このトピックでは、インターネット境界ファイアウォール、VPC ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを作成するための一般的な設定例を紹介します。
インターネット境界ファイアウォールのポリシー例
Cloud Firewall のインバウンドおよびアウトバウンドトラフィックは、インターネット向けのトラフィックであり、南北のトラフィックとも呼ばれます。Cloud Firewall のアクセス制御機能を使用して、南北のトラフィックに対するアクセス制御ポリシーをカスタマイズできます。これにより、アクセストラフィックを詳細に制御し、ネットワークセキュリティを保護できます。インターネット境界ファイアウォールポリシーのパラメーターの詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
特定のポートへのインバウンドパブリックトラフィックの許可
例:Elastic Compute Service (ECS) インスタンスはプライベート IP アドレス `10.1.XX.XX` を持ち、`200.2.XX.XX/32` の Elastic IP アドレス (EIP) に関連付けられています。この例では、すべてのインバウンドインターネットトラフィック (送信元 `0.0.0.0/0`) がインスタンスの TCP ポート `80` にのみアクセスできるようにするポリシーを設定する方法を示します。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
インバウンド タブで、ポリシーの作成 をクリックします。インバウンドポリシーの作成 パネルの カスタム作成 タブで、次のポリシーを設定します。
インスタンスの TCP ポート 80 へのパブリックトラフィックを許可するポリシーを設定し、OK をクリックします。
主要なパラメーターを次の表に示します。
パラメーター
説明
値の例
ソースタイプ
ネットワークトラフィックの送信元。送信元タイプを選択し、対応する送信元アドレスを入力する必要があります。
IP
アクセスソース
0.0.0.0/0説明0.0.0.0/0はすべてのパブリック IP アドレスを表します。Destination Type
ネットワークトラフィックの送信先。送信先タイプを選択し、対応する送信先アドレスを入力する必要があります。
IP
宛先
200.2.XX.XX/32プロトコルの種類
トランスポート層プロトコル。有効な値:TCP、UDP、ICMP、ANY。特定のプロトコルが不明な場合は、ANY を選択します。
TCP
Port Type
宛先ポートのタイプと宛先ポート。
ポート
ポート
80/80アプリケーション
トラフィックのアプリケーションタイプ。
ANY
アクション
ポリシーに一致するトラフィックに対して実行するアクション。
許可
優先度
ポリシーの優先度。デフォルト値は [最低] で、最も低い優先度を示します。
最高
有効化ステータス
ポリシーを有効にするかどうかを設定します。作成時にポリシーを有効にしなかった場合でも、ポリシーリストで有効にできます。
有効
すべてのインスタンスへのすべてのパブリックトラフィックを拒否するポリシーを設定し、OK をクリックします。
次の主要なパラメーターで拒否ポリシーを作成します:
[送信先]:`0.0.0.0/0`
説明0.0.0.0/0はすべてのインスタンスの IP アドレスを表します。プロトコルタイプ: ANY
Port:
0/0説明0/0はインスタンスのすべてのポートを表します。アプリケーション: 任意
アクション:拒否
優先度:最低
設定が完了したら、[ホストの TCP ポート 80 へのインバウンドトラフィックを許可するポリシー] が [ホストへのすべてのインバウンドトラフィックを拒否するポリシー] よりも高い優先度を持つことを確認する必要があります。
VPC ファイアウォールのポリシー例
VPC ファイアウォールは、2 つの VPC 間のトラフィック (東西のトラフィックとも呼ばれる) を検出および制御するために使用できます。2 つの VPC 間のトラフィックを管理する場合、疑わしいまたは悪意のあるトラフィックを拒否するか、最初に信頼できるトラフィックを許可してから他のアドレスからのアクセスを拒否する必要があります。VPC ファイアウォールポリシーの設定については、「VPC ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
異なる VPC 内の ECS インスタンス間のトラフィックの拒否
デフォルトでは、VPC が Cloud Enterprise Network (CEN) インスタンスまたは Express Connect 回線によって接続されている場合、2 つの VPC 内の ECS インスタンスは相互に通信できます。
例:VPC1 と VPC2 は同じ CEN インスタンスによって接続されています。IP アドレス `10.33.XX.XX/32` を持つ ECS1 は VPC1 にデプロイされています。IP アドレス `10.66.XX.XX/32` を持つ ECS2 は VPC2 にデプロイされています。この例では、ECS1 から ECS2 へのアクセスを拒否します。
Log on to the Cloud Firewall コンソール
左側のナビゲーションウィンドウで、 を選択します。
VPC 境界 ページで、ポリシーの作成 をクリックします。
ポリシーの作成 - VPC ボーダー パネルで、次の表の説明に従ってポリシーを設定し、Confirm をクリックします。
主要なパラメーターを次の表に示します。
パラメーター
説明
値の例
ソースタイプ
トラフィックソースのタイプです。
IP
アクセスソース
トラフィックソースのアドレスです。
10.33.XX.XX/32Destination Type
トラフィックの宛先のタイプです。
IP
宛先
トラフィックの宛先アドレスです。
10.66.XX.XX/32プロトコルタイプ
トラフィックのプロトコルです。
TCP
Port Type
ポートのタイプです。
Port
ポート
許可または制限するポートを設定します。 Port Type 設定に基づいて単一のポートを手動で入力するか、選択 をクリックしてアドレス帳から事前設定された [ポートアドレス帳] を選択できます。
0/0アプリケーション
トラフィックのアプリケーションタイプです。
ANY
アクション
トラフィックに対して実行するアクションです。VPC ファイアウォールを通過するトラフィックを許可または拒否できます。
Deny
内部ファイアウォールのポリシー例
内部ファイアウォールは、ECS インスタンス間のインバウンドおよびアウトバウンドトラフィックを制御して、不正なアクセスを制限します。内部ファイアウォールのアクセス制御ポリシーは、ECS セキュリティグループに自動的に同期され、公開後に有効になります。内部ファイアウォールポリシーの設定の詳細については、「セキュリティグループの設定」をご参照ください。
ポリシーグループ内での ECS 通信の有効化
デフォルトで同じグループ内のインスタンス間の通信を許可する標準の ECS セキュリティグループとは異なり、Cloud Firewall の内部ファイアウォールでは、そのようなトラフィックを有効にするポリシーを明示的に作成する必要があります。
例:ECS1 (IP アドレス `10.33.XX.XX`) と ECS2 (IP アドレス `10.66.XX.XX`) はポリシーグループ `sg-test` に属しています。この例では、それらの間の通信を有効にする方法を示します。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
Security Group Configuration ページで、対象のポリシーグループを見つけ、Actions 列の ポリシー設定 をクリックします。
インバウンド タブで、ポリシーの作成 をクリックします。
インバウンドの許可ポリシーを設定します。主要なパラメーターは次のとおりです:
パラメーター
説明
値の例
ポリシータイプ:
ポリシーのタイプ。
許可
プロトコルタイプ
トラフィックのプロトコルタイプ。
TCP
ポート範囲
トラフィックが使用するポート範囲。
0/0ソースタイプ、 ソースオブジェクト
アクセストラフィックの送信元を選択します。このパラメーターは、ポリシーの方向が Inbound に設定されている場合に必要です。送信元アドレスのタイプを選択し、送信元タイプに基づいて送信元オブジェクトを設定できます。
送信元タイプ:ポリシーグループ
送信元オブジェクト:sg-test
ターゲット選択
トラフィックの送信先。このパラメーターはインバウンドポリシーに必要です。
アドレスセグメントアクセス (CIDR ブロック:10.66.XX.XX)
説明ポリシーグループ内のすべての ECS インスタンス間の通信を有効にするには、ターゲット選択 を All ECS Instances に設定します。
ポリシーグループ内の特定の ECS インスタンス間の通信を有効にするには、ターゲット選択 を CIDR Block に設定し、ピア ECS インスタンスの CIDR ブロックを入力します。
高度セキュリティグループを使用する場合は、アウトバウンドの許可ポリシーも設定する必要があります。
基本セキュリティグループは、デフォルトですべてのアウトバウンドトラフィックを許可します。基本セキュリティグループにはアウトバウンドポリシーは必要ありません。
インバウンドポリシーと同様にアウトバウンドポリシーを設定できます。主要なパラメーターは次のとおりです:
ソースタイプ:IP
ソースオブジェクト:
10.66.XX.XXCIDR ブロック:
10.33.XX.XX
ポリシーグループ間での ECS 通信の有効化
例:ECS1 (IP アドレス `10.33.XX.XX`) と ECS2 (IP アドレス `10.66.XX.XX`) は異なる内部ファイアウォールポリシーグループに属しています。この例では、それらの間の通信を有効にする方法を示します。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
Security Group Configuration ページで、ECS1 を含むポリシーグループを見つけ、Actions 列の ポリシー設定 をクリックします。
インバウンド タブで、[ポリシーの作成] をクリックします。
インバウンドの許可ポリシーを設定します。主要なパラメーターは次のとおりです:
パラメーター
説明
値の例
ポリシータイプ
ポリシーのタイプ。
許可
プロトコルタイプ
トラフィックのプロトコルタイプ。
TCP
ポート範囲
トラフィックが使用するポート範囲。
0/0ソースタイプ, ソースオブジェクト
トラフィックの送信元。このパラメーターはインバウンドポリシーに必要です。送信元タイプを選択し、送信元オブジェクトを指定する必要があります。
送信元タイプ:IP
送信元オブジェクト:
10.66.XX.XX
ターゲット選択
トラフィックの送信先。このパラメーターはインバウンドポリシーに必要です。
アドレスセグメントアクセス (CIDR ブロック:10.33.XX.XX)
説明sg-test2 ポリシーグループの ECS インスタンスが sg-test1 ポリシーグループのすべての ECS インスタンスにアクセスできるようにする場合は、ターゲット選択 を All ECS Instances に設定します。
sg-test2 ポリシーグループの ECS インスタンスが sg-test1 ポリシーグループの特定の ECS インスタンスにアクセスできるようにする場合は、ターゲット選択 を CIDR Block に設定し、sg-test1 ポリシーグループの ECS インスタンスの CIDR ブロックを入力します。
高度セキュリティグループを使用する場合は、アウトバウンドの許可ポリシーも設定する必要があります。
基本セキュリティグループは、デフォルトですべてのアウトバウンドトラフィックを許可します。基本セキュリティグループにはアウトバウンドポリシーは必要ありません。
インバウンドポリシーと同様にアウトバウンドポリシーを設定できます。主要なパラメーターは次のとおりです:
ソースタイプ:IP
ソース:
10.33.XX.XXCIDR ブロック:
10.66.XX.XX
同様に、ECS2 に対応するインバウンドおよびアウトバウンドの許可ポリシーを設定します。