学内ネットワークの特定のIPに対する接続を日本国内からに限定するサービスです。
特定のIPアドレスを持たないような保守業者からのメンテナンス用接続のみに割当てているIPアドレス等に適用することで、海外からの無差別の接続確認・侵入攻撃の緩和対策利用できます。
※ 接続元のIPアドレスが固定できる場合には、メンテナンス等を受けるシステム側で送信元のアクセスのみを許可するフィルタリング設定をお願いします。
サービス内容
- 指定した学内グローバルIPアドレス(131.112で始まるアドレス)宛ての通信の接続元を日本国内のみに制限します。
- ファイアウォールサービスのInboundポリシーで接続が許可されたIP、もしくはスクリーニングサービスでスクリーニング解除されたIPのオプションとして利用できます。
- ファイアウォール/スクリーニングサービスで学外からの接続が許可されていないIPは利用できません。
- 学外への通信は本サービスでは制限しません。ファイアウォールサービスのOutboundポリシーが設定されている場合はその設定に従います。学外への接続が許可されている場合はOSやセキュリティソフト等のアップデートは引き続き利用可能です。
ファイアウォール/スクリーニングサービスとの組み合わせ例
- ファイアウォールサービスと組み合わせる場合:
- 全体のInboundのポリシーでHTTP接続のみを許可している場合:
- 指定したIPのWebサービスへの接続は国内のみに制限されます。
- 指定したIP以外のWebサービスへの接続は国外からも接続できます。
- HTTP以外のInboundの通信はファイアウォールサービスで遮断されます。
- 全体のInboundのポリシーでHTTP接続のみを許可している場合:
- スクリーニングサービスと組み合わせる場合:
- 指定したIP宛ての通信はすべて国内限定になります。指定したIPから学外への通信は国内限定にはなりません。
利用方法
対象IPアドレスの指定
対象とするIPアドレスは、単独のIPアドレスもしくは複数のIPアドレスを指定することができます。
※ ファイアウォールのリソースには限りがあるため、各支線ネットワークへの本サービス適用数には制限があります。
複数のIPアドレスに本サービスを利用しようとする場合は、以下を参考にサブネットマスクや範囲指定を使って可能な限り連続した1つの範囲内に集約をお願いします。
IPアドレスの範囲指定
サブネットマスクについては下記の 参考情報 もご確認ください。サブネットマスクでの指定 131.112.125.4/30 (4-7が対象)
範囲での指定 131.112.125.4-7
申請方法
変更対象のIPアドレスが属する支線ネットワークの連絡担当者からapply@noc.cii.isct.ac.jpまで設定を変更したいIPを記載してメールで申請してください。
内容の確認後、問題がなければファイアウォールに反映し、その旨を折り返しメールにて連絡します。
注意事項
- ファイアウォール/スクリーニングサービスとは別のファイアウォール機器での設定となります。機器のメンテナンスや障害等により一時的に経路が切り替わっている間は国内限定フィルターは適用されません。
- 本サービスにおける「日本国内」とは、本学導入済みのファイアウォールのIPの国識別データベース上において「日本」として提供されたアドレスを指します。機器や運用の変更によりこれらの内容に変更もしくは漏れなどがあった場合にも、原則このカテゴリに基づく制限として提供されます。
- 海外からの不審な接続を抑制する効果はありますが、サービスを利用するサーバー等のシステム側でのセキュリティ設定を必ず行ってください。
参考:サブネットマスク(CIDR)によるIPアドレス範囲の指定の仕方
IPアドレスの範囲を指定するときにCIDR形式で指定する場合は、開始アドレス(AAA.BBB.CCC.DDD)とマスク(MM)を指定します。 マスクはIPアドレスのビット長にあわせて1から32の値を取り、先頭から何ビットがマスクされるかを示します。つまり、アドレス範囲としてマスクされない残りのビット長の「2の(32-MM)乗」個のアドレスを指定することになります。
学内支線の場合は通常/24でネットワークを割り当てているため、MMの値は24-31の値を取り、かつIPアドレスの第4オクテット(DDD)が「2の(32-MM)乗」で割り切れる必要があります。
例えば、131.112.126.0/24からアドレス範囲を指定する場合以下のとおりです。
131.112.126.2/31 = 131.112.126.2-3 2個のアドレス範囲
131.112.126.4/30 = 131.112.126.4-7 4個のアドレス範囲
131.112.126.0/28 = 131.112.126.0-15 16個のアドレス範囲
【早見表】
| /32 -> 1個のアドレス | 末尾の数字は1で割り切れる |
| /31 -> 2個のアドレス | 末尾の数字は2で割り切れる |
| /30 -> 4個のアドレス | 末尾の数字は4で割り切れる |
| /29 -> 8個のアドレス | 末尾の数字は8で割り切れる |
| /28 -> 16個のアドレス | 末尾の数字は16で割り切れる |
| /27 -> 32個のアドレス | 末尾の数字は32で割り切れる |
| /26 -> 64個のアドレス | 末尾の数字は64で割り切れる |
| /25 -> 128個のアドレス | 末尾の数字は128で割り切れる |
| /24 -> 256個のアドレス | 末尾の数字は256で割り切れる |