このトピックでは、Cloud Firewall における VPC (Virtual Private Cloud) ファイアウォールの基本的な概念と一般的なシナリオについて説明します。
VPC ファイアウォールとは
VPC ファイアウォールは、VPC 間、および VPC とデータセンター間のトラフィックを検出し、管理するのに役立ちます。VPC が同じ Cloud Enterprise Network (CEN) インスタンスにアタッチされているか、Express Connect 回線で接続されている場合、VPC ファイアウォールを作成して、VPC 間、および VPC とデータセンター間のトラフィックを制御できます。
VPC ファイアウォールは、クロスアカウント管理もサポートしています。たとえば、アカウント A が CEN インスタンスと VPC_1 を作成し、アカウント B が VPC_2 を作成し、両方の VPC がアカウント A の CEN インスタンスを介して接続されている場合, アカウント A を使用して Cloud Firewall Enterprise Edition または Ultimate Edition を購入し、VPC_1 と VPC_2 間のトラフィックを保護できます。
仕組み
VPC ファイアウォールの仕組みを示す図については、次のトピックをご参照ください。
保護範囲
Cloud Firewall は 3 種類の VPC ファイアウォールを提供します。ネットワークアーキテクチャに基づいてファイアウォールの種類を選択できます。
VPC ファイアウォールの種類 | 適用シナリオ | 操作ガイド |
Enterprise Edition トランジットルーター用の VPC ファイアウォール | 保護機能:
複数の CCN インスタンス間のトラフィックは保護しません | |
Basic Edition トランジットルーター用の VPC ファイアウォール | 保護機能:
保護対象外:
| |
Express Connect 回線用の VPC ファイアウォール | 保護対象:
保護対象外:
説明 クロスリージョンまたはクロスアカウントの VPC 間のトラフィック、または VPC と VBR 間のトラフィックを保護するには、CEN ネットワークを使用することをお勧めします。詳細については、チケットを送信してください。 |
VPC ファイアウォールは、ジャンボフレーム機能をサポートしていません。
仕様
VPC ファイアウォールの仕様には、作成できる VPC ファイアウォールの数と保護対象の VPC トラフィッククォータが含まれます。
仕様 | 説明 | Cloud Firewall サブスクリプション (Enterprise および Ultimate Edition) | Cloud Firewall 従量課金 |
VPC ファイアウォールの数 | 作成できる VPC ファイアウォールの数。 | これは、作成する VPC ファイアウォールの数と購入する保護対象 VPC トラフィックによって異なります。クォータが不十分な場合は、仕様をアップグレードしてください。詳細については、「Enterprise Edition トランジットルーター用の VPC ファイアウォールを設定する」をご参照ください。 クォータは Cloud Firewall のエディションによって異なります。詳細については、「サブスクリプション 2.0」をご参照ください。 説明 サービストラフィックが購入した Cloud Firewall のトラフィック処理仕様を超えた場合、プロダクトのサービスレベルアグリーメント (SLA) は保証されません。これにより、サービス低下ルールがトリガーされる可能性があります。これらのルールには、アクセスの制御、侵入防止システム (IPS)、ログ監査などのセキュリティ機能の障害、トラフィック制限を超えた上位アセットのファイアウォールのシャットダウン、スロットリングによるパケット損失などが含まれますが、これらに限定されません。 サービストラフィックが制限を超えるリスクがある場合は、「Elastic Traffic の従量課金」をご参照ください。 | 保護対象インスタンスの数と処理された合計トラフィックに基づいて課金されます。クォータ制限はありません。課金の詳細については、「従量課金 2.0」をご参照ください。 |
保護対象 VPC トラフィック | 保護できる VPC 間のピーク合計トラフィック。 |
アセットの保護ステータスとクォータ使用状況の表示
VPC Firewall ページでアカウント内の保護対象アセットを表示できます。
Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
VPC 境界ファイアウォール タブで、作成済みおよび未作成の VPC ファイアウォールの数、利用可能な権限付与の数、ネットワーク要素の総数、アカウント内の保護対象および非保護対象のネットワーク要素の数を表示できます。
エディションで利用可能な権限付与 (保護できる VPC ファイアウォールインスタンスの数に対応) を使い果たした場合は、[権限付与のアップグレード] をクリックして追加購入できます。各エディションがサポートする VPC ファイアウォールインスタンスの数に関する詳細については、「サブスクリプション 2.0」をご参照ください。
VPC Firewall セクションの
アイコンをクリックして、CEN (Enterprise Edition)、CEN (Basic Edition)、および Express Connect 用に作成された VPC ファイアウォールインスタンスと未作成の VPC ファイアウォールインスタンスの数を表示します。Protected Network Elements セクションの
アイコンをクリックして、保護対象および非保護対象の VPC、VBR、TR、VPN の総数を表示します。
以下にデータの説明を示します。
CEN (Enterprise Edition)
非保護対象のネットワーク要素: VPC ファイアウォールで保護されていないネットワーク要素の数。これらのネットワーク要素には、手動モードで追加されていない VPC、VBR、トランジットルーター、VPN ゲートウェイが含まれます。
保護対象のネットワーク要素: VPC ファイアウォールで保護されているネットワーク要素の数。これらのネットワーク要素には、手動モードで追加された VPC、VBR、トランジットルーター、VPN ゲートウェイが含まれます。
利用可能なクォータ: 有効化を許可されている VPC ファイアウォールの数。各トランジットルーターは 1 つの VPC ファイアウォールに対応します。
CEN (Basic Edition)
非保護対象のネットワーク要素: VPC ファイアウォールで保護されていない VPC の数。
保護対象のネットワーク要素: VPC ファイアウォールで保護されている VPC の数。
利用可能なクォータ: 有効化を許可されている VPC ファイアウォールの数。各 VPC は 1 つの VPC ファイアウォールに対応します。
Express Connect
非保護対象のネットワーク要素: VPC ファイアウォールで保護されていない VPC の数。
保護対象のネットワーク要素: VPC ファイアウォールで保護されている VPC の数。
利用可能なクォータ: 有効化を許可されている VPC ファイアウォールの数。ローカル VPC とそのピア VPC は 1 つの VPC ファイアウォールに対応します。