NokiaのIPシリーズに載せるFireWall-1NGについて

NokiaIPシリーズを使用しています。
現在FireWall-1ver4.1を使用していて、FireWall-1NGにバージョンアップする際、２重化構成を組むなら
管理モジュールを外部に出す必要がありますよね？
これは、バージョンアップ後、管理モジュールを切り離してしまったらどうなるのでしょうか？
管理モジュールがなくなったらFireWallモジュールが動作しなくなるということはないとは思うのですが、たとえばログが取れなくなってしまうといったことは起こるのでしょうか？
設定ができなくなってしまうということはわかるのですが・・・
問題なく運用されているなら、管理モジュールを切り離していてもよいものなのでしょうか？

No.5 ベストアンサー 回答者： bship 回答日時： 2003/05/20 21:30

なかなか本意が伝わらないのは私、読む方の問題もありますので....

今回改めて解釈したことは、

マシン２台しか用意できない。
２重化する必要があって管理サーバ無しで運用したい。
できるのか？

という前提でコメントさせていただきます。
最初は３台必要ですね。設定後は管理サーバ無くしても実施モジュールは動作するでしょう。

ここが一番理解できないことなのですが、例えば本当に常時２台しか用意できないとして....

2台を2重化するのですか？？管理サーバ無しで？？
これどう考えてもおかしいですよ(やっぱり私に読解力がない？)。
2重化しても、一方はあくまでも待機するだけですよ。
ロードバランスしませんよ。

技術的には最初に３台用意して、設定後、管理サーバマシンを無くせばよさそうですね(CheckPointの保証は別)。でも
待機しているだけで、一切使用されない実施モジュールのマシンを遊ばせておいて、その代償として管理サーバを用意できないから「実施モジュールの管理はしなくていい」
というのがおかいしいですよ。

2重化する意味はなんでしょう？
一方の障害時に切り替えて接続を保つということですよね。でも障害を想定する前に、今ある実施モジュールをちゃんと管理するのが絶対に先でしょう。さもなくば
安定稼動という面からも、セキュリティという面からも
意味ありません。
セキュリティのインシデントは場合によっては秒単位を争うのに.....
適切に管理されないファイアウォールなんて何の意味もありません(ファイアウォールへの認識が世の中間違えてます)。
せっかく高価なソフト＆構成なのに....
あるいは、そういう要求なのかもしれませんが、設定者として「間違えている」というサジェスションをしないと後で債務不履行で訴えられてもしょうがないですよ....

以上ご質問を想像しての回答でした。
外していたらごめんなさい。

この回答へのお礼

>マシン２台しか用意できない。
２重化する必要があって管理サーバ無しで運用したい。
できるのか？

はい、その通りです。

>ここが一番理解できないことなのですが、例えば本当に常時２台しか用意できないとして....

2台を2重化するのですか？？管理サーバ無しで？？
これどう考えてもおかしいですよ(やっぱり私に読解力がない？)。
2重化しても、一方はあくまでも待機するだけですよ。
ロードバランスしませんよ。

私自身がファイアウォールの理解がぜんぜん足りておらず、「管理サーバなしで2重化するのがどう考えてもおかしい」といったことがわかっておりませんでした。

>設定者として「間違えている」というサジェスションをしないと後で債務不履行で訴えられてもしょうがないですよ....

私自身がファイアウォールの設定者というわけではありません（FWの専門化から見て初歩の初歩の認識すらないわけですし）。どちらかというと事務屋で、FWの更新について技術的ではない部分とはいえ関わったので質問した次第です。

長々と質問にお付き合いいただき、ありがとうございました。

お礼日時：2003/05/21 01:32

No.4 回答者： bship 回答日時： 2003/05/17 00:43

繰り返しになりますが、

実施モジュールと管理モジュールを一台構成にしようが、分散構成にしようが「同じ動作」をしますし、管理方法も同じです。
各モジュールは、完全に独立していますので、一台にインストールしても内部で通信を行っているわけです。
異なるマシンにインストールした場合との違いは、ネットワーク・ケーブルを伝わって通信が実現されるか、論理ネットワークでメモリ上のみで通信するかの違いでしかありません。
日本にある管理サーバから、ダラスにある実施モジュールを管理することと、一台に両モジュールをインストールして管理することは操作や管理方法に変わりはないのです。
High Availabilityの問題ではなくて、分散処理について不安になっているのですよね？？

もともと管理サーバは、実施モジュールを「監視」するものではありません。「ポリシー等を管理し、実施モジュールにインストールし、ログを受け取るもの」です。実施モジュールは勝手に動作し、切り換わるのです。

「管理コンソール」は「管理クライアント」のことで旧バージョンではGUIの一部であるポリシーエディタのことですね。
「管理モジュール」というと、「管理クライアント」と「管理サーバ」両方を含みます(紛らわしいですがCCSA/CCSE取るにはしっかり整理しておかないと...)。
NGでは管理コンソールという語は出てこなくなったと思います。ポリシーエディタはFP-3ではSmartDashboardと改名されています。

会社で困っているのか、個人的に知りたいのかはこのような場ではどうでもいいですよ。いづれにせよ私はプライベートで答えていますし、困り度にかかわらずお答えできるものはしますし。
High Availabilityと分散構成、そして用語問題をそれぞれ分けて質問していただけると答えやすいです。旧バージョンの用語とNG用語がごっちゃになってます...

この回答へのお礼

>実施モジュールと管理モジュールを一台構成にしようが、分散構成にしようが「同じ動作」をしますし、管理方法も同じです。

はい、ここは承知しております。ただ、分散構成にすると、当たり前のことですが、管理モジュール用のマシンを「新しく用意」いないといけないわけです。

サーバーとして使用できる管理モジュール用のマシンの用意(マシンを置く為の工事も含みます)が間に合わないので、
(1)現状使用しているサーバマシンのどれかに管理モジュールをインストールする。
(2)サーバマシンを置けるようになるまで、障害や保守時に管理コンソールとなる端末を用意する。
という案が出ていました。
私は(2)についてお尋ねしたかったのですが、質問の仕方が悪く、「管理モジュールを普段物理的に取り外して運用できるのか？」といったニュアンスが伝わっておりませんでした。すいません。

>もともと管理サーバは、実施モジュールを「監視」するものではありません。「ポリシー等を管理し、実施モジュールにインストールし、ログを受け取るもの」です。実施モジュールは勝手に動作し、切り換わるのです。

ここから、FWモジュールは、1度ポリシーをインストールすれば管理モジュールがなくても運用は出来ると思うのですが、、、、
ログ情報やポリシー情報の管理ができないとどうまずいのかも分かっていない、素人考えです。
あまりにも馬鹿らしい質問でしたら。すいません。

お礼日時：2003/05/20 10:21

No.3 回答者： bship 回答日時： 2003/05/16 01:33

管理モジュールを別デバイスにするということですよね？

これは普通の構成ですよ。
実施モジュールが動作するデバイス２台（あるいはそれ以上）を、管理モジュールが動作するデバイス1台（あるいはそれ以上）で管理するという構成ですよね？
管理モジュールの障害を心配している文章にとれますが、それは別デバイスでも同デバイスでも同じことで、管理は出来ない状態ですからマズイですよね。
ただ管理モジュールとの通信が途絶えても実施モジュールは動作し続けます。
High Availabilityで管理モジュールと実施モジュールを別デバイスにするという制限はNGからではなく、CP2000でもそうでしたね。

管理サーバと管理モジュールは同じです。
管理コンソールは管理クライアントと同じですね。CheckPoint社のドキュメントは用語の統一が成されていないので、例えばこの「管理クライアント」は、
GUI、管理コンソール、ポリシーエディタ...等場所によって様々に呼ばれますね。

この回答へのお礼

回答ありがとうございます。ここからは個人的に知りたい領域なので、困り度を下げたいのですが、、、
2重化構成の場合、管理モジュールが別デバイスで行うという構成であることはマニュアルにあるので分かりました。
で、その際に管理モジュールを停止させて物理的に取り外してしまってもFireWallモジュールは動作し続ける。ただし、どういう状態か分からないし、設定の変更等行えないので困ってしまう。
アクト、スタンバイ構成にしている時には自動切換えが行えなくなってしまい、アクトが停止してしまえばサービスも停止してしまう。
と考えているんですが・・・・

私の持っているマニュアル（CheckPoint社のではありません)では、「管理コンソール(モジュール)」という書き方をしていますが、お答えを読むと管理コンソールとは管理モジュールにアクセスするGUIということでしょうか

お礼日時：2003/05/16 11:32

No.2 回答者： bship 回答日時： 2003/05/15 22:53

「２重化構成」とは"Hight Availability"のことですよね？

「切り離してしまったら」どうなるかというと、管理モジュールと実施モジュールを「分散構成にするとどうなるのか」という質問だと解釈できますが、当然それで管理できる仕様であるから「切り離せる」訳ですが....
質問の解釈が間違ってますか？

実施モジュールをリモート管理できるから分散構成なわけで、管理できなくなるのであれば分散構成をCheckPoint社が設計するわけありませんよね....

管理モジュールと実施モジュールを同一マシンにインストールしようと、別マシンにインストールしようと管理方法は全く一緒です。ただ認証の為の設定があるだけで、CP2000であれば、putkeyを、NGであればSICを使用します。
そういうことが質問内容ではないのかなあ....??????

この回答へのお礼

すいません。
質問の仕方が悪かったです。
「管理モジュールを取り外してしまう」と言う意味です。
FireWall-1NGでは２重化構成を組む場合、管理モジュールを外部に持たなくてはならないんですが、この管理モジュールが外に出るってことは、そちらになにかあってもFireWallとしての役目を果たすのかなあ、と思ったわけです。
ちなみに、マニュアル等では、管理サーバ/モジュール/コンソールといろいろ書いてあるんですが、全部同じなんでしょうか？

お礼日時：2003/05/16 00:34

No.1 回答者： inoue 回答日時： 2003/05/15 22:16

管理モジュールを取り外してしまうと、フェイルオーバーが出来なくなってしまいますよ。

もしFWを２重化構成で運用し、ACTスタンバイで運用されている場合、自動切換えが出来ずサービスが止まってしまいます。

この回答へのお礼

な、なるほど。それはまずいですね。
自動切換えができないとなると。
ACTにがんばってもらうしかなく、それだと２重化構成の意味がまったくありませんね。

お礼日時：2003/05/15 22:51