ファイアーウォールルールの作成

ファイアーウォールルールを作成します。

図: ファイアーウォールルールの作成
注意: 実際の導入に際しては、所属する組織等のセキュリティポリシーに必ず従い、ルールの作成を行ってください。
参考: ファイアーウォール数、ルール数、ポリシー数に関する制限は、 IaaS 機能説明書 「付録 制限値」 ページ内にある 「ネットワークに関する制限値」-「表 8 : ネットワークに関する制限値一覧」 を参照してください。

以下の手順で作成します。

  1. [ファイアーウォールルール作成]画面を表示させます。
    1. [ファイアーウォール一覧]画面を表示させます。
      図: [ファイアーウォール一覧]画面
      1. IaaS ポータルのサイドバーから「ネットワーク」-「ファイアーウォール」をクリックします。
      2. 画面右上の[ルール一覧]ボタンをクリックします。
    2. [ファイアーウォールルール一覧]画面が表示されます。画面右上の作成ボタン ([+]) をクリックします。
      図: [ファイアーウォールルール一覧]画面
    [ファイアーウォールルール作成]画面が表示されました。
  2. ファイアーウォールルールを作成します。
    図: [ファイアーウォールルール作成]画面
    1. 以下を設定します。
      表 1.
      No 項目 説明 本ガイドでの設定値
      1 ルール名 任意の名称を255バイト以内で入力します。
      参考: 各サービスで使用可能な文字については、 IaaS 機能説明書 「付録 命名時に使用可能な文字」を参照してください。
      Test-firewallRule
      2 有効 「true/false」を選択します。 true
      3 AZ リソースを作成するアベイラビリティゾーンを選択します。
      参考: リージョンごとのAZ名(例)
      • 西日本2のAZ1:jp-west-2a
      • 西日本2のAZ2:jp-west-2b
      jp-west-2a
      4 allow/deny 許可ルール(allow)を作成するのか、拒否ルール (deny) を作成するのか選択します。 allow
      5 プロトコル 「TCP/UDP/ICMP/null」を選択します。 tcp
      6 送信元IPアドレス

      使用可能なIPv4アドレス (CIDR指定可) を入力します。

      何も入力しない場合は0.0.0.0/0が設定されます(不可視)

      192.168.0.0/24
      7 送信元ポート

      「1-65535」 (半角数字) または「開始:終了」 (範囲指定) で入力します。

      何も入力しない場合は「1-65535(全ポート)」が設定されます(不可視)

      -
      8 宛先IPアドレス 使用可能なIPv4アドレス (CIDR指定可) を入力します。

      何も入力しない場合は0.0.0.0/0が設定されます(不可視)

      192.168.246.0/24
      9 宛先ポート

      「1-65535」 (半角数字) または「開始:終了」 (範囲指定) で入力します。

      何も入力しない場合は「1-65535(全ポート)」が設定されます(不可視)

      22
      10 説明 1024バイト以内で入力します。(任意) -
    2. [次へ]ボタンをクリックします。
    [確認]画面が表示されます。
  3. 設定内容を確認し、問題なければ[作成]ボタンをクリックします。
    図: [ファイアーウォールルール作成 確認]画面
  4. 以下の画面が表示されます。[OK]ボタンをクリックします。
    図:
参考: OpenVPN接続のためのファイアーウォールルール設定例

本ガイドではOpenVPN接続を行うために、SSH(22)とSSL(443)を許可するルールを作成します。

  1. SSL(443)を許可するルール(SSL-VPN接続のために必要)
    注意: ファイアーウォール
    • SSL-VPNコネクション作成前にファイアーウォールを作成済の場合

      SSL-VPNコネクションへのアクセスを許可するファイアーウォールルール(443/TCP または1194/UDP)が自動的に追加されます(「送信元IPアドレス」は「省略」と設定され、すべてのIPアドレスからの通信が許可されます)

      SSL-VPN接続用のファイアーウォールルール名の例:ssl-vpn-connection-343ed159-7248-433d-92dc-ad1ab2bf964c

      参考: 必要に応じて「送信元IPアドレス」を指定してください。
    • SSL-VPNコネクション作成後にファイアーウォールを作成する場合

      SSL-VPN接続のために、以下のルールを手動で追加してください。

      表 2.
      送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
      SSL-VPNクライアントのIPアドレス 省略 SSL-VPN コネクションリソースのIPアドレス(SSL-VPNコネクションリソースの「internal_gateway」の値) 443または1194(本ガイドでは「443」を設定) *1 tcpまたはudp(本ガイドでは「tcp」を設定) *1

      *1: 使用するプロトコル種別に合わせて、以下のように設定する必要があります。

      表 3.
      SSL-VPN接続のプロトコル種別 ファイアーウォールの宛先ポート番号 ファイアーウォールのプロトコル
      tcp 443 tcp
      udp 1194 udp
  2. SSL-VPNコネクション通過後の通信のために必要なルール
    • SSHで接続する場合

      仮想サーバOSとしてCentOS等を導入しSSH接続する場合、以下のルールを作成してください。

      表 4.
      No 項目 説明 本ガイドでの設定値
      1 ルール名 任意の名称を255バイト以内で入力します。
      参考: 各サービスで使用可能な文字については、 IaaS 機能説明書 「付録 命名時に使用可能な文字」を参照してください。
      SSL-VPN-tcp22
      2 有効 「true/false」を選択します。 true
      3 AZ リソースを作成するアベイラビリティゾーンを選択します。
      参考: リージョンごとのAZ名(例)
      • 西日本2のAZ1:jp-west-2a
      • 西日本2のAZ2:jp-west-2b
      jp-west-2a
      4 allow/deny 許可ルール (allow) を作成するのか、拒否ルール (deny) を作成するのか選択します。 allow
      5 プロトコル 「TCP/UDP/ICMP/null」を選択します。 tcp
      6 送信元IPアドレス 使用可能なIPv4アドレス (CIDR指定可) を入力します。 SSL-VPN接続で設定したクライアントIPプールを入力します。 192.168.246.0/24
      7 送信元ポート 1以上65535以下の半角数字、または「開始ポート番号:終了ポート番号」 (範囲指定) で入力します。 1:65535
      8 宛先IPアドレス 使用可能なIPv4アドレス (CIDR指定可) を入力します。 サブネットの仮想ネットワークアドレスを入力します。 192.168.0.0/24
      9 宛先ポート 1以上65535以下の半角数字、または「開始ポート番号:終了ポート番号」 (範囲指定) で入力します。 22
      10 説明 1024バイト以内で入力します。(任意) -
    • Windowsリモートデスクトップで接続する場合

      仮想サーバOSとしてWindows Serverを導入してリモートデスクトップ接続を使用する場合、以下のルールを作成してください。

      表 5.
      No 項目 説明 本ガイドでの設定値
      1 ルール名 任意の名称を255バイト以内で入力します。
      参考: 各サービスで使用可能な文字については、 IaaS 機能説明書 「付録 命名時に使用可能な文字」を参照してください。
      Windows-RDP-3389
      2 有効 「true/false」を選択します。 true
      3 AZ リソースを作成するアベイラビリティゾーンを選択します。
      参考: リージョンごとのAZ名(例)
      • 西日本2のAZ1:jp-west-2a
      • 西日本2のAZ2:jp-west-2b
      jp-west-2a
      4 allow/deny 許可ルール (allow) を作成するのか、拒否ルール (deny) を作成するのか選択します。 allow
      5 プロトコル 「TCP/UDP/ICMP/null」を選択します。 tcp
      6 送信元IPアドレス 使用可能なIPv4アドレス (CIDR指定可) を入力します。 SSL-VPN接続で設定したクライアントIPプールを入力します。 192.168.246.0/24
      7 送信元ポート 1以上65535以下の半角数字、または「開始ポート番号:終了ポート番号」 (範囲指定) で入力します。 1:65535
      8 宛先IPアドレス 使用可能なIPv4アドレス (CIDR指定可) を入力します。 仮想サーバのIPアドレスを入力します。 192.168.0.0/24
      9 宛先ポート 1以上65535以下の半角数字、または「開始ポート番号:終了ポート番号」 (範囲指定) で入力します。 3389
      10 説明 1024バイト以内で入力します。(任意) -
参考:

その他、DNSを利用する場合やLinux系の仮想OSでyumリポジトリなどを利用する場合は、 tcp(53)、tcp(80)、tcp(443)、UDP(53)などの通信を許可するルールを適宜設定してください。

詳細は、 IaaS ポータルユーザーズガイド 「18.3 ファイアーウォールの作成手順」 を参照してください。