このトピックでは、インターネットファイアウォール、VPC ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを構成する方法の例を示します。
インターネットファイアウォールのアクセス制御ポリシーを構成する
Cloud Firewall では、インバウンドトラフィックとアウトバウンドトラフィックは、南北トラフィックおよびインターネットトラフィックとも呼ばれます。[Cloud Firewall コンソール] でアクセス制御ポリシーを構成して、南北トラフィックを管理できます。アクセス制御ポリシーを作成すると、Cloud Firewall は正確なアクセス制御を実行してネットワークセキュリティを確保します。インターネットファイアウォール用に構成できるアクセス制御ポリシーのパラメーターの詳細については、「インターネットファイアウォールのインバウンドおよびアウトバウンドアクセス制御ポリシーを作成する」をご参照ください。
指定されたポート宛てのインターネットトラフィックを許可するインバウンドポリシーを構成する
たとえば、Elastic Compute Service (ECS) インスタンスの TCP ポート 80 のみに宛てられたインターネットトラフィックを許可するインバウンドポリシーを作成するとします。ECS インスタンスの IP アドレスは 10.1.XX.XX、エラスティック IP アドレス (EIP) は 200.2.XX.XX/32 です。
左側のナビゲーションウィンドウで、 を選択します。
[インバウンド] タブで、[ポリシーの作成] をクリックします。[インバウンドポリシーの作成] パネルで、[ポリシーの作成] タブをクリックして、ポリシーを構成します。
すべてのソースからの ECS インスタンスへのインターネットトラフィックを許可するようにポリシーを構成し、[OK] をクリックします。
次の表にパラメーターを示します。
パラメーター
説明
例
[ソースの種類]
ネットワークトラフィックの開始元。ソースの種類を選択し、ソースの種類に基づいてソースアドレスを指定する必要があります。
IP
[ソース]
0.0.0.0/0
説明値 0.0.0.0/0 は、すべてのパブリック IP アドレスを指定します。
[宛先の種類]
ネットワークトラフィックの受信者。宛先の種類を選択し、宛先の種類に基づいて宛先アドレスを指定する必要があります。
IP
[宛先]
200.2.XX.XX/32
[プロトコルの種類]
トランスポート層プロトコルの種類。有効値: [TCP]、[UDP]、[ICMP]、および [ANY]。プロトコルの種類がわからない場合は、[ANY] を選択します。
TCP
[ポートの種類]
宛先ポートの種類と番号。
ポート
[ポート]
80/80
[アプリケーション]
トラフィックのアプリケーションの種類。
ANY
[操作]
アクセス制御ポリシーに指定した上記の条件にトラフィックが一致した場合のトラフィックに対する操作。
許可
[優先度]
アクセス制御ポリシーの優先度。デフォルト値: [最低]。
最高
[有効化ステータス]
ポリシーを有効にするかどうかを指定します。作成時にポリシーを有効にしなかった場合は、ポリシーリストでポリシーを有効にできます。
有効
すべての ECS インスタンス宛てのインターネットトラフィックを拒否するようにポリシーを構成し、[OK] をクリックします。
上記の許可ポリシーの説明に基づいて、拒否ポリシーを構成します。次のリストにパラメーターを示します。
[宛先]: 0.0.0.0/0 と入力します。
説明値 0.0.0.0/0 は、すべての ECS インスタンスの IP アドレスを指定します。
[プロトコルの種類]: ANY を選択します。
[ポート]: 0/0 と入力します。
説明値 0/0 は、ECS インスタンスのすべてのポートを指定します。
[アプリケーション]: ANY を選択します。
[操作]: 拒否を選択します。
[優先度]: 最低を選択します。
構成が完了したら、[許可] ポリシーの優先度が [拒否] ポリシーの優先度よりも高いことを確認します。
VPC ファイアウォールのアクセス制御ポリシーを構成する
VPC ファイアウォールは、2 つの VPC 間のトラフィックを監視および制御できます。このトラフィックは、東西トラフィックとも呼ばれます。2 つの VPC 間のトラフィックを管理する場合、不審なソースまたは悪意のあるソースからのトラフィックを拒否するアクセス制御ポリシーを作成できます。信頼できるソースからのトラフィックを許可し、他のソースからのトラフィックを拒否することもできます。VPC ファイアウォール用に構成できるアクセス制御ポリシーのパラメーターの詳細については、「VPC ファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。
異なる VPC に存在する ECS インスタンス間のトラフィックを拒否する
2 つの VPC が同じ Cloud Enterprise Network (CEN) インスタンスに接続されているか、Express Connect 回線を使用して接続されている場合、VPC に存在する ECS インスタンスは相互に通信できます。
たとえば、ECS 1 から ECS 2 へのアクセスを拒否するとします。ECS 1 は VPC 1 に存在し、ECS 2 は VPC 2 に存在します。VPC は同じ CEN インスタンスに接続されています。ECS 1 の IP アドレスは 10.33.XX.XX/32、ECS 2 の IP アドレスは 10.66.XX.XX/32 です。
Cloud Firewall コンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[VPC 境界] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成 - VPC 境界] ダイアログボックスで、パラメーターを構成し、[OK] をクリックします。
次の表にパラメーターを示します。
パラメーター
説明
例
[ソースの種類]
トラフィックソースの種類を選択します。
IP
[ソース]
トラフィックソースのアドレスを指定します。
10.33.XX.XX/32
[宛先の種類]
トラフィックデスティネーションの種類を選択します。
IP
[宛先]
トラフィックデスティネーションのアドレスを指定します。
10.66.XX.XX/32
[プロトコルの種類]
トラフィックのプロトコルタイプを選択します。
TCP
[ポートの種類]
ポートの種類を選択します。
ポート
[ポート]
トラフィックを管理するポート範囲を指定します。[ポートの種類] をポートに設定した場合は、ポート範囲を入力します。ポートの種類をアドレス帳に設定した場合は、[ポートアドレス帳] パラメーターを構成し、[選択] をクリックします。
0/0
[アプリケーション]
トラフィックのアプリケーションの種類を選択します。
ANY
[操作]
トラフィックに対する操作を選択します。
拒否
内部ファイアウォールのアクセス制御ポリシーを構成する
内部ファイアウォールは、ECS インスタンス間のインバウンドトラフィックとアウトバウンドトラフィックを管理して、不正アクセスをブロックできます。[Cloud Firewall コンソール] で内部ファイアウォール用に構成および公開するアクセス制御ポリシーは、ECS セキュリティグループに同期されます。内部ファイアウォール用に構成できるアクセス制御ポリシーのパラメーターの詳細については、「ECS インスタンス間の内部ファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。
同じポリシーグループ内の ECS インスタンス間のトラフィックを許可する
[ECS コンソール] でセキュリティグループルールを構成すると、同じ ECS セキュリティグループ内の ECS インスタンスは相互に通信できます。これは、Cloud Firewall の内部ファイアウォールとは異なります。デフォルトでは、内部ファイアウォール用に作成されたポリシーグループには複数の ECS インスタンスを含めることができますが、インスタンスは相互に通信できません。
たとえば、sg-test ポリシーグループに存在する ECS 1 と ECS 2 間のトラフィックを許可するとします。ECS 1 の IP アドレスは 10.33.XX.XX、ECS 2 の IP アドレスは 10.66.XX.XX です。
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[内部境界] ページで、必要なポリシーグループを見つけ、[ポリシーを設定][操作] 列の をクリックします。
[インバウンド] タブで、[ポリシーの作成] をクリックします。
次の表に、インバウンドポリシーのパラメーターを示します。
パラメーター
説明
例
ポリシータイプ:
ポリシーの種類を選択します。
許可
プロトコルタイプ
トラフィックのプロトコルタイプを選択します。
TCP
ポート範囲
トラフィックを管理するポート範囲を指定します。
0/0
ソースタイプ と ソースオブジェクト
トラフィックソースのアドレスを指定します。[方向] を Inbound に設定した場合は、これらのパラメーターを構成する必要があります。[ソースの種類] の値に基づいて [ソース] を構成できます。
ソースの種類: ポリシーグループ
ソース: sg-test
ターゲット選択
トラフィックデスティネーションのアドレスを指定します。[方向] を [インバウンド] に設定した場合は、このパラメーターを構成する必要があります。
CIDR ブロック: 10.66.XX.XX
説明ポリシーグループ内のすべての ECS インスタンスが相互に通信できるようにするには、[宛先] を [すべての ECS インスタンス] に設定します。
ポリシーグループ内の特定の ECS インスタンスが相互に通信できるようにするには、[宛先] を [CIDR ブロック] に設定し、ピア ECS インスタンスの CIDR ブロックを入力します。
アウトバウンドポリシーを構成します。この手順は、高度なセキュリティグループを使用する場合に必要です。
デフォルトでは、基本的なセキュリティグループはアウトバウンドトラフィックを許可します。基本的なセキュリティグループを使用する場合は、アウトバウンドポリシーを構成する必要はありません。
インバウンドポリシーの説明に基づいて、アウトバウンドポリシーを構成します。次のリストにパラメーターを示します。
[ソースの種類]: IP
[ソース]: 10.66.XX.XX
[CIDR ブロック]: 10.33.XX.XX
異なるポリシーグループ内の ECS インスタンス間のトラフィックを許可する
たとえば、内部ファイアウォールの異なるポリシーグループに存在する ECS 1 と ECS 2 間のトラフィックを許可するとします。ECS 1 の IP アドレスは 10.33.XX.XX、ECS 2 の IP アドレスは 10.66.XX.XX です。
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[内部境界] ページで、ECS 1 が存在するポリシーグループを見つけ、[ポリシーの構成][操作] 列の をクリックします。
[インバウンド] タブで、[ポリシーの作成] をクリックします。
次の表に、インバウンドポリシーのパラメーターを示します。
パラメーター
説明
例
[ポリシーの種類]
ポリシーの種類を選択します。
許可
プロトコルタイプ
トラフィックのプロトコルタイプを選択します。
TCP
ポート範囲
トラフィックを管理するポート範囲を指定します。
0/0
ソースタイプ と ソースオブジェクト
トラフィックソースのアドレスを指定します。[方向] を [インバウンド] に設定した場合は、これらのパラメーターを構成する必要があります。[ソースの種類] の値に基づいて [ソース] を構成できます。
ソースの種類: IP
ソース: 10.66.XX.XX
ターゲット選択
トラフィックデスティネーションのアドレスを指定します。[方向] を [インバウンド] に設定した場合は、このパラメーターを構成する必要があります。
CIDR ブロック: 10.33.XX.XX
説明sg-test2 ポリシーグループ内の ECS インスタンスが sg-test1 ポリシーグループ内のすべての ECS インスタンスにアクセスできるようにするには、[宛先] を [すべての ECS インスタンス] に設定します。
sg-test2 ポリシーグループ内の ECS インスタンスが sg-test1 ポリシーグループ内の特定の ECS インスタンスにアクセスできるようにするには、[宛先] を [CIDR ブロック] に設定し、sg-test1 ポリシーグループ内の特定の ECS インスタンスの CIDR ブロックを入力します。
アウトバウンドポリシーを構成します。この手順は、高度なセキュリティグループを使用する場合に必要です。
デフォルトでは、基本的なセキュリティグループはアウトバウンドトラフィックを許可します。基本的なセキュリティグループを使用する場合は、アウトバウンドポリシーを構成する必要はありません。
インバウンドポリシーの説明に基づいて、アウトバウンドポリシーを構成します。次のリストにパラメーターを示します。
[ソースの種類]: IP
[ソース]: 10.33.XX.XX
[CIDR ブロック]: 10.66.XX.XX
上記の構成に基づいて、ECS 2 のトラフィックを許可するようにインバウンドポリシーとアウトバウンドポリシーを構成します。