ネットワークインスタンスがベーシック版転送ルーターを使用して接続されている場合、VPC(仮想プライベートクラウド)ファイアウォールを使用してネットワークインスタンス間のトラフィックを保護できます。 ネットワークインスタンスは、VPC、仮想ボーダールータ(VBR)、および Cloud Connect Network(CCN)インスタンスです。 これにより、アセットのセキュリティが向上します。 このトピックでは、ベーシック版転送ルーターの VPC ファイアウォールを構成する方法について説明します。
機能の説明
実装
VPC ファイアウォールを有効にすると、Cloud Firewall は、DPI(Deep Packet Inspection)ベースのトラフィック分析ポリシー、侵入防御ポリシー、脅威インテリジェンスルール、仮想パッチポリシー、およびアクセス制御ポリシーに基づいて VPC 間のトラフィックをフィルタリングします。 次に、Cloud Firewall はトラフィックが指定された条件と一致するかどうかを確認し、不正なトラフィックをブロックします。 これにより、内部向けアセット間のトラフィックのセキュリティが確保されます。
次の図は、ベーシック版転送ルーター用に作成された VPC ファイアウォールの例を示しています。
保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。
影響
数回クリックするだけで VPC ファイアウォールを作成し、現在のネットワークトポロジを変更することなく、トラフィックリダイレクトモードを自動モードに設定できます。 ワークロードは作成中に影響を受けません。 作成時間は約 5 分です。 オフピーク時に VPC ファイアウォールを有効にすることをお勧めします。
VPC ファイアウォールの有効化または無効化には、約 5 ~ 30 分かかります。 有効化または無効化の時間は、ルートの数によって異なります。 持続的な TCP 接続は数秒間中断される場合があります。 短期接続は影響を受けません。
VPC ファイアウォールを有効にする前に、アプリケーションが TCP 経由の自動再送をサポートしているかどうかを確認し、アプリケーションの接続状態に細心の注意を払うことをお勧めします。 これにより、接続の中断を防ぐことができます。
制限
項目 | 説明 | 解決策 |
VPC クォータ | VPC ファイアウォールを有効にする前に、Cloud_Firewall_VPC という名前の VPC が作成されており、アカウント内の VPC クォータが十分であることを確認してください。 VPC クォータの詳細については、「制限とクォータ」をご参照ください。 たとえば、リージョンの VPC クォータが 10 の場合、VPC ファイアウォールを有効にすると、VPC ファイアウォール用に 1 つの VPC が自動的に作成されるため、最大 9 つの VPC を作成できます。 | VPC クォータが使い果たされた場合は、VPC クォータを増やす必要があります。 詳細については、「VPC クォータを管理する」をご参照ください。 |
各リージョンでベーシック版転送ルーターに接続されているネットワークインスタンスの数が上限を超えていないことを確認する必要があります。 ネットワークインスタンスは、VPC、VBR、および CCN インスタンスです。 ベーシック版転送ルーターに接続できる VPC には、VPC ファイアウォールを有効にしたときに自動的に作成され、Cloud_Firewall_VPC という名前の VPC が含まれます。 ベーシック版転送ルーターに接続できるネットワークインスタンスの最大数については、「制限」をご参照ください。 たとえば、ベーシック版転送ルーターに接続できるネットワークインスタンスのデフォルトの最大数は 10 です。 VPC ファイアウォールを有効にすると、VPC ファイアウォール用に VPC が自動的に作成されるため、最大 9 つの VPC を作成できます。 | Enterprise Edition 転送ルーターを使用することをお勧めします。 詳細については、DingTalk グループ 33081734 に参加して、Cloud Firewall のテクニカルサポートを受けてください。 | |
1 つのリージョンで Cloud Enterprise Network(CEN)インスタンスに接続できる VPC の最大数は 31 です。 | なし。 | |
ルートクォータ | CEN インスタンスは、[ルーティングポリシー操作] が [拒否] に設定されているルーティングポリシーを持つことはできません。 そうしないと、サービスが中断されます。 ルーティングポリシーには、優先度が 5000 に設定され、ルーティングポリシー操作が拒否に設定されている CEN 生成ポリシーは含まれません。 | 拒否ルーティングポリシーを削除することをお勧めします。 DingTalk グループ 33081734 に参加して、Cloud Firewall のテクニカルサポートを受けてください。 |
VPC ファイアウォールを有効にすると、Cloud Firewall は VPC ルートテーブルにカスタムルートを自動的に追加します。 デフォルトでは、各 VPC ルートテーブルに最大 200 のカスタムルートを追加できます。 VPC ルートテーブルのカスタムルートの数が上限に達すると、VPC ファイアウォールを有効にすることができなくなります。 | Alibaba Cloud アカウント内で各 VPC ルートテーブルに許可されるカスタムルートの最大数を増やします。 詳細については、「VPCクォータの管理」をご参照ください。 | |
CEN インスタンスにアドバタイズされるルートの数が上限を超えていないことを確認する必要があります。 この場合、アドバタイズされるルートには、VPC ファイアウォールを有効にしたときに自動的に追加されるルートが含まれます。 CEN インスタンスにアドバタイズできるルートの最大数については、「制限」をご参照ください。 | CEN インスタンスに 100 以下のルートをアドバタイズすることをお勧めします。 DingTalk グループ 33081734 に参加して、Cloud Firewall のテクニカルサポートを受けてください。 | |
VPC に vSwitch に関連付けられているカスタムルートテーブルがある場合、VPC ファイアウォールを有効にすることはできません。 | カスタムルートテーブルを削除するか、vSwitch をカスタムルートテーブルから関連付け解除できます。 | |
トラフィックタイプ |
| なし。 |
その他 | 2021 年 5 月 1 日より前に VPC ファイアウォールを有効にしていて、プライベートネットワークが 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 以外の公開 IP アドレスを使用している場合、または双方向トラフィックリダイレクトに 32 ビット CIDR ブロック XX.XX.XX.XX/32 を使用している場合、ワークロードが影響を受ける可能性があります。
説明 2021 年 5 月 1 日以降に VPC ファイアウォールを有効にした場合、この制限は適用されません。 | 標準に基づいてネットワークプランを作成することをお勧めします。 また、プライベートネットワークで公開 IP アドレスを使用したり、トラフィックリダイレクトに 32 ビット CIDR ブロックを使用したりしないことをお勧めします。 特別な要件がある場合は、DingTalk グループ 33081734 に参加し、アフターサービスに連絡して、アカウントをホワイトリストに追加してください。 |
SLB や ApsaraDB RDS インスタンスなどの Alibaba Cloud アセットの VPC ファイアウォールを有効または無効にすると、既存の TCP 持続的接続が失敗する可能性があります。 |
|
VPC ファイアウォールを作成して有効にする
前提条件
Cloud Firewall Enterprise Edition、Cloud Firewall Ultimate Edition、または従量課金制の Cloud Firewall が購入されています。 詳細については、「Cloud Firewall を購入する」をご参照ください。
説明ベーシック版転送ルーターの VPC ファイアウォールを作成できるのは、Cloud Firewall Enterprise Edition、Cloud Firewall Ultimate Edition、および従量課金制の Cloud Firewall のみです。
Cloud Firewall は、他のクラウドリソースにアクセスする権限を与えられています。詳細については、「Cloud Firewall が他のクラウドリソースにアクセスすることを承認する」をご参照ください。
CEN インスタンスが購入され、VPC が CEN インスタンスにアタッチされます。詳細については、「Basic Edition 転送ルータを使用して同じリージョン内の VPC を接続する」および「Basic Edition 転送ルータを使用してリージョンをまたぐ VPC を接続する」をご参照ください。
説明CEN インスタンス内の複数の VPC が異なる Alibaba Cloud アカウントによって作成された場合、Cloud Firewall にすべての VPC へのアクセスを承認する必要があります。承認しないと、VPC ファイアウォールを作成できません。この場合、Alibaba Cloud アカウントを使用して Cloud Firewall コンソールにログインし、承認を完了する必要があります。その後、VPC ファイアウォールを作成できます。詳細については、「他のクラウドリソースにアクセスできるよう Cloud Firewall を承認する」をご参照ください。
VPC ファイアウォール機能では、ネットワーク リソースが存在するリージョンがサポートされています。詳細については、「サポートされているリージョン」をご参照ください。
手順
VPC ファイアウォールを作成した後に vSwitch とルートテーブルを変更すると、ビジネスが中断される可能性があります。
CEN インスタンスに単一の VBR が存在する場合、VPC ファイアウォールを作成したり、ネットワークカットオーバーを実行したりすると、ビジネスが中断される可能性があります。
VPC ファイアウォールを有効にすると、操作をロールバックまたは一時停止することはできません。 例外が発生した場合、システムは自動的に操作をロールバックします。
Cloud Firewall コンソール にログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
ファイアウォールスイッチ ページで、VPC 境界ファイアウォール タブをクリックします。
VPC 境界ファイアウォール タブで、[CEN(ベーシック版)] タブをクリックします。
VPC ファイアウォールを作成する CEN インスタンスを見つけ、作成する 列の アクション をクリックします。
アセットリストに利用可能なアセットが表示されない場合は、[アセットの同期] をクリックして、現在の Alibaba Cloud アカウントと Alibaba Cloud アカウントのメンバーのアセット情報を同期できます。
Create Firewall パネルで、パラメータを構成してウィザードを完了します。
ベーシック版転送ルーターの VPC ファイアウォールを作成する場合は、クイック診断をクリックして、必要な条件が満たされているかどうかを確認できます。 チェックが完了すると、Enable Diagnosis ステップでチェック結果を確認できます。 VPC ファイアウォールを作成するためのルールに精通している場合は、ワンクリック診断をスキップして、VPC ファイアウォールを直接作成できます。
次の表に、CEN 接続 VPC の VPC ファイアウォールを作成するために必要なパラメータを示します。
パラメータ
説明
基本情報
[インスタンス名]: VPC ファイアウォールの名前を指定します。 ビジネス要件に基づいて VPC ファイアウォールを識別しやすいように、一意の名前を入力することをお勧めします。
ファイアウォール VPC の設定
トラフィックリダイレクトのために VPC ファイアウォール用に自動的に作成された vSwitch と Cloud_Firewall_VPC VPC に CIDR ブロックを割り当てます。 CIDR ブロックのサブネット CIDR ブロックを、VPC に関連付けられている vSwitch に割り当てます。 サブネット CIDR ブロックのマスクは 29 ビット以下である必要があり、ネットワークプランと競合してはなりません。
重要ビジネス要件に基づいて構成を完了することをお勧めします。 VPC ファイアウォールを作成した後は、構成を変更できません。 異なる構成を使用する場合は、VPC ファイアウォールを削除して別の VPC ファイアウォールを作成する必要があります。
ファイアウォールで使用される VPC: デフォルト値は 10.0.0.0/8 です。 VPC に別の CIDR ブロックを割り当てることができます。 次の CIDR ブロックとそのサブネット CIDR ブロックがサポートされています: 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16。
[vSwitch CIDR ブロック]: デフォルト値は 10.219.219.216/29 です。 デフォルト値がネットワークプランと競合する場合は、別の値を指定できます。
ゾーン:
説明Default (Auto-assigned) をプライマリゾーンとセカンダリゾーンに保持すると、アクティブ/アクティブモードが使用されます。 このモードは構成が簡単で、ビジネストラフィックの遅延の影響を受けにくいシナリオに適しています。
プライマリゾーンとセカンダリゾーンにカスタム値を指定すると、アクティブ/スタンバイモードが使用されます。 このモードは、ビジネストラフィックの遅延の影響を受けやすいシナリオに適しており、遅延を最小限に抑えることができます。
アクティブ/アクティブモードとアクティブ/スタンバイモードの詳細については、「VPC ファイアウォールのゾーンスイッチオーバーのベストプラクティス」をご参照ください。
プライマリゾーン: プライマリゾーンを指定します。 自動的に割り当てられたプライマリゾーンを保持できます。
重要ビジネスが遅延の影響を受けやすい場合は、ビジネストラフィックが生成されるゾーンをプライマリゾーンとして選択し、[ファイアウォールに vSwitch を割り当てる] セクションの [ゾーン] を選択したゾーンに設定して、遅延を最小限に抑えることをお勧めします。[ファイアウォールに vSwitch を割り当てる] セクションでゾーンを設定する
セカンダリゾーン: セカンダリゾーンを指定します。 VPC ファイアウォールは、データ伝送効率を向上させるために、指定されたプライマリゾーンの ENI を優先的に使用してトラフィックを転送します。 プライマリゾーンが使用できなくなった場合、VPC ファイアウォールはセカンダリゾーンの ENI を使用してトラフィックを自動的に転送します。 これにより、ディザスタリカバリシナリオでの業務継続性が確保されます。
業務用 VPC に必要な vSwitch を割り当ててください
トラフィックリダイレクトを有効にするビジネストラフィック VPC の vSwitch を指定します。 vSwitch は、VPC ファイアウォールに必要な Elastic Network Interface(ENI)との関連付けに使用されます。 システムは vSwitch を自動的に割り当てます。 ビジネスが遅延の影響を受けやすい場合は、ビジネス VPC が存在するゾーンを選択して、遅延を最小限に抑えることができます。
重要VPC ファイアウォールを作成した後は、構成を変更できません。 構成を変更する場合は、VPC ファイアウォールを削除して別の VPC ファイアウォールを作成する必要があります。
[ゾーン]: vSwitch のゾーンを選択します。 遅延を最小限に抑えるには、ビジネス VPC の vSwitch に指定したプライマリゾーンを選択することをお勧めします。
[vSwitch]: ビジネス VPC の vSwitch を選択します。
リダイレクト設定
[トラフィックリダイレクトを有効にする] をオンまたはオフにして、保護されている CIDR ブロックを表示します。
[侵入防御]
IPS の動作モードと有効にする侵入防御ポリシーを指定します。
[IPS モード]
観察モード: このモードを有効にすると、Cloud Firewall はトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。
ブロックモード: このモードを有効にすると、Cloud Firewall は悪意のあるトラフィックを遮断し、侵入試行をブロックします。
[IPS 機能]
[基本ポリシー]: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用した攻撃に対する保護など、基本的な侵入防御機能を提供します。 また、基本ポリシーを使用すると、侵害されたホストからコマンドアンドコントロール(C&C)サーバーへの接続を管理することもできます。
[仮想パッチ]: 仮想パッチは、一般的な高リスクアプリケーションの脆弱性からリアルタイムで防御するために使用できます。
説明この設定は、同じ CEN インスタンスに属するすべてのネットワークインスタンスに適用されます。
作成を始める をクリックして、VPC ファイアウォールを作成します。
[CEN(ベーシック)] タブで、作成した VPC ファイアウォールを有効にします。
Cloud Firewall は、VPC ファイアウォールを有効にした後にのみ、ネットワークリソースを保護できます。 VPC ファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変わると、VPC ファイアウォールが有効になります。
説明VPC ファイアウォールを有効にした後に VPC ルートテーブルのルートを追加または削除した場合は、Cloud Firewall がルートを学習するまで 15 ~ 30 分待つ必要があります。 Cloud Firewall がルートを学習したら、ルートテーブルが有効になっているかどうかを確認することをお勧めします。 また、DingTalk グループ 33081734 に参加して Cloud Firewall のテクニカルサポートを受けることもできます。
VPC ファイアウォールを作成すると、Cloud Firewall は次のリソースを自動的に作成します。
Cloud_Firewall_VPCという名前の VPC。重要Cloud_Firewall_VPC にクラウドリソースを追加しないでください。 そうしないと、VPC ファイアウォールを削除するときにクラウドリソースを削除できません。 Cloud_Firewall_VPC 内のネットワークリソースを手動で変更または削除しないでください。
Cloud_Firewall_VSWITCHという名前の vSwitch。次の注釈が付いたカスタムルート:
Cloud Firewall によって作成されました。変更または削除しないでください。
VPC ファイアウォールを有効にすると、Elastic Compute Service(ECS)は Cloud_Firewall_Security_Group という名前のセキュリティグループを自動的に作成し、操作が許可に設定されている [セキュリティグループルール] をセキュリティグループに追加して、VPC ファイアウォールから ECS へのインバウンドトラフィックを許可します。
重要セキュリティグループ Cloud_Firewall_Security_Group または操作パラメータが許可に設定されているセキュリティグループルールを削除しないでください。 そうしないと、ビジネスが中断される可能性があります。
VPC ファイアウォールでバッチ操作を実行する場合、または VPC ファイアウォールを頻繁に有効または無効にする場合は、ビジネスへの影響を防ぐために、オフピーク時にこのような操作を実行することをお勧めします。
次のステップ
VPC ファイアウォールを有効にした後、「VPC ファイアウォールのアクセス制御ポリシー」を作成して、VPC 間のトラフィックを制御できます。
VPC ファイアウォールを有効にした後、[VPC アクセス] ページで VPC 間のトラフィックを表示できます。
VPC ファイアウォールを有効にした後、[侵入防御] ページの [VPC トラフィックブロッキング] タブで、VPC で検出された侵入イベントに関する情報を表示できます。
その他の操作
VPC ファイアウォールを変更する
VPC ファイアウォールの構成を変更するには、[VPC ファイアウォール] タブの [CEN(ベーシック版)] タブに移動し、VPC ファイアウォールが作成された CEN インスタンスを見つけ、[操作] 列の [編集] をクリックします。
VPC ファイアウォールを無効にする
VPC ファイアウォールを無効にすると、一時的な接続が発生する可能性があります。
[ファイアウォール設定] ページで、[VPC ファイアウォール] タブをクリックします。
[CEN(ベーシック版)] タブで、VPC ファイアウォールが作成された CEN インスタンスを見つけ、[スイッチ] 列のスイッチをオフにします。
VPC ファイアウォールが無効になるまで待ちます。 VPC ファイアウォールの [ファイアウォールステータス] 列の値が [無効] に変わると、VPC ファイアウォールは無効になります。
VPC ファイアウォールを削除する
VPC ファイアウォールを削除すると、一時的な接続が発生する可能性があります。
VPC ファイアウォールが不要になった場合は、[VPC ファイアウォール] タブの [CEN(ベーシック版)] タブに移動し、VPC ファイアウォールが作成された CEN インスタンスを見つけ、[操作] 列の [削除] をクリックします。
IPS 構成を変更する
VPC ファイアウォールの IPS 構成を変更する場合は、VPC ファイアウォールを見つけ、 列の [IPS の構成]アクション をクリックします。 [IPS 構成] ページで、[VPC ボーダー]IPS 構成 タブをクリックして、必要な操作を実行します。 たとえば、IPS モードの変更、IPS 機能の構成の変更、IP アドレスホワイトリストにある特定の送信元または宛先 IP アドレストラフィックの許可、IPS 機能のポリシーの変更を行うことができます。 詳細については、「」をご参照ください。