VPC ファイアウォールを使用すると、Cloud Enterprise Network (CEN) または Express Connect を通じて接続されたネットワークインスタンス間のトラフィックを検査および制御できます。デフォルトでは、すべてのトラフィックが許可されています。信頼できないトラフィックをブロックし、信頼できるトラフィックを許可するためのアクセス制御ポリシーを作成してください。
前提条件
-
VPC ファイアウォールが作成済みで有効化されています。Enterprise Edition トランジットルーター向けの VPC ファイアウォールの構成をご参照ください。
-
十分なアクセス制御ポリシーのクォータが利用可能です。 ページでクォータをご確認ください。アクセス制御ポリシーの概要をご参照ください。
クォータが不足している場合は、仕様のアップグレード をクリックして、ポリシー追加のクォータ を購入してください。Cloud Firewall の購入をご参照ください。

VPC 境界アクセス制御ポリシーの構成
2 つの VPC 間のトラフィックを管理する際には、信頼できないまたは不要なトラフィックに対して拒否ポリシーを構成し、他のトラフィックを許可するブラックリストモード、または信頼できるまたは必要なトラフィックに対して許可ポリシーを構成し、他のトラフィックを拒否するホワイトリストモードのいずれかを選択できます。VPC ファイアウォールのアクセス制御ポリシーの構成例については、「アクセス制御ポリシー構成の例」をご参照ください。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
VPC Border ページで、ポリシーを構成するビジネスインスタンスに切り替えます。

Create Policy をクリックし、次の表を参照してポリシーの詳細を構成し、OK をクリックします。
構成項目
説明
ソースタイプ
ネットワーク接続の送信元です。アクセス送信元タイプを選択し、そのタイプに基づいて送信元アドレスを入力する必要があります。
IP タイプを選択し、IP アドレス範囲を入力します。アドレス範囲は標準的な CIDR 形式(例:192.168.0.0/16)を使用する必要があります。カンマ (,) で区切って最大 2,000 個のアドレス範囲を入力できます。
複数の IP アドレス範囲を入力した場合、Cloud Firewall は自動的にそれらのアドレス範囲のアドレス帳を作成し、ポリシー構成を保存する際にアドレス帳名の設定を促します。
アドレス帳 タイプを選択し、Custom IP Address Book または Cloud Asset IP Address Book を参照します。詳細については、「アドレス帳の管理」をご参照ください。
Destination Type
ネットワークトラフィックの送信先です。送信先タイプを選択し、そのタイプに基づいてアドレスを入力する必要があります。
IP タイプを選択し、IP アドレス範囲を入力します。アドレス範囲は標準的な CIDR 形式(例:192.168.0.0/16)を使用する必要があります。カンマ (,) で区切って最大 2,000 個のアドレス範囲を入力できます。
複数の IP アドレス範囲を入力した場合、Cloud Firewall は自動的にアドレス帳を作成し、ポリシーを保存する際に名前の設定を促します。
アドレス帳 タイプを選択し、IP Address Book および ドメイン名アドレス帳 を参照します。詳細については、「アドレス帳の管理」をご参照ください。
ドメイン名 タイプを選択した場合、ドメイン名認識モードを選択する必要があります。以下の 3 種類のドメイン名認識モードがあります。
FQDN ベース (メッセージが Host/SNI を抽出):HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS の 7 つのプロトコルのトラフィックを管理する場合に推奨されます。
Dynamic DNS ベース:上記 7 つのプロトコル以外のトラフィックを管理する場合に推奨されます。
重要このモードは、ワイルドカードドメインおよびワイルドカードアドレス帳をサポートしていません。
FQDN と DNS 動的解決の同時使用:上記 7 つのプロトコルのトラフィックを管理するが、一部またはすべてのトラフィックに HOST/SNI フィールドが含まれていない場合に推奨されます。
重要このモードは、ACL エンジン管理 の厳格モードが有効になっている場合にのみ有効となり、ワイルドカードドメインおよびワイルドカードアドレス帳はサポートしていません。
Protocol
トランスポート層のプロトコルタイプです。設定可能な値:TCP、UDP、ICMP、ANY。具体的なプロトコルが不明な場合は、ANY を選択できます。
Port Type
宛先ポートタイプおよび宛先ポートを設定します。
Port タイプを選択し、ポート範囲を入力します。ポート範囲はスラッシュ (/) で区切ります(例:22/22、80/88)。カンマ (,) で区切って最大 2,000 個のポート範囲を追加できます。
複数のポート範囲を入力した場合、Cloud Firewall は自動的にポートアドレス帳を作成し、ポリシーを保存する際に名前の設定を促します。
Port Address Book タイプを選択した場合、事前にポートアドレス帳を作成しておく必要があります。詳細については、「アドレス帳の管理」をご参照ください。
アプリケーション
アクセストラフィックのアプリケーションタイプを設定します。複数のアプリケーションタイプを選択できます。
Protocol で TCP を選択した場合:
Destination Type で IP または IPアドレス帳 を選択した場合:すべてのアプリケーションを選択できます。
Destination Type で ドメイン名 またはドメイン名 アドレス帳 を選択した場合:
ドメイン名確認モード で FQDN ベース (メッセージが Host/SNI を抽出) を選択した場合:HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS などのアプリケーションのみ選択できます。
ドメイン名確認モード で Dynamic DNS ベース を選択した場合:すべてのアプリケーションを選択できます。
Protocol で UDP を選択した場合、アプリケーションタイプは ANY および DNS をサポートします。
Protocol で ICMP または ANY を選択した場合、アプリケーションタイプは ANY のみとなります。
説明アプリケーション識別はパケットの特徴に基づきます(プロトコル識別はポートに依存しません)。アプリケーション識別に失敗した場合、セッショントラフィックは許可されます。不明なアプリケーションタイプのトラフィックをブロックするには、インターネット境界ファイアウォールの厳格モードを有効にすることを推奨します。詳細については、「アクセス制御エンジンのモードの概要」をご参照ください。
アクション
このポリシーで一致したトラフィックに対して実行するアクションを指定します。
リリース:トラフィックを許可します。
Drop:通知なしでトラフィックをブロックします。
観察:このモードでは、トラフィックはデフォルトで許可されます。トラフィックログの関連フィールドを使用して、このトラフィックをフィルターおよび観測できます。一定期間観測した後、リリース または 拒否 に調整してください。
Policy Priority
ポリシーの優先度です。デフォルト値:Lowest(最も低い優先度を示します)。
Highest:アクセス制御ポリシーが最も高い優先度で適用されます。
Lowest:アクセス制御ポリシーが最も低い優先度で適用されます。
カスタム:優先度をカスタマイズします。最小値:1、最大値:50。数値が小さいほど優先度が高くなります。
ポリシー有効期間
ポリシーの有効期間を設定します。ポリシーは有効期間内でのみトラフィックに一致します。
定常的
単一時間帯:一度限りの時間範囲を選択します。
繰り返し周期:繰り返し時間範囲および有効日付を選択します。
説明有効日付の開始時刻は終了時刻より前である必要があります。ポリシーの反映には 3~5 分かかります。
無限の繰り返し を選択した場合、有効終了時刻は自動的に 2099 年 12 月 31 日に設定されます。
関連するよくある質問:繰り返し頻度が複数日にまたがる場合、ポリシーは有効になりますか?
有効化ステータス
ポリシーを有効にするかどうかを指定します。有効化されたポリシーのみが適用されます。
記述
ポリシーの目的を識別しやすくするために、説明を入力します。
ポリシーヒット統計の表示
ビジネスが一定期間実行された後、アクセス制御ポリシー一覧の ヒットカウント/直近のヒット時間 列で、アクセス制御ポリシーのヒット回数を確認できます。
ヒット数をクリックすると、トラフィックログ ページに移動し、トラフィックログを表示できます。トラフィックログの表示方法については、「トラフィックログ」をご参照ください。

関連操作
ポリシー一覧でポリシーを編集、削除、コピー、または移動できます。ポリシーを移動すると、その優先度が変更されます。
ポリシーの優先度は 1 から N(N はポリシーの総数)の範囲です。数値が小さいほど優先度が高くなります。ポリシーの優先度を変更すると、他のポリシーの優先度もそれに応じて調整されます。
ポリシーの削除は取り消せません。削除されたポリシーによってこれまで管理されていたトラフィックは、もはや制御されなくなります。
関連ドキュメント
-
アクセス制御ポリシーの構成に関する原則の詳細については、「アクセス制御ポリシー構成の例」をご参照ください。
-
アクセス制御ポリシーの動作についての詳細については、「アクセス制御ポリシーの概要」をご参照ください。
-
アクセス制御ポリシーで IP、ポート、ドメインのアドレス帳を表示および管理する方法については、「アドレス帳」をご参照ください。
-
アクセス制御ポリシーの構成および使用に関するよくある質問については、「アクセス制御ポリシーに関するよくある質問」をご参照ください。