すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:CEN トランジットルーターを使用して接続された VPC 間のトラフィックを保護する

    ドキュメントセンター

    Cloud Firewall:CEN トランジットルーターを使用して接続された VPC 間のトラフィックを保護する

    最終更新日:Oct 25, 2025

    Cloud Enterprise Network (CEN) トランジットルーターを使用する場合、VPC ファイアウォールを使用してトランジットルーター経由で接続された VPC と仮想ボーダールータ (VBR) 間のトラフィックを保護する前に、トランジットルーターと仮想プライベートクラウド (VPC) ファイアウォール間のルーティングを手動で設定する必要があります。このトピックでは、CEN トランジットルーター (TR) と VPC ファイアウォール間のルーティングを設定する方法について説明します。

    適用範囲

    Cloud Firewall は、CEN トランジットルーターを使用して接続されているネットワークインスタンス間のトラフィックを保護できます。ネットワークインスタンスは、VPC、VBR、クラウド相互接続ネットワーク (CCN) インスタンス、VPN ゲートウェイです。

    VPC ファイアウォールを使用して同一リージョン内の VPC 間のトラフィックを保護したい場合は、このトピックの手順に従ってください。

    前提条件

    CEN コンソールで CEN インスタンスが作成されています。3 つの VPC が作成されています。このトピックでは、VPC1、VPC2、および DMZ VPC を使用します。2 つの VBR が作成されています。このトピックでは、IDC-1 と IDC-2 を使用します。詳細については、「CEN インスタンス」をご参照ください。

    このトピックでは、他の VPC と次の各ネットワークインスタンス間のトラフィックは Cloud Firewall によって保護されます: VPC1、IDC-1、および IDC-2。VPC2 と DMZ VPC 間のトラフィックは Cloud Firewall によって保護されません。任意の VPC またはデータセンターからデフォルトルートの 0.0.0.0/0 へのトラフィックは Cloud Firewall によって保護されません。

    ステップ 1: VPC ファイアウォール用の VPC を作成する

    VPC ファイアウォールには VPC が必要です。したがって、VPC ファイアウォール用に VPC を作成する必要があります。

    1. VPC コンソールログインします。

    2. 上部のナビゲーションバーで、VPC を作成するリージョンを選択し、[VPC の作成] をクリックします。

    3. [VPC の作成] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      リージョン

      VPC ファイアウォールを有効にするリージョンを選択します。

      名前

      VPC の名前を入力します。この例では、FW VPC と入力します。

      IPv4 CIDR ブロック

      VPC のプライマリ IPv4 CIDR ブロックを指定します。CIDR ブロックのサブネットマスクは 26 ビット以上である必要があり、CIDR ブロックはワークロードで使用されている CIDR ブロックと競合してはなりません。

      vSwitch

      トランジットルーターに接続できる vSwitch を指定します。各 CIDR ブロックのサブネットマスクは 28 ビット以上である必要があります。

      トランジットルーターに接続するために 2 つの vSwitch を指定し、トランジットルーターをサポートする 2 つの異なるゾーンを選択する必要があります。待機時間を短縮するために、ワークロードがデプロイされているゾーンを選択することをお勧めします。また、VPC ファイアウォール用に vSwitch を指定する必要があり、この vSwitch には任意のゾーンを選択できます。

      この例では、トランジットルーター用にプライマリ vSwitch として TR-Vswitch-01、セカンダリ vSwitch として TR-VSwitch-02 を指定し、VPC ファイアウォール用に Cfw-Vswitch という名前の vSwitch を指定します。

    4. [VPC] ページで、作成した FW VPC という名前の VPC の ID を見つけてクリックします。

    5. 表示されたページで、[リソース管理] タブをクリックし、ポインターをルートテーブルに移動して [ルートテーブル] の下にある [追加] をクリックします。または、[ルートテーブル] ページに移動して [ルートテーブルの作成] をクリックすることもできます。

    6. [ルートテーブルの作成] ページで、次のパラメーターを設定してルートテーブルを作成し、[OK] をクリックします。

      パラメーター

      説明

      VPC

      前のステップで作成した VPC を選択します。この例では、FW VPC を選択します。

      関連付けられたリソースタイプ

      ルートテーブルを関連付けることができるリソースタイプとして vSwitch を選択します。

      名前

      ルートテーブルの名前を入力します。この例では、VPC-CFW-RouteTable と入力します。

    ステップ 2: 作成した VPC をトランジットルーターに接続する

    このステップでは、作成した FW VPC という名前の VPC と Enterprise Edition のトランジットルーター間の接続を確立します。

    1. CEN コンソールにログインします。

    2. [インスタンス] ページで、トラフィックを VPC ファイアウォールにリダイレクトする CEN インスタンスを見つけ、インスタンスの ID をクリックします。

    3. [基本情報] タブで、CEN トランジットルーターを見つけ、[アクション] 列の [接続の作成] をクリックするか、タブの上部にある VPC の右側にある 添加图标 アイコンをクリックします。

    4. [ピアネットワークインスタンスとの接続] ページで、パラメーターを設定します。

      次の表に、重要なパラメーターを示します。

      パラメーター

      説明

      ネットワークタイプ

      CEN インスタンスに接続するネットワークインスタンスのタイプ。この例では、VPC を選択します。

      リージョン

      ネットワークインスタンスが存在するリージョン。この例では、FW VPC の作成時に指定したリージョンを選択します。

      ネットワークインスタンス

      CEN インスタンスに接続するネットワークインスタンス。この例では、FW VPC の ID を選択します。

      VSwitch

      ネットワークインスタンスに関連付けることができる vSwitch。この例では、プライマリ vSwitch として TR-Vswitch-01 を選択し、セカンダリ vSwitch として TR-VSwitch-02 を選択します。

      その他のパラメーターの詳細については、「Enterprise Edition のトランジットルーターを使用する」をご参照ください。

    ステップ 3: VPC と VBR をトランジットルーターに接続する

    このステップでは、トランジットルーターと次の各ネットワークインスタンス (VPC1、VPC2、DMZ VPC、IDC-1、IDC-2) との間に個別に接続を確立します。これにより、VPC と VBR が CEN インスタンスに接続されます。

    詳細については、「Enterprise Edition のトランジットルーターを使用する」をご参照ください。

    ステップ 4: VPC ファイアウォールを作成する

    このステップでは、FW VPC 用の VPC ファイアウォールを作成します。

    VPC ファイアウォールを作成するには、Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、[ファイアウォール設定] > [VPC ファイアウォール] > [CEN (Enterprise Edition)] を選択します。[CEN (Enterprise Edition)] タブで、目的のトランジットルーターを見つけ、[アクション] 列の [作成] をクリックします。[VPC ファイアウォールの作成] ダイアログボックスで、[トラフィックリダイレクトモード]手動 を、[VPC]FW VPC を、vSwitch に Cfw-Vswitch を選択します。詳細については、「Enterprise Edition のトランジットルーター用に VPC ファイアウォールを設定する」をご参照ください。

    重要

    • ファイアウォール用の VPC と CEN-TR は同じアカウントに属している必要があります。そうでない場合、VPC ファイアウォールは作成できません。

    • このステップの後、Cloud Firewall はトラフィックをリダイレクトするために Cfw-Vswitch に Elastic Network Interface (ENI) を作成します。この ENI は ECS コンソールで表示できます。[ネットワークとセキュリティ] > [Elastic Network Interface] ページに移動します。デフォルトでは、ネットワークインターフェースの名前は `cfw-bonding-eni` です。仮想 ENI はトラフィックのルーティングとリダイレクトに使用され、ファイアウォールは異なるアベイラビリティゾーンにまたがる複数の仮想ネットワークインターフェースをバインドして、高いクラスター可用性を確保します。手動トラフィックリダイレクトモードでは、ファイアウォールクラスターはデフォルトで、自動的に割り当てられた 2 つのアベイラビリティゾーンにまたがるアクティブ/アクティブパターンを使用して高可用性を提供します。

    ステップ 5: FW VPC のルートを設定する

    このステップでは、トランジットルーターによって FW VPC に転送されたトラフィックを VPC ファイアウォールにリダイレクトし、VPC ファイアウォールによって処理されたトラフィックをトランジットルーターにリダイレクトするルートを作成します。

    1. VPC コンソールにログインします。

    2. [ルートテーブル] ページで、FW VPC 用に作成されたシステムルートテーブルをクリックします。

    3. [ルートエントリリスト] タブで、[カスタムルート] タブをクリックします。

    4. [ルートエントリの追加] をクリックし、パラメーターを設定します。他のカスタムルートが存在する場合は、カスタムルートを削除します。

      パラメーターの説明:

      • [宛先 CIDR ブロック]: 0.0.0.0/0 を指定します。

      • [ネクストホップタイプ]: ENI を選択します。

      • [ENI]: ステップ 4 で作成した Cfw-bonding-eni を選択します。

      このステップが完了すると、トランジットルーターによって FW VPC に転送されたトラフィックは VPC ファイアウォールにリダイレクトされます。

    5. [ルートテーブル] ページで、作成したカスタムルートテーブル VPC-CFW-RouteTable をクリックします。表示されたページで、[関連付けられた VSwitch] タブをクリックし、[vSwitch の関連付け] をクリックします。[vSwitch の関連付け] ダイアログボックスで、[vSwitch]Cfw-Vswitch を選択します。次に、[OK] をクリックします。

    6. [ルートエントリリスト] タブで、[カスタムルート] タブをクリックします。[ルートエントリの追加] をクリックし、パラメーターを設定します。他のカスタムルートが存在する場合は、カスタムルートを削除します。

      パラメーターの説明:

      • [宛先 CIDR ブロック]: 0.0.0.0/0 を指定します。

      • [ネクストホップタイプ]: トランジットルーターを選択します。

      • [トランジットルーター]: VPC ファイアウォールが作成されたトランジットルーターを選択します。

      このステップが完了すると、VPC ファイアウォールによって処理されたトラフィックはトランジットルーターに転送されます。

    ステップ 6: トランジットルーターのルートを設定する

    このステップでは、VPC-01、VPC-02、および Cfw-TR-manual-VPC のルートを作成し、VPC-01 と VPC-02 間のトラフィックが VPC ファイアウォールを通過できるようにします。

    1. CEN コンソールにログインします。

    2. [CEN] コンソールにログインし、VPC ファイアウォールを有効にするトランジットルーターを見つけてクリックします。[ルートテーブル] タブが表示されます。

    3. Cfw-Untrust-RouteTableCfw-Trust-RouteTable という名前のルートテーブルを作成します。

      1. [ルートテーブル] タブで、[ルートテーブルの作成] をクリックします。

      2. [ルートテーブルの作成] ダイアログボックスで、Cfw-Untrust-RouteTableCfw-Trust-RouteTable ルートテーブルのパラメーターを設定します。

        [トランジットルーター]: VPC ファイアウォールを有効にするトランジットルーターを選択します。

        説明

        • Cfw-Untrust-RouteTable ルートテーブルは、VPC1、IDC-1、および IDC-2 から FW VPC にトラフィックを転送するために使用されます。

        • Cfw-Trust-RouteTable ルートテーブルは、FW VPC から VPC1、VPC2、DMZ VPC、IDC-1、および IDC-2 にトラフィックを転送するために使用されます。

    4. Cfw-Trust-RouteTable ルートテーブルを設定します。

      この操作が完了すると、Cfw-Trust-RouteTable ルートテーブルは VPC1、VPC2、DMZ VPC、IDC-1、および IDC-2 からルートを自動的に学習し、FW VPC からのトラフィックは Cfw-Trust-RouteTable ルートテーブルに基づいて転送されます。

      1. 作成した Cfw-Trust-RouteTable ルートテーブルをクリックします。右側のセクションで、[ルート伝播] タブをクリックします。

      2. [ルート伝播] タブで、[ルート伝播の有効化] をクリックします。

      3. [ルート伝播の有効化] ダイアログボックスで、[アタッチメント] に VPC1VPC2DMZ VPCIDC-1、および IDC-2 を選択します。次に、[OK] をクリックします。

        ルート学習を有効にすると、システムが学習したルートに関する情報を [ルートエントリ] タブで表示できます。

      4. [ルートテーブル] タブで、左側のルートテーブルリストにあるシステムルートテーブルをクリックします。[ルートテーブルの詳細] セクションで、[ルートテーブルの関連付け] タブをクリックします。

      5. [ルートテーブルの関連付け] タブで、作成した Cfw-Trust-RouteTable ルートテーブルをクリックします。[ルートテーブルの関連付け] タブで、[関連付けの作成] をクリックします。

      6. [関連付けの追加] ダイアログボックスで、[関連付け]FW VPC を選択します。次に、[OK] をクリックします。

    5. Cfw-Untrust-RouteTable ルートテーブルを設定します。

      この操作が完了すると、トラフィックは Cfw-Untrust-RouteTable ルートテーブルに基づいて FW VPC に転送されます。

      1. 作成した Cfw-Untrust-RouteTable ルートテーブルをクリックします。右側のセクションで、[ルートエントリ] タブをクリックします。

      2. [ルートエントリ] タブで、[ルートエントリの追加] をクリックします。

      3. [ルートエントリの追加] ダイアログボックスで、パラメーターを設定します。

        パラメーターの説明:

        • [宛先 CIDR]: デフォルト値 10.0.0.0/8 を保持します。

        • [ブラックホールルート]: デフォルト値 いいえ を保持します。

        • [ネクストホップ]: FW VPC を選択します。

      4. 前のステップを繰り返して、次のルートを追加します:

        • 宛先 CIDR が 172.16.0.0/12 で、ネクストホップが FW VPC のルート。

        • 宛先 CIDR が 192.168.0.0/16 で、ネクストホップが FW VPC のルート。

        • 宛先 CIDR が 61.20.0.0/16 で、ネクストホップが FW VPC のルート。

        • 宛先 CIDR が 0.0.0.0/0 で、ネクストホップが DMZ VPC のルート。

    6. VPC1、IDC-1、および IDC-2 宛てのトラフィックが Cloud Firewall を通過できるように、システムルートテーブルを設定します。

      警告

      この操作を実行すると、トラフィックが中断される可能性があります。オフピーク時間または変更ウィンドウ中にこの操作を実行することをお勧めします。

      1. [ルートテーブル] タブで、左側のルートテーブルリストにあるシステムルートテーブルをクリックします。右側のセクションで、[ルート伝播] タブをクリックします。

      2. [ルート伝播] タブで、VPC1、IDC-1、FW VPC、および IDC-2 用に作成されたルート学習の相関関係を削除します。

        この操作が完了すると、システムルートテーブルには VPC2 と DMZ VPC 用に作成されたルート学習の相関関係のみが保持されます。システムが自動的に学習したルートに関する情報は、[ルートエントリ] タブで表示できます。

      3. [ルートエントリ] タブで、[ルートエントリの追加] をクリックします。

      4. [ルートエントリの追加] ダイアログボックスで、次のルートを追加します:

        • 宛先 CIDR が 10.0.0.0/24 (VPC1) で、ネクストホップが FW VPC のルート。

        • 宛先 CIDR が 172.16.0.0/12 (IDC-1) で、ネクストホップが FW VPC のルート。

        • 宛先 CIDR が 61.20.0.0/16 (IDC-2) で、ネクストホップが FW VPC のルート。

    7. VPC1、IDC-1、および IDC-2 から他の VPC へのトラフィックが Cloud Firewall を通過できるように、関連付けられた転送相関を変更します。

      この操作が完了すると、VPC1、IDC-1、および IDC-2 からのトラフィックは Cfw-Untrust-RouteTable ルートテーブルに基づいて転送されます。

      警告

      この操作を実行すると、トラフィックが中断される可能性があります。オフピーク時間または変更ウィンドウ中にこの操作を実行することをお勧めします。

      1. システムルートテーブルの [ルートテーブルの関連付け] タブで、VPC1IDC-1、および IDC-2 用に作成された関連付けられた転送相関を削除します。

      2. Cfw-Untrust-RouteTable ルートテーブルの [ルートテーブルの関連付け] タブで、[関連付けの作成] をクリックします。

      3. [関連付けの追加] ダイアログボックスで、[関連付け]VPC1IDC-1、および IDC-2 を選択します。次に、[OK] をクリックします。

      4. [ルートテーブルの関連付け] タブで、[関連付けの作成] をクリックします。

      5. [関連付けの追加] ダイアログボックスで、[関連付け]VPC1IDC-1、および IDC-2 を選択します。次に、[OK] をクリックします。

    このステップが完了すると、CEN インスタンスと FW VPC 間のルートが作成され、トラフィックを FW VPC に転送できるようになります。

    ステップ 7: 転送設定が成功したかどうかを確認する

    CEN インスタンスのトラフィックログが [トラフィックログ] タブに表示されるかどうかを確認できます。トラフィックログが表示されれば、転送設定は成功です。例:

    • VPC1 と VPC2 は相互に通信でき、トラフィックログが表示されます。

    • VPC2 と DMZ VPC は相互に通信できますが、トラフィックログは表示されません。

    詳細については、「ログ監査」をご参照ください。