Cloud Firewall:Enterprise Edition 転送ルータの VPC ファイアウォールを構成する

機能の説明

実装

VPC ファイアウォールを有効にすると、Cloud Firewall は、ディープパケットインスペクション (DPI) ベースのトラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチポリシー、およびアクセス制御ポリシーに基づいて VPC 間のトラフィックをフィルタリングします。次に、Cloud Firewall はトラフィックが指定された条件と一致するかどうかを確認し、不正なトラフィックをブロックします。これにより、内部向けアセット間のトラフィックのセキュリティが確保されます。

次の図は、Enterprise Edition 転送ルータ用に作成された VPC ファイアウォールの例を示しています。

保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。

影響

数回クリックするだけで VPC ファイアウォールを作成し、現在のネットワークトポロジを変更することなくトラフィックリダイレクトモードを構成できます。トラフィックリダイレクトモードを自動または手動モードに設定できます。ワークロードは作成中に影響を受けません。作成時間は約 5 分です。オフピーク時に VPC ファイアウォールを有効にすることをお勧めします。

自動トラフィックリダイレクトモードでは、VPC ファイアウォールの有効化または無効化に約 5 ～ 30 分かかります。所要時間はルートの数によって異なります。ワークロードは影響を受けません。

手動トラフィックリダイレクトモードでは、VPC ファイアウォールを有効または無効にすると、ワークロードが影響を受けます。ワークロードが影響を受ける期間は、トラフィックリダイレクトの構成によって異なります。

制限

• VPC ファイアウォールを有効にする前に、Cloud_Firewall_VPC という名前の VPC が作成されており、アカウント内の VPC クォータが十分であることを確認してください。VPC クォータの詳細については、「制限とクォータ」をご参照ください。

• 自動トラフィックリダイレクトモードは、次のシナリオではサポートされていません。

  • 100.64.0.0/10 およびそのサブネット CIDR ブロックの静的ルートを除き、Enterprise Edition 転送ルータのルートテーブルに静的ルートが存在します。

  • VPC、VBR、または転送ルータに複数のトラフィックリダイレクトシナリオが構成されています。

  • Basic Edition 転送ルータが自動トラフィックリダイレクトモードに追加されています。

  • 転送ルータにルートの競合があります。

  • VPC プレフィックスリスト機能が使用されています。

• IPSec-VPN または SSL VPN 機能を使用して VPC に直接関連付けられている VPN ゲートウェイはサポートされていません。ただし、IPsec 接続を使用して転送ルータに追加された VPN ゲートウェイはサポートされています。詳細については、「IPsec 接続を転送ルータに関連付ける」をご参照ください。

• VPC ファイアウォールは IPv6 アドレスのトラフィックを保護できません。

VPC ファイアウォールを作成し、トラフィックリダイレクトモードを構成する

前提条件

• Cloud Firewall Enterprise Edition、Cloud Firewall Ultimate Edition、または従量課金制の Cloud Firewall が購入されています。詳細については、「Cloud Firewall を購入する」をご参照ください。

  説明

  Enterprise Edition 転送ルータの VPC ファイアウォールを作成できるのは、Cloud Firewall Enterprise Edition、Cloud Firewall Ultimate Edition、および従量課金制の Cloud Firewall のみです。従量課金制の Cloud Firewall

• Cloud Firewall には、他のクラウドリソースにアクセスする権限が付与されています。詳細については、「Cloud Firewall に他のクラウドリソースへのアクセスを承認する」をご参照ください。

• CEN インスタンスが購入されています。VPC は Enterprise Edition 転送ルータを使用して接続されているか、オンプレミスリソースが Alibaba Cloud に接続されています。詳細については、「CEN と Enterprise Edition 転送ルータを使用して、オンプレミスネットワークとクラウドネットワーク間のリージョン内通信を有効にする」および「Enterprise Edition 転送ルータを使用して異なるリージョンおよびアカウントの VPC を接続する」をご参照ください。

  説明

  CEN インスタンス内の複数の VPC が異なる Alibaba Cloud アカウントによって作成された場合、Cloud Firewall にはすべての VPC にアクセスする権限が付与されている必要があります。そうでない場合、VPC ファイアウォールを作成できません。VPC ファイアウォールを作成する前に権限付与を完了することをお勧めします。権限付与を完了するには、Alibaba Cloud アカウントを使用して Cloud Firewall コンソールにログインする必要があります。詳細については、「Cloud Firewall に他のクラウドリソースへのアクセスを承認する」をご参照ください。

• ネットワークリソースが存在するリージョンは、VPC ファイアウォール機能でサポートされています。そうでない場合、VPC ファイアウォールを作成できません。詳細については、「サポートされているリージョン」をご参照ください。

手順

1. Cloud Firewall コンソール にログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. ファイアウォールスイッチ ページで、VPC 境界ファイアウォール タブをクリックします。

3. VPC 境界ファイアウォール タブで、[CEN (enterprise Edition)] タブをクリックします。

4. VPC ファイアウォールを作成する転送ルータを見つけ、[作成][アクション] 列の をクリックします。

   使用可能なアセットがアセットリストに表示されない場合は、[アセットの同期] をクリックして、現在の Alibaba Cloud アカウントおよび Alibaba Cloud アカウントのメンバー内のアセットに関する情報を同期できます。

   重要

   • 自動トラフィックリダイレクトモードで、Cloud Firewall が従量課金制を使用している場合、またはCloud Firewall がサブスクリプション課金制を使用しており、バースト対応保護トラフィック機能が有効になっている場合、トラフィック処理後の VPC ファイアウォールから Enterprise Edition 転送ルータへのトラフィックの料金は Cloud Firewall に課金されます。VPC ファイアウォールは VPC クォータを占有しません。

   • 手動トラフィックリダイレクトモードでは、トラフィック処理後の VPC ファイアウォールから Enterprise Edition 転送ルータへのトラフィックに対して料金が発生します。

   自動リダイレクトモード (推奨)

   自動トラフィックリダイレクトモードでは、ビジネス要件に基づいてネットワークインスタンスのトラフィック転送シナリオを作成できます。VPC ファイアウォール機能は、シナリオに基づいて Enterprise Edition 転送ルータのルーティングを自動的に構成し、トラフィックをリダイレクトするために VPC ファイアウォールの ENI を作成します。

   1. VPC ファイアウォールの作成 パネルで、次のパラメータを構成し、[今すぐ確認] をクリックします。確認が完了したら、[次へ] をクリックします。

      パラメータ	説明
      ファイアウォールの基本情報	ファイアウォール名: VPC ファイアウォールの名前を指定します。ビジネス要件に基づいて VPC ファイアウォールを識別しやすいように、一意の名前を入力することをお勧めします。
      ファイアウォール VPC の設定	VPC ファイアウォールに CIDR ブロックを割り当てます。VPC ファイアウォールが想定どおりに動作するように、マスクの長さが 27 ビット以上で、ネットワークプランと競合しない CIDR ブロックを割り当てます。 説明 ビジネスが遅延の影響を受けやすい場合は、ファイアウォールの vSwitch とビジネス VPC の vSwitch に同じゾーンを指定して、遅延を最小限に抑えることができます。[使用可能な vSwitch リージョン] を構成しない場合、Cloud Firewall は自動的にゾーンを割り当てます。
      [侵入防止]	侵入防止システム (IPS) の動作モードと、有効にする侵入防止ポリシーを指定します。 IPSモード 観察モード: このモードを有効にすると、Cloud Firewall はトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。 ブロックモード: このモードを有効にすると、Cloud Firewall は悪意のあるトラフィックを遮断し、侵入試行をブロックします。 IPS機能 [基本ポリシー]: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用した攻撃に対する保護など、基本的な侵入防止機能を提供します。基本ポリシーでは、侵害されたホストからコマンドアンドコントロール (C&C) サーバーへの接続を管理することもできます。 [仮想パッチ]: 仮想パッチを使用して、一般的な高リスクアプリケーションの脆弱性からリアルタイムで防御できます。 説明 この設定は、同じ CEN インスタンスに属するすべてのネットワークインスタンスに適用されます。

   2. VPC ファイアウォールが作成されたら、[次へ] をクリックします。次の表に基づいてトラフィックリダイレクトシナリオを構成します。

      後でトラフィックリダイレクトシナリオを構成することもできます。トラフィックリダイレクトシナリオを構成するには、[VPC ファイアウォール] タブに移動し、[CEN (enterprise Edition)] タブをクリックし、必要な転送ルータを見つけて、今すぐ設定する[ファイアウォールステータス] 列の トラフィック リダイレクト シナリオ[すぐにトラフィック リダイレクト シナリオを作成][トラフィック リダイレクト シナリオの作成] をクリックします。表示されるパネルの タブで、 をクリックします。 パネルで、パラメータを構成します。

      パラメータ	説明
      [基本情報]	[テンプレート名]: トラフィックリダイレクトテンプレートの名前を指定します。
      [シナリオを選択]	VPC ファイアウォールがトラフィックを管理および保護するシナリオのタイプを選択します。 [インスタンス - インスタンス]: このオプションを選択すると、Cloud Firewall は 2 つのネットワーク要素間のトラフィックを管理します。このオプションは、単純なネットワークトポロジに適しています。 [インスタンスからインスタンスへ]: このオプションを選択すると、Cloud Firewall は 1 つのネットワーク要素と複数のネットワーク要素間のトラフィックを管理します。このオプションは、スター型ネットワークトポロジに適しています。このオプションを選択した場合は、セカンダリインスタンスの [インスタンスタイプ] を [すべて] に設定できます。これにより、Cloud Firewall はプライマリインスタンスのすべてのトラフィックを管理します。この構成は、Basic Edition 転送ルータ用に作成された VPC ファイアウォールのトラフィックリダイレクトシナリオと同等です。 重要 [ルーティングポリシーアクション] が [拒否] に設定されているルーティングポリシーが転送ルータのルートテーブルに関連付けられている場合、[インスタンスからインスタンスへ] タイプはサポートされていません。[相互接続されたインスタンス] タイプを選択することをお勧めします。 [相互接続されたインスタンス]: このオプションを選択すると、Cloud Firewall は複数のネットワーク要素間のトラフィックを管理します。このオプションは、[フルメッシュ] ネットワークトポロジに適しています。 説明 ネットワーク要素は、Enterprise Edition 転送ルータを使用して接続されているネットワークインスタンスです。ネットワーク要素は、VPC、VBR、または転送ルータです。
      [トラフィックリダイレクトインスタンスを選択]	[インスタンスタイプ] と [インスタンス ID] を構成します。

      重要

      自動トラフィックリダイレクトモードでは、保護できる VPC の数は、トラフィックリダイレクトシナリオに構成されているネットワーク要素の数に基づいて計算されます。ネットワーク要素は、VPC、転送ルータ、VBR、または VPN ゲートウェイです。

   3. [OK] をクリックします。

      作成プロセスには約 30 分かかります。トラフィックリダイレクトシナリオが作成されると、Cloud Firewall は転送ルータを使用して接続されているネットワークインスタンス間のトラフィックを保護します。

   VPC ファイアウォールを作成すると、VPC ファイアウォールは自動的に有効になります。Cloud Firewall は次のリソースを自動的に作成します。

   • Cloud_Firewall_VPC という名前の VPC。

     重要

     Cloud_Firewall_VPC にクラウドリソースを追加しないでください。追加すると、VPC ファイアウォールを削除するときにクラウドリソースを削除できなくなります。Cloud_Firewall_VPC 内のネットワークリソースを手動で変更または削除しないでください。

   • Cloud_Firewall_VSWITCH という名前の vSwitch。

   • 次の注釈が付いたカスタムルートエントリ: Created by cloud firewall. Do not modify or delete it。

   [手動]

   手動トラフィックリダイレクトモードでは、Enterprise Edition 転送ルータの VPC ファイアウォールの ENI を作成し、トラフィックを ENI にリダイレクトするようにルートを構成する必要があります。

   重要

   手動トラフィックリダイレクトモードでは、CEN インスタンスに接続されている VPC と、使用可能な vSwitch を選択する必要があります。また、Cloud Firewall の有効期限が切れる前に、できるだけ早く更新する必要があります。Cloud Firewall の有効期限が切れると、Cloud Firewall の機能が使用できなくなり、作成した VPC ファイアウォールにトラフィックをリダイレクトできなくなります。その結果、ネットワークの中断が発生します。

   1. VPC ファイアウォールの作成 パネルで、パラメータを構成します。

      パラメータ	説明
      ファイアウォールの基本情報	ファイアウォール名: VPC ファイアウォールの名前を指定します。ビジネス要件に基づいて VPC ファイアウォールを識別しやすいように、一意の名前を入力することをお勧めします。 [VPC]: VPC ファイアウォールを作成する VPC を選択します。 [vswitch]: VPC ファイアウォールの vSwitch を選択します。
      [侵入防止]	IPS の動作モードと、有効にする侵入防止ポリシーを指定します。 [IPS モード] 観察モード: このモードを有効にすると、Cloud Firewall はトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。 ブロックモード: このモードを有効にすると、Cloud Firewall は悪意のあるトラフィックを遮断し、侵入試行をブロックします。 [IPS 機能] [基本ポリシー]: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用した攻撃に対する保護など、基本的な侵入防止機能を提供します。基本ポリシーでは、侵害されたホストから C&C サーバーへの接続を管理することもできます。 [仮想パッチ]: 仮想パッチを使用して、一般的な高リスクアプリケーションの脆弱性からリアルタイムで防御できます。 説明 この設定は、同じ CEN インスタンスに属するすべてのネットワークインスタンスに適用されます。

   2. 作成を始める をクリックします。

   説明

   VPC ファイアウォールを有効にした後、VPC ルートテーブルにルートを追加または削除する場合は、Cloud Firewall がルートを学習するまで 15 ～ 30 分待ちます。Cloud Firewall がルートを学習したら、ルートテーブルが有効になっているかどうかを確認することをお勧めします。また、DingTalk グループ 33081734 に参加して Cloud Firewall のテクニカルサポートを受ける こともできます。

   VPC ファイアウォールを有効にすると、Elastic Compute Service (ECS) は Cloud_Firewall_Security_Group という名前のセキュリティグループを自動的に作成し、[アクション] が [許可] に設定されているセキュリティグループルールをセキュリティグループに追加します。これにより、VPC ファイアウォールへのトラフィックが許可されます。

   重要

   セキュリティグループ Cloud_Firewall_Security_Group、または [アクション] が [許可] に設定されているセキュリティグループルールを削除しないでください。削除すると、ネットワークの中断が発生する可能性があります。

   警告

   • VPC ファイアウォールの作成後に vSwitch とルートテーブルを変更すると、ネットワークの中断が発生する可能性があります。

   • 手動トラフィックリダイレクトモードで Enterprise Edition 転送ルータ用に作成された VPC ファイアウォールを無効化または削除すると、ネットワークの中断が発生する可能性があります。

   VPC ファイアウォールでバッチ操作を実行する場合、または VPC ファイアウォールを頻繁に有効または無効にする場合は、ビジネスへの影響を防ぐために、オフピーク時にこのような操作を実行することをお勧めします。

関連操作

自動トラフィックリダイレクトモードの構成を変更する

自動トラフィックリダイレクトモードの構成を変更する場合、またはビジネスで自動トラフィックリダイレクトモードが不要になった場合は、CEN インスタンスの転送ルータを見つけて、[アクション] 列の [詳細] をクリックします。[VPC ファイアウォールの詳細] パネルで、[トラフィックリダイレクトシナリオ] タブをクリックし、ビジネス要件に基づいて次の操作を実行します。

トラフィックリダイレクトシナリオを無効にする

1. シナリオカードで、有効になっているトラフィックリダイレクトシナリオのスイッチをオフにします。

2. [トラフィック リダイレクト シナリオの無効化] ダイアログボックスで、[ルートのロールバック] または [ルートの撤回] メソッドを使用して、トラフィック リダイレクト シナリオを無効にします。

   • [ルートのロールバック]: この方法は、CEN 転送ルータのルートが変更されておらず、転送ルータの元のルートを効率的に復元する場合に適しています。このオプションを選択すると、ファイアウォールによって作成されたルートテーブルが削除され、元のルートテーブルに基づいてトラフィックがリダイレクトされます。プロセス全体には約 1 分かかります。

   • [ルートの撤回]: この方法は、CEN 転送ルータのルートが変更されており、トラフィックリダイレクトシナリオに指定されたルートを削除する場合に適しています。このオプションを選択すると、ファイアウォールによって作成されたルートは削除されますが、ファイアウォールによって作成されたルートテーブルは保持されます。プロセス全体の所要時間はルートの数によって異なります。ルートの数が多いほど、時間がかかります。

3. [OK] をクリックします。

   重要

   無効化操作はキャンセルできません。トラフィックリダイレクトシナリオを無効にする前に、シナリオが不要になったことを確認してください。シナリオを無効にした後、できるだけ早くワークロードが正常かどうかを確認してください。

トラフィックリダイレクトシナリオを削除する

削除するシナリオのカードにポインタを移動し、[削除] をクリックします。自動トラフィックリダイレクトシナリオを削除する前に、シナリオを無効にする必要があります。

トラフィックリダイレクトシナリオを変更する

変更するシナリオのカードにポインタを移動し、[編集] をクリックします。

ルートの詳細を表示する

ルートの詳細を表示するシナリオのカードにポインタを移動し、ルーティングの詳細 をクリックします。VPC ファイアウォールに構成されているルートの詳細を表示できます。

VPC ファイアウォールを変更または削除する

VPC ファイアウォールの構成を変更する場合、または VPC ファイアウォールが不要になった場合は、VPC 境界ファイアウォール タブに移動し、[CEN (enterprise Edition)] タブをクリックし、VPC ファイアウォールが作成されている転送ルータを見つけ、[編集] または 削除する を [アクション] 列でクリックします。

IPS 構成を変更する

VPC ファイアウォールの IPS 構成を変更する場合は、VPC ファイアウォールを見つけて、[アクション] 列の [IPS の構成] をクリックします。[IPS 構成] ページで、[VPC ボーダー] タブをクリックし、必要な操作を実行します。たとえば、IPS モードの変更、IPS 機能の構成の変更、IP アドレスホワイトリストにある特定の送信元または宛先 IP アドレスのトラフィックの許可、IPS 機能のポリシーの変更などを行うことができます。詳細については、「IPS 構成」をご参照ください。

参考文献

• 概要

• VPC ファイアウォールを有効にした後、ECS のセキュリティグループルールは影響を受けますか?

• VPC ファイアウォールを作成するときに、承認されていないネットワークインスタンスが存在するというメッセージが表示されるのはなぜですか?