ファイアーウォールサービス(nfv)

対象リージョン:東日本第3/西日本第3

ベアメタルサーバにパケットフィルタを設定するセキュリティグループに対し、ファイアーウォールサービスは仮想ルータにパケットフィルタを設定します。

下図のように、外部ネットワークと接続した仮想ルータに設定します。

図: ファイアーウォールサービスの利用イメージ

ファイアーウォールサービスは、以下の手順でフィルタリング情報を構成し、設定します。ファイアーウォールを仮想ルータに関連付けることで、設定したフィルタリングが行われるようになります。

  1. ファイアーウォールルールの作成
  2. ファイアーウォールポリシーを作成し、ルール群を登録
  3. ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け
注:
  • ファイアーウォールを作成する前に、ベアメタルサービス用の外部ゲートウェイを作成する必要があります。

    詳細は、APIリファレンスのCreate external gatewayを参照してください。

  • お客様のパソコンのサブネットと、IaaSの仮想ルータのサブネットは重複できません。
  • 1つの仮想ルータにおける同時に利用できないネットワークサービスについては、同時に利用できないネットワークサービスを参照してください。
  • ファイアーウォール機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。
  • ファイアーウォールの通信に関するログはサポートしていません。
  • ベアメタルサービスのフィルタリングは、FJcloud-O以外のネットワークとの通信だけを対象とします。

ファイアーウォールルールの作成/変更

以下の項目を指定して、ファイアーウォールルールを作成または変更します。

表 1. ファイアーウォールルール設定項目一覧
項目 説明 必須
ルール名 ルールの名称  
説明 説明文  
ルールの有効/無効 「有効(True)」または「無効(False)」  
プロトコル

以下のどれかのプロトコル

  • tcp
  • udp
  • icmp
 
IPバージョン IPv4  
送信元IPアドレス 送信元のIPアドレス(CIDR形式での指定可能)  
送信元ポート番号 対象通信の送信元ポート番号(a:bの形式で範囲指定可能)  
宛先IPアドレス 通信の宛先IPアドレス(CIDR形式での指定可能)  
宛先ポート番号 対象通信の宛先ポート番号(a:bの形式で範囲指定可能)  
アクション 「許可(Allow)」または「禁止(Deny)」  
注: ベアメタルサービスにおけるファイアーウォールではレスポンスパケット用の許可ルールを設定する必要があります。

ファイアーウォールポリシーの作成/変更

複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。優先順位に従いリスト内のルールが順次検証され、通信の可否を制御します。複数のファイアーウォールポリシーに同一のファイアーウォールルールは設定できません。

ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許可ルールの定義されないトラフィックはデフォルトで遮断されます(ホワイトリスト方式)。この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシーに表示されません。

以下の項目を指定して、ファイアーウォールポリシーを作成または変更します。

表 2. ファイアーウォールポリシー設定項目一覧
項目 説明 必須
ポリシー名 ポリシーの名称  
説明 説明文  
ファイアーウォールルールリスト

作成済みのファイアーウォールルールのリスト

ここで指定したリストの上から順に、ルールが検証されます。

 

ファイアーウォールの作成/変更

ルールを登録したファイアーウォールポリシーを指定して、仮想ルータにファイアーウォールを作成または変更します。

  • 1つの仮想ルータに設定できるファイアーウォールは1つだけです。
  • 1つのファイアーウォールに設定できるファイアーウォールポリシーは1つだけです。
表 3. ファイアーウォール設定項目一覧
項目 説明 必須
ファイアーウォール名 ファイアーウォールの名称  
説明 説明文  
ファイアーウォールポリシーID 作成済みのファイアーウォールポリシーID  
仮想ルータID

ファイアーウォールポリシーを適用する仮想ルータID