などの Manager の再起動が必要な変更を行った場合は、Manager を再起動するよう要求されます。再起動するには、[Cluster Management] ページの上部にある [Restart the ACE Web Application Firewall Manager] ボタンをクリックします。


 

クラスタの削除

クラスタを削除すると、そのクラスタのポリシーを含むすべての設定が削除されます。したがって、ポリシーの開発作業を間違って失わないようにクラスタの削除は慎重に行ってください。

クラスタを削除するには、最初に Manager Web コンソールからクラスタの設定にアクセスします。異なるクラスタのコンテキストの Manager Web コンソールにアクセス中はクラスタの定義を削除できません。

[Cluster Management] ページでクラスタの [remove] リンクをクリックします。現在のクラスタが削除され、ユーザが Web コンソールからログアウトされます。

Manager には少なくとも 1 つのクラスタが必要であることに注意してください。Manager から単一クラスタを削除する場合は、次回ログイン時に新しいデフォルトのクラスタが作成されます。