ファイアーウォールサービス(nfv)
対象リージョン:東日本第3/西日本第3
ベアメタルサーバにパケットフィルタを設定するセキュリティグループに対し、ファイアーウォールサービスは仮想ルータにパケットフィルタを設定します。
下図のように、外部ネットワークと接続した仮想ルータに設定します。
ファイアーウォールサービスは、以下の手順でフィルタリング情報を構成し、設定します。ファイアーウォールを仮想ルータに関連付けることで、設定したフィルタリングが行われるようになります。
- ファイアーウォールルールの作成
- ファイアーウォールポリシーを作成し、ルール群を登録
- ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け
-
ファイアーウォールを作成する前に、ベアメタルサービス用の外部ゲートウェイを作成する必要があります。
詳細は、APIリファレンスのCreate external gatewayを参照してください。
- お客様のパソコンのサブネットと、IaaSの仮想ルータのサブネットは重複できません。
- 1つの仮想ルータにおける同時に利用できないネットワークサービスについては、同時に利用できないネットワークサービスを参照してください。
- ファイアーウォール機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。
- ファイアーウォールの通信に関するログはサポートしていません。
- ベアメタルサービスのフィルタリングは、FJcloud-O以外のネットワークとの通信だけを対象とします。
ファイアーウォールルールの作成/変更
以下の項目を指定して、ファイアーウォールルールを作成または変更します。
| 項目 | 説明 | 必須 |
|---|---|---|
| ルール名 | ルールの名称 | |
| 説明 | 説明文 | |
| ルールの有効/無効 | 「有効(True)」または「無効(False)」 | |
| プロトコル |
以下のどれかのプロトコル
|
|
| IPバージョン | IPv4 | |
| 送信元IPアドレス | 送信元のIPアドレス(CIDR形式での指定可能) | |
| 送信元ポート番号 | 対象通信の送信元ポート番号(a:bの形式で範囲指定可能) | |
| 宛先IPアドレス | 通信の宛先IPアドレス(CIDR形式での指定可能) | |
| 宛先ポート番号 | 対象通信の宛先ポート番号(a:bの形式で範囲指定可能) | |
| アクション | 「許可(Allow)」または「禁止(Deny)」 |
ファイアーウォールポリシーの作成/変更
複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。優先順位に従いリスト内のルールが順次検証され、通信の可否を制御します。複数のファイアーウォールポリシーに同一のファイアーウォールルールは設定できません。
ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許可ルールの定義されないトラフィックはデフォルトで遮断されます(ホワイトリスト方式)。この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシーに表示されません。
以下の項目を指定して、ファイアーウォールポリシーを作成または変更します。
| 項目 | 説明 | 必須 |
|---|---|---|
| ポリシー名 | ポリシーの名称 | |
| 説明 | 説明文 | |
| ファイアーウォールルールリスト |
作成済みのファイアーウォールルールのリスト ここで指定したリストの上から順に、ルールが検証されます。 |
ファイアーウォールの作成/変更
ルールを登録したファイアーウォールポリシーを指定して、仮想ルータにファイアーウォールを作成または変更します。
- 1つの仮想ルータに設定できるファイアーウォールは1つだけです。
- 1つのファイアーウォールに設定できるファイアーウォールポリシーは1つだけです。
| 項目 | 説明 | 必須 |
|---|---|---|
| ファイアーウォール名 | ファイアーウォールの名称 | |
| 説明 | 説明文 | |
| ファイアーウォールポリシーID | 作成済みのファイアーウォールポリシーID | |
| 仮想ルータID |
ファイアーウォールポリシーを適用する仮想ルータID |
◯ |