[サービス]メニュー

画面上部のメニューバーで[サービス]をクリックします。

Endian UTM Appliance が提供する各種の便利なサービスは、このセクションで設定することができます。これらのサービスには、ClamAV アンチウィルスなど、さまざまなプロキシによって使われるサービスも含まれています。また、侵入検知、ハイアベイラビリティ (High Availability)、トラフィックの監視 (Traffic Monitoring) もこのセクションで有効にすることができます。画面左のサブメニューには以下のリンクが表示されます。

  • [DHCP サーバ] - IP アドレスの自動割り当てを行う DHCP (Dynamic Host Configuration Protocol) サーバ
  • [ダイナミック DNS] - DynDNS などのダイナミック DNS プロバイダ用クライアント (ホームユースや小規模オフィス向け)
  • [Antivirus Engine] - メールプロキシ、ウェブプロキシ、POP プロキシ、FTP プロキシが使用するアンチウィルスエンジンの設定
  • [NTP サーバ] - NTP タイムサーバの有効化と設定、タイムゾーンの設定、日付と時刻の手動設定
  • [スパムトレーニング] - メールプロキシが使用するスパムフィルタのトレーニングの設定
  • [Intrusion Prevention] - 不正侵入予防/保護システム (Intrusion Prevention System: IPS) Snort の設定
  • [High Availability] - ハイアベイラビリティモードでの Endian UTM Appliance の設定
  • [Traffic Monitoring] - ntop によるトラフィックの監視の有効/無効の切り替え
  • [SNMP Server] - SNMP (Simple Network Management Protocol) サポートの有効/無効の切り替え
  • [Quality of Service] - IP トラフィックの優先順位付け

以下では、各リンクについて順に説明します。

[DHCP サーバ]

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[DHCP サーバ]をクリックします。

DHCP (Dynamic Host Configuration Protocol) サービスを使うと、すべてのネットワークデバイスの IP アドレス設定を Endian UTM Appliance から集中管理できます。

クライアント (ホスト、またはネットワークプリンタなどのデバイス) は、ネットワークに接続されると、一定範囲のアドレスの中の有効な IP アドレスとその他の設定を DHCP サービスから自動的に取得します。クライアントは DHCP を使用するよう設定しておく必要があります。この設定は「ネットワークの自動設定」などと呼ばれることが多く、ほとんどの場合、デフォルトの設定になっています。DHCP サービスの対象は、グリーンゾーンのクライアントのみに制限したり、オレンジ (DMZ) ゾーンやブルー (WLAN) ゾーンのクライアントを含めたりすることができます。特定のゾーンを対象にサービスを提供するには、該当するゾーンの[有効]チェックボックスをオンにします。

[設定]をクリックし、以下に説明する DHCP の各種パラメータを定義します。

[開始アドレス] / [終了アドレス]
クライアントに渡す IP アドレスの範囲を指定します。指定する IP アドレスの範囲は、該当するゾーンに割り当てられたサブネットに含まれるものでなければなりません。一部のホストに手動で IP アドレスを割り当てたり、固定 IP アドレスを割り当てたりする場合は (以下を参照)、アドレスが衝突するのを避けるために、これらの IP アドレスや、OpenVPN アドレスプール ([VPN]メニューの[OpenVPN サーバ]を参照) のアドレスが、ここで指定する範囲に 含まれないように 注意してください。固定 IP アドレスのリース のみ を使用する場合は (以下を参照)、これらのフィールドは空のままにしておきます。
[デフォルトリース時間 (分)] / [最大リース時間 (分)]
デフォルトリース時間と最大リース時間を分単位で指定します。この時間を経過すると、IP アドレスの割り当ての有効期限が切れ、クライアントは DHCP サーバから新しいリースを要求することになります。
[ドメイン名サフィックス]
クライアントに渡すデフォルトのドメイン名サフィックスを指定します。クライアントはホスト名を検索するときに、最初は要求された名前をそのまま解決しようとします。解決に失敗すると、クライアントは要求された名前の後に 1 つのドット (.) とここで指定されたドメイン名を付けて解決を試みます。たとえば、ローカルファイルサーバの完全修飾ドメイン名が earth.example.com で、このフィールドで「example.com」をサフィックスに指定した場合、クライアントは「earth」というホスト名でファイルサーバの名前を解決できます。
[プライマリ DNS] / [セカンダリ DNS]
クライアントが使用するドメインネームサーバ (DNS) を指定します。 Endian UTM Appliance にはキャッシング DNS サーバが組み込まれているので、それぞれのゾーンにおけるアプライアンスの IP アドレスがデフォルトの値になっています。
[プライマリ NTP サーバ] / [セカンダリ NTP サーバ]
クライアントが使用する NTP (Network Time Protocol) サーバを指定します。NTP サーバは、すべてのクライアントの時刻を同期化するのに使われます。
[プライマリ WINS サーバアドレス] / [セカンダリ WINS サーバアドレス]
クライアントが使用する WINS (Windows Internet Name Service) サーバを指定します (WINS を使用する Microsoft Windows ネットワーク用)。

熟練ユーザは、 dhcpd.conf に追加する独自の設定内容を[カスタム設定]ボックスに入力できます。 Endian UTM Appliance の管理インターフェースは、入力された内容の構文チェックを一切行いません。入力内容に間違いがあると、DHCP サーバが起動しないことがあるので十分に注意してください。

設定例: 起動時に HTTP サーバから設定ファイルを取得する必要のある VoIP 電話に対応するには、以下のような行を追加できます。

option tftp-server-name "http://$GREEN_ADDRESS";
option bootfile-name "download/snom/{mac}.html";

上の例では、アプライアンスのグリーンインターフェースのアドレスに置換される $GREEN_ADDRESS というマクロを使用していることに注意してください。

固定割り当て

一部のデバイスでは、DHCP を利用しつつ、常に同じ IP アドレスを使う必要がある場合があります。このような場合、[固定割り当ての追加]をクリックすると、スタティック IP アドレスをデバイスに割り当てることができます。デバイスは、そのデバイスの持つ MAC アドレスによって識別されます。なお、ここで設定する固定割り当てでは、各デバイスが DHCP サーバに接続して IP アドレスを取得します。したがって、各デバイス上で手動でアドレスを設定する操作とは根本的にしくみが異なることに注意してください。

典型的な使用例として、PXE (Preboot Execution Environment) を使ってネットワークサーバからオペレーティングシステムイメージをブートするシンクライアントがネットワーク上にある場合を挙げることができます。

固定割り当てを定義するために指定できるパラメータは以下のとおりです。

[MAC アドレス]
クライアントの MAC アドレスを指定します。
[IP アドレス]
このクライアントに常に割り当てる IP アドレスを指定します。
[詳細]
説明を入力します。説明は省略可能です。
[次のアドレス]
TFTP サーバのアドレスを指定します (シンクライアント/ネットワークブートの場合のみ)。
[ファイル名]
ブートイメージファイル名を指定します (シンクライアント/ネットワークブートの場合のみ)。
[ルートパス]
ブートイメージファイルのパスを指定します (シンクライアント/ネットワークブートの場合のみ)。
[有効]
このチェックボックスをオフにすると、固定割り当ての設定は保存されますが、 dhcpd.conf には書き込まれません。

追加した固定割り当ての一覧で、目的の行の右側にあるアイコンをクリックすると、該当する固定割り当ての有効/無効の切り替え、編集、または削除を行うことができます (画面の下部にアイコンの凡例があります)。

現在のダイナミック IP アドレス割り当ての一覧

DHCP セクションの最後には、現在割り当てられているダイナミック IP アドレスの一覧が表示されます。

[ダイナミック DNS]

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[ダイナミック DNS]をクリックします。

DynDNS などのダイナミック DNS プロバイダは、グローバルに利用可能なドメイン名を IP アドレスに割り当てるサービスを提供しています。こうしたサービスは、家庭で利用している ADSL 接続など、ダイナミックに変わる IP アドレスでも利用することができます。こうした仕組みを利用するには、IP アドレスが変わったら、そのたびにダイナミック DNS プロバイダにアドレスの変更を通知する必要があります。

Endian UTM Appliance には、14 のプロバイダに対応したダイナミック DNS クライアントが組み込まれており、このクライアントを有効にすると、IP アドレスが変更されるたびにダイナミック DNS プロバイダに自動的に接続し、新しい IP アドレスを通知します。

使用するアカウント (アカウントは複数使用できます) ごとに[ホストの追加]をクリックし、以下のパラメータを指定します。

[サービス]
ダイナミック DNS プロバイダを選択します。
[プロキシ配下]
(no-ip.com サービスを使用する場合のみ) Endian UTM Appliance がプロキシ経由でインターネットに接続している場合には、このチェックボックスをオンにします。
[ワイルドカードを有効にする]
一部のダイナミック DNS プロバイダでは、登録したドメインの すべての サブドメインがアプライアンスの IP アドレスを指すような設定 (すなわち www.example.dyndns.org と example.dyndns.org が両方とも同じ IP アドレスに解決されるような設定) を指定することができます。このチェックボックスをオンにすると、この機能が有効になります (使用するダイナミック DNS プロバイダがサポートしている場合)。
[ホスト名]と[ドメイン]
使用するダイナミック DNS プロバイダに登録したホスト名とドメイン (「example」と「dyndns.org」など) を入力します。
[ユーザ名]と[パスワード]
使用するダイナミック DNS プロバイダから指定されたものを入力します。
[ルータ (NAT) 配下]
Endian UTM Appliance が直接インターネットに接続されていない場合、すなわち、ほかのルータやゲートウェイの配下にある場合には、このチェックボックスをオンにします。この場合は、アプライアンスの外部 IP アドレスを調べるために、http://checkip.dyndns.org で提供されているサービスを使います。
[有効]
有効にするには、このチェックボックスをオンにします (デフォルト)。

インターネットからドメイン名を使って自宅またはオフィスのシステムに接続できるようにするには、レッドゾーンにサービスをエクスポートする必要があることに注意してください。ダイナミック DNS プロバイダが代行してくれるのは、名前解決の部分だけです。サービスをエクスポートするには、一般にポート転送を設定します ([ファイアウォール]メニューの[ポート転送 / NAT]を参照してください)。

[Antivirus Engine]

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Antivirus Engine]をクリックします。

[設定]

バージョン 2.3 で追加.

このセクションは、オプションの Sophos アンチウィルスモジュールをインストールしている場合にのみ表示されます。サービスごとに、Sophos と ClamAV のどちらを使うかを指定できます。以下のサービスがサポートされています。

  • HTTP プロキシ
  • SMTP プロキシ
  • POP3 プロキシ
  • FTP プロキシ

設定を保存するには、ページ下部の [保存] をクリックします。その後、必ず [適用] をクリックしてください。

[Clamav Antivirus]

このセクションでは、ClamAV でアーカイブボム (説明については次のパラグラフを参照してください) をどのように処理するか、および新しいウィルスに関する情報をどれくらいの頻度でダウンロードするか ([Clamav シグネチャアップデートスケジュール]) を設定します。スケジュールされたアップデートが最後に実行された日時も表示されます。また、アップデートを手動で開始することもできます。

[アンチアーカイブボム]の設定

アーカイブボムとは、巧妙な手段を使い、ファイアウォールのリソースのほとんどを使い尽くしてしまうほど (いわゆるサービス拒否攻撃に相当)、アンチウィルスソフトウェアに大きな負荷をかけるアーカイブのことです。使われる手段としては、圧縮効果の高い反復的な内容の大きなファイル複数から構成される小さなアーカイブを送り付けたり (たとえば、0 だけを含む 1 GB のファイルを zip で圧縮すると 1 MB になります)、複数のアーカイブを入れ子にしたアーカイブ (たとえば、zip ファイルの中にまた zip ファイルを入れてあるアーカイブ) や膨大な数の空のファイルを含むアーカイブを送り付けるなどといったものがあります。

ClamAV では、こうしたタイプの攻撃を回避するために、一定の属性を持つアーカイブをスキャン しない ようあらかじめ設定されています。ここでは、この属性を指定します。

[最大アーカイブサイズ]
ここで指定するサイズより大きいアーカイブはスキャンしません (MB 単位)。
[最大圧縮回数]
ここで指定する圧縮回数を超えるアーカイブはスキャンしません。
[最大ファイル数]
ここで指定するファイル数を超えるファイルを含むアーカイブはスキャンしません。
[最大圧縮率]
展開後のサイズがここで指定する圧縮率を超えるアーカイブはスキャンしません。デフォルトの値は 1000 です。通常のファイルの場合、一般に展開後のサイズは、圧縮されたアーカイブの 10 倍を超えることはありません。
[悪いアーカイブの扱い]
上記の設定によってスキャンされないアーカイブの扱いを指定します。[スキャンせずにパス]または[ウィルスとしてブロック]のいずれかを選択します。
[暗号化されたアーカイブをブロック]
暗号化された (パスワードで保護された) アーカイブをスキャンすることは技術的に不可能なので、これらのアーカイブはセキュリティリスクになる可能性があります。このチェックボックスをオンにすると、これらのアーカイブをブロックできます。

[Clamav シグネチャアップデートスケジュール]の設定

ClamAV を実行するときにもうひとつ重要なのが、アンチウィルスシグネチャのアップデートです。すなわち、新しいウィルスに関する情報を ClamAV サーバから定期的にダウンロードする必要があります。設定ペイン (画面上部右側) では、このアップデートを実行する頻度を選択できます。デフォルトは、1 時間毎です。ヒント: 各項目の横のクエスチョンマークにマウスのポインタを置くと、該当する項目を選択したときに正確にはいつアップデートが実行されるかが表示されます (デフォルトは毎時 01 分です)。

[ClamAV ウィルスシグネチャ]

このセクションには、最後にアップデートが実行された日時と、ClamAV アンチウィルスシグネチャの最新バージョンが表示されます。

[直ちにシグネチャをアップデート]をクリックすると、(スケジュールされたアップデートとは無関係に) ただちにアップデートが実行されます。アップデートにはいくらか時間がかかる場合があることに注意してください。このセクションには、特定のウィルスに関する情報を検索できる ClamAV のオンラインウィルスデータベースへのリンクも用意されています。

[Sophos AntiVirus]

このページでは、新しいシグネチャをどれくらいの頻度で Sophos からダウンロードするかを選択できます。選択できるオプションは以下のとおりです。

  • [1 時間毎]
  • [1 日毎]
  • [1 週間毎]
  • [1 月毎]

最後に、ページ下部の [保存] をクリックして設定を保存します。

[NTP サーバ]

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[NTP サーバ]をクリックします。

Endian UTM Appliance は、NTP (Network Time Protocol) を使って、システムの時刻をインターネットのタイムサーバホストと同期します。

Endian UTM Appliance では、あらかじめインターネット上のいくつかのタイムサーバホストが設定されており、システムはこれらのサーバを使います。独自のタイムサーバホストを指定するには、[デフォルト NTP サーバを置き換え]チェックボックスをオンにします。この指定は、インターネットにアクセスできない環境で Endian UTM Appliance を使用する場合に必要になることがあります。独自のタイムサーバホストは、1 行に 1 つずつ登録します。

このセクションでは、現在のタイムゾーン設定を変更することもできます。

このセクションの最後のフォームでは、システムの時刻を手動で変更できます。この操作は、システムクロックの時刻が不正確で、時刻の同期をスピードアップしたい場合に有効です (タイムサーバを使った自動的な時刻の同期は、すぐに行われるわけではないためです)。

[スパムトレーニング]

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[スパムトレーニング]をクリックします。

SpamAssassin は、どのメールがスパムメールで、どのメールがそうでない (いわゆるハムメール) かを自動的に学習するよう設定することができます。学習を可能にするには、SpamAssassin が IMAP ホストに接続し、あらかじめ定義されたフォルダでスパムメッセージとハムメッセージをチェックする必要があります。

デフォルト設定は、トレーニングには 使われません 。デフォルト設定の役割は、実際のトレーニング元が引き継ぐデフォルト設定値を提供することだけです。実際のトレーニング元は、以下で追加できます。[デフォルト設定の編集]をクリックすると、デフォルト値を設定するための新しいペインが表示されます。

[デフォルト IMAP ホスト]
トレーニングフォルダのある IMAP ホストを指定します。
[デフォルトユーザ名]
IMAP ホストのログイン名を指定します。
[デフォルトパスワード]
該当ユーザのパスワードを指定します。
[デフォルトハムフォルダ]
ハムメッセージだけを含むフォルダの名前を指定します。
[デフォルトスパムフォルダ]
スパムメッセージだけを含むフォルダの名前を指定します。
[自動スパムフィルタトレーニングのスケジュール]
チェックの間隔を指定します。チェックを無効にするか、あるいはチェックの間隔を 1 時間毎、1 日毎、1 週間毎、または 1 月毎に設定できます。スケジュールされた時間が正確にはいつかを表示するには、選択した間隔の横のクエスチョンマークにマウスのポインタを置きます。

スパムトレーニング元は画面の下のセクションで追加できます。[IMAP スパムトレーニング元の追加]をクリックすると、新しいペインが表示されます。追加のトレーニングホストのオプションは、デフォルト設定のオプションとほぼ同じです。ただし、スケジュールの設定オプションはありません。スケジュールの設定は、常にデフォルト設定から引き継がれます。以下では、3 つの追加オプションについて説明します。

[有効]
このチェックボックスをオンにすると、SpamAssassin をトレーニングするときはいつでも、このトレーニングソースが使われます。
[コメント]
このトレーニングソースを追加した目的についてのコメントを入力します。
[処理したメールの削除]
このチェックボックスをオンにすると、処理したメールは削除されます。

その他のオプションは、デフォルト設定の場合とまったく同様に指定できます。オプションが定義されている場合、そのオプションの値がデフォルト値に代わって使われます。追加したトレーニング元を保存するには、目的の値をすべて設定してから、[トレーニングソースの追加]をクリックします。追加したトレーニング元の一覧で、目的の行の右側にあるアイコンをクリックすると、該当するトレーニング元のテスト、有効化、無効化、編集、または削除を行うことができます。アイコンの凡例はページ下部にあります。

[すべての接続のテスト]をクリックすれば、すべての接続をチェックすることもできます。トレーニング元が多数定義されていたり、IMAP サーバへの接続が低速な場合、この操作には時間がかかる場合があることに注意してください。すぐにトレーニングを開始するには、[今すぐトレーニングを開始する]をクリックします。トレーニング元の数、接続速度、および特にダウンロードされるメール数によって、この操作には非常に時間がかかることがあることに十分注意してください。

受信メールと送信メールで SMTP プロキシが有効になっている場合には、手動でアンチスパムエンジンをトレーニングすることもできます。それには、 spam@spam.spam 宛にスパムメールを送信します。スパムでないメールは、 ham@ham.ham 宛に送信します。トレーニングを機能させるには、 spam.spamham.ham が解決できるようになっている必要があります。通常、そのためには Endian UTM Appliance 上で[ネットワーク]メニューの[ホストの編集]の[ホストの追加]を使って、これら 2 つのホスト名をホストの設定に追加します。

[Intrusion Prevention]

バージョン 2.3 で追加.

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Intrusion Prevention]をクリックします。

Endian UTM Appliance には、有名な IDS/IPS (侵入検知システム・不正侵入予防/保護システム) である Snort が組み込まれています。Snort は IP ファイアウォールに直接ビルトインされています (Snort インライン)。

[Intrusion Prevention System]

[Enable Intrusion Prevention System]スイッチをクリックすると、Snort を有効にすることができます。以下のオプションが設定可能です。

[Automatically fetch Snort rules]
このチェックボックスをオンにすると、Emerging Threats ウェブサイト (http://www.emergingthreats.net/) から Snort ルールを自動的にダウンロードします。
[Update rules now]
クリックすると、最新の Emerging Threats ルールをただちにダウンロードします。
[Choose update schedule]
どのくらいの頻度でルールをアップデートするかを指定します。 [1 時間毎][1 日毎][1 週間毎] 、または [1 月毎] のいずれかを選択します。
[Custom SNORT Rules]
独自の SNORT ルールを使用する場合は、ここでアップロードすることができます。

[Rules]

Endian UTM Appliance にルールをロードすると、このページにルールセットの一覧と各ルールセットに含まれるルールの数が表示されます。このページでは、各ルールセットのデフォルトの動作を変更することもできます。ルールセットは有効にしたり無効にしたりできます。デフォルトでは、すべてのルールセットのポリシーは警告に設定されています。この動作は警告アイコンをクリックすることで変更でき、警告アイコンは赤い盾のアイコンに変わります。[適用]をクリックすると、選択されたルールセットでは警告は発せられず、ルールにマッチするトラフィックはブロックされます。ごみ箱アイコンをクリックすると、ルールセットを削除できます。鉛筆アイコンをクリックすると、新しいページにリダイレクトされ、各ルールを編集できるようになります。

[Editor]

このページの上部では、編集するルールセットを選択できます。目的のルールセットを選択してから[編集]をクリックすると、選択したルールセットに含まれるルールの一覧が表示されます。選択されたルールに対して検索を実行するには、[Search]ボックスに検索する語を入力します。このページでは、[Rules]ページの場合と同様に、各エントリの動作を変更できます。ただし、ごみ箱アイコンをクリックしてもルールは削除されず、そのルールのデフォルトの動作がリストアされます。

Intrusion Prevention System を有効にしただけでは何も行われず、ただ Snort が実行されているだけであること (すなわちトラフィックのスキャンは行われていないこと) に注意してください。[ファイアウォール]メニューに用意されたさまざまなページでは、[Filter policy]で [Allow with IPS] を選択することで、どのトラフィックを Snort によってスキャンするかを指定できます。

[High availability]

Endian UTM Appliance は、簡単にハイアベイラビリティ (High Availability: HA) モードで動作させることができます。HA モードで動作させるには、少なくとも 2 台の Endian UTM Appliance マシンが必要で、このうち 1 台がアクティブ (マスター) ファイアウォールの役割を引き受け、ほかのマシンはスタンバイ (スレーブ) ファイアウォールになります。

マスターファイアウォールがダウンすると、スレーブ間でエレクションが行われ、スレーブの中の 1 台が新しいマスターになり、透過的なフェイルオーバーが行われます。

マスターのセットアップ

HA モードを使用するには、まず マスター となるファイアウォールをセットアップします。

  1. セットアップウィザードを実行し、必要な情報を入力します。
  2. 管理用ウェブインターフェースにログインし、画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[High availability]をクリックします。
  3. [Enable High Availability]を[はい]に設定し、[High Availability side]を[Master]に設定します。
  4. マスター 固有の設定を指定するための追加のパネルが画面に表示されます。[Management network]は、HA モードで動作するすべての Endian ファイアウォールがグリーンインターフェース経由で接続しなければならない特別なサブネットです。デフォルトは 192.168.177.0/24 です。このサブネットがほかの目的ですでに使われている場合以外は、値を変更する必要はありません。[Master IP Address]は、管理ネットワークの最初の IP アドレスです。フェイルオーバーが発生したときにメールで通知を受け取りたい場合には、次のいくつかのフィールドで必要な情報を入力します。最後に[Save]をクリックし、次に[Apply]をクリックして設定を適用します。

スレーブのセットアップ

スレーブとなるファイアウォールをセットアップします。

  1. セットアップウィザードを実行し、ネットワークウィザードも含めて、必要な情報を入力します。各種サービスを設定する必要は ありません 。サービスに関連する情報は、マスターから同期化されるからです。ただし、スレーブを Endian ネットワークに登録する必要があります。
  2. 管理用ウェブインターフェースにログインし、画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[High availability]をクリックします。
  3. [Enable High Availability]を[はい]に設定し、[High Availability side]を[Slave]に設定します。
  4. スレーブ 固有の設定を指定するための追加のパネルが画面に表示されます。マスターの設定に応じて、グリーンゾーンまたは専用ネットワークポートのいずれかから、管理ネットワークのオプションを選択します。[Master IP address (CIDR)]ボックスに値を入力します。マスターで標準以外のネットワークアドレスを入力している場合は別として、入力する値は 192.168.177.1/24 です。[Master root password](マスターから設定を同期化するするために、スレーブではこの情報が必要になります) に値を入力します。最後に[Save]をクリックし、次に[Apply]をクリックして設定を適用します。

この時点で、スレーブはスタンバイモードになるので、以前の IP アドレス (工場出荷状態のアドレスまたは以前のグリーンアドレス) ではスレーブに接続できなくなります。スレーブは管理ネットワークを介してのみマスターと接続されています。

ここでマスターにログインすると、接続されているスレーブの一覧が HA ページに表示されます。[Go to Management GUI]をクリックすると、管理ネットワークを介して (マスターファイアウォール経由でルーティングされて) スレーブの管理用ウェブインターフェースを開くことができます。

[Traffic Monitoring]

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Traffic Monitoring]をクリックします。

トラフィックの監視は ntop によって行われ、このページのメインスイッチをクリックすることで有効と無効を切り替えることができます。トラフィックの監視を有効にすると、ページ下部に管理インターフェース (administration interface) へのリンクが表示されます。管理インターフェースは ntop が用意しているもので、トラフィックに関する詳細な統計情報が表示されます。 ntop では、詳細な情報だけでなくサマリーも表示されます。トラフィックは、ホスト、プロトコル、ローカルネットワークインターフェース、およびその他の多くの種類の情報別に分析できます。ntop の管理インターフェースの詳細については、ntop 管理インターフェースで[About]メニューの[Online Documentation]を参照するか、または ntop のドキュメントのページ にアクセスしてください。

[SNMP Server]

バージョン 2.3 で追加.

SNMP (Simple Network Management Protocol) は、ネットワークに接続されたデバイスを監視するのに使われます。バージョン 2.3 以降の Endian UTM Appliance には、SNMP サーバが組み込まれています。 SNMP サーバの設定を行うには、画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[SNMP Server]をクリックします。

SNMP サーバを有効にするには、[Enable SNMP Server]スイッチをクリックします。いくつかオプションが表示されます。[Community String]は、SNMP クライアントのデータを読み取るのに必要なキーです。[Location]には任意の値を指定できます。 Endian UTM Appliance の設置場所を指定することを推奨します。SNMP サーバでは、メールアドレスを設定する必要があります。このメールアドレスは、システムの連絡先として使われます。インストール中にグローバルな警告メール送信先アドレスを設定していて、このアドレスを使いたい場合は、[Override global notification email address]チェックボックスをオフのままにしておきます。独自のメールアドレスを使用する場合は、[Override global notification email address]チェックボックスをオンにし、使用するメールアドレスを[System contact email address]に入力します。最後に、 [保存] をクリックして設定を適用します。

[Quality of Service]

バージョン 2.3 で追加.

画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Quality of Service]をクリックします。

Quality of Service (QoS) および帯域幅管理 (Bandwidth Management) モジュールは、アプライアンスを経由する IP トラフィックに対し、サービスに応じて優先順位付けを行います。ダウンロードのようなバルクトラフィックよりも優先順位を一般に高く設定する必要があるアプリケーションとして、Secure Shell (SSH) や VoIP などのインタラクティブなサービスがあります。

[Devices]

このページには、作成されたすべての Quality of Service デバイスの一覧が表示されます。一覧に表示される列は、デバイスの作成時に指定した以下の値にそれぞれ対応します。

[Target Device]
このデバイスによって使われるネットワークインターフェースです。
[Upstream Bandwidth (kbit/s)]
インターフェースの実際のアップストリーム速度を指定する必要があります。
[Downstream Bandwidth (kbit/s)]
インターフェースの実際のダウンストリーム速度を指定する必要があります。

新しいデバイスを設定するには、 [Add Quality of Service Device] をクリックします。作成したデバイスの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するデバイスの有効/無効の切り替え、編集、または削除を行うことができます。

[Classes]

このページには、作成されたすべての Quality of Service クラスの一覧が表示されます。一覧には以下の情報が表示されます。

[名前]
Quality of Service クラスの名前です。
[デバイス]
クラスの対象となる Quality of Service デバイスです。
[Reserved]
このデバイスのために予約された帯域幅がパーセント単位で表示されます。
[Limit]
このクラスが使用できる最大の帯域幅をパーセント単位で示します。
[優先順位]
クラスの優先順位です。

作成されたクラスの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するクラスの編集、移動、または削除を行うことができます。新しいクラスを追加するには、 [Add Quality of Service Class] をクリックします。

注意

予約された帯域幅の割合の合計は 100% を超えることができない点に注意してください。

[Rules]

このページには、定義済みの Quality of Service ルールの一覧が表示され、どのタイプのトラフィックが、[Classes]ページで作成したどのクラスに属するかを指定できます。新しい Quality of Service ルールを追加するには、 [Add Quality of Service Rule] をクリックします。以下のパラメータを指定する必要があります。

[送信元]
送信元です。送信元には、インターフェース、IP アドレス、または MAC アドレスを指定できます。
[送信先]
送信先のアドレスまたはネットワークです。
[プロトコル]
優先するサービスが TCP サービスか UDP サービス か (またはその他のサービスか) を示します (たとえば、SSH は TCP サービスです)。
[Service]
プロトコルが使用するポートです (たとえば、SSH のポートは 22 です)。
[TOS/DSCP]
マッチする TOS または DSCP の値です。
[Traffic Class]
マッチしたトラフィックが属するクラスです。
[Comment]
このルールを追加した目的についてのコメントです。
[Enabled]
このチェックボックスをオンにすると、このルールは有効になります。

設定を保存して新しいルールを適用するには、 [Add]/[Change] をクリックします。

Quality of Service クラスに複数のサービスが存在する場合、これらのサービスは予約された帯域幅を共有することに注意してください。