ファイアウォール・ゲートウェイ・サポート

ファイアウォール・ゲートウェイ によって、特定の TCP/IP 接続管理ポリシーがある環境で、エンドツーエンド接続オプションが提供されます。 ファイアウォール・ゲートウェイは、多くのファイアウォール・ホップのネゴシエーションを行うことができ、ネットワーク・アドレス変換をサポートしています。 ファイアウォール・ゲートウェイを使用すると、 2 つの通信コンポーネントが異なるセキュリティー・レベルのゾーンにある場合に、よりセキュアなネットワーク・ゾーンから常に開始されるようにネットワーク・トラフィックを構成できます。

ファイアウォール・ゲートウェイは、次のいずれかの状態が当てはまる場合に、最も効果的なファイアウォール構成となります。

• 単一の TCP 接続では製品コンポーネント同士を接続できない場合。 例: コンポーネント間の通信において、単一の接続が複数のファイアウォールを横断することを許可しないポリシーがある環境で、複数のファイアウォールを横断する必要がある。
• 接続要件により、ハブ・モニター・サーバーへの接続について、デフォルト・パターンが許可されない場合。 例: エージェントが、そのエージェントがあるゾーンより高いセキュリティー・レベルのゾーンにあるモニター・サーバーへの接続に失敗する。セキュリティー・ポリシーでは、よりセキュアなゾーンからそれよりセキュリティーの低いゾーンへの接続の確立は許可されますが、その逆は許可されません。
• 開かれているファイアウォール・ポートを単一ポートまたは単一接続に減らす必要がある場合。 ゲートウェイはポートを 1 つに統合できます。 例: エージェント・フェイルオーバーおよびモニター・サーバー割り当てを、接続のハブ・モニター・サーバー側で、シンボルにより管理する必要がある。 ゲートウェイ接続はサービス名が一致するものの間で確立されるので、管理者は、ハブ・モニター・サーバーでクライアント・プロキシーのバインディングを変更することにより、エージェントのフェイルオーバーおよびモニター・サーバー割り当てを変更できます。

ファイアウォール・ゲートウェイを構成するには、次の 2 つのタスクを実行する必要があります。

1. 一連のゾーンを指定する XML 文書を作成します。各ゾーンには、1 つ以上の組み込みクライアント (ダウンストリーム) インターフェースとともに少なくとも 1 つのサーバー (アップストリーム) インターフェースが含まれています。 XML 文書は、 rhilev.rteのメンバーとして保管する必要があります。RKANPARU ライブラリー、およびメンバー名は、 z/OS® 命名標準 (8 文字以下) に準拠している必要があります。

   以下に、RKANPARU ライブラリーの ZOSPROXY メンバーとして保管されているゲートウェイ XML 文書の例を示します。

   000001 <tep:gateway xmlns:tep="http://xml.schemas.ibm.com/tivoli/tep/kde/"     
   000002  name="zOSproxy" threads="32">
   000003 <zone name="trusted" maxconn="512" error="ignore">
   000004 <interface name="zosproxy_upstream" role="proxy">
   000005 <bind ipversion="4" localport="pool2K" service="tems_pipe">
   000006 <connection remoteport="1920">127.0.0.1</connection>
   000007 </bind>
   000008 <interface name="zosproxy_downstream" role="listen">
   000009 <bind ipversion="4" localport="60902">
   000010 </bind>
   000011 </interface>
   000012 </interface>
   000013 </zone>
   000014 <portpool name="pool2K">20000-21023 21024-22047</portpool>
   000015 </tep:gateway>

   ゲートウェイXMLドキュメントの要素に関する参照情報については、 : インストールおよびセットアップガイドの付録「ファイアウォール」の 「XMLドキュメント構造 」セクションを参照してください。

2. rhilev.rte.RKANPARU ライブラリーの KppENV メンバーに、XML 文書を参照する KDE_GATEWAY 環境変数を追加します。
   例:

    KDE_GATEWAY=ZOSPROXY