VPC、VBR、CCN などのネットワークインスタンスが、Basic Edition トランジットルーターを使用する Cloud Enterprise Network (CEN) インスタンスによって接続されている場合、VPC ファイアウォールを使用してインスタンス間のトラフィックを保護し、ビジネス資産のセキュリティを強化できます。このトピックでは、Basic Edition トランジットルーター向けに VPC ファイアウォールを設定する方法について説明します。
機能紹介
仕組み
VPC ファイアウォールを有効にすると、Cloud Firewall はディープパケットインスペクション (DPI) によるトラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーに基づいて VPC 間のトラフィックをフィルタリングします。その後、Cloud Firewall はトラフィックを許可するかどうかを決定します。これにより、Cloud Firewall は不正アクセスをブロックし、プライベートネットワーク資産間のトラフィックを保護できます。
次の図は、VPC ファイアウォールが Basic Edition トランジットルーターを保護するシナリオの例です。
保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。
ビジネスへの影響
VPC ファイアウォールを作成する際、ネットワークトポロジーを変更する必要はありません。ワンクリックで VPC ファイアウォールを作成し、自動トラフィックリダイレクトモードを有効にしてビジネス資産を保護できます。この操作によってサービスが中断されることはありません。作成プロセスには約 5 分かかります。オフピーク時間帯に VPC ファイアウォールを有効にすることを推奨します。
VPC ファイアウォールの有効化または無効化には、ルートエントリーの数に応じて約 5〜30 分かかります。このプロセス中に、持続的接続で数秒間の一時的な切断が発生する可能性があります。短時間の接続は影響を受けません。
VPC ファイアウォールを有効にする前に、ご利用のアプリケーションが自動 TCP 再送メカニズムをサポートしていることを確認してください。また、再送メカニズムが設定されていない場合に発生する可能性のある中断を防ぐために、アプリケーションの接続状態を監視する必要があります。
制限事項
制限 | 説明 | 提案 |
VPC の制限 | VPC ファイアウォールを有効にすると、`Cloud_Firewall_VPC` という名前の VPC タイプのインスタンスが作成されます。ご利用の Alibaba Cloud アカウントに十分な VPC クォータがあることを確認してください。VPC クォータの詳細については、「制限事項とクォータ」をご参照ください。 たとえば、あるリージョンで作成できる VPC のデフォルトクォータは 10 です。VPC ファイアウォールを有効にすると、VPC が自動的に作成されます。この場合、最大でさらに 9 つの VPC を作成できます。 | クォータに達した場合は、クォータの引き上げをリクエストできます。詳細については、「VPC クォータの管理」をご参照ください。 |
各リージョンの Basic Edition トランジットルーターに追加できる VPC、VBR、CCN などのネットワークインスタンスの数がクォータを超えないようにしてください。Basic Edition トランジットルーターに接続されるネットワークインスタンスのクォータには、VPC ファイアウォールを有効にすると自動的に作成される VPC が含まれます。この VPC のインスタンス名は `Cloud_Firewall_VPC` です。Basic Edition トランジットルーターがサポートするネットワークインスタンスの数については、「制限事項」をご参照ください。 たとえば、各 Basic Edition トランジットルーターはデフォルトで 10 個のネットワークインスタンスをサポートします。VPC ファイアウォールを有効にすると、これらのインスタンスの 1 つを使用する VPC が自動的に作成されるため、最大で 9 つの追加 VPC を作成できます。 | Enterprise Edition トランジットルーターを使用することを推奨します。詳細については、して、プロダクト技術専門家にご連絡ください。 | |
CEN インスタンスは、同じリージョン内で最大 31 個の VPC を保護できます。 | なし | |
ルートの制限 | CEN インスタンスには、[ポリシー動作] が 拒否 に設定されているルーティングポリシーを含めることはできません。ただし、CEN が自動的に生成する優先度 5000 のデフォルトのルーティングポリシーは例外です。そうでない場合、サービスの中断が発生する可能性があります。 | 関連するルーティングポリシーを削除してください。プロダクトの技術専門家に連絡するには、チケットを送信できます。 |
VPC ファイアウォールを有効にすると、Cloud Firewall は自動的に VPC にカスタムルートエントリーを追加します。VPC ルートテーブルは最大 200 のカスタムルートエントリーをサポートします。ルートテーブル内のカスタムルートエントリーの数がこの制限に達した場合、VPC ファイアウォールを有効にすることはできません。 | VPC クォータを増やすことができます。 VPC ルートテーブル内のカスタムルートのクォータを変更できます。詳細については、「クォータの管理」をご参照ください。 | |
CEN インスタンス内のルートエントリーの数がクォータを超えないようにしてください。ルートエントリーの総数には、VPC ファイアウォールを有効にすると自動的に追加されるものが含まれます。CEN インスタンスがサポートするルートエントリーの数については、「制限事項」をご参照ください。 | 公開されたルートエントリの数は 100 に制限することを推奨します。クォータの増加をリクエストするには、チケットを送信して、プロダクト技術エキスパートに連絡できます。 | |
VPC 内の vSwitch にカスタムルートテーブルが関連付けられている場合、VPC ファイアウォールを有効にすることはできません。 | カスタムルートテーブルを削除するか、カスタムルートテーブルと vSwitch の関連付けを解除できます。 | |
トラフィックタイプの制限 |
| なし |
その他の制限 | 2021 年 5 月 1 日より前に VPC ファイアウォールを有効にし、プライベート CIDR ブロックとしてパブリック CIDR ブロックを使用しているか、/32 CIDR ブロックからの双方向トラフィックをリダイレクトしている場合、サービスに次のような影響が出る可能性があります:
説明 この制限は、2021 年 5 月 1 日以降に VPC ファイアウォールを有効にするユーザーには適用されません。 | 標準的なプラクティスに基づいてネットワークを計画し、プライベート CIDR ブロックとしてパブリック CIDR ブロックを使用したり、CEN インスタンスで /32 CIDR ブロックからのトラフィックをリダイレクトしたりしないことを推奨します。 特別なビジネス要件がある場合は、して、プロダクト技術専門家にご連絡ください。 |
VPC ファイアウォールを有効または無効にすると、SLB や ApsaraDB RDS などの一部の Alibaba Cloud サービスへの確立された持続的接続が失敗する可能性があります。 |
|
VPC ファイアウォールの作成と有効化
前提条件
Cloud Firewall の Enterprise、Ultimate、または従量課金エディションを購入済みであること。詳細については、「Cloud Firewall の購入」をご参照ください。
説明Enterprise Edition トランジットルーター向けの VPC ファイアウォールは、Cloud Firewall の Enterprise Edition、Ultimate Edition、および従量課金エディションでのみ設定できます。この機能は Premium Edition では利用できません。
Cloud Firewall にクラウドリソースへのアクセスに必要な権限を付与済みであること。詳細については、「Cloud Firewall にクラウドリソースへのアクセスを承認する」をご参照ください。
CEN インスタンスを購入し、それを使用して VPC 間のネットワーク接続を確立済みであること。詳細については、「CEN インスタンスを使用して同一リージョン内の VPC を接続する (Basic Edition)」および「CEN インスタンスを使用してリージョンやアカウントをまたいで VPC を接続する (Basic Edition)」をご参照ください。
説明CEN インスタンス内の VPC が別の Alibaba Cloud アカウントによって作成され、そのアカウントが Cloud Firewall に権限を付与していない場合、VPC ファイアウォールを作成することはできません。VPC ファイアウォールを有効にする前に、対応するアカウントで Cloud Firewall コンソールにログインし、必要な権限を付与することを推奨します。詳細については、「Cloud Firewall にクラウドリソースへのアクセスを承認する」をご参照ください。
ネットワークリソースが配置されているリージョンが VPC ファイアウォールでサポートされていることを確認してください。詳細については、「サポート対象リージョン」をご参照ください。
操作手順
VPC ファイアウォールを作成した後、作成された Cloud Firewall VPC 内の vSwitch およびルートテーブルを変更しないでください。変更すると、トラフィックの中断が発生する可能性があります。
CEN インスタンス内に単一の VBR が存在する場合、VPC ファイアウォールの作成またはネットワークの切り替えを行うと、トラフィックの中断が発生する可能性があります。
VPC ファイアウォールを有効にするプロセスをロールバックまたは一時停止することはできません。例外が発生した場合、システムは自動的にプロセスをロールバックします。
Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
ファイアウォールスイッチ ページで、VPC 境界ファイアウォール タブをクリックします。
VPC 境界ファイアウォール タブで、[Cloud Enterprise Network (Basic Edition)] をクリックします。
VPC ファイアウォールを作成したい CEN インスタンスを見つけ、アクション 列の 作成する をクリックします。
保護したいアセットがリストにない場合は、Synchronize Assets をクリックして、ご利用の Alibaba Cloud アカウントとそのメンバーアカウントからアセット情報を同期できます。
Create Firewall パネルで、ウィザードの手順に従って VPC ファイアウォールを設定します。
ワンクリックチェックを実行して、Basic Edition トランジットルーターが VPC ファイアウォールを作成するための条件を満たしているかどうかを判断できます。チェックが完了すると、Enable Diagnosis ウィザードで結果を表示できます。作成ルールに精通している場合は、この診断チェックをスキップして直接ファイアウォールを作成できます。
次の表に、CEN 接続モードでの VPC ファイアウォールの設定を示します。
設定項目
説明
基本情報
名前:VPC ファイアウォールの名前を入力します。この名前は VPC ファイアウォールインスタンスを識別するために使用されます。必要に応じて、一意で意味のある名前を入力することを推奨します。
ファイアウォール VPC の設定
自動的に作成される Cloud Firewall VPC と vSwitch に CIDR ブロックを割り当てます。これらは、トラフィックリダイレクト用のファイアウォールセキュリティ VPC (`Cloud_Firewall_VPC`) を作成するために使用されます。割り当てられた VPC CIDR ブロックから、Cloud Firewall VPC の vSwitch 用にサブネット CIDR ブロックが割り当てられます。サブネット CIDR ブロックのサブネットマスクは 29 ビット以下でなければならず、ネットワークプラン内の CIDR ブロックと競合してはなりません。
重要必要に応じて設定を構成してください。VPC ファイアウォールが作成された後、これらの設定を変更することはできません。設定を変更するには、ファイアウォールを削除して新しく作成する必要があります。
ファイアウォールで使用される VPC: デフォルト値は 10.0.0.0/8 です。ファイアウォール VPC の CIDR ブロックをカスタマイズできます。次の CIDR ブロックおよびそのサブネット CIDR ブロックがサポートされています: 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16。
vSwitch CIDR Block:デフォルト値は 10.219.219.216/29 です。デフォルト値がネットワークプランと競合する場合は、別の値を指定できます。
ゾーンの設定:
説明プライマリゾーンとセカンダリゾーンの両方で デフォルト (自動割り当て) を選択した場合、アクティブ/アクティブモードが有効になります。このモードは設定が簡単で、遅延の影響を受けないサービストラフィックのシナリオに最適です。
プライマリゾーンとセカンダリゾーンを指定した場合、プライマリ/セカンダリモードが使用されます。このモードは、サービストラフィックが遅延に敏感なシナリオに適しており、トラフィックの遅延を削減できます。
アクティブ/アクティブモードとプライマリ/セカンダリモード、および移行手順の詳細については、「VPC ファイアウォールゾーン移行のベストプラクティス」をご参照ください。
Primary Zone:vSwitch のプライマリゾーンを設定します。Cloud Firewall は vSwitch ゾーンの自動割り当てをサポートしています。
重要サービスが遅延に敏感な場合は、[プライマリゾーン] をサービストラフィックが発生するリージョンに設定し、さらに遅延を削減するためにサービス VPC が必要とする vSwitch のゾーンも同じリージョンに設定することを推奨します。
Secondary Zone:vSwitch のセカンダリゾーンを指定します。デフォルトでは、VPC ファイアウォールは効率的な伝送のためにプライマリゾーン (AZ) を通じてトラフィックを優先的に転送します。プライマリゾーンが利用できなくなった場合、システムは自動的にセカンダリゾーンに切り替えてトラフィックを転送し、ディザスタリカバリシナリオでの業務継続性を確保します。
業務用 VPC に必要な vSwitch を割り当ててください
トラフィックリダイレクトを有効にしたいサービス VPC の vSwitch を設定します。この vSwitch は、Cloud Firewall のトラフィックリダイレクトに必要な Elastic Network Interface (ENI) によって使用されます。Cloud Firewall は vSwitch を自動的に割り当てます。サービスがネットワーク遅延に敏感な場合は、サービス VPC のゾーンを指定してネットワーク遅延を削減できます。
重要この設定はサービス構成によって決定され、作成後に変更することはできません。この設定を変更するには、リソースを削除して再作成する必要があります。
Zone:サービス VPC 内の vSwitch のゾーンを選択します。遅延を削減するために、ファイアウォール VPC の vSwitch のプライマリゾーンと同じゾーンを選択することを推奨します。
vSwitch インスタンス:ビジネス VPC の vSwitch インスタンスを選択します。
リダイレクト設定
トラフィックリダイレクトを有効または無効にし、保護対象の CIDR ブロックを表示します。
侵入防御
侵入防止システム (IPS) のモードとポリシーを選択します。
IPSモード
Monitor Mode:有効にすると、悪意のあるトラフィックを監視し、アラートを送信します。
Block Mode:悪意のあるトラフィックをブロックし、侵入を防ぎます。
IPS 保護機能
基本ルール:基本ポリシーを有効にすると、ブルートフォース攻撃の遮断、コマンド実行脆弱性の遮断、感染後の C&C (コマンド & コントロール) サーバーへの接続制御など、アセットに対する基本的な緩和機能が提供されます。
仮想パッチ:有効にすると、一般的な高リスクのアプリケーション脆弱性に対してリアルタイムの保護を提供します。
説明この設定は、同じ CEN インスタンス配下のすべてのネットワークインスタンスに適用されます。
作成を始める をクリックします。
[Cloud Enterprise Network (Basic Edition)] タブで、作成した VPC ファイアウォールのスイッチをオンにします。
Cloud Firewall は、VPC ファイアウォールが有効になった後にのみネットワークリソースを保護できます。VPC ファイアウォールの ファイアウォールのステータス が 有効になりました に変わると、VPC ファイアウォールは正常に有効化されています。
説明VPC ファイアウォールを有効にした後、VPC ルートテーブルで情報を追加または削除した場合、Cloud Firewall が新しいルートを学習するのに 15〜30 分かかります。ルート学習プロセスが完了するのを待ってから、ルートテーブルが有効になったかどうかを確認することを推奨します。ご不明な点がある場合は、して、プロダクト技術専門家にご連絡ください。
VPC ファイアウォールが作成されると、Cloud Firewall は自動的に次のリソースを作成します:
Cloud_Firewall_VPCという名前の VPC リソース。重要`Cloud_Firewall_VPC` に他のサービスリソースを追加しないでください。追加した場合、VPC ファイアウォールを削除する際にこれらのリソースを削除できなくなります。この VPC 内のネットワークリソースを手動で変更または削除しないでください。
Cloud_Firewall_VSWITCHという名前の vSwitch リソース。Created by cloud firewall. Do not modify or delete it.という備考が付いたカスタムルートエントリー。
VPC ファイアウォールを有効にすると、`Cloud_Firewall_Security_Group` という名前のセキュリティグループが自動的に `Cloud_Firewall_VPC` とサービス VPC に追加されます。このセキュリティグループには、VPC ファイアウォールへのトラフィックを許可するための許可ポリシー (権限付与ポリシー) が自動的に設定されます。
重要`Cloud_Firewall_Security_Group` セキュリティグループまたはその許可ポリシーを削除しないでください。削除すると、サービストラフィックが中断されます。
バッチ操作や VPC ファイアウォールの頻繁な有効化・無効化を行う場合は、サービスの中断を避けるために、オフピーク時間帯にこれらの操作を実行することを推奨します。
次のステップ
VPC ファイアウォールを有効にした後、VPC ファイアウォールのアクセス制御ポリシーを設定して、VPC 間のアクセスを制御できます。詳細については、「VPC ファイアウォールのアクセス制御ポリシー」をご参照ください。
VPC ファイアウォールを有効にした後、VPC アクセス機能を使用して VPC 間のトラフィックを表示できます。詳細については、「VPC アクセス」をご参照ください。
VPC ファイアウォールを有効にした後、VPC 保護機能を使用して、Cloud Firewall によってブロックされた VPC 間の異常なアクティビティに関する情報を表示できます。詳細については、「VPC 保護」をご参照ください。
その他の操作
VPC ファイアウォールの編集
VPC ファイアウォールの構成を変更するには、VPC 境界ファイアウォール ページに移動して [Cloud Enterprise Network (Basic Edition)] タブをクリックします。対象の VPC ファイアウォールのネットワークインスタンスを見つけ、Actions 列の [編集] をクリックします。
VPC ファイアウォールの無効化
VPC ファイアウォールを無効にすると、トラフィックに一時的な切断が発生する可能性があります。
ファイアウォールスイッチ ページで、VPC 境界ファイアウォール タブをクリックします。
VPC 境界ファイアウォール の [Cloud Enterprise Network (Basic Edition)] タブで、対象の VPC ファイアウォールの CEN インスタンスを探し、ファイアウォールスイッチ をオフにします。
VPC ファイアウォールが無効になるまで待ちます。[ファイアウォールステータス] が まだ有効化されていません に変更されると、VPC ファイアウォールは正常に無効化されます。
VPC ファイアウォールの削除
VPC ファイアウォールが不要になった場合は、VPC 境界ファイアウォール ページに移動し、[Cloud Enterprise Network (Basic Edition)] タブをクリックします。対象の VPC ファイアウォールのネットワークインスタンスを見つけ、Actions 列の Delete をクリックします。
IPS 設定の変更
侵入防御システム (IPS) の保護モードや機能の変更、特定の宛先 IP アドレスやソース IP アドレスのホワイトリストへの追加、または IPS ルールの変更を行うには、既存の Cloud Firewall インスタンスの [操作] 列にある IPS の設定 をクリックします。 次に、[IPS 設定] ページの [VPC 境界] タブで設定を構成します。 詳細については、「IPS 設定」をご参照ください。