CFS(Contents Filtering Service) サーバの耐障害機能

トピック:

CFS(Contents Filtering  Service) サーバの耐障害機能
 

対象製品/サービス：

製品 - 全UTM・NGFW製品
サービス - コンテンツ・フィルタリング・サービス(Contents Filtering Service)
 

概要： 

コンテンツ・フィルタリング・サービス において、 アクセスするサイトのカテゴリーレィティング を行うため、UTM/NGFW 製品は、CFS サーバに問合せを行います。
CFSサーバへの通信にはDNSプロトコルおよびUDP: 2257を利用した独自プロトコルを使用します。
CFSサーバあるいはCFSサーバとの通信に障害が発生すると、WEB参照が遅くなる、WEB参照ができないなどの問題が発生します。
そのため、CFSサーバおよびUTM/NGFWには複数の耐障害機能を有しています。

詳細：

CFSサーバは世界3地域/4データセンターに分散配置されており、それぞれのデータセンターが別のデータセンタのバックアップを行う構成となっています。
ヨーロッパ/中東/アフリカ地域：webcfs02.global.sonicwall.com
アジアパシフィック/日本地域： webcfs01.global.sonicwall.com
アメリカ地域： webcfs00.global.sonicwall.com/webcfs03.global.sonicwall.com

1. それぞれのデータセンター内においてCFSサーバおよび通信経路は完全に2重化されています。
   CFSサーバの2重化に関しては、データセンター内の SonicWall UTM/NGFW のNATロードバランス機能により2重化されており、ユーザからは完全にシームレスな冗長構成となっています。
   
2. 特定のデータセンター全体の障害（あるいは一般的には定期メンテナンスなどによるサービス停止）時には、データセンターを切り替えることにより冗長化を行っています。この冗長構成については、DNSを利用して実現しています。
   global.sonicwall.com ゾーンを管理するDNSサーバは、常に各CFSサーバの死活監視を行っており、いずれかのCFSサーバの障害を検知した場合、自動的にDNSエントリーを他の地域のCFSサーバのIPアドレスに更新します。このDNSレコードのTTLは、合理的に十分短い時間となっており、ユーザのキャッシュ情報はタイムアウトし短い時間で新しいデータセンターのCFSサーバーへの問合せを開始します。ユーザが問題に気づく前にサービス中断は回復するでしょう。
   
3. UTM/NGFW装置では、タイムゾーンの設定によりプライマリーとしてアクセスするCFSサーバを切り替えており、地域的により近いCFSサーバに対して通信を行うようになっています。日本に設置されているUTM/NGFW装置は、タイムゾーンがJST（Japan Standard Time)  に設定されている場合、プライマリーとして webcfs01.global.sonicwall.com と通信を行います。オプションとして、"CFS サーバ フェイルオーバーを有効にする”が有効な場合、UTM/NGFW装置は、プライマリーのCFSサーバと通信に失敗する場合、その他の地域のCFSサーバと通信を試みます。 

ほとんどの場合CFSサーバの耐障害機能は、ユーザが気付く前に自動的にシームレスに実行されます。これらの機能を有効に利用するために、ユーザは、UTM/NGFW装置を配備する際にいくつか注意する事項があります。

(1) UTM/NGFW装置上位でACLを設定する場合、特定のサーバのIPアドレスでACLを設定しないでください。Webcfs00 ～ webcfs03 までの全てのサーバのIP アドレス宛の通信を許可してください。
(2) 前述のとおり、CFSサーバへのアクセスは、DNSプロトコルもしくはUDP: 2257の両方を使用します。SonicWall

UTM/NGFW アプライアンスを送信元とするDNS（UDP/TCP:53)およびUDP: 2257 を上位のルータのACLで許可してください。