このトピックでは、インターネットファイアウォール、仮想プライベートクラウド (VPC) ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを設定する方法の例を示します。
インターネットファイアウォールのアクセス制御ポリシーを構成する
クラウドファイアウォールでは、インバウンドおよびアウトバウンドトラフィックは、南北トラフィックおよびインターネットトラフィックとも呼ばれます。 Cloud Firewallコンソールでアクセス制御ポリシーを設定して、南北トラフィックを管理できます。 アクセス制御ポリシーを作成すると、Cloud Firewallは正確なアクセス制御を実行し、ネットワークセキュリティを確保します。 インターネットファイアウォールに設定できるアクセス制御ポリシーのパラメーターの詳細については、「インターネットファイアウォールの受信および送信アクセス制御ポリシーの作成」をご参照ください。
指定されたポート宛のインターネットトラフィックを許可するようにインバウンドポリシーを構成する
たとえば、Elastic Compute Service (ECS) インスタンスのTCPポート80のみを宛先とするインターネットトラフィックを許可するインバウンドポリシーを作成します。 ECSインスタンスのIPアドレスは10.1.XX.XXで、EIP (elastic IPアドレス) は200.2.XX.XX/32です。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[インバウンド] タブで、[ポリシーの作成] をクリックします。 [インバウンドポリシーの作成] パネルで、[ポリシーの作成] タブをクリックし、ポリシーを設定します。
すべてのソースからECSインスタンスへのインターネットトラフィックを許可するポリシーを設定し、OKをクリックします。
下表に、各パラメーターを説明します。
パラメーター
説明
例
ソースタイプ
ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。
IP
ソース
0.0.0.0/0
説明値0.0.0.0/0は、すべてのパブリックIPアドレスを指定します。
宛先タイプ
ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。
IP
目的地
200.2.XX.XX/32
プロトコルタイプ
トランスポート層プロトコル。 有効な値: TCP、UDP、ICMP、ANY。 プロトコルタイプがわからない場合は、ANYを選択します。
TCP
ポートタイプ
宛先のポートタイプとポート番号。
ポート
ポート
80/80
アプリケーション
トラフィックのアプリケーションタイプ。
任意の
Action
トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。
許可
優先度
アクセス制御ポリシーの優先度。 デフォルト値: Lowest
最高
ステータス
ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。
Enabled
すべてのECSインスタンス宛のインターネットトラフィックを拒否するポリシーを設定し、OK.
前述の許可ポリシーの説明に基づいて、拒否ポリシーを設定します。 以下にパラメーターを説明します。
宛先: 0.0.0.0/0を入力します。
説明値0.0.0.0/0は、すべてのECSインスタンスのIPアドレスを指定します。
プロトコルタイプ: 任意を選択します。
ポート: 0/0を入力します。
説明値0/0は、ECSインスタンスのすべてのポートを指定します。
アプリケーション: Select ANY.
アクション: [拒否] を選択します。
優先度: 最低を選択します。
設定が完了したら、[許可] ポリシーの優先度が [拒否] ポリシーの優先度よりも高いことを確認します。
VPCファイアウォールのアクセス制御ポリシーの設定
VPCファイアウォールは、2つのVPC間のトラフィックを監視および制御できます。 トラフィックは、東西トラフィックとも呼ばれる。 2つのVPC間のトラフィックを管理する場合は、アクセス制御ポリシーを作成して、疑わしいソースまたは悪意のあるソースからのトラフィックを拒否できます。 信頼できるソースからのトラフィックを許可し、他のソースからのトラフィックを拒否することもできます。 VPCファイアウォール用に設定できるアクセス制御ポリシーのパラメーターの詳細については、「VPCファイアウォール用のアクセス制御ポリシーの作成」をご参照ください。
異なるVPCに存在するECSインスタンス間のトラフィックを拒否する
2つのVPCが同じCloud Enterprise Network (CEN) インスタンスに接続されているか、Express Connect回路を使用して接続されている場合、VPC内にあるECSインスタンスは相互に通信できます。
たとえば、ECS 1からECS 2へのアクセスを拒否したいとします。 ECS 1はVPC 1に存在し、ECS 2はVPC 2に存在します。 VPCは同じCENインスタンスにアタッチされています。 ECS 1のIPアドレスは10.33.XX.XX/32、ECS 2のIPアドレスは10.66.XX.XX/32です。
Cloud Firewallコンソールにログインする
VPCボーダーページポリシーの作成をクリックします。
では、ポリシー-VPCボーダーの作成ダイアログボックスでパラメーターを設定し、OKをクリックします。
下表に、各パラメーターを説明します。
パラメーター
説明
例
ソースタイプ
トラフィックソースのタイプを選択します。
IP
ソース
トラフィックの送信元のアドレスを指定します。
10.33.XX.XX/32
宛先タイプ
トラフィックの宛先のタイプを選択します。
IP
目的地
トラフィックの宛先アドレスを指定します。
10.66.XX.XX/32
プロトコルタイプ
トラフィックのプロトコルタイプを選択します。
TCP
ポートタイプ
ポートのタイプを選択します。
ポート
ポート
トラフィックを管理するポート範囲を指定します。 [ポートタイプ] を [ポート] に設定した場合、ポート範囲を入力します。 ポートタイプをアドレス帳に設定した場合は、ポートアドレス帳パラメーターを設定し、[選択] をクリックします。
0/0
アプリケーション
トラフィックのアプリケーションタイプを選択します。
任意の
Action
トラフィックに対するアクションを選択します。
拒否
内部ファイアウォールのアクセス制御ポリシーを構成する
内部ファイアウォールは、ECSインスタンス間のインバウンドトラフィックとアウトバウンドトラフィックを管理して、不正アクセスをブロックできます。 Cloud firewallコンソールで内部ファイアウォールに対して設定および公開するアクセス制御ポリシーは、ECSセキュリティグループに同期されます。 内部ファイアウォールに設定できるアクセス制御ポリシーのパラメーターの詳細については、「ECSインスタンス間の内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
同じポリシーグループ内のECSインスタンス間のトラフィックを許可する
ECSコンソールでセキュリティグループルールを設定すると、同じECSセキュリティグループ内のECSインスタンスが相互に通信できます。 これは、Cloud Firewallの内部ファイアウォールとは異なります。 デフォルトでは、内部ファイアウォール用に作成されたポリシーグループには複数のECSインスタンスを含めることができますが、インスタンスは相互に通信できません。
たとえば、sg-testポリシーグループに存在するECS 1とECS 2の間のトラフィックを許可するとします。 ECS 1のIPアドレスは10.33.XX.XX、ECS 2のIPアドレスは10.66.XX.XXです。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
内部ボーダーページで、必要なポリシーグループを見つけて、ポリシーの設定で、アクション列を作成します。
インバウンドタブのポリシーの作成をクリックします。
次の表に、インバウンドポリシーのパラメーターを示します。
パラメーター
説明
例
ポリシータイプ:
ポリシーのタイプを選択します。
許可
プロトコルタイプ
トラフィックのプロトコルタイプを選択します。
TCP
ポート範囲
トラフィックを管理するポート範囲を指定します。
0/0
ソースタイプとソースオブジェクト
トラフィックの送信元のアドレスを指定します。 DirectionをInboundに設定した場合、これらのパラメーターを設定する必要があります。 ソースタイプの値に基づいてソースを設定できます。
ソースタイプ: Policy Group
出典: sg-test
ターゲット選択
トラフィックの宛先アドレスを指定します。 DirectionをInboundに設定した場合、このパラメーターを設定する必要があります。
CIDRブロック: 10.66.XX.XX
説明ポリシーグループ内のすべてのECSインスタンスが相互に通信する場合は、[宛先] を [すべてのECSインスタンス] に設定します。
ポリシーグループ内の特定のECSインスタンスが相互に通信する場合は、[宛先] を [CIDRブロック] に設定し、ピアECSインスタンスのCIDRブロックを入力します。
アウトバウンドポリシーを設定します。 この手順は、高度なセキュリティグループを使用する場合に必要です。
デフォルトでは、基本セキュリティグループはアウトバウンドトラフィックを許可します。 基本的なセキュリティグループを使用する場合、アウトバウンドポリシーを設定する必要はありません。
インバウンドポリシーの説明に基づいて、アウトバウンドポリシーを設定します。 以下にパラメーターを説明します。
ソースタイプ: IP
ソース: 10.66.XX.XX
CIDRブロック: 10.33.XX.XX
異なるポリシーグループのECSインスタンス間のトラフィックを許可する
たとえば、内部ファイアウォールの異なるポリシーグループに存在するECS 1とECS 2の間のトラフィックを許可したいとします。 ECS 1のIPアドレスは10.33.XX.XX、ECS 2のIPアドレスは10.66.XX.XXです。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 .
内部ボーダーページで、ECS 1が存在するポリシーグループを見つけ、ポリシーの設定で、アクション列を作成します。
インバウンドタブのポリシーの作成をクリックします。
次の表に、インバウンドポリシーのパラメーターを示します。
パラメーター
説明
例
ポリシータイプ
ポリシーのタイプを選択します。
許可
プロトコルタイプ
トラフィックのプロトコルタイプを選択します。
TCP
ポート範囲
トラフィックを管理するポート範囲を指定します。
0/0
ソースタイプとソースオブジェクト
トラフィックの送信元のアドレスを指定します。 DirectionをInboundに設定した場合、これらのパラメーターを設定する必要があります。 ソースタイプの値に基づいてソースを設定できます。
ソースタイプ: IP
ソース: 10.66.XX.XX
ターゲット選択
トラフィックの宛先アドレスを指定します。 DirectionをInboundに設定した場合、このパラメーターを設定する必要があります。
CIDRブロック: 10.33.XX.XX
説明sg-test2ポリシーグループ内のECSインスタンスがsg-test1ポリシーグループ内のすべてのECSインスタンスにアクセスする場合は、[宛先] を [すべてのECSインスタンス] に設定します。
sg-test2ポリシーグループのECSインスタンスがsg-test1ポリシーグループの特定のECSインスタンスにアクセスする場合は、[宛先] を [CIDRブロック] に設定し、sg-test1ポリシーグループの特定のECSインスタンスのCIDRブロックを入力します。
アウトバウンドポリシーを設定します。 この手順は、高度なセキュリティグループを使用する場合に必要です。
デフォルトでは、基本セキュリティグループはアウトバウンドトラフィックを許可します。 基本的なセキュリティグループを使用する場合、アウトバウンドポリシーを設定する必要はありません。
インバウンドポリシーの説明に基づいて、アウトバウンドポリシーを設定します。 以下にパラメーターを説明します。
ソースタイプ: IP
ソース: 10.33.XX.XX
CIDRブロック: 10.66.XX.XX
上記の設定に基づいて、ECS 2のトラフィックを許可するようにインバウンドポリシーとアウトバウンドポリシーを設定します。