ファイアーウォールサービスおよびセキュリティグループ機能との関係

対象リージョン:東日本第1/第2、西日本第1/第2

仮想ルータ上のファイアーウォールが有効になっている場合、ファイアーウォールとの関係は以下のようになります。SSL-VPN接続のための許可ルールが自動的に追加されますが、仮想サーバへのログインに利用するSSH通信などは、ファイアーウォールサービスで明示的に許可する必要があります。

ヒント:
  • SSL-VPN Connectionリソースにはセキュリティグループの設定が可能です。設定を省略した場合は、通信を遮断しないセキュリティグループが自動的に設定されます。
  • 「例2:サービス用とメンテナンス用でネットワークを同一にする構成」の場合は、ファイアーウォールとセキュリティグループに、両方のネットワークの通信を許可するルールを設定してください。

ファイアーウォールサービスおよびセキュリティグループ機能を使用したイメージは、以下のとおりです。

図: SSL-VPNの通信イメージ


ファイアーウォールサービスを利用する場合、以下の許可ルールが必要です。

  • SSL-VPN接続のためのファイアーウォールルール
  • SSL-VPN Connection通過後の通信のためのファイアーウォールルール

SSL-VPN接続のためのファイアーウォールルール

SSL-VPN Connectionリソース作成前にファイアーウォールサービスが作成されている場合は、SSL-VPN Connectionリソース作成時に、「送信元IPアドレス」値が「省略」となるファイアーウォールルール(443/TCP または 1194/UDP)が自動的に追加されます。

ヒント: 自動的に追加されたファイアーウォールルールをほかのファイアーウォールポリシーに関連付けると、SSL-VPN Connectionリソースの削除が失敗します。SSL-VPN Connectionリソースを削除する前に、関連付けを解除してください。

SSL-VPN Connectionリソース作成後に、ファイアーウォールサービスを作成する場合は、本ルールを手動で追加してください。

表 1. SSL-VPN接続のためのファイアーウォールルール
送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
お客様のパソコンのIPアドレス (SSL-VPNクライアント) 省略 SSL-VPN ConnectionリソースのIPアドレス ※1

SSL-VPN接続ポート番

443または1194 ※2

SSL-VPN接続プロトコル

tcpまたはudp ※2

※1: SSL-VPN Connectionリソースの「internal_gateway」の値です。

※2: SSL-VPN Connectionに設定したプロトコル種別と合わせて設定されます。手動で設定する場合は、プロトコル種別と合わせて設定してください。

  • プロトコル種別が「tcp」の場合

    • 宛先ポート番号: 443
    • プロトコル: tcp
  • プロトコル種別が「udp」の場合

    • 宛先ポート番号: 1194
    • プロトコル: udp
ヒント: ファイアーウォールルールを変更したい場合は、SSL-VPN Connectionリソース作成後に変更できます。

SSL-VPN Connection通過後の通信のためのファイアーウォールルール

SSL-VPN Connection通過後の通信のため、明示的に許可するルールを追加してください。

表 2. SSL-VPN Connection通過後の通信のためのファイアーウォールルール
送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
SSL-VPNのクライアントアドレスプールCIDR ※3 省略 仮想サーバ (接続先のサーバ) SSL-VPN Connection通過後の通信ポート番号 ※4 SSL-VPN Connection 通過後の通信プロトコル ※4

※3: SSL-VPN ConnectionリソースのSSL-VPNクライアントが使用する仮想ネットワークCIDR(client_address_pool_cidr)です。詳細はAPIリファレンス(Network編)「Create SSL VPN V2 Connection」を参照してください。

※4: 例えば、仮想サーバにSSH接続をする場合は、以下を指定します。

  • 宛先ポート番号: 22
  • プロトコル: tcp

SSL-VPN接続のためのセキュリティグループルール

セキュリティグループを設定する場合、以下の許可ルールが必要です。

表 3. SSL-VPN接続のためのセキュリティグループルール
方向 通信相手 プロトコル種別 開始ポート番号 終了ポート番号
インバウンド (Ingress) お客様のパソコン (SSL-VPNクライアント) tcpまたはudp ※1 443または1194 ※1 開始ポート番号と同じ値
アウトバウンド (Egress) ※2 仮想サーバ (接続先サーバ) SSL-VPN Connection通過後の通信プロトコル SSL-VPN Connection通過後の通信ポート番号 開始ポート番号と同じ値

※1: SSL-VPN Connectionに設定したプロトコル種別と合わせて設定します。

  • プロトコル種別が「tcp」の場合

    • プロトコル種別: tcp
    • 開始ポート番号: 443
    • 終了ポート番号: 443
  • プロトコル種別が「udp」の場合

    • プロトコル種別: udp
    • 開始ポート番号: 1194
    • 終了ポート番号: 1194

※2: セキュリティグループを作成した時点でのデフォルトルールでは、アウトバウンド方向のすべての通信を許可するルールが設定されています。明示的にアウトバウンド方向の通信を制限するためには、デフォルトルールを削除した後に、本ルールを追加してください。

※3: 例えば、仮想サーバにSSH接続をする場合は、以下を指定します。

  • プロトコル種別: tcp
  • 開始ポート番号: 22
  • 終了ポート番号: 22