ファイアーウォールサービス

対象リージョン:東日本第3/西日本第3

仮想サーバにパケットフィルタを設定するセキュリティグループに対し、ファイアーウォールサービスは仮想ルータにパケットフィルタを設定します。

下図のように、外部ネットワークと接続した仮想ルータに設定します。

図: ファイアーウォールサービスの利用イメージ

ファイアーウォールサービスは、以下の手順でフィルタリング情報を構成し、設定します。ファイアーウォールを仮想ルータに関連付けることで、設定したフィルタリングが行われるようになります。

  1. ファイアーウォールルールの作成
  2. ファイアーウォールポリシーを作成し、ルール群を登録
  3. ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け

    注: ファイアーウォールルールが設定された仮想ルータ配下では、異なるサブネットへの通信に対してもファイアーウォールルールが適用されます。
図: ファイアーウォールサービスのルール設定イメージ
ヒント:

仮想ルータに関連付けられたファイアーウォールは、サブネットセグメント(図の内部ネットワーク1)に含まれていないアドレスからのすべての通信をフィルタリングします。

図のように、内部ネットワーク2に所属する仮想サーバ2から、内部ネットワーク1に所属する仮想サーバ1へアクセスする場合には、仮想サーバ2からの通信を許可するファイアーウォールルールが必要です。

ファイアーウォールルールの作成/変更

以下の項目を指定して、ファイアーウォールルールを作成または変更します。レスポンスパケット用の許可ルールを設定する必要はありません。

注: IPCOMの冗長化を利用した通信には、双方向の通信を許可するファイアーウォールルールが必要です。
表 1. ファイアーウォールルール設定項目一覧
項目 説明 必須
ルール名 ルールの名称を指定する  
説明 説明文を記述する  
ルールの有効/無効 ルールを有効とするか無効とするかを指定する  
プロトコル

以下のどれかのプロトコルを指定する

  • tcp
  • udp
  • icmp
 
IPバージョン IPv4で指定する  
送信元IPアドレス 送信元のIPアドレスを指定する(CIDR形式での指定可能)  
送信元ポート番号 対象通信の送信元ポート番号を指定する(a:bの形式で範囲指定可能)  
宛先IPアドレス 通信の宛先IPアドレスを指定する(CIDR形式での指定可能)  
宛先ポート番号 対象通信の宛先ポート番号を指定する(a:bの形式で範囲指定可能)  
アクション 「許可(Allow)」または「禁止(Deny)」を指定する  
ヒント:
  • ファイアーウォールと仮想ルータのNAT機能を組み合わせて使用する場合、IPアドレスにはグローバルIPアドレスに対応するプライベートIPアドレスを指定してください。

    ファイアーウォールは、以下のタイミングで適用されます。

    • 内部ネットワークからインターネットへの通信の場合、SNATの実行前
    • インターネットから内部ネットワークへの通信の場合、DNATの実行後
  • 「tcp」プロトコルの通信時に通信先ポートが閉鎖されていると、ファイアーウォールに設定した許可ルールに関係なく通信先サーバからの応答が遮断されます。その結果、コネクションのタイムアウトが発生してしまうため、通信を許可する「tcp」プロトコルの通信先ポートを開放してください。

ファイアーウォールポリシーの作成/変更

複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。優先順位に従いリスト内のルールが順次検証され、通信の可否を制御します。

重要:

2020年4月20日現在、ファイアーウォールルールの順序変更のみを行う場合、ファイアーウォールポリシーに正常に反映できない不具合があることを確認しております。

ファイアーウォールルールの順序を変更する場合、必ず以下の手順で実施してください。

  1. 変更したいファイアーウォールルールと同一の内容で新規にファイアーウォールルールを作成(Create firewall rule
  2. 1.で作成したルールをファイアーウォールポリシーの変更したい箇所に挿入(Insert rule into a firewall policy
  3. ファイアーウォールポリシーから不要となったファイアーウォールルールを削除(Remove rule from firewall policy

ファイアーウォールルールの追加・削除を伴う順序変更の場合は、ファイアーウォールポリシーの更新(Update firewall policy)で実施可能です。

ヒント:

ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許可ルールの定義されないトラフィックはデフォルトで遮断されます。(ホワイトリスト方式)

この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシーに表示されません。

注: 複数のファイアーウォールポリシーに同一のファイアーウォールルールを設定できません。

以下の項目を指定して、ファイアーウォールポリシーを作成または変更します。

表 2. ファイアーウォールポリシー設定項目一覧
項目 説明 必須
ポリシー名 ポリシーの名称を指定する  
説明 説明文を記述する  
ファイアーウォールルールリスト 作成済みのファイアーウォールルールをリスト形式で指定する

ここで指定したリストの上から順にルールが検証されます。

 

ファイアーウォールの作成/変更

ルールを登録したファイアーウォールポリシーを指定して、仮想ルータにファイアーウォールを作成または変更します。

注:
  • 1つの仮想ルータに設定できるファイアーウォールは1つだけです。
  • 1つのファイアーウォールに設定できるファイアーウォールポリシーは1つだけです。
表 3. ファイアーウォール設定項目一覧
項目 説明 必須
ファイアーウォール名 ファイアーウォールの名称を指定する  
説明 説明文を記述する  
ファイアーウォールポリシーID 作成済みのファイアーウォールポリシーIDを指定する  
仮想ルータID

ファイアーウォールポリシーを適用する仮想ルータIDを指定する

重要: 省略した場合は、プロジェクト内すべての仮想ルータに適用されます。