インストールおよびアップグレード > 高度な展開の検討事項 > ネットワーク設定 > ファイアウォール
  
ファイアウォール
ファイアウォールは、外部ネットワークに接続している場合は特に、ネットワークのセキュリティを保護するうえで欠かせない存在です。Windchill システムには、ファイアウォールを配置できる場所がいくつかありますが、最も一般的な場所は、クライアント層と Web サーバー層の間です。
クライアント層
ほとんどのクライアントアプリケーションは、HTTP 接続または HTTPS 接続を使用して Windchill にアクセスするため、HTTP 接続または HTTPS 接続を使用できる必要があります。HTTP と HTTPS のデフォルトポートは、それぞれ 80 と 443 です。
一部の Java クライアントは、Java のリモートメソッド呼び出し (RMI) を使用して、直接 Windchill にアクセスできます。このようなクライアントは、以下の wt.properties で指定されている RMI ポートを使用して、サーバーへの直接接続をデフォルトで試みることができます。
wt.manager.port
wt.method.minPort through wt.method.maxPort
* 
セキュリティ上の理由から、セキュリティ保護されたネットワーク境界の外部に RMI ポートを公開しないでください。RMI ポートは、既知のホストとクライアントの間でのみ公開されなければなりません。RMI ポートの詳細については、「コンフィギュレーションプロパティ」を参照してください。
RMI は、ソケットに実装された Java セントリックのリモートプロシージャコール (RPC) メカニズムです。RMI スタブオブジェクトは、RMI クライアントと RMI サーバーの間のリモートメソッド呼び出しを実行します。このスタブオブジェクトには、ホスト名とポート番号が含まれています。クライアントは、TCP 接続および IP 接続を開くときに、このスタブオブジェクトを使用します。Windchillは、以下の 2 つの RMI オブジェクトのみをクライアントに公開します。それらは、サーバーマネージャオブジェクトとメソッドサーバーオブジェクトです。ほかの RMI オブジェクトは、キャッシュされた情報を調整するためにサーバー間で使用されますが、これらの RMI オブジェクトはクライアントの接続に必要ありません。
RMI 通信では、HTTP または HTTPS によるトンネル化を強制することもできます。HTTP によるトンネル化は、直接 RMI 通信と同じくらい安全です。ただし、トンネル化では、HTTP と HTTPS のトラフィックを暗号化することによって、リバースプロキシを利用できます。RMI のトンネル化の詳細については、Windchill のランタイム環境を参照してください。
java.rmi.server.hostname プロパティで制御され、URL および RMI スタブに使用される Windchill サーバーのホスト名が、ファイアウォールの内側および外側のクライアントについて 1 つの IP アドレスに解決されなければなりません。ファイアウォールがネットワークアドレスの変換を実行しているか、または Windchill 接続の代理となるように設定されている場合、サーバーに接続するには、Windchill によってクライアントに提示されるホスト名が有効である必要があります。
既存の多くの Windchill アプリケーションは、Java RMI を使用してサーバートランザクションを呼び出します。中心となる通信形態は、このような形態から HTTP や XML へと移行しつつあります。しかし、当分は、Windchill 開発環境では、RMI を使用してリモートサービスメソッドを呼び出すクラスのコードの生成を引き続きサポートします。
Web 層
Windchill アプリケーションサーバーから分離された Web サーバー層を使用してシステムを設定することは、ますます一般的になっています。サーブレットエンジンは、以前と同様に、Windchill と同じサーバー上で動作するように設定されます。Windchill のインストールファイルには、HTTP Server という Apache ベースの Web サーバーと、(Apache Tomcat ベースの) Embedded Servlet Engine が含まれます。リモートの Apache Web サーバーと連動するように Windchill を設定する方法については、その他のオプションを使用した Apache および Tomcat の設定を参照してください。
場合によっては、Web サーバー層と Windchill アプリケーションサーバーとの間にファイアウォールを設定する方がよい場合もあります。この場合、Web サーバーは、以下のコンポーネントと通信できる必要があります。
LDAP サーバー : デフォルトポート 389。
サーブレットエンジン: デフォルトポート 8010 ~ 8018。
デフォルトの HTTP Server および Embedded Servlet Engine 設定では、これらが ajp13 プロトコルによって使用されるポートになります。実行中の Windchill メソッドサーバーごとに 1 つのポートと、一定のポート範囲があります。ポートの範囲によって、追加のメソッドサーバーの設定を処理できるようになります。このポート範囲は、以下のロジックに基づいて計算されます。
wt.servlet.ajp.minPort プロパティで、使用するポート番号の最小値を設定します。デフォルト値は 8010 です。
使用できるポート番号の最小値は 9 (wt.method.maxPort プロパティと wt.method.minPort プロパティの差) に 1 (追加のスペアのメソッドサーバー用) をプラスした数値です。
ポート範囲は <HTTP サーバーのホーム>/conf/extra/workers.properties ファイルにおいて AJP Worker を割り当てるために使用されます。HTTP Server はこれらのポートを通じて Embedded Servlet Engine と通信します。
データベース
ファイアウォールを配置する場所としてもう 1 つ一般的なのは、データベースサーバーとアプリケーションサーバーの間です。割り当てる必要がある適切なポートとプロトコルの詳細については、データベースソフトウェアのドキュメンテーションを参照してください。