すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:Enterprise Edition トランジットルーターの VPC ファイアウォールの構成

    ドキュメントセンター

    Cloud Firewall:Enterprise Edition トランジットルーターの VPC ファイアウォールの構成

    最終更新日:Apr 01, 2026

    VPC、VBR、CCN などのネットワークインスタンスが Enterprise Edition トランジットルーターを介して接続されている場合、VPC ファイアウォールを使用してこれらのインスタンス間のトラフィックを保護し、資産を保護できます。このトピックでは、Enterprise Edition トランジットルーターの VPC ファイアウォールを作成および管理する方法について説明します。

    仕組み

    保護メカニズム

    VPC ファイアウォールを有効にすると、Cloud Firewall は、ディープパケットインスペクション (DPI)、侵入防止、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーなどの機能を使用して、VPC 間のトラフィックをフィルタリングします。Cloud Firewall は、検査結果に基づいてトラフィックを許可するかどうかを決定します。これにより、不正アクセスがブロックされ、プライベートネットワーク資産間のトラフィックが保護されます。

    次の図は、VPC ファイアウォールが Enterprise Edition トランジットルーターを保護する例を示しています。

    保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。

    ビジネスへの影響

    VPC ファイアウォールを作成し、トラフィックリダイレクトモード (自動または手動) を設定することで、ビジネスを中断することなく資産を保護できます。作成プロセスには約 5 分かかります。VPC ファイアウォールはオフピーク時間に有効にすることを推奨します。

    自動トラフィックリダイレクトモードでは、VPC ファイアウォールの有効化または無効化には、ルートエントリの数に応じて約 5 ~ 30 分かかります。これはビジネスに影響を与えません。

    手動トラフィックリダイレクトモードでは、VPC ファイアウォールを有効または無効にする際のビジネスへの影響の持続時間は、トラフィック切り替え方法によって異なります。

    制限事項

    • VPC ファイアウォールを有効にすると、Cloud Firewall は Cloud_Firewall_VPC という名前の新しい VPC インスタンスを作成します。十分な VPC クォータがあることを確認してください。VPC クォータの詳細については、「使用制限とクォータ」をご参照ください。

    • 自動トラフィックリダイレクトモードは、次のシナリオをサポートしていません。

      • Enterprise Edition トランジットルーターのルートテーブルには、100.64.0.0/10 CIDR ブロックおよびそのサブネットへの静的ルートを除く静的ルートが含まれます。

      • VPC、VBR、トランジットルーター (TR) インスタンスに対して複数のトラフィックリダイレクトシナリオを同時に使用する場合。

      • Basic Edition トランジットルーターをトラフィックリダイレクトモードに追加する場合。

      • トランジットルーターにルートの競合がある場合。

      • VPC はプレフィックスリスト機能を使用します。

    • VPC ファイアウォールは、VPC に直接接続されている VPN ゲートウェイ (IPsec-VPN や SSL-VPN ゲートウェイなど) からのトラフィックを保護できません。ただし、VPC ファイアウォールは、トランジットルーターにアタッチされている IPsec 接続からのトラフィックを保護できます。詳細については、「IPsec-VPN の適用シナリオ (トランジットルーターにアタッチ)」をご参照ください。

    • VPC ファイアウォールは IPv6 トラフィックを保護しません。

    • クラウドサービス CIDR ブロック (100.64.0.0/10) 宛てのトラフィックおよび 32 ビットサブネットマスクを持つルートは、保護のために VPC ファイアウォールにリダイレクトされません。

    • 次の構成を維持する必要があります。

      • CEN-TR ルートテーブルのルーティングポリシー。たとえば、VPC ファイアウォールの TR ルートテーブルで VBR のルート優先度ポリシーを手動で構成および維持する必要があります。

      • クラウドサービス CIDR ブロック (100.64.0.0/10) の静的ルート。

      • システムルートテーブルのルート学習。

    VPC ファイアウォールの作成とトラフィックリダイレクトの構成

    前提条件

    • Cloud Firewall の Enterprise EditionUltimate Edition、または 従量課金 を購入済みであること。詳細については、「Cloud Firewall の購入」をご参照ください。

      説明

      Cloud Firewall の Enterprise EditionUltimate Edition、および 従量課金 のみが、Enterprise Edition トランジットルーターの VPC ファイアウォールの構成をサポートしています。Premium Edition はこの機能をサポートしていません。

    • Cloud Firewall がクラウドリソースにアクセスすることを承認済みであること。詳細については、「Cloud Firewall が他のクラウドリソースにアクセスすることを承認する」をご参照ください。

    • CEN インスタンスを購入し、Enterprise Edition トランジットルーターを使用して VPC 間またはオンプレミスとクラウドネットワーク間のネットワーク接続を確立済みであること。詳細については、「オンプレミスとクラウドネットワークを接続する」および「アカウント間で VPC を接続する」をご参照ください。

      説明

      CEN インスタンス内の VPC が別の Alibaba Cloud アカウントに属し、そのアカウントが Cloud Firewall を承認していない場合、VPC ファイアウォールを作成できません。VPC ファイアウォールを作成するには、対応するアカウントで Cloud Firewall コンソールにログインして権限を付与します。詳細については、「Cloud Firewall が他のクラウドリソースにアクセスすることを承認する」をご参照ください。

    • ネットワークリソースが VPC ファイアウォールでサポートされているリージョンにあることを確認してください。そうでない場合、VPC ファイアウォールを有効にできません。詳細については、「サポートされているリージョン」をご参照ください。

    操作手順

    重要

    VPC ファイアウォールを有効にするプロセスは、ロールバックまたは一時停止できません。例外が発生した場合、システムはプロセスを自動的にロールバックします。

    1. Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、Firewallをクリックします

    2. [ファイアウォール] ページで、[VPC ファイアウォール] をクリックします。

    3. VPC 境界ファイアウォール タブで、CEN (Enterprise Edition) をクリックします。

    4. 対象の CEN インスタンスでトランジットルーターを見つけ、作成するアクション 列でクリックします。

      保護したいアセットがアセット一覧にない場合は、Synchronize Assets をクリックして、Alibaba Cloud アカウントおよびそのメンバーアカウントからアセットを同期します。

      重要

      • 自動リダイレクトモード: Cloud Firewall が従量課金インスタンス、または弾力的な従量課金が有効になっているサブスクリプションインスタンスの場合、Cloud Firewall は、VPC ファイアウォールによる処理後に Enterprise Edition トランジットルーターに返されるトラフィックのネットワーク TR トラフィック料金を負担します。これらの料金は請求されず、このプロセスでは VPC クォータは消費されません。

      • Manual VPC ファイアウォールによる処理後に Enterprise Edition トランジットルーターに返送されるトラフィックについては、ネットワーク TR トラフィック料金が課金されます。

      自動リダイレクトモード (推奨)

      自動モードでは、ビジネス要件に基づいてネットワークインスタンスのトラフィックリダイレクトシナリオを作成できます。VPC ファイアウォールは、Enterprise Edition トランジットルーターにルートを自動的に構成し、エラスティックネットワークインターフェースを作成して、トラフィックを VPC ファイアウォールにリダイレクトします。

      1. VPC ファイアウォールの作成 パネルで、次の表に従って VPC ファイアウォールのパラメーターを設定します。次に、ワンクリックでチェック開始 をクリックします。確認が完了したら、次へ をクリックします。

        パラメーター

        説明

        ファイアウォールの基本情報

        ファイアウォール名VPC 境界ファイアウォールの名前。VPC 境界ファイアウォールインスタンスの識別に用います。業務内容が識別できる一意な名前を入力することを推奨します。

        ファイアウォール VPC の設定

        • ファイアウォールに使用される VPC の CIDR ブロック: Cloud Firewall に VPC CIDR ブロックを割り当てます。正常な動作を確保するには、ネットワークプランと競合しない、サブネットマスクが /27 以上の CIDR ブロックを割り当てる必要があります。

        • [ゾーンの構成]:

          説明

          • プライマリゾーンおよびセカンダリゾーンの両方で デフォルト (自動割り当て) を選択すると、アクティブ - アクティブ構成が有効になります。この構成は設定が容易で、低遅延感度のサービストラフィックを扱うシナリオに最適です。

          • プライマリゾーンとセカンダリゾーンを指定すると、プライマリセカンダリモードが使用されます。このモードは、サービストラフィックが遅延の影響を受けやすいシナリオに適しており、トラフィックの遅延を軽減するのに役立ちます。

          • アクティブ - アクティブ構成とプライマリセカンダリモード、および移行手順の詳細については、「VPC ファイアウォールゾーン移行のベストプラクティス」をご参照ください。

          • プライマリゾーン:プライマリゾーンを設定します。Cloud Firewall は vSwitch ゾーンのデフォルト割り当てをサポートしています。

            重要

            サービスが遅延の影響を受けやすい場合は、遅延を軽減するために [プライマリゾーン]サービスがデプロイされているゾーン に設定することを推奨します。

          • セカンダリゾーン: セカンダリゾーンを設定します。デフォルトでは、VPC ファイアウォールは効率性を高めるために、プライマリゾーン内の Elastic Network Interface (ENI) を通じてトラフィックを転送します。プライマリゾーンが利用不可になった場合、システムは自動的にセカンダリゾーン内の ENI に切り替えて、業務継続性を確保します。

        侵入防御

        侵入防止システム (IPS) モジュールの動作モードと侵入防止ポリシーを選択します。

        • IPSモード

          • Monitor Mode:悪意のあるトラフィックを監視し、アラートを生成します。

          • Block Mode: 悪意のあるトラフィックを遮断して侵入をブロックします。

        • IPS 保護機能

          • 基本ルール: お客様の資産に対する基本保護を提供します。これには、ブルートフォース攻撃のブロック、コマンド実行の脆弱性、および感染後のコマンドおよび制御(C&C)サーバーへの接続が含まれます。

          • 仮想パッチ:一般的な高リスクのアプリケーション脆弱性に対し、リアルタイムで保護を提供します。

        説明

        この設定は、同じ CEN インスタンス下のすべてのネットワークインスタンスに適用されます。

      2. 作成が完了したら、次へ をクリックします。次の表に示す通り、トラフィックのリダイレクトシナリオを設定します。

        また、ビジネスニーズに基づいて、後でトラフィックリダイレクトシナリオを設定することもできます。CEN (Enterprise Edition) タブで、CEN インスタンスで対象のトランジットルーターを検索し、ファイアウォールのステータス 列の 今すぐ設定する をクリックします。Traffic Redirection Scenario タブで、Immediately Create Traffic Redirection Scenario をクリックし、次に Create Redirection Scenario をクリックして設定します。

        パラメーター

        説明

        Basic Information

        テンプレート名:トラフィックリダイレクトテンプレートの名前です。

        Select a scenario

        VPC ファイアウォールによって制御および保護されるシナリオのタイプを選択します。

        • Instance-Instance: 2つのネットワークインスタンス間のトラフィックを制御します。シンプルなネットワークトポロジーに適しています。

        • Instance to Instances: 1 つのネットワークインスタンスと複数のネットワークインスタンス間のトラフィックを制御します。スター型ネットワークトポロジーに適しています。サブリダイレクトインスタンスで ALL を選択して、すべてのトラフィックを Cloud Firewall を介してプライマリリダイレクトインスタンスにリダイレクトできます。これは、Basic Edition トランジットルーター向けの VPC ファイアウォールのトラフィックリダイレクトシナリオと同等です。

          重要

          トランジットルーターのルートテーブルにカスタム拒否ルートポリシーが含まれている場合、インスタンスから複数インスタンスへのシナリオはサポートされません。代わりに複数インスタンス相互接続シナリオを使用してください。

        • Interconnected Instances: 複数のネットワークインスタンス間のトラフィックを制御します。フルメッシュ ネットワークトポロジーに適しています。

        説明

        ネットワークインスタンスとは、Enterprise Edition トランジットルーターを介して接続された VPC インスタンス、VBR インスタンス、または TR インスタンスのことです。

        リダイレクト オブジェクト

        トラフィックリダイレクト用にInstance Type[インスタンス ID]を設定します。

        重要

        自動モードでは、保護対象 VPC の数は、トラフィックリダイレクトシナリオで構成されたネットワークインスタンス (VPC、TR、VBR) の数によって決定されます。

      3. [OK] をクリックします。

        トラフィックリダイレクト構成プロセスには最大 30 分かかる場合があります。プロセスが完了すると、トランジットルーターに接続されたネットワークインスタンス間のトラフィックが保護されます。

      VPC ファイアウォールが作成されると、自動的に有効化されます。Cloud Firewall は、お客様の VPC 内に以下のリソースを自動的に作成します。

      • Cloud_Firewall_VPC という名前の VPC リソース。

        重要

        他のビジネスリソースを Cloud_Firewall_VPC に追加しないでください。追加した場合、VPC ファイアウォールを削除する際にこれらのリソースを削除できなくなります。この VPC 内のネットワークリソースを手動で変更または削除しないでください。

      • Cloud_Firewall_VSWITCH という名前の vSwitch リソース。

      • 備考が Created by cloud firewall. Do not modify or delete it. のカスタムルートエントリー。

      説明

      VPC ファイアウォールを有効にした後、VPC ルートテーブルの情報を追加または削除した場合、Cloud Firewall がルートを学習するまでに 15 分から 30 分かかります。ルート学習プロセスが完了してから、ルートテーブルが有効であることを確認することを推奨します。ご不明な点がある場合は、を提出してください。

      Manual

      手動モードでは、Enterprise Edition トランジットルーター上で VPC ファイアウォール用の Elastic Network Interface (ENI) を手動で作成し、トラフィックをその ENI へリダイレクトするためのルート設定を行う必要があります。詳細な手順については、「CEN トランジットルーターで接続された VPC 間のすべてのトラフィックを保護する(手動トラフィックリダイレクト)」「CEN トランジットルーターで接続された VPC 間の一部のトラフィックを保護する(手動トラフィックリダイレクト)」および「CEN インスタンス内でリージョンをまたぐ VPC 間のトラフィックを保護する(手動トラフィックリダイレクト)」をご参照ください。

      重要

      手動モードを選択した場合、CEN インスタンスに接続されている VPC および vSwitch も明示的に選択する必要があります。また、Cloud Firewall インスタンスの有効期限が切れる前に、必ず更新を行ってください。有効期限切れにより Cloud Firewall サービスが利用不可になると、トラフィックのリダイレクトが失敗し、ネットワーク障害が発生します。

      1. VPC ファイアウォールの作成パネルで、VPC ファイアウォールの設定を行います。

        パラメーター

        説明

        ファイアウォールの基本情報

        • ファイアウォール名: VPC ファイアウォール インスタンスの一意で説明的な名前を入力します。

        • VPC:ファイアウォールが配置される VPC を設定します。

          重要

          設定する VPC は、CEN-TR と同じアカウントに属している必要があります。それ以外の場合、VPC ファイアウォールの作成はできません。

        • vSwitch:ファイアウォールが配置される vSwitch を設定します。

        侵入防止

        IPS モジュールの動作モードおよび侵入防止ポリシーを選択します。

        • IPSモード

          • Monitor Mode:悪意あるトラフィックを監視し、アラートを生成します。

          • Block Mode:悪意あるトラフィックを遮断し、侵入を防止します。

        • IPS 保護機能

          • 基本ルール:ブルートフォース攻撃、コマンド実行脆弱性、C&C サーバーへの接続など、資産に対する基本的な脅威をブロックする保護機能を提供します。

          • 仮想パッチ:人気のある高リスクアプリケーション脆弱性に対して、リアルタイムで保護を提供します。

        説明

        この設定は、同一 CEN インスタンス配下のすべてのネットワークインスタンスに適用されます。

      2. 作成を始めるをクリックします。

      VPC ファイアウォールを有効にすると、Cloud Firewall は自動的に Cloud_Firewall_Security_Group という名前のセキュリティグループを追加します。このセキュリティグループには、VPC ファイアウォールへのトラフィックを許可するための事前設定された許可ポリシー ([権限付与ポリシー] とも呼ばれます) があります。

      重要

      Cloud_Firewall_Security_Group セキュリティグループまたはその許可ポリシーを削除しないでください。削除すると、トラフィックの中断が発生します。

      警告

      • VPC ファイアウォールを作成した後、ファイアウォールの VPC 内の vSwitch またはルートテーブルを変更すると、トラフィックの中断が発生する可能性があります。

      • 手動モードの Enterprise Edition トランジットルーターの VPC ファイアウォールを無効化または削除すると、トラフィックの中断が発生する可能性があります。

      バッチ操作を実行するか、VPC ファイアウォールを頻繁にオン/オフする際は、業務への影響を最小限に抑えるためにオフピーク時間帯に実施してください。

    次のステップ

    • VPC ファイアウォールを有効にした後、アクセス制御ポリシーを設定して VPC 間のアクセスを制御できます。詳細については、「VPC ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。

    • VPC ファイアウォールを有効にした後、VPC アクセス機能を使用して VPC 間のトラフィックを表示できます。詳細については、「VPC アクセス」をご参照ください。

    • VPC ファイアウォールを有効にした後、VPC 保護機能を使用して、Cloud Firewall によってインターセプトされた VPC 間の異常なイベントに関する情報を確認できます。詳細については、「VPC トラフィックのブロックイベントの表示」をご参照ください。

    その他の操作

    自動リダイレクト設定の変更

    自動トラフィックリダイレクトモードの構成を変更または削除するには、CEN インスタンス配下の対象のトランジットルーターを見つけ、操作 列の Details をクリックします。その後、VPC Firewall の詳細 パネルの [トラフィックリダイレクトシナリオ] タブで以下の操作を実行します。

    トラフィックリダイレクトシナリオの無効化

    1. 有効なトラフィックリダイレクトシナリオのトグルをクリックします。

    2. リダイレクトシナリオを無効化する ダイアログボックスで、ルートのロールバック または ルートの取り消し のいずれかを使用してシナリオを無効にできます。

      • Roll Back Route: このオプションは、CEN/TR ルートを変更しておらず、Cloud Firewall のリダイレクト前のルーティング構成を迅速に復元したい場合に適しています。このロールバックにより、Cloud Firewall リダイレクトルートテーブルが直接削除され、元のルートテーブルが復元されます。このプロセスには約 1 分かかります。

      • ルートの取り消し: このオプションは、CEN/TR ルートを変更しており、Cloud Firewall によって作成されたルーティングシナリオを取り消す必要がある場合に適しています。この操作では、Cloud Firewall ルートエントリのみが削除され、Cloud Firewall によって作成されたルートテーブルは削除されません。必要な時間は、ルートエントリの数によって異なります。

    3. [OK] をクリックします。

      重要

      この操作は元に戻すことができません。続行する前に選択内容を確認してください。シナリオを無効にした後、すぐにビジネス トラフィックのステータスを確認してください。

    トラフィックリダイレクトシナリオの削除

    対象のトラフィックリダイレクトシナリオカードにカーソルを合わせ、Delete をクリックして削除します。自動トラフィックリダイレクトシナリオを削除する前に、無効にする必要があります。

    トラフィックリダイレクトシナリオの変更

    対象のトラフィックリダイレクトシナリオカードにカーソルを合わせ、Edit をクリックして変更します。

    ルート詳細の表示

    対象のトラフィックリダイレクトシナリオカードにカーソルを合わせ、ルーティングの詳細 をクリックして、VPC Firewall のトラフィックリダイレクトルートを表示します。

    VPC ファイアウォールの編集または削除

    VPC ファイアウォールを変更または削除するには、CEN (Enterprise Edition) タブに移動し、「VPC 境界ファイアウォール」を選択します。CEN インスタンスの一覧から対象のトランジットルーターを見つけ、Actions 列の 編集 または 削除する をクリックします。

    重要

    • 手動モード:サービス障害を回避するため、VPC ファイアウォールの削除前に、まず VPC ファイアウォールを指すルートを手動で削除し、その後で VPC ファイアウォールを削除してください。

    • 自動モード:ファイアウォールが有効な場合、VPC ファイアウォールを削除する前に、現在設定されているすべてのトラフィックリダイレクトシナリオを先に削除する必要があります。

    IPS 設定の変更

    IPS モードや機能、IPS ルールを変更したり、ホワイトリストに IP アドレスを追加したりするには、ファイアウォールインスタンスの Actions 列にある IPS の設定 をクリックします。設定は IPS の設定 ページの [VPC 境界] タブで行います。詳細については、「IPS 設定」をご参照ください。

    参考文献