Cloud Firewall:Express Connect の VPC ファイアウォールを設定する

保護のためのネットワークトポロジー

保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。

サービスへの影響

現在のネットワークトポロジーを変更することなく、VPC ファイアウォールを作成してビジネス資産を保護できます。作成プロセスには約 5 分かかり、サービスには影響しません。オフピーク時に VPC ファイアウォールを有効にすることをお勧めします。

VPC ファイアウォールの有効化または無効化には、ルートの数に応じて約 5〜30 分かかります。このプロセス中、持続的接続では数秒間続く一時的な切断が発生する可能性があります。短時間の接続は影響を受けません。

前提条件

• Cloud Firewall Enterprise Edition、Ultimate Edition、または従量課金が有効化されていること。詳細については、「Cloud Firewall の購入」をご参照ください。

  説明

  Enterprise Edition トランジットルーター用の VPC ファイアウォールをサポートしているのは、Cloud Firewall Enterprise Edition、Ultimate Edition、および従量課金のみです。Pro Edition はサポートされていません。

• Cloud Firewall にクラウドリソースへのアクセスに必要な権限が付与されていること。詳細については、「Cloud Firewall への権限付与」をご参照ください。

• Express Connect インスタンスを購入し、Express Connect または VPC ピアリング接続を使用して VPC 間のネットワーク接続を確立していること。詳細については、「VPC ピアリング接続を使用して VPC 間のプライベート接続を有効にする」をご参照ください。

• ネットワークリソースが VPC ファイアウォールをサポートするリージョンにあることを確認してください。詳細については、「サポートされているリージョン」をご参照ください。

手順

1. Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. VPC 境界ファイアウォール タブで、[Express Connect] をクリックします。

3. [Express Connect] タブで、[資産の同期] をクリックします。これにより、アカウントとそのメンバーアカウントの資産情報が同期されます。

   このプロセスには 1〜2 分かかります。

4. VPC ファイアウォールを作成する Express Connect インスタンスを見つけ、[操作] 列の 作成する をクリックします。

   Express Connect インスタンスが多数ある場合は、リストの上にあるオプションを使用して、リージョンまたは VPC タイプのインスタンスでフィルターできます。

5. [VPC ファイアウォールの作成] ダイアログボックスで、パラメーターを設定します。次の表にパラメーターを示します。

   設定項目	説明
   インスタンス名	VPC ファイアウォールの名前を入力します。この名前はファイアウォールインスタンスを識別します。わかりやすく一意の名前を使用してください。
   ピアリングメソッド	ピアリングメソッドを確認します。ピアリングメソッドは、VPC が相互に、またはデータセンターと通信する方法です。これは [Express Connect] に固定されており、手動で設定する必要はありません。
   VPC	VPC のリージョンとインスタンスを確認します。保護する [ルートテーブル] を選択し、[宛先 CIDR ブロック] を入力します。 ルートテーブル VPC を作成すると、システムは自動的にデフォルトのルートテーブルを作成し、システムルートを追加してトラフィックを管理します。VPC は、必要に応じて複数のルートテーブルの作成をサポートします。詳細については、「ルートテーブルの概要」をご参照ください。 Cloud Firewall コンソールで VPC ファイアウォールを作成すると、Cloud Firewall は自動的に VPC ルートテーブル情報を読み取ります。Express Connect は複数のルートテーブルをサポートします。したがって、Express Connect 用の VPC ファイアウォールを作成するときに、保護したい VPC ルートテーブルを表示して選択できます。 宛先 CIDR ブロック [ルートテーブル] ドロップダウンリストからルートを選択すると、ルートテーブルのデフォルトの宛先 CIDR ブロックが自動的に表示されます。他の CIDR ブロックを保護するには、宛先 CIDR ブロックを手動で変更できます。カンマ (,) で区切って複数の CIDR ブロックを追加できます。 重要 VPC ファイアウォールを有効にした後、保護したい新しい CIDR ブロックは手動で追加する必要があります。
   ピア VPC	ピア VPC のリージョンとインスタンスを確認します。保護する [ルートテーブル] を選択し、[宛先 CIDR ブロック] を入力します。 重要 VPC ファイアウォールを有効にした後、保護したい新しい CIDR ブロックは手動で追加する必要があります。
   侵入防止	有効にする侵入防止ポリシーを選択します。オプションは次のとおりです: IPS 防御モード モニターモード: モニターモードが有効な場合、悪意のあるトラフィックがモニターされ、アラートが生成されます。 ブロックモード: ブロックモードが有効な場合、悪意のあるトラフィックがブロックされ、侵入が阻止されます。3 つのブロックモードがサポートされています: ブロックモード - 緩い ブロックモード - 中程度 ブロックモード - 厳格 IPS 防御機能 基本ポリシー: 基本ポリシーが有効な場合、資産の基本的な保護が提供されます。これには、ブルートフォース攻撃、コマンド実行の脆弱性、感染したホストからコマンド & コントロール (C&C) サーバーへの接続のブロックが含まれます。 仮想パッチ: 仮想パッチが有効な場合、一般的で重要なアプリケーションの脆弱性に対するリアルタイムの保護が提供されます。
   VPC ファイアウォールを有効にする	このスイッチを有効にすると、VPC ファイアウォールは作成後に自動的に有効になります。

6. [送信] をクリックして操作を確定します。

   説明

   VPC ファイアウォールを有効にした後、VPC のルートテーブル情報を追加または削除した場合、Cloud Firewall が新しいルートを学習するのに 15〜30 分かかります。ルート学習プロセスが完了するのを待ってから、ルートテーブルが有効になったかどうかを確認してください。ご不明な点がある場合は、チケットを送信して、製品技術の専門家にお問い合わせください。

   VPC ファイアウォールが作成されると、Cloud Firewall は自動的に仮想プライベートクラウド (VPC) に次のリソースを作成します:

   カスタムルートエントリ: 備考は Created by cloud firewall. Do not modify or delete it. です。

   VPC ファイアウォールを有効にすると、Cloud_Firewall_Security_Group という名前のセキュリティグループが自動的に追加され、このセキュリティグループに対して VPC ファイアウォールへのトラフィックを許可する許可ポリシー ([権限付与ポリシー]) が自動的に設定されます。

   重要

   Cloud_Firewall_Security_Group セキュリティグループまたはその権限付与ポリシーを削除しないでください。削除すると、トラフィックが VPC ファイアウォールに流れなくなります。

   バッチ操作を実行したり、VPC ファイアウォールを頻繁に有効または無効にしたりする場合は、サービスへの影響を避けるために、これらの操作をオフピーク時に実行してください。

7. [Express Connect] タブで、作成した VPC ファイアウォールのスイッチをオンにします。

   VPC ファイアウォールが有効になっている場合にのみ、Cloud Firewall はネットワークリソースを保護できます。ファイアウォールの [ファイアウォールステータス] が [有効] に変わると、ファイアウォールは正常に有効になります。

VPC ファイアウォールを無効にする

VPC ファイアウォールを無効にするには、[Express Connect] タブに移動し、ターゲットの VPC ファイアウォールインスタンスを見つけて、[ファイアウォールスイッチ] をオフにします。

ファイアウォールの [ファイアウォールステータス] が [無効] に変わると、ファイアウォールは正常に無効になります。