ファイアーウォールサービス
対象リージョン:東日本第1/第2、西日本第1/第2
仮想サーバにパケットフィルタを設定するセキュリティグループに対し、ファイアーウォールサービスは仮想ルータにパケットフィルタを設定します。
下図のように、外部ネットワークと接続した仮想ルータに設定します。
ファイアーウォールサービスは、以下の手順でフィルタリング情報を構成し、設定します。ファイアーウォールを仮想ルータに関連付けることで、設定したフィルタリングが行われるようになります。
- ファイアーウォールルールの作成
- ファイアーウォールポリシーを作成し、ルール群を登録
- ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け
ファイアーウォールルールの作成/変更
以下の項目を指定して、ファイアーウォールルールを作成または変更します。
項目 | 説明 | 必須 |
---|---|---|
ルール名 | ルールの名称 | |
説明 | 説明文 | |
ルールの有効/無効 | 「有効(True)」または「無効(False)」 | |
プロトコル |
以下のどれかのプロトコル
|
|
IPバージョン | IPv4 | |
送信元IPアドレス | 送信元のIPアドレス(CIDR形式での指定可能) | |
送信元ポート番号 | 対象通信の送信元ポート番号(a:bの形式で範囲指定可能) | |
宛先IPアドレス | 通信の宛先IPアドレス(CIDR形式での指定可能) | |
宛先ポート番号 | 対象通信の宛先ポート番号(a:bの形式で範囲指定可能) | |
アクション | 「許可(Allow)」または「禁止(Deny)」 | |
アベイラビリティゾーン名 |
ルールを作成するアベイラビリティゾーン名 省略した場合は、デフォルトのアベイラビリティゾーンに作成されます。 |
-
ファイアーウォールサービスはステートフルインスペクション方式です。
-
リクエストパケットの許可ルールだけ設定してください。
レスポンスパケットの許可ルールは設定不要です。
-
リクエストパケットとレスポンスパケットには同一の通信経路を設定してください。
通信経路が同一ではない場合、通信できません。
-
-
ファイアーウォールと仮想ルータのNAT機能を組み合わせて使用する場合、IPアドレスにはグローバルIPアドレスに対応するプライベートIPアドレスを指定してください。
ファイアーウォールは、以下のタイミングで適用されます。
- 内部ネットワークからインターネットへの通信の場合、SNATの実行前
- インターネットから内部ネットワークへの通信の場合、DNATの実行後
ファイアーウォールポリシーの作成/変更
複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。優先順位に従いリスト内のルールが順次検証され、通信の可否を制御します。
ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許可ルールの定義されないトラフィックはデフォルトで遮断されます。(ホワイトリスト方式)
この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシーに表示されません。
以下の項目を指定して、ファイアーウォールポリシーを作成または変更します。
項目 | 説明 | 必須 |
---|---|---|
ポリシー名 | ポリシーの名称 | |
説明 | 説明文 | |
ファイアーウォールルールリスト |
作成済みのファイアーウォールルール(リスト形式) ここで指定したリストの上から順に、ルールが検証されます。 |
|
アベイラビリティゾーン名 |
ポリシーを作成するアベイラビリティゾーン名 省略した場合は、デフォルトのアベイラビリティゾーンに作成されます。 |
ファイアーウォールの作成/変更
ルールを登録したファイアーウォールポリシーを指定して、仮想ルータにファイアーウォールを作成または変更します。
項目 | 説明 | 必須 |
---|---|---|
ファイアーウォール名 | ファイアーウォールの名称 | |
説明 | 説明文 | |
ファイアーウォールポリシーID | 作成済みのファイアーウォールポリシーID | |
仮想ルータID |
ファイアーウォールポリシーを適用する仮想ルータID 注: 省略した場合は、アベイラビリティゾーン内すべての仮想ルータに適用されます。
|
|
アベイラビリティゾーン名 |
ファイアーウォールを作成するアベイラビリティゾーン名 省略した場合は、デフォルトのアベイラビリティゾーンに作成されます。 |