ネットワークインスタンスがCloud Enterprise network (CEN) インスタンスのEnterprise Editionトランジットルーターを使用して接続されている場合、仮想プライベートクラウド (VPC) ファイアウォールを使用してネットワークインスタンス間のトラフィックを保護できます。 これにより、資産のセキュリティが向上します。 ネットワークインスタンスは、VPC、仮想ボーダールーター (VBR) 、クラウド接続ネットワーク (CCN) インスタンス、およびVPNゲートウェイです。 このトピックでは、Enterprise Editionトランジットルーター用のVPCファイアウォールを作成し、VPCファイアウォールを管理する方法について説明します。
機能の説明
実装
VPCファイアウォールを有効にすると、Cloud firewallは、ディープパケットインスペクション (DPI) ベースのトラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチポリシー、およびアクセス制御ポリシーに基づいて、VPC間のトラフィックをフィルタリングします。 次に、Cloud Firewallは、トラフィックが指定された条件に一致するかどうかをチェックし、不正なトラフィックをブロックします。 これにより、内部対応資産間のトラフィックのセキュリティが保証されます。
次の図は、Enterprise Editionトランジットルーター用に作成されたVPCファイアウォールの例を示しています。
保護スコープの詳細については、クラウドファイアウォールとは
影響
数回クリックするだけでVPCファイアウォールを作成し、現在のネットワークトポロジを変更することなくトラフィックリダイレクトモードを設定できます。 トラフィックリダイレクトモードを自動モードまたは手動モードに設定できます。 作成中、ワークロードは影響を受けません。 作成時間は約5分です。 オフピーク時にVPCファイアウォールを有効にすることを推奨します。
自動トラフィックリダイレクトモードでは、VPCファイアウォールを有効または無効にするために約5分から30分かかります。 期間はルートの数によって異なります。 ワークロードは影響を受けません。
手動トラフィックリダイレクトモードでは、VPCファイアウォールを有効または無効にすると、ワークロードが影響を受けます。 ワークロードが影響を受ける期間は、トラフィックのリダイレクト設定によって異なります。
制限事項
VPCファイアウォールを有効にする前に、Cloud_Firewall_VPCという名前のVPCが作成され、アカウント内のVPCクォータが十分であることを確認してください。 VPCクォータの詳細については、「制限とクォータ」をご参照ください。
自動トラフィックリダイレクトモードは、次のシナリオではサポートされていません。
Enterprise Editionトランジットルーターのルートテーブルには、100.64.0.0/10以外の静的ルートが存在します。
VPC、VBR、またはトランジットルーター用に複数のトラフィックリダイレクトシナリオが設定されています。
Basic Editionトランジットルーターが自動トラフィック転送モードに追加されました。
トランジットルーターにはルートの競合があります。
VPCプレフィックスリスト機能が使用されます。
IPSec-VPNまたはSSL VPN機能を使用してVPCに直接関連付けられているVPNゲートウェイはサポートされていません。 ただし、IPsec-VPN接続を使用してトランジットルーターに追加されるVPNゲートウェイはサポートされています。 詳細については、「IPsec-VPN接続とトランジットルーターの関連付け」をご参照ください。
VPCファイアウォールはIPv6アドレスのトラフィックを保護できません。
VPCファイアウォールを作成し、トラフィックリダイレクトモードを設定する
前提条件
Cloud Firewall Enterprise EditionまたはUltimate Editionを購入しました。 詳細については、「Cloud Firewall の購入」をご参照ください。
Enterprise Editionトランジットルーター用のVPCファイアウォールを作成できるのは、Cloud Firewall Enterprise EditionとUltimate Editionのみです。
Cloud Firewallは、他のクラウドリソースへのアクセスを許可されています。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
CENインスタンスが購入されました。 VPCはEnterprise Editionトランジットルーターを使用して接続されるか、オンプレミスのリソースはAlibaba Cloudに接続されます。 詳細については、「Enterprise Editionトランジットルーターを使用してオンプレミスネットワークとクラウドネットワーク間のリージョン内通信を有効にする」および「Enterprise Editionトランジットルーターを使用してリージョンとアカウント間のVPCを接続する」をご参照ください。
説明CENインスタンス内の複数のVPCが異なるAlibaba Cloudアカウントによって作成されている場合、Cloud Firewallは次の条件を満たす必要があります。 それ以外の場合、VPCファイアウォールは作成できません。 VPCファイアウォールを作成する前に、承認を完了するか、Cloud FirewallをUltimate Editionにアップグレードすることを推奨します。 承認を完了するには、Alibaba Cloudアカウントを使用してCloud Firewallコンソールにログインする必要があります。 詳細については、「クラウドファイアウォールに他のクラウドリソースへのアクセスを許可する」および「クラウドファイアウォールのアップグレードとダウングレード」をご参照ください。
ネットワークリソースが存在するリージョンは、VPCファイアウォール機能でサポートされています。 それ以外の場合、VPCファイアウォールは作成できません。 詳細については、「サポートされているリージョン」をご参照ください。
手順
Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
On theファイアウォールスイッチページをクリックし、VPC 境界ファイアウォールタブをクリックします。
On theVPC 境界ファイアウォールタブをクリックし、CEN (エンタープライズ版)タブをクリックします。
VPCファイアウォールを作成するトランジットルーターを見つけて、作成で、アクション列を作成します。
アセットリストに利用可能なアセットが表示されない場合、[アセットの同期] をクリックして、現在のAlibaba Cloudアカウント内のアセットとAlibaba Cloudアカウントのメンバーに関する情報を同期できます。
自動リダイレクトモード (推奨)
自動トラフィックリダイレクトモードでは、ビジネス要件に基づいてネットワークインスタンスのトラフィック転送シナリオを作成できます。 VPCファイアウォール機能は、シナリオに基づいてEnterprise Editionトランジットルーターのルーティングを自動的に設定し、VPCファイアウォールがトラフィックをリダイレクトするためのelastic network interface (ENI) を作成します。
VPC ファイアウォールの作成 パネルで、次のパラメーターを設定し、[今すぐ確認] をクリックします。 チェックが完了したら、[次へ] をクリックします。
パラメーター
説明
ファイアウォールの基本情報
ファイアウォール名: VPCファイアウォールの名前を指定します。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
ファイアウォール VPC の設定
VPCファイアウォール用に自動的に作成されたVPCにCIDRブロックを割り当て、指定されたCIDRブロックからVPCに関連付けられたvSwitchに3つのサブネットCIDRブロックを割り当てます。 各サブネットCIDRブロックのマスクの長さは28ビット以下である必要があり、各サブネットCIDRブロックはネットワークプランと競合することはありません。
サービスがレイテンシーに敏感な場合、VPCファイアウォール用に作成されたVPCとワークロードで使用されるVPCのvSwitchに同じプライマリゾーンとセカンダリゾーンを使用することを推奨します。 これにより、レイテンシの削減に役立ちます。 使用可能なvSwitchリージョンで選択した最初のゾーンはプライマリゾーンで、2番目のゾーンはセカンダリゾーンです。 使用可能なvSwitchリージョンを設定しない場合、Cloud Firewallは自動的にゾーンを割り当てます。
侵入防止
IPSの動作モードと、有効にする侵入防止ポリシーを指定します。
IPSモード
観察モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。
ブロックモード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。
IPS機能
基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。
仮想パッチ適用: 仮想パッチ適用を使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
説明この設定は、同じCENインスタンスに属するすべてのネットワークインスタンスに適用されます。
VPCファイアウォールが作成されたら、[次へ] をクリックします。 次の表に基づいて、トラフィックのリダイレクトシナリオを設定します。
トラフィックのリダイレクトシナリオを後で設定することもできます。 トラフィックリダイレクションシナリオを設定するには、[VPCファイアウォール] タブに移動し、[CEN (Enterprise Edition)] タブをクリックして、必要なトランジットルーターを見つけ、[ファイアウォールステータス] 列の 今すぐ設定する をクリックします。 表示されるパネルの [トラフィックリダイレクトシナリオ] タブで、[トラフィックリダイレクトシナリオの即時作成] をクリックします。 [トラフィックリダイレクトシナリオの作成] パネルで、パラメーターを設定します。
パラメーター
説明
基本情報
テンプレート名: トラフィックリダイレクトテンプレートの名前を指定します。
シナリオの選択
VPCファイアウォールがトラフィックを管理および保護するシナリオのタイプを選択します。
Instance-Instance: このオプションを選択すると、Cloud Firewallは2つのネットワーク要素間のトラフィックを管理します。 このオプションは、単純なネットワークトポロジーに適しています。
Instance to Instances: このオプションを選択すると、Cloud Firewallは1つのネットワーク要素と複数のネットワーク要素間のトラフィックを管理します。 このオプションは、スターネットワークトポロジに適しています。 このオプションを選択すると、セカンダリインスタンスのインスタンスタイプをすべてに設定できます。 これにより、Cloud Firewallはプライマリインスタンスのすべてのトラフィックを管理します。 この設定は、Basic Editionトランジットルーター用に作成されたVPCファイアウォールのトラフィックリダイレクションシナリオと同等です。
重要routing policy ActionがDenyに設定されているルーティングポリシーがトランジットルーターのルートテーブルに関連付けられている場合、Instance to Instancesタイプはサポートされていません。 相互接続されたインスタンスタイプを選択することを推奨します。
相互接続されたインスタンス: このオプションを選択すると、クラウドファイアウォールは複数のネットワーク要素間のトラフィックを管理します。 このオプションは、フルメッシュネットワークトポロジに適しています。
説明ネットワーク要素は、Enterprise Editionトランジットルーターを使用して接続されるネットワークインスタンスです。 ネットワーク要素は、VPC、VBR、またはトランジットルーターです。
トラフィックリダイレクトインスタンスの選択
インスタンスタイプとインスタンスIDを設定します。
重要自動トラフィックリダイレクションモードでは、保護できるVPCの数は、トラフィックリダイレクションシナリオ用に構成されたネットワーク要素の数に基づいて計算されます。 ネットワーク要素は、VPC、トランジットルーター、VBR、またはVPNゲートウェイです。
[OK] をクリックします。
作成プロセスの完了には約30分かかります。 トラフィックリダイレクションシナリオが作成された後、Cloud Firewallは、トランジットルーターを使用して接続されているネットワークインスタンス間のトラフィックを保護します。
VPCファイアウォールを作成すると、VPCファイアウォールは自動的に有効になります。 Cloud Firewallは、次のリソースを自動的に作成します。
Cloud_Firewall_VPC
という名前のVPC。重要Cloud_Firewall_VPCにクラウドリソースを追加しないでください。 そうしないと、VPCファイアウォールを削除するときにクラウドリソースを削除できません。 Cloud_Firewall_VPCのネットワークリソースを手動で変更または削除しないでください。
Cloud_Firewall_vSwitch
という名前のVSWITCH。次の注意事項があるカスタムルートエントリ。
クラウドファイアウォールによって作成されました。
変更または削除しないでください。
マニュアル
手動トラフィックリダイレクトモードでは、Enterprise EditionトランジットルーターにVPCファイアウォール用のelastic network interface (ENI) を作成し、トラフィックをENIにリダイレクトするルートを設定する必要があります。
重要手動トラフィックリダイレクトモードでは、CENインスタンスにアタッチされているVPCと使用可能なvSwitchを選択する必要があります。 さらに、有効期限が切れる前に、できるだけ早い機会にCloud Firewallを更新する必要があります。 Cloud Firewallの有効期限が切れると、Cloud Firewallの機能は使用できなくなり、作成したVPCファイアウォールにトラフィックをリダイレクトできなくなります。 その結果、ネットワークの中断が発生します。
VPC ファイアウォールの作成 パネルで、パラメーターを設定します。
パラメーター
説明
ファイアウォールの基本情報
ファイアウォール名: VPCファイアウォールの名前を指定します。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
VPC: VPCファイアウォールを作成するVPCを選択します。
vSwitch: VPCファイアウォールのvSwitchを選択します。
侵入防止
IPSの動作モードと、有効にする侵入防止ポリシーを指定します。
IPSモード
観察モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。
ブロックモード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。
IPS機能
基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからC&Cサーバーへの接続を管理することもできます。
仮想パッチ適用: 仮想パッチ適用を使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
説明この設定は、同じCENインスタンスに属するすべてのネットワークインスタンスに適用されます。
作成を始める をクリックします。
説明VPCファイアウォールを有効にした後、VPCルートテーブルでルートを追加または削除する場合は、Cloud firewallがルートを学習するまで15〜30分待ちます。 Cloud Firewallがルートを学習したら、ルートテーブルが有効かどうかを確認することを推奨します。 また、DingTalkグループ33081734に参加して、Cloud Firewallでテクニカルサポートを受けることもできます。
VPCファイアウォールを有効にすると、ECS (Elastic Compute Service) は自動的にCloud_Firewall_Security_Groupという名前のセキュリティグループを作成し、アクションが許可に設定されているセキュリティグループルールをセキュリティグループに追加します。 これにより、VPCファイアウォールへのトラフィックが許可されます。
重要ActionがAllowに設定されているセキュリティグループCloud_Firewall_Security_Groupまたはセキュリティグループルールは削除しないでください。 そうでなければ、ネットワークの中断が起こり得る。
警告VPCファイアウォールの作成後にvSwitchとルートテーブルを変更すると、ネットワークが中断する可能性があります。
手動トラフィックリダイレクトモードでEnterprise Editionトランジットルーター用に作成されたVPCファイアウォールを無効化または削除すると、ネットワークが中断する可能性があります。
VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、ビジネスに影響を与えないように、オフピーク時にそのような操作を実行することを推奨します。
次のステップ
VPCファイアウォールを有効にすると、VPC間のトラフィックを制御するためのVPCファイアウォールのアクセス制御ポリシーを作成できます。 詳細については、「VPCファイアウォールのアクセス制御ポリシー」をご参照ください。
VPCファイアウォールを有効にすると、VPCアクセスページでVPC間のトラフィックを表示できます。 詳細については、「VPCアクセスデータの表示」をご参照ください。
VPCファイアウォールを有効にすると、[侵入防御] ページの [VPCトラフィックのブロック] タブで、VPCで検出された侵入イベントに関する情報を表示できます。 詳細については、「VPCトラフィックブロッキング」をご参照ください。
関連する API 操作
自動トラフィックリダイレクトモードの設定の変更
自動トラフィックリダイレクトモードの設定を変更する場合、または自動トラフィックリダイレクトモードが不要になった場合は、CENインスタンスのトランジットルーターを見つけて、[操作] 列の [詳細] をクリックします。 [VPCファイアウォールの詳細] パネルで、[トラフィックリダイレクトシナリオ] タブをクリックし、ビジネス要件に基づいて次の操作を実行します。
トラフィックのリダイレクトシナリオの無効化
シナリオカードで有効なトラフィックリダイレクトシナリオのスイッチをオフにします。
[トラフィックリダイレクトシナリオの無効化] ダイアログボックスで、[ルートの取り消し] または [ルートのロールバック] メソッドを使用して、トラフィックリダイレクトシナリオを無効化します。
ルートの削除 (推奨): このオプションを選択すると、トラフィックのリダイレクトシナリオの作成時に指定されたルートが削除されます。 ファイアウォールによって作成されたルートテーブルは保持されます。 プロセスが必要とする期間は、ルートの数によって異なります。 シナリオが無効になるまで待ちます。
ルートをロールバック: このオプションを選択すると、トラフィックのリダイレクトシナリオが作成される前に設定されていたルートテーブルが復元されます。 ファイアウォールによって作成されたルートテーブルが削除されます。 [ルートのロールバック] を選択すると、トラフィックのリダイレクトシナリオが作成される前に設定されたルートテーブルに関する情報が自動的に表示されます。 トラフィックリダイレクトシナリオが作成される前に設定されたルートテーブルが使用可能であることを確認します。
[OK] をクリックします。
重要無効化操作はキャンセルできません。 トラフィックリダイレクトシナリオを無効にする前に、シナリオが不要になったことを確認してください。 シナリオを無効にした後、できるだけ早い機会にワークロードが正常かどうかを確認します。
トラフィックのリダイレクトシナリオの削除
削除するシナリオのカードの上にポインターを移動し、[削除] をクリックします。 自動トラフィックリダイレクトシナリオを削除する前に、シナリオを無効にする必要があります。
トラフィックのリダイレクトシナリオの変更
変更するシナリオのカードの上にポインターを移動し、[編集] をクリックします。
ルートの詳細を表示
ルートの詳細を表示するシナリオのカードの上にポインターを移動し、ルーティングの詳細 をクリックします。 VPCファイアウォール用に設定されているルートの詳細を表示できます。
VPCファイアウォールの変更または削除
VPCファイアウォールの設定を変更する場合、またはVPCファイアウォールが不要になった場合は、VPC 境界ファイアウォール タブに移動し、[CEN (Enterprise Edition)] タブをクリックして、VPCファイアウォールが作成されているトランジットルーターを見つけ、[操作] 列の [編集] または 削除する をクリックします。
手動: VPCファイアウォールを削除する場合は、VPCファイアウォールを削除する前に、トラフィックをVPCファイアウォールにルーティングするために使用されるルートを手動で削除する必要があります。 これにより、ワークロードが影響を受けないようにします。
自動: 有効になっているVPCファイアウォールを削除する場合は、VPCファイアウォールを削除する前に、VPCファイアウォール用に作成されたすべてのトラフィックリダイレクションシナリオを削除する必要があります。
IPS設定の変更
VPCファイアウォールのIPS設定を変更する場合は、VPCファイアウォールを見つけて、[操作] 列の [IPSの設定] をクリックします。 [IPS設定] ページで、[VPCボーダー] タブをクリックし、必要な操作を実行します。 たとえば、IPSモードを変更したり、IPS機能の設定を変更したり、IPアドレスのホワイトリストにある特定の送信元または送信先IPアドレスのトラフィックを許可したり、IPS機能のポリシーを変更したりできます。 詳細については、「IPS設定」をご参照ください。