Basic Editionトランジットルーターを使用して接続されているネットワークインスタンス間のトラフィックを保護する -

ネットワークインスタンスがBasic Editionトランジットルーターを使用して接続されている場合、仮想プライベートクラウド (VPC) ファイアウォールを使用してネットワークインスタンス間のトラフィックを保護できます。ネットワークインスタンスは、VPC、仮想ボーダールーター (VBR) 、およびCloud Connect network (CCN) インスタンスです。これにより、資産のセキュリティが向上します。このトピックでは、Basic EditionトランジットルーターのVPCファイアウォールを設定する方法について説明します。

機能の説明

実装

VPCファイアウォールを有効にすると、Cloud firewallは、トラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチ適用ポリシー、およびアクセス制御ポリシーに基づいて、VPC間のトラフィックをフィルタリングします。次に、Cloud Firewallは、トラフィックが指定された条件に一致するかどうかをチェックし、不正なトラフィックをブロックします。これにより、内部対応資産間のトラフィックのセキュリティが保証されます。

次の図は、Basic Editionトランジットルーター用に作成されたVPCファイアウォールの例を示しています。

保護スコープの詳細については、クラウドファイアウォールとは

影響

数回クリックするだけでVPCファイアウォールを作成し、現在のネットワークトポロジを変更することなくトラフィックリダイレクトモードを設定できます。トラフィックリダイレクトモードを自動トラフィックリダイレクトモードまたは手動トラフィックリダイレクトモードに設定できます。作成中、ワークロードは影響を受けません。作成時間は約5分です。オフピーク時にVPCファイアウォールを有効にすることを推奨します。

VPCファイアウォールを有効または無効にするには、約5〜30分かかります。作成期間は、ルートの数によって異なります。永続的な接続は、数秒間中断され得る。短命の接続は影響を受けません。

説明

VPCファイアウォールを有効にする前に、アプリケーションがTCP経由で再接続を自動的に開始するように構成されているかどうかを確認し、アプリケーションの接続ステータスに細心の注意を払うことをお勧めします。これにより、接続の中断を回避できます。

制限事項

制限事項	説明	解決策
VPCクォータ	VPCファイアウォールを有効にする前に、Cloud_Firewall_VPCという名前のVPCが作成され、アカウント内のVPCクォータが十分であることを確認してください。 VPCクォータの詳細については、「制限とクォータ」をご参照ください。たとえば、リージョンのVPCクォータは10です。 VPCファイアウォールを有効にすると、VPCはVPCファイアウォール用に自動的に作成されるため、最大9台のVPCを作成できます。	VPCクォータが使い果たされた場合は、VPCクォータを増やす必要があります。詳細については、「VPCクォータの管理」をご参照ください。
	各リージョンのBasic Editionトランジットルーターに接続されているネットワークインスタンスの数が上限を超えないようにする必要があります。ネットワークインスタンスには、VPC、VBR、およびCCNインスタンスが含まれます。 Basic Editionトランジットルーターに接続できるVPCには、VPCファイアウォールを有効にすると自動的に作成され、Cloud_Firewall_VPCという名前のVPCが含まれます。 Basic Editionトランジットルーターに接続できるネットワークインスタンスの最大数の詳細については、「制限」をご参照ください。たとえば、Basic Editionトランジットルーターに接続できるネットワークインスタンスのデフォルトの最大数は10です。 VPCファイアウォールを有効にすると、VPCはVPCファイアウォール用に自動的に作成されるため、最大9台のVPCを作成できます。	Enterprise Editionトランジットルーターの使用を推奨します。詳細については、DingTalkグループ33081734に参加して、Cloud Firewallのテクニカルサポートを取得してください。
	リージョン内のCloud Enterprise Network (CEN) インスタンスにアタッチできるVPCの最大数は31です。	なし。
ルートクォータ	CENインスタンスには、ルーティングポリシーアクションが [拒否] に設定されているルーティングポリシーはありません。そうでなければ、サービスは中断される。ルーティングポリシーは、優先度が5000に設定され、ルーティングポリシーアクションがDenyに設定されているCEN生成ポリシーを除外します。	ルーティング拒否ポリシーを削除することを推奨します。 DingTalkグループ33081734に参加して、Cloud Firewallでテクニカルサポートを取得できます。
	VPCファイアウォールを有効にすると、Cloud firewallはVPCルートテーブルにカスタムルートを自動的に追加します。デフォルトでは、各VPCルートテーブルに最大200のカスタムルートを追加できます。 VPCルートテーブル内のカスタムルートの数が上限に達すると、VPCファイアウォールを有効にできなくなります。	Alibaba Cloudアカウント内の各VPCルートテーブルに許可されるカスタムルートの最大数を増やします。詳細については、「リソースクォータの管理」をご参照ください。
	CENインスタンスにアドバタイズされるルートの数が上限を超えないようにする必要があります。この場合、通知されたルートには、VPCファイアウォールを有効にすると自動的に追加されるルートが含まれます。 CENインスタンスにアドバタイズできるルートの最大数の詳細については、「制限」をご参照ください。	CENインスタンスには、100以下のルートをアドバタイズすることを推奨します。 DingTalkグループ33081734に参加して、Cloud Firewallでテクニカルサポートを取得できます。
	VPCにvSwitchに関連付けられたカスタムルートテーブルがある場合、VPCファイアウォールを有効にすることはできません。	カスタムルートテーブルを削除するか、カスタムルートテーブルからvSwitchの関連付けを解除できます。
トラフィックタイプ	VPCファイアウォールはIPv6アドレスのトラフィックを保護できません。	なし。
その他	2021年5月1日より前にVPCファイアウォールを有効にし、プライベートネットワークが10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16以外のパブリックIPアドレスを使用するか、32ビットCIDRブロックXX.XX.XX.XX.XX/32を使用して双方向トラフィックのリダイレクトを行うと、ワークロードが影響を受ける可能性があります。 VPC間でアセットにアクセスする場合、一方向トラフィックのみがVPCファイアウォールを通過する場合があります。この場合、トラフィックログデータが失われる可能性があり、レイヤ4およびレイヤ7でのアクセス制御およびIPS保護に例外が発生する可能性があります。 VPC間でServer Load Balancer (SLB) またはApsaraDB RDSインスタンスにアクセスすると、インスタンスのアウトバウンドトラフィックとインバウンドトラフィックのフローに一貫性がないため、パケットが失われる可能性があります。その結果、SLBまたはRDSインスタンスにアクセスできなくなります。説明 2021 5月1日以降にVPCファイアウォールを有効にする場合、この制限は適用されません。	標準に基づいてネットワークプランを作成することを推奨します。また、トラフィックのリダイレクトにプライベートネットワークのパブリックIPアドレスや32ビットCIDRブロックを使用しないことをお勧めします。特別な要件がある場合は、DingTalkグループ33081734に参加し、アフターサービスに連絡してホワイトリストにアカウントを追加します。
その他	SLBやApsaraDB RDSインスタンスなどのAlibaba Cloudアセットに対してVPCファイアウォールを有効または無効にすると、既存の永続的な接続が失敗する可能性があります。	VPCファイアウォールを有効または無効にすると、SLBのヘルスチェックでローカルVPCをバックエンドサーバーとして一時的に指定して、ヘルスチェック中のネットワークジッターを防ぐことができます。 VPCファイアウォールを有効または無効にした後、設定を復元できます。詳細については、「CLBヘルスチェックの設定と管理」をご参照ください。クライアントで接続保護および再接続メカニズムを設定します。

VPCファイアウォールの作成と有効化

前提条件

Cloud Firewall Enterprise EditionまたはUltimate Editionを購入しました。詳細については、「Cloud Firewallの購入」をご参照ください。
Basic EditionトランジットルーターのVPCファイアウォールを設定できるのは、Cloud Firewall Enterprise EditionとUltimate Editionのみです。
Cloud Firewallは、他のクラウドリソースへのアクセスを許可されています。詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
CENインスタンスが購入され、VPCがCENインスタンスにアタッチされます。詳細については、「Basic Editionトランジットルーターを使用して同じリージョンのVPCを接続する」および「Basic Editionトランジットルーターを使用してリージョン間のVPCを接続する」をご参照ください。
説明
CENインスタンス内の複数のVPCが異なるAlibaba Cloudアカウントによって作成されている場合、Cloud Firewallは次の条件を満たす必要があります。それ以外の場合、VPCファイアウォールは作成できません。この場合、Alibaba Cloudアカウントを使用してCloud Firewallコンソールにログインし、認証を完了するか、Cloud FirewallをUltimate Editionにアップグレードする必要があります。次に、VPCファイアウォールを作成できます。詳細については、「クラウドファイアウォールに他のクラウドリソースへのアクセスを許可する」および「クラウドファイアウォールのアップグレードとダウングレード」をご参照ください。
ネットワークリソースが存在するリージョンは、VPCファイアウォールでサポートされています。詳細については、「サポートされているリージョン」をご参照ください。

手順

警告

VPCファイアウォールの作成後にvSwitchとルートテーブルを変更すると、業務が中断される可能性があります。
CENインスタンスに単一のVBRが存在する場合、VPCファイアウォールを作成するか、ネットワークカットオーバーを実行すると、ビジネスが中断される可能性があります。

Cloud Firewallコンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
ファイアウォールスイッチページで、VPC 境界ファイアウォールタブをクリックします。
VPC 境界ファイアウォールタブで、CEN (基本)タブをクリックします。
VPCファイアウォールを作成するCENインスタンスを見つけ、作成で、操作列を作成します。
アセットリストに利用可能なアセットが表示されていない場合は、[アセットの同期] をクリックして、現在のAlibaba CloudアカウントとAlibaba Cloudアカウントのメンバーのアセット情報を同期できます。

では、ファイアウォールの作成パネルで、ウィザードを完了するためのパラメータを設定します。

Basic Editionトランジットルーター用のVPCファイアウォールを作成する場合は、[今すぐチェックを開始] をクリックして、必要な条件が満たされているかどうかを確認できます。チェックが完了したら、[チェックの詳細] セクションでチェック結果を表示できます。 VPCファイアウォールを作成するためのルールに精通している場合は、ワンクリック診断をスキップして、VPCファイアウォールを直接作成できます。

次の表に、CENに接続されたVPCのVPCファイアウォールを作成するために必要なパラメーターを示します。

パラメーター	説明
基本情報	インスタンス名: VPCファイアウォールの名前を指定します。ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
ファイアウォール VPC の設定	トラフィックのリダイレクト用にVPCファイアウォール用に自動的に作成されたvSwitchおよびCloud_Firewall_VPCにCIDRブロックを割り当てます。 CIDRブロックのサブネットCIDRブロックを、VPCに関連付けられているvSwitchに割り当てます。サブネットCIDRブロックのマスクは、長さが29ビット以下である必要があります。また、ネットワークプランと競合することはありません。重要 VPCファイアウォールの作成後は設定を変更できないため、ビジネス要件に基づいて設定を完了する必要があります。異なる設定を使用する場合は、VPCファイアウォールを削除し、別のVPCファイアウォールを作成する必要があります。ファイアウォールで使用される VPC: デフォルト値は10.0.0.0/8です。 VPCに別のCIDRブロックを割り当てることができます。次のCIDRブロックとそのサブネットCIDRブロックがサポートされています: 10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16。 vSwitch CIDRブロック: デフォルト値は10.219.219.216/29です。デフォルト値がネットワークプランと競合する場合は、別の値を指定できます。 vSwitch ゾーン: システムはvSwitchにゾーンを自動的に割り当てます。別のゾーンを指定できます。ビジネスがレイテンシーに敏感な場合、ファイアウォールのvSwitchとビジネスVPCのvSwitchに同じゾーンを指定して、レイテンシーを最小限に抑えることができます。
ビジネス VPC に必要な vSwitch を割り当ててください	トラフィックのリダイレクトを有効にするビジネスVPCのvSwitchを指定します。 vSwitchは、VPCファイアウォールに必要なelastic network interface (ENI) に関連付けるために使用されます。システムは自動的にvSwitchを割り当てます。ビジネスがレイテンシーに敏感な場合は、ビジネスVPCが存在するゾーンを選択して、レイテンシーを最小限に抑えることができます。重要 VPCファイアウォールの作成後に設定を変更することはできません。設定を変更する場合は、VPCファイアウォールを削除し、別のVPCファイアウォールを作成する必要があります。ゾーン: vSwitchのゾーンを選択します。 vSwitch: ビジネスVPCのvSwitchを選択します。
リダイレクト設定	[トラフィックリダイレクトの有効化] をオンまたはオフにし、保護されたCIDRブロックを表示します。
侵入防止	侵入防止システム (IPS) の動作モードと、有効にする侵入防止ポリシーを指定します。 IPSモード観察モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。ブロックモード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。 IPS機能基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。説明この設定は、同じCENインスタンスに属するすべてのネットワークインスタンスに適用されます。

作成を始めるをクリックして、VPCファイアウォールを作成します。
CEN (基本)タブで、作成したVPCファイアウォールを有効にします。
Cloud Firewallは、VPCファイアウォールを有効にした後にのみネットワークリソースを保護できます。 VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変更された場合、VPCファイアウォールは有効になります。
説明
VPCファイアウォールを有効にした後、VPCルートテーブルでルートを追加または削除する場合、Cloud firewallがルートを学習するまで15〜30分待つ必要があります。 Cloud Firewallがルートを学習したら、ルートテーブルが有効かどうかを確認することを推奨します。また、DingTalkグループ33081734に参加して、Cloud Firewallでテクニカルサポートを受けることもできます。
VPCファイアウォールを作成すると、Cloud firewallは自動的に次のリソースを作成します。
- Cloud_Firewall_VPCという名前のVPC。
  重要
  Cloud_Firewall_VPCにクラウドリソースを追加しないでください。そうしないと、VPCファイアウォールを削除するときにクラウドリソースを削除できません。 Cloud_Firewall_VPCのネットワークリソースを手動で変更または削除しないでください。
- Cloud_Firewall_vSwitchという名前のVSWITCH。
- 次の注意事項があるカスタムルート。クラウドファイアウォールによって作成されました。 変更または削除しないでください。
VPCファイアウォールを有効にすると、ECS (Elastic Compute Service) は自動的にCloud_Firewall_Security_Groupという名前のセキュリティグループを作成し、[Action] が [Allow] に設定されているセキュリティグループルールをセキュリティグループに追加して、VPCファイアウォールからECSへのインバウンドトラフィックを許可します。
重要
ActionパラメーターがAllowに設定されているセキュリティグループCloud_Firewall_Security_Groupまたはセキュリティグループルールは削除しないでください。そうしないと、ビジネスが中断される可能性があります。
VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、ビジネスに影響を与えないように、オフピーク時にそのような操作を実行することを推奨します。

次のステップ

VPCファイアウォールを有効にすると、VPCファイアウォールのアクセス制御ポリシーを作成してVPC間のトラフィックを制御できます。詳細については、「VPCファイアウォールのアクセス制御ポリシー」をご参照ください。
VPCファイアウォールを有効にすると、VPCアクセスページでVPC間のトラフィックを表示できます。詳細は、「VPCアクセス」をご参照ください。
VPCファイアウォールを有効にすると、[侵入防御] ページの [VPCトラフィックのブロック] タブで、VPCで検出された侵入イベントに関する情報を表示できます。詳細については、「VPCトラフィックブロックイベントの表示」をご参照ください。

その他操作

VPCファイアウォールの変更

VPCファイアウォールの設定を変更するには、VPCファイアウォールタブのCEN (Basic Edition) タブに移動し、VPCファイアウォールが作成されたCENインスタンスを見つけて、[操作] 列の [編集] をクリックします。

VPCファイアウォールの有効化または無効化

警告

VPCファイアウォールを無効にすると、一時的な接続が発生する可能性があります。

ファイアウォールの設定ページで、VPCファイアウォールタブをクリックします。
CEN (ベーシックエディション)タブで、VPCファイアウォールが作成されているCENインスタンスを見つけ、スイッチ列を作成します。
VPCファイアウォールが無効になるまで待ちます。 VPCファイアウォールのファイアウォールステータスの値が無効に変更された場合、VPCファイアウォールは無効になります。

VPCファイアウォールの削除

警告

VPCファイアウォールを削除すると、一時的な接続が発生する可能性があります。

VPCファイアウォールが不要になった場合は、[VPCファイアウォール] タブの [CEN (Basic Edition)] タブに移動し、VPCファイアウォールが作成されたCENインスタンスを見つけて、[操作] 列の [削除] をクリックします。

:Basic EditionトランジットルーターのVPCファイアウォールの設定