:Express Connect回路を使用して接続されたVPCのVPCファイアウォールを設定する

機能の説明

保護図

Cloud Firewallの保護範囲の詳細については、クラウドファイアウォールとは

影響

VPCファイアウォールを直接作成して、現在のネットワークトポロジを変更することなく、ビジネス資産を保護できます。 作成時間は約5分で、ワークロードは影響を受けません。 オフピーク時にVPCファイアウォールを有効にすることを推奨します。

VPCファイアウォールを有効または無効にするには、約5〜30分かかります。 作成期間は、ルートの数によって異なります。 永続的なTCP接続は、数秒間中断され得る。 短命の接続は影響を受けません。

VPCファイアウォールの作成と有効化

手順

1. Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. On theVPC 境界ファイアウォールタブをクリックし、エクスプレスコネクト回路タブをクリックします。

3. [資産の同期] をクリックして、現在のアカウントとメンバーの資産に関する情報を同期します。

   このプロセスは、完了するのに1分から2分を要する。

4. VPCファイアウォールを作成するExpress Connect回路を見つけて、ファイアウォールの作成で、アクション列を作成します。

   多数のExpress Connect回線が存在する場合は、リージョンまたはVPCごとに回線を検索できます。

5. [VPCファイアウォールの作成] ダイアログボックスで、必要なパラメーターを設定します。 下表にパラメーターを示します。

   パラメーター	説明
   [インスタンス名]	VPCファイアウォールの名前。 VPCファイアウォールの識別に役立つ一意の名前を入力することを推奨します。
   接続タイプ	VPC間またはVPCとデータセンター間の接続のタイプ。 この例では、値はExpress Connectに固定されています。
   [VPC]	VPCに関する情報。 VPCのリージョンとIDを確認し、ルートテーブルと宛先CIDRブロックを指定します。 ルートテーブル VPCを作成すると、システムは自動的にデフォルトルートテーブルを作成し、システムルートエントリをルートテーブルに追加します。 ビジネス要件に基づいて、VPCの複数のルートテーブルを作成できます。 詳細については、「ルートテーブルの概要」をご参照ください。 Cloud firewallコンソールでVPCファイアウォールを作成すると、Cloud Firewallは自動的にVPCルートテーブルを読み取ります。 Express Connectは複数のルートテーブルをサポートしています。 Express Connect回線用のVPCファイアウォールを作成すると、複数のVPCルートテーブルを表示し、使用するルートテーブルを選択できます。 宛先 CIDR ブロック [ルートテーブル] または [ピアルートテーブル] ドロップダウンリストからルートテーブルを選択すると、ルートテーブルのデフォルトの宛先CIDRブロックが [宛先CIDRブロック] または [ピア宛先CIDRブロック] セクションに表示されます。 他のCIDRブロックを宛先とするトラフィックを保護する場合は、宛先CIDRブロックを変更できます。 複数のCIDRブロックを追加できます。 CIDRブロックはコンマ (,) で区切ります。
   ピアVPC	ピアVPCのリージョンと名前。 情報を確認し、ピアルートテーブルおよびピア宛先CIDRブロックパラメーターを設定します。
   侵入防止	有効にする侵入防止ポリシー。 有効な値： IPSモード 監視モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。 トラフィック制御モード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。 IPS機能 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。 仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
   VPCファイアウォールの有効化	VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。

6. [送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。

   説明

   VPCファイアウォールを有効にした後、VPCルートテーブルでルートを追加または削除する場合は、Cloud firewallがルートを学習するまで15分から30分待ちます。 Cloud Firewallがルートを学習したら、ルートテーブルが有効かどうかを確認することを推奨します。 また、DingTalkグループ33081734に参加して、Cloud Firewallのテクニカルサポートを取得することもできます。

   VPCファイアウォールを作成すると、Cloud firewallは自動的に次のリソースを作成します。

   • Cloud_Firewall_VPCという名前のVPC。

     重要

     Cloud_Firewall_VPCにクラウドリソースを追加しないでください。 そうしないと、VPCファイアウォールを削除するときにクラウドリソースを削除できません。 Cloud_Firewall_VPCのネットワークリソースを変更または削除しないでください。

   • Cloud_Firewall_vSwitchという名前のVSWITCH。

   • 次の注意事項があるカスタムルートエントリ。クラウドファイアウォールによって作成されました。 変更または削除しないでください。

   VPCファイアウォールを有効にすると、ECS (Elastic Compute Service) は自動的にCloud_Firewall_Security_Groupという名前のセキュリティグループを作成し、ActionパラメーターがAllowに設定されているセキュリティグループルールをセキュリティグループに追加します。 このルールは、VPCファイアウォールからECSへのインバウンドトラフィックを許可します。

   重要

   Cloud_Firewall_Security_Groupまたはセキュリティグループルールは削除しないでください。 それ以外の場合、VPCファイアウォールからECSへのインバウンドトラフィックはVPCファイアウォールで保護できません。

   VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、業務への影響を防ぐため、オフピーク時に操作を実行することを推奨します。

7. On theエクスプレスコネクト回路タブで、作成されたVPCファイアウォールを見つけて有効にします。

   Cloud Firewallは、VPCファイアウォールを有効にした後にのみネットワークリソースを保護できます。 VPCファイアウォールのファイアウォールステータスの値が有効に変更された場合、VPCファイアウォールは有効になります。

その他操作

VPCファイアウォールの無効化

VPCファイアウォールを無効にする場合は、[Express Connect Circuit] タブに移動してVPCファイアウォールを見つけ、[firewall Settings] 列でスイッチをオフにします。

VPCファイアウォールのファイアウォールステータスの値が無効に変更された場合、VPCファイアウォールは無効になります。

VPCファイアウォールの削除

VPCファイアウォールが不要になった場合は、Express Connect Circuitタブに移動してVPCファイアウォールを見つけ、[操作] 列の [削除] をクリックします。

VPCファイアウォールの変更

VPCファイアウォールの設定を変更する場合は、Express Connect Circuitタブに移動してVPCファイアウォールを見つけ、[操作] 列の [編集] をクリックします。