VPC、VBR、VPN などのネットワークインスタンスが Cloud Enterprise Network (CEN) の Enterprise Edition トランジットルーターによって接続されている場合、VPC ファイアウォールを使用してネットワークインスタンス間のトラフィックを保護し、ビジネス資産のセキュリティを向上させることができます。このトピックでは、Enterprise Edition トランジットルーター用の VPC ファイアウォールを作成および管理する方法について説明します。
機能紹介
保護の原則
VPC ファイアウォールを作成すると、Cloud Firewall はディープパケットインスペクション (DPI) トラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、およびアクセスの制御ポリシーに基づいて VPC 間のトラフィックをフィルタリングします。Cloud Firewall は、トラフィックを転送するかどうかを判断し、不正なアクセスをブロックして、プライベートネットワーク資産のセキュリティを確保します。
次の図は、Enterprise Edition トランジットルーターで使用される VPC ファイアウォールの保護シナリオのサンプルを示しています。
保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。
ビジネスへの影響
VPC ファイアウォールを作成するときに、現在のネットワークトポロジーを変更する必要はありません。ワンクリックで VPC ファイアウォールを作成し、トラフィックのリダイレクトモードを自動または手動に設定できます。これにより、ビジネスに影響を与えることなくビジネス資産を保護できます。作成プロセスには約 5 分かかります。オフピーク時に VPC ファイアウォールを作成することをお勧めします。
自動トラフィックリダイレクトモードでは、VPC ファイアウォールの作成または削除にはルートの数に応じて約 5〜30 分かかり、ビジネスに影響はありません。
手動トラフィックリダイレクトモードでは、VPC ファイアウォールの作成または削除に必要な時間とビジネスへの影響は、トラフィックの切り替え方法によって異なります。
制限
VPC ファイアウォールを作成すると、Cloud_Firewall_VPC という名前の VPC タイプのインスタンスが作成されます。Alibaba Cloud アカウントに VPC の十分なクォータがあることを確認してください。VPC クォータの詳細については、「制限とクォータ」をご参照ください。
自動トラフィックリダイレクトモードは、次のシナリオをサポートしていません:
Enterprise Edition トランジットルーターのルートテーブルには、100.64.0.0/10 CIDR ブロックとそのサブネットの静的ルートを除き、静的ルートが含まれています。
トラフィックは、VPC タイプのインスタンス、VBR タイプのインスタンス、TR タイプのインスタンスから同時にリダイレクトされます。
Basic Edition トランジットルーターがトラフィックのリダイレクトに使用されます。
トランジットルーターにルートの競合があります。
プレフィックスリスト機能が VPC で使用されています。
VPC ファイアウォールは、IPsec-VPN や SSL VPN などの VPN Gateway が VPC に直接接続されているシナリオの保護をサポートしていません。ただし、VPC ファイアウォールは、IPsec-VPN がトランジットルーターにアタッチされているシナリオの保護をサポートしています。詳細については、「IPsec-VPN アプリケーションシナリオ (トランジットルーターにアタッチ)」をご参照ください。
VPC ファイアウォールは IPv6 トラフィックを保護しません。
VPC ファイアウォールは、クラウドサービス CIDR ブロック (100.64.0.0/10) 宛てのトラフィック、または 32 ビットのサブネットマスクを持つルートをリダイレクトまたは保護しません。
次の項目を手動でメンテナンスする必要があります:
CEN トランジットルーターのルートテーブルのルーティングポリシー。たとえば、VPC ファイアウォールのトランジットルータールートテーブルで VBR のルート優先度ポリシーを手動で設定およびメンテナンスする必要があります。
クラウドサービス CIDR ブロック (100.64.0.0/10) の静的ルート。
システムルートテーブルでのルート学習。
VPC ファイアウォールを作成し、トラフィックリダイレクトモードを設定する
前提条件
Cloud Firewall の Enterprise、Ultimate、または Pay-As-You-Go (従量課金) Edition を購入済みであること。詳細については、「Cloud Firewall の購入」をご参照ください。
説明Cloud Firewall の Enterprise、Ultimate、および Pay-As-You-Go (従量課金) エディションのみが、Enterprise Edition トランジットルーターの VPC ファイアウォールをサポートします。Premium Edition はこの機能をサポートしていません。
Cloud Firewall にクラウドリソースへのアクセスを権限付与済みであること。詳細については、「Cloud Firewall にクラウドリソースへのアクセスを権限付与する」をご参照ください。
CEN インスタンスを購入し、Enterprise Edition トランジットルーターを使用して VPC 間、またはオンプレミスのデータセンターとクラウド間のネットワーク接続を確立していること。詳細については、「オンプレミスとクラウドネットワークの接続」および「アカウント間での VPC の接続」をご参照ください。
説明CEN インスタンス内の VPC が別の Alibaba Cloud アカウントを使用して作成され、そのアカウントが Cloud Firewall に権限を付与していない場合、VPC ファイアウォールを作成することはできません。VPC ファイアウォールを作成する前に、対応するアカウントを使用して Cloud Firewall コンソールにログインし、必要な権限を付することをお勧めします。詳細については、「Cloud Firewall にクラウドリソースへのアクセスを権限付与する」をご参照ください。
ネットワークリソースは、VPC ファイアウォールをサポートするリージョンにある必要があります。そうでない場合、VPC ファイアウォールを作成することはできません。詳細については、「サポートされているリージョン」をご参照ください。
手順
VPC ファイアウォールを有効にするプロセスをロールバックまたは一時停止することはできません。例外が発生した場合、システムは自動的にプロセスをロールバックします。
Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
ファイアウォールスイッチ ページで、VPC 境界ファイアウォール をクリックします。
VPC 境界ファイアウォール タブで、[Cloud Enterprise Network (Enterprise Edition)] をクリックします。
ターゲット CEN インスタンスに関連付けられているトランジットルーターを見つけます。アクション 列で、作成する をクリックします。
保護したいアセットがアセットリストにない場合は、Synchronize Assets をクリックして、Alibaba Cloud アカウントとそのメンバーアカウントのアセット情報を同期します。
重要自動リダイレクトモード: Pay-As-You-Go (従量課金) Edition または従量課金機能が有効になっているサブスクリプションエディションを使用する場合、Cloud Firewall は VPC ファイアウォールが処理して Enterprise Edition トランジットルーターに送り返すトラフィックのトランジットルータートラフィック料金をカバーします。これらの料金を支払う必要はなく、このトラフィックは VPC クォータを消費しません。
Manual: VPC ファイアウォールによって処理され、Enterprise Edition トランジットルーターに送り返されるトラフィックには、トランジットルータートラフィック料金が発生します。
自動リダイレクトモード (推奨)
自動トラフィックリダイレクトモードでは、必要に応じて各ネットワークインスタンスのトラフィックリダイレクトシナリオを作成できます。VPC ファイアウォールは、Enterprise Edition トランジットルーター上のルートを自動的に設定し、VPC ファイアウォールがトラフィックをリダイレクトするためのエラスティックネットワークインターフェイス (ENI) を作成します。
VPC ファイアウォールの作成 パネルで、次の表に基づいて VPC ファイアウォールを設定します。次に、ワンクリックでチェック開始 をクリックします。確認が完了したら、次へ をクリックします。
設定項目
説明
ファイアウォールの基本情報
ファイアウォール名: VPC ファイアウォールの名前。この名前は VPC ファイアウォールインスタンスを識別するために使用されます。ビジネスニーズに基づいて意味のある名前を入力し、名前が一意であることを確認することをお勧めします。
ファイアウォール VPC の設定
VPC CIDR Block of Firewall: Cloud Firewall に VPC CIDR ブロックを割り当てます。Cloud Firewall が正しく機能するように、ネットワーク計画と競合しない、少なくとも 27 ビットのサブネットマスクを持つ CIDR ブロックを割り当ててください。
ゾーンの設定:
説明プライマリゾーンとセカンダリゾーンの両方に Default (Auto-assigned) を選択すると、アクティブ/アクティブモードが有効になります。このモードは設定が簡単で、遅延の影響を受けないサービストラフィックのシナリオに最適です。
プライマリゾーンとセカンダリゾーンを指定すると、プライマリセカンダリモードが使用されます。このモードは、サービストラフィックが遅延に敏感なシナリオに適しており、トラフィックの遅延を削減できます。
アクティブ/アクティブモードとプライマリセカンダリモード、および移行手順の詳細については、「VPC ファイアウォールゾーンを移行するためのベストプラクティス」をご参照ください。
プライマリゾーン: プライマリゾーンを設定します。Cloud Firewall は vSwitch ゾーンのデフォルト割り当てをサポートしています。
重要ビジネスが遅延に敏感な場合は、遅延を減らすために [プライマリゾーン] をサービストラフィックが発生するエリアとして指定することをお勧めします。
セカンダリゾーン: セカンダリゾーンを設定します。VPC ファイアウォールは、効率的な伝送のためにデフォルトでプライマリゾーンの ENI を介してトラフィックを転送します。プライマリゾーンが利用できなくなると、システムは自動的にセカンダリゾーンの ENI に切り替えてトラフィックを転送します。これにより、ディザスタリカバリシナリオでの業務継続性が確保されます。
侵入防止
侵入防止システム (IPS) モジュールの動作モードとポリシーを選択します。
IPSモード
観察モード: 監視モードを有効にすると、悪意のあるトラフィックが監視され、アラートが生成されます。
ブロックモード: ブロックモードを有効にすると、侵入を防ぐために悪意のあるトラフィックがブロックされます。
IPS機能
基本ルール: 基本ポリシーを有効にすると、アセットに基本的な保護が提供されます。これには、ブルートフォース攻撃やコマンド実行の脆弱性のブロック、感染後のコマンドアンドコントロール (C&C) サーバーへの接続管理が含まれます。
Virtual Patching: 仮想パッチを有効にすると、一般的な高リスクのアプリケーションの脆弱性に対するリアルタイムの保護が提供されます。
説明この設定は、同じ CEN インスタンス配下のすべてのネットワークインスタンスに適用されます。
ファイアウォールが作成されたら、[次へ] をクリックします。次に、次の表に基づいてトラフィックリダイレクトシナリオを設定します。
後でトラフィックリダイレクトシナリオを設定することもできます。そのためには、[Cloud Enterprise Network (Enterprise Edition)] タブで、ターゲット CEN インスタンスに関連付けられているトランジットルーターを見つけ、[ファイアウォールステータス] 列の 今すぐ設定する をクリックします。[トラフィックリダイレクトシナリオ] タブで、[今すぐトラフィックリダイレクトシナリオを作成] をクリックし、次に [トラフィックリダイレクトシナリオの作成] をクリックします。
設定項目
説明
基本情報
テンプレート名: トラフィックリダイレクトテンプレートの名前を設定します。
シナリオタイプ
VPC ファイアウォールで制御および保護するシナリオのタイプを選択します。
ポイントツーポイント: 2 つのネットワーク要素間のトラフィックが Cloud Firewall を通過して制御されます。このタイプは、単純なネットワークトポロジーに適しています。
ポイントツーマルチポイント: 1 つのネットワーク要素と複数のネットワーク要素間のトラフィックが Cloud Firewall を経由して制御されます。これはスター型ネットワークトポロジーに適しています。サブトラフィックリダイレクトインスタンスに [すべて] を選択して、メイントラフィックリダイレクトインスタンス宛てのすべてのトラフィックを Cloud Firewall 経由でリダイレクトできます。(これは、Basic Edition TransitRouter の VPC ファイアウォールのトラフィックリダイレクトシナリオに相当します)。
重要トランジットルーターのルートテーブルにカスタム拒否ルートが含まれている場合、ポイントツーマルチポイントのトラフィックリダイレクトシナリオはサポートされません。代わりに、マルチポイント相互接続のトラフィックリダイレクトシナリオを使用することをお勧めします。
マルチポイント相互接続: 複数のネットワーク要素間のトラフィックが Cloud Firewall を通過して制御されます。このタイプは [フルメッシュ] ネットワークトポロジーに適しています。
説明ネットワーク要素は、Enterprise Edition トランジットルーターを介して接続されたネットワークインスタンスであり、VPC タイプのインスタンス、VBR タイプのインスタンス、TR タイプのインスタンスが含まれます。
トラフィックリダイレクトオブジェクト
[トラフィックリダイレクトインスタンスタイプ] と [トラフィックリダイレクトインスタンス ID] を設定します。
重要自動トラフィックリダイレクトモードでは、保護される VPC の数は、トラフィックリダイレクトシナリオで設定された VPC、トランジットルーター、VBR、VPN ゲートウェイなどのネットワーク要素の数によって決まります。
[OK] をクリックします。
トラフィックリダイレクトの設定には時間がかかり、30 分以内に完了する予定です。設定が完了すると、トランジットルーターに接続されているネットワークインスタンス間のトラフィックが保護されます。
VPC ファイアウォールが作成されると、自動的に有効になります。Cloud Firewall は自動的に次のリソースを作成します:
Cloud_Firewall_VPCという名前の VPC リソース。重要`Cloud_Firewall_VPC` に他のビジネスリソースを追加しないでください。追加した場合、VPC ファイアウォールを削除するときに追加されたリソースを削除できなくなります。この VPC 内のネットワークリソースを手動で変更または削除しないでください。
Cloud_Firewall_VSWITCHという名前の vSwitch リソース。備考
Created by cloud firewall. Do not modify or delete it.が付いたカスタムルート。
説明VPC ファイアウォールを作成した後に VPC ルートテーブルでルートを追加または削除した場合、Cloud Firewall が新しいルートを学習するまで 15〜30 分待つ必要があります。ルートテーブルを確認する前に、Cloud Firewall がルート学習を完了するのを待つことをお勧めします。ご不明な点がある場合は、チケットを起票してプロダクト技術専門家にご相談ください。
Manual
手動トラフィックリダイレクトモードでは、Enterprise Edition トランジットルーター上の VPC ファイアウォール用に ENI を手動で作成し、トラフィックを ENI にリダイレクトするようにルートを設定する必要があります。詳細については、「CEN トランジットルーターに接続された VPC 間のすべてのトラフィックを保護する (手動トラフィックリダイレクト)」、「CEN トランジットルーターに接続された VPC 間のトラフィックの一部を保護する (手動トラフィックリダイレクト)」、および「クロスリージョンシナリオで CEN トランジットルーターに接続された VPC 間のトラフィックを保護する (手動トラフィックリダイレクト)」をご参照ください。
重要手動トラフィックリダイレクトモードでは、CEN インスタンスに接続されている VPC と vSwitch も選択する必要があります。このモードを選択した場合、Cloud Firewall インスタンスが有効期限切れになる前に更新する必要があります。そうしないと、Cloud Firewall サービスが利用できなくなり、VPC ファイアウォールのトラフィックリダイレクトが失敗し、ネットワークが中断されます。
VPC ファイアウォールの作成 パネルで、VPC ファイアウォールを設定します。
設定項目
説明
ファイアウォールの基本情報
ファイアウォール名: VPC ファイアウォールの名前を定義します。この名前は VPC ファイアウォールインスタンスを識別するために使用されます。必要に応じて意味のある名前を入力し、名前が一意であることを確認することをお勧めします。
VPC: ファイアウォール用の VPC を設定します。
重要設定された VPC は CEN-TR と同じアカウントに属している必要があります。そうでない場合、VPC ファイアウォールは作成できません。
vSwitch: ファイアウォール用の vSwitch を設定します。
侵入防止
侵入防止システム (IPS) モジュールの動作モードとポリシーを選択します。
IPSモード
観察モード: 監視モードを有効にすると、悪意のあるトラフィックが監視され、アラートが生成されます。
ブロックモード: ブロックモードを有効にすると、侵入を防ぐために悪意のあるトラフィックがブロックされます。
IPS機能
基本ルール: 基本ポリシーを有効にすると、アセットに基本的な保護が提供されます。これには、ブルートフォース攻撃やコマンド実行の脆弱性のブロック、感染後のコマンドアンドコントロール (C&C) サーバーへの接続管理が含まれます。
Virtual Patching: 仮想パッチを有効にすると、一般的な高リスクのアプリケーションの脆弱性に対するリアルタイムの保護が提供されます。
説明この設定は、同じ CEN インスタンス配下のすべてのネットワークインスタンスに適用されます。
作成を始める をクリックします。
VPC ファイアウォールを作成すると、`Cloud_Firewall_Security_Group` という名前のセキュリティグループが自動的に追加されます。このセキュリティグループは、VPC ファイアウォールへのトラフィックを許可する [権限付与ポリシー] で設定されています。
重要`Cloud_Firewall_Security_Group` セキュリティグループまたはその権限付与ポリシーを削除しないでください。削除すると、トラフィックが中断されます。
警告VPC ファイアウォールを作成した後、`Cloud_Firewall_VPC` の vSwitch とルートテーブルを変更すると、トラフィックが中断される可能性があります。
Enterprise Edition トランジットルーターの手動トラフィックリダイレクトモードで VPC ファイアウォールを無効化または削除すると、トラフィックが中断される可能性があります。
バッチ操作を実行したり、VPC ファイアウォールを頻繁に有効化または無効化したりする場合は、ビジネスへの影響を最小限に抑えるために、これらの操作をオフピーク時に実行することをお勧めします。
次のステップ
VPC ファイアウォールを作成したら、アクセスの制御ポリシーを設定して VPC 間のトラフィックを制御できます。詳細については、「VPC ファイアウォールのアクセスの制御ポリシーを設定する」をご参照ください。
VPC ファイアウォールを作成したら、VPC アクセス機能を使用して VPC 間のトラフィックを表示できます。詳細については、「VPC アクセス」をご参照ください。
VPC ファイアウォールを作成したら、VPC 保護機能を使用して、Cloud Firewall によってブロックされた VPC 間の異常なアクティビティを表示できます。詳細については、「VPC ブロックイベントの表示」をご参照ください。
その他の操作
自動トラフィックリダイレクトモードの設定を変更する
自動トラフィックリダイレクトモードの設定を変更したい場合、またはビジネスでこのモードが不要になった場合は、CEN インスタンスに関連付けられているターゲットトランジットルーターを見つけ、[操作] 列の [詳細] をクリックし、[VPC ファイアウォールの詳細] パネルの [トラフィックリダイレクトシナリオ] タブで次の操作を実行します。
トラフィックリダイレクトシナリオを無効にする
トラフィック転換シナリオの有効化スイッチをクリックします。
[トラフィックリダイレクトシナリオの無効化] ダイアログボックスで、[ルートのロールバック] または [ルートの取り消し] を使用してトラフィックリダイレクトシナリオを無効にできます。
ルートのロールバック: このオプションは、Cloud Firewall を無効にし、CEN トランジットルーターのルートを変更しておらず、トラフィックが Cloud Firewall にリダイレクトされる前に使用されていたルーティングシナリオを迅速に復元する必要がある場合に適しています。このロールバック操作は、Cloud Firewall トラフィックリダイレクトのルートテーブルを直接削除し、サービスは元のルートテーブルに復元されます。このプロセスには約 1 分かかります。
ルートの取り消し: このオプションは、Cloud Firewall を無効にし、CEN トランジットルーターのルートを変更しており、Cloud Firewall によって作成されたルーティングシナリオを取り消す必要がある場合に適しています。この操作は Cloud Firewall のルートエントリのみを削除し、Cloud Firewall によって作成されたルートテーブルは削除しません。このプロセスに必要な時間はルートエントリの数によって異なります。ルートエントリが多いほど、プロセスにかかる時間が長くなります。
[OK] をクリックします。
重要無効化操作は元に戻せません。続行する前に、操作を慎重に確認してください。シナリオを無効にした後、サービスのトラフィックステータスを速やかに確認してください。
トラフィックリダイレクトシナリオを削除する
削除したいトラフィックリダイレクトシナリオのカードにポインターを合わせ、[削除] をクリックします。自動トラフィックリダイレクトシナリオを削除する前に、無効にする必要があります。
トラフィックリダイレクトシナリオを変更する
変更したいトラフィックリダイレクトシナリオのカードにポインターを合わせ、[編集] をクリックします。
ルート詳細の表示
表示したいトラフィックリダイレクトシナリオのカードにポインターを合わせ、ルーティングの詳細 をクリックして VPC ファイアウォールのトラフィックリダイレクトのルート詳細を表示します。
VPC ファイアウォールの編集または削除
VPC ファイアウォールの設定を変更したい場合、またはビジネスで VPC ファイアウォールが不要になった場合は、VPC 境界ファイアウォール の [Cloud Enterprise Network (Enterprise Edition)] タブに移動します。次に、ターゲット CEN インスタンスに関連付けられているトランジットルーターを見つけ、[操作] 列の [編集] または 削除する をクリックします。
手動モード: ファイアウォールインスタンスを削除する場合は、まず VPC ファイアウォールを指すルートを手動で削除してから、VPC ファイアウォールを削除する必要があります。これにより、サービスの中断を防ぎます。
自動モード: ファイアウォールが有効になっている場合は、まずすべてのトラフィックリダイレクトシナリオを削除してから、VPC ファイアウォールを削除する必要があります。
IPS 設定の変更
侵入防止システム (IPS) の保護モードや機能を変更したり、特定の宛先またはソース IP アドレスをホワイトリストに追加したり、IPS ルールを変更したりするには、既存の Cloud Firewall インスタンスの [操作] 列にある IPS の設定 をクリックします。次に、[IPS 設定] ページの [VPC ボーダー] タブで設定を行います。詳細については、「IPS 設定」をご参照ください。