Cloud Enterprise Network:Cloud Firewallを使用したVPC境界トラフィックの保護

シナリオ

上記のように、中国 (杭州) リージョンにVPC1とVPC2という名前の2つのVPCを作成しました。 2つのVPCは、トランジットルーターを介して接続されます。 VPC1とVPC2間のトラフィックフローを管理および保護するために、トランジットルーターにCloud Firewallをデプロイし、セキュリティ保護を強化するためのトラフィックリダイレクトポリシーを設定できます。

ファイアウォールの作成時には、自動と手動の2つのトラフィックリダイレクトモードが使用できます。

• 自動トラフィックリダイレクトモードでは、ビジネス要件に基づいてネットワークインスタンスのトラフィック転送シナリオを作成できます。 VPCファイアウォール機能は、シナリオに基づいてEnterprise Editionトランジットルーターのルーティングを自動的に設定し、VPCファイアウォールがトラフィックをリダイレクトするためのelastic network interface (ENI) を作成します。

• 手動トラフィックリダイレクトモードでは、Enterprise EditionトランジットルーターにVPCファイアウォール用のelastic network interface (ENI) を作成し、トラフィックをENIにリダイレクトするルートを設定する必要があります。

2つのモードのビジネスへの影響は次のとおりです。

• 自動トラフィックリダイレクトモードでは、VPCファイアウォールを有効または無効にするために約5分から30分かかります。 期間はルートの数によって異なります。 ワークロードは影響を受けません。

• 手動トラフィックリダイレクトモードでは、VPCファイアウォールを有効または無効にすると、ワークロードが影響を受けます。 ワークロードが影響を受ける期間は、トラフィックのリダイレクト設定によって異なります。

このトピックでは、例として自動トラフィックのリダイレクトを使用します。 手動モードについては、「Cloud Firewallドキュメント」をご参照ください。

制限事項

• VPCファイアウォールを有効にする前に、Cloud_Firewall_VPCという名前のVPCが作成され、アカウント内のVPCクォータが十分であることを確認してください。 VPCクォータの詳細については、「制限とクォータ」をご参照ください。

• 自動トラフィックリダイレクトモードは、次のシナリオではサポートされていません。

  • Enterprise Editionトランジットルーターのルートテーブルには、100.64.0.0/10の静的ルートとそのサブネットCIDRブロックを除いて、静的ルートが存在します。

  • VPC、VBR、またはトランジットルーター用に複数のトラフィックリダイレクトシナリオが設定されています。

  • Basic Editionトランジットルーターが自動トラフィック転送モードに追加されました。

  • トランジットルーターにはルートの競合があります。

  • VPCプレフィックスリスト機能が使用されます。

• IPSec-VPNまたはSSL VPN機能を使用してVPCに直接関連付けられているVPNゲートウェイはサポートされていません。 ただし、IPsec-VPN接続を使用してトランジットルーターに追加されるVPNゲートウェイはサポートされています。 詳細については、「IPsec-VPN接続とトランジットルーターの関連付け」をご参照ください。

• VPCファイアウォールはIPv6アドレスのトラフィックを保護できません。

• ネットワークリソースが存在するリージョンは、VPCファイアウォール機能でサポートされています。 それ以外の場合、VPCファイアウォールは作成できません。 詳細については、「サポートされているリージョン」をご参照ください。

前提条件

• 次のように計画されたリソースで2つのVPCが作成されました。

  パラメーター	VPC1	VPC2
  リージョン	中国 (杭州)	中国 (杭州)
  CIDRブロック	10.0.0.0/ 16	172.16.0.0/ 16
  vSwitch1	ゾーンJ CIDRブロックは10.0です。0 .0/ 24	ゾーンJ CIDRブロックは172.16です。0 .0/ 24
  vSwitch2	ゾーンK CIDRブロックは10.0です。1 .0/ 24	ゾーンK 172.16. 1 .0/ 24

• 2つのVPC間にイントラリージョン相互接続が作成されました。

• Cloud Firewallをサブスクライブし、クラウドリソースへのアクセス権限を付与していること。

VPCファイアウォールの設定

ステップ1: 事前チェック

1. CENコンソールにログインします。

2. インスタンス ページで、管理するCENインスタンスのIDをクリックします。

3. 基本情報 > トランジットルータータブをクリックし、宛先リージョンのトランジットルーターを見つけます。 [セキュリティ保護] 列で、セキュリティ保護アイコンにカーソルを合わせます。 ツールチップで、[Cloud Firewallの有効化] をクリックします。

4. Cloud Firewallインターフェイスで、[自動] を選択し、[今すぐチェック] をクリックします。

   

5. チェックが失敗した場合:

   1. 「VPCファイアウォールアセットの同期が完了していません」とプロンプト

      1. Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ.

      2. ファイアウォールスイッチページで、VPC 境界ファイアウォールタブをクリックします。

      3. VPC 境界ファイアウォールタブで、CEN (エンタープライズ版)タブをクリックします。

      4. アセットリストに利用可能なアセットが表示されない場合、[アセットの同期] をクリックして、現在のAlibaba Cloudアカウント内のアセットとAlibaba Cloudアカウントのメンバーに関する情報を同期できます。

         

         重要

         アセットの同期には約5〜10分かかる場合があります。 同期が完了するまで待ちます。

   2. 「ルートテーブルにプレフィックスリスト、ブラックホールルート、静的ルート、またはルート競合が存在する」とプロンプトを表示します。

      • ルートエントリが不要で、その削除が操作に影響しない場合は削除できます。 詳細については、「トランジットルーターのカスタムルートエントリの削除」をご参照ください。

        警告

        ルートエントリの削除がビジネスに影響を与える可能性がある場合は注意してください。

      • ルートエントリを保持する必要がある場合は、手動モードを参照してください。

   3. 他のプロンプトの場合は、プロンプトに記載されている指示に従って処理します。

6. チェックが成功したら、[次へ] をクリックして作成ページに進みます。

手順2: ファイアウォールの作成

1. ファイアウォールのパラメータを次のように設定します。

   • ファイアウォール名: cfw1

   • ファイアウォールのVPC CIDRブロック: 192.168.0.0/27

   • 他のすべてのパラメータはデフォルト値のままにします。

   をクリックしてパラメーターの説明を表示します。

   パラメーター	説明
   ファイアウォールの基本情報	ファイアウォール名: VPCファイアウォールの名前を指定します。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
   ファイアウォール VPC の設定	CIDRブロックをVPCファイアウォールに割り当てます。 VPCファイアウォールが期待どおりに機能するようにするには、マスクの長さが27ビット以上で、ネットワークプランと競合しないCIDRブロックを割り当てます。 説明 ビジネスがレイテンシーに敏感な場合、ファイアウォールのvSwitchとビジネスVPCのvSwitchに同じゾーンを指定して、レイテンシーを最小限に抑えることができます。 使用可能なvSwitchリージョンを設定しない場合、Cloud Firewallは自動的にゾーンを割り当てます。
   侵入防止	IPSの動作モードと、有効にする侵入防止ポリシーを指定します。 IPSモード 観察モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。 ブロックモード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。 IPS機能 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。 仮想パッチ適用: 仮想パッチ適用を使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。 説明 この設定は、同じCENインスタンスに属するすべてのネットワークインスタンスに適用されます。

2. [作成の開始] をクリックして、次のページに移動します。 作成プロセスが完了するまで待ちます。これには約10分かかります。

   

   説明

   このステップでは、システムは自動的にバックグラウンドでファイアウォールVPCを設定し、このVPCにクラウドファイアウォールをホストするためのクラウドファイアウォールインスタンスを作成します。 設定または編集できず、VPCコンソールでは表示されません。

3. 作成が完了したら、[次へ] をクリックして設定ページに進みます。

   

ステップ3: トラフィックのリダイレクトを有効にする

1. トラフィックのリダイレクト設定ページで、次のようにパラメーターを設定し、[次へ] をクリックします。

   1. テンプレート名: Template1

   2. シナリオの選択: インスタンスの選択

   3. [トラフィックリダイレクトインスタンス]:

      1. 1行目: インスタンスタイプをVPC、インスタンスIDをVPC1に設定します。

      2. 2行目: インスタンスタイプをVPC、インスタンスIDをVPC2に設定します。

   

   をクリックしてパラメーターの説明を表示します。

   パラメーター	説明
   基本情報	テンプレート名: トラフィックリダイレクトテンプレートの名前を指定します。
   シナリオの選択	VPCファイアウォールがトラフィックを管理および保護するシナリオのタイプを選択します。 Instance-Instance: このオプションを選択すると、Cloud Firewallは2つのネットワーク要素間のトラフィックを管理します。 このオプションは、単純なネットワークトポロジーに適しています。 Instance to Instances: このオプションを選択すると、Cloud Firewallは1つのネットワーク要素と複数のネットワーク要素間のトラフィックを管理します。 このオプションは、スターネットワークトポロジに適しています。 このオプションを選択すると、セカンダリインスタンスのインスタンスタイプをすべてに設定できます。 これにより、Cloud Firewallはプライマリインスタンスのすべてのトラフィックを管理します。 この設定は、Basic Editionトランジットルーター用に作成されたVPCファイアウォールのトラフィックリダイレクションシナリオと同等です。 重要 routing policy ActionがDenyに設定されているルーティングポリシーがトランジットルーターのルートテーブルに関連付けられている場合、Instance to Instancesタイプはサポートされていません。 相互接続されたインスタンスタイプを選択することを推奨します。 相互接続されたインスタンス: このオプションを選択すると、クラウドファイアウォールは複数のネットワーク要素間のトラフィックを管理します。 このオプションは、フルメッシュネットワークトポロジに適しています。 説明 ネットワーク要素は、Enterprise Editionトランジットルーターを使用して接続されるネットワークインスタンスです。 ネットワーク要素は、VPC、VBR、またはトランジットルーターです。
   トラフィックリダイレクトインスタンスの選択	インスタンスタイプとインスタンスIDを設定します。

2. 設定プロセスには約30分かかります。 完了すると、VPC1とVPC2間のトラフィック保護が確立されます。

3. トラフィックのリダイレクトを設定すると、システムは次のリソースを自動的に作成します。

   1. トランジットルーターとクラウドファイアウォールをリンクする、トランジットルーター内のファイアウォールVPC接続 (Cloud_Firewall_Attachmentという名前) 。

      

   2. トランジットルーターの3つの新しいルートテーブル (詳細は次のとおり) 。

      名前	説明	関連転送	ルート学習
      Cloud_Firewall_ROUTE_TABLE	ファイアウォールVPCからトランジットルーターへのトラフィックは、このルートテーブルを照会します。	クラウドファイアウォールVPC接続のアタッチ (Cloud_Firewall_Attachment)	VPC1およびVPC2
      Please_Do_Not_Edit_Cloud_Firewall_Route_Table	VPC1から中継ルータへのトラフィックは、このルートテーブルを照会します。 ルートテーブルは8つのルートエントリを含み、そのうちの4つは自動的に学習され、他の4つはシステムによって自動的に追加される静的ルートである。 静的なものは、自動的に学習されたものよりも詳細であり、トラフィックをVPC1からファイアウォールVPCに転送することを目的としています。	VPC1接続の接続	VPC1およびVPC2
      Please_Do_Not_Edit_Cloud_Firewall_Route_Table	VPC2から中継ルータへのトラフィックは、このルートテーブルを照会します。 ルートテーブルは8つのルートエントリを含み、そのうちの4つは自動的に、他の4つはシステムによって自動的に追加される静的ルートである。 静的なものは、自動的に学習されたものよりも詳細で、トラフィックをVPC2からファイアウォールVPCに転送することを目的としています。	VPC2接続の接続	VPC1およびVPC2

      警告

      自動作成されたルートテーブルとトランジットルーターのエントリを手動で変更しないでください。 これはトラフィックを混乱させ、ビジネスオペレーションに影響を与える。

よくある質問

トラフィックのリダイレクトシナリオを変更するにはどうすればよいですか。

1. CENインスタンスの製品ページに移動し、対象のトランジットルーターを見つけ、セキュリティ保護アイコンをクリックしてCloud Firewallコンソールにアクセスします。

2. Cloud Firewallコンソールで手順を実行します。 詳細については、「自動モードの変更」をご参照ください。

VPCファイアウォールを編集または削除するにはどうすればよいですか。

1. CENインスタンスの製品ページに移動し、対象のトランジットルーターを見つけ、セキュリティ保護アイコンをクリックしてCloud Firewallコンソールにアクセスします。

2. Cloud Firewallコンソールで次の手順を実行します。 詳細については、「VPCファイアウォールの編集または削除」をご参照ください。

クラウドファイアウォールはどのように課金されますか?

料金はCloud Firewallでカバーされます。 詳細については、「課金の概要」をご参照ください。