ファイアーウォールサービス

仮想サーバにパケットフィルタを設定するセキュリティグループに対し、ファイアーウォールサービスは仮想ルータにパケットフィルタを設定します。

下図のように、外部ネットワークと接続した仮想ルータに設定します。

図: ファイアーウォールサービスの利用イメージ

ファイアーウォールサービスは、以下の手順でフィルタリング情報を構成し、設定します。ファイアーウォールを仮想ルータに関連付けることで、設定したフィルタリングが行われるようになります。

  1. ファイアーウォールルールの作成
  2. ファイアーウォールポリシーを作成し、ルール群を登録
  3. ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け

    注: ファイアーウォールルールが設定された仮想ルータ配下では、異なるサブネットへの通信に対してもファイアーウォールルールが適用されます。

ファイアーウォールルールの作成/変更

以下の項目を指定して、ファイアーウォールルールを作成または変更します。

表 1. ファイアーウォールルール設定項目一覧
項目 説明 必須
ルール名 ルールの名称を指定する  
説明 説明文を記述する  
ルールの有効/無効 ルールを有効とするか無効とするかを指定する  
プロトコル

以下のどれかのプロトコルを指定する

  • tcp
  • udp
  • icmp
 
IPバージョン IPv4で指定する  
送信元IPアドレス 送信元のIPアドレスを指定する(CIDR形式での指定可能)  
送信元ポート番号 対象通信の送信元ポート番号を指定する(a:bの形式で範囲指定可能)  
宛先IPアドレス 通信の宛先IPアドレスを指定する(CIDR形式での指定可能)  
宛先ポート番号 対象通信の宛先ポート番号を指定する(a:bの形式で範囲指定可能)  
アクション 「許可(Allow)」または「禁止(Deny)」を指定する  
ヒント:
  • レスポンスパケット用の許可ルールを設定する必要はありません。
  • ファイアーウォールと仮想ルータのNAT機能を組み合わせて使用する場合、IPアドレスにはグローバルIPアドレスに対応するプライベートIPアドレスを指定してください。

    ファイアーウォールは、以下のタイミングで適用されます。

    • 内部ネットワークからインターネットへの通信の場合、SNATの実行前
    • インターネットから内部ネットワークへの通信の場合、DNATの実行後

ファイアーウォールポリシーの作成/変更

複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。優先順位に従いリスト内のルールが順次検証され、通信の可否を制御します。

ヒント:

ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許可ルールの定義されないトラフィックはデフォルトで遮断されます。(ホワイトリスト方式)

この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシーに表示されません。

注: 複数のファイアーウォールポリシーに同一のファイアーウォールルールを設定できません。

以下の項目を指定して、ファイアーウォールポリシーを作成または変更します。

表 2. ファイアーウォールポリシー設定項目一覧
項目 説明 必須
ポリシー名 ポリシーの名称を指定する  
説明 説明文を記述する  
ファイアーウォールルールリスト 作成済みのファイアーウォールルールをリスト形式で指定する。ここで指定したリストの上から順に、ルールが検証される  

ファイアーウォールの作成/変更

ルールを登録したファイアーウォールポリシーを指定して、仮想ルータにファイアーウォールを作成または変更します。

注:
  • 1つの仮想ルータに設定できるファイアーウォールは1つだけです。
  • 1つのファイアーウォールに設定できるファイアーウォールポリシーは1つだけです。
表 3. ファイアーウォール設定項目一覧
項目 説明 必須
ファイアーウォール名 ファイアーウォールの名称を指定する  
説明 説明文を記述する  
ファイアーウォールポリシーID 作成済みのファイアーウォールポリシーIDを指定する  
仮想ルータID

ファイアーウォールポリシーを適用する仮想ルータIDを指定する

重要: 省略した場合は、プロジェクト内すべての仮想ルータに適用されます。