仮想プライベートクラウド (VPC) ファイアウォールを使用して、2つのVPC間のトラフィック、およびVPCとデータセンター間のトラフィックを監視および管理できます。
2つのVPCがExpress Connect回路を使用して接続されている場合、またはVPCが同じCloud Enterprise Network (CEN) インスタンスに属している場合、Express
Connect回路またはCENインスタンス用のVPCファイアウォールを作成して、VPC間のトラフィックを管理できます。 このトピックでは、VPCファイアウォールを作成する方法について説明します。
サポートされているエディション
Cloud Firewall Enterprise EditionとUltimate EditionはVPCファイアウォールをサポートしています。 Cloud Firewall
Premium EditionはVPCファイアウォールをサポートしていません。
使用上の注意
Cloud firewallコンソールでVPCファイアウォールを作成すると、次のリソースが自動的に作成されます。
Cloud_Firewall_VPC
という名前のVPC。
他のクラウドリソースをCloud_Firewall_VPCに追加しないでください。 Cloud_Firewall_VPCのネットワークリソースを手動で変更または削除しないでください。
Cloud_Firewall_vSwitch
という名前のVSWITCH。 vSwitchはCIDRブロック10.219.219.216/29を使用します。
ネットワーク計画中にCloud_Firewall_VSWITCHが使用するCIDRブロック10.219.219.216/29を使用しないでください。 これにより、2つのVPC間の通信障害を引き起こすCIDRブロックの競合を防ぐことができます。
- 次の注意事項があるカスタムルートエントリ。
クラウドファイアウォールによって作成されます。 変更または削除しないでください。
- VPCファイアウォールを作成、有効化、無効化、または削除すると、VPCルートテーブルのカスタムルートエントリが自動的に変更されます。これにより、短いネットワーク中断が発生します。
VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、ビジネスに影響を与えないように、オフピーク時にそのような操作を実行することを推奨します。
CENインスタンスのVPCファイアウォールの作成
Cloud Firewallは、CENインスタンスを使用して接続され、異なるAlibaba Cloudアカウントに属する2つのVPC間のトラフィックを保護できます。
クラウドファイアウォールを使用してクロスアカウントVPCを保護する前に、VPCが属するアカウントのクラウドリソースへのアクセスをクラウドファイアウォールに許可する必要があります。
詳細については、「Cloud Firewallに他のクラウドリソースへのアクセスを許可する」をご参照ください。
- Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。
- [ファイアウォールの設定] ページで、[VPCファイアウォール] タブをクリックします。
- [VPCファイアウォール] タブで、[CEN] タブをクリックします。
- VPCファイアウォールを作成するCENインスタンスを見つけ、[操作] 列の [作成] をクリックします。
Cloud Firewallは、CENインスタンスのEnterprise Editionトランジットルーターを使用して、接続されている2つのVPC間のトラフィックを管理できます。
多数のCENインスタンスが存在する場合、CENインスタンスをリージョン、CEN名、VPC名、またはCloud Firewallの設定ステータスで検索できます。 たとえば、設定ステータスドロップダウンリストから
[未設定] を選択し、[検索] をクリックして、Cloud Firewallが設定されていないすべてのCENインスタンスを照会できます。
- [VPCファイアウォールの作成] ダイアログボックスで、パラメーターを設定します。
CENインスタンスのトランジットルーターがBasic Editionを実行している場合、[今すぐチェックを開始] をクリックして、CENインスタンスのVPCファイアウォールを作成できるかどうかを確認できます。
チェックが完了したら、
[レコードの確認] パネルでチェック結果を表示できます。
次の表に、CENに接続されたVPCのVPCファイアウォールを作成するために必要なパラメーターを示します。
パラメーター |
説明 |
インスタンス名 |
VPCファイアウォールの名前。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。 |
ルーティングモード |
Cloud Firewallを通過するトラフィックのルーティングモード。 このパラメーターは、CENインスタンスのトランジットルーターがEnterprise Editionを実行する場合にのみ必要です。
設定可能な値は以下のとおりです。
- 自動: このオプションを選択すると、Cloud FirewallはVPCファイアウォールにVPCとvSwitch CIDRブロックを自動的に割り当てます。
- 手動: ネットワーク計画をカスタマイズする場合は、このオプションを選択し、既存のネットワークアーキテクチャに影響を与えることなく、VPCおよびvSwitch CIDRブロックをVPCファイアウォールに手動で割り当てることができます。
重要 このオプションを選択する場合、CENインスタンスが関連付けられているVPCと使用可能なvSwitchを選択する必要があります。 手動モードでは、有効期限が切れる前に、できるだけ早い機会にCloud
Firewallを更新する必要があります。 Cloud Firewallの有効期限が切れると、Cloud Firewallの機能は使用できなくなり、作成したVPCファイアウォールにトラフィックをリダイレクトできなくなります。
その結果、ネットワークの中断が発生します。
|
IPSモード |
侵入防止システム (IPS) の作業モード。 設定可能な値は以下のとおりです。
- 監視モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。
- トラフィック制御モード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。
注 この設定は、CENインスタンスに属するすべてのVPCに適用されます。
|
IPS機能 |
有効にする侵入防止ポリシー。 設定可能な値は以下のとおりです。
- 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール
(C&C) サーバーへの接続を管理することもできます。
- 仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
注 この設定は、CENインスタンスに属するすべてのVPCに適用されます。
|
- [送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。 VPCファイアウォールが作成されました。
- ファイアウォールの設定列でをオンにします。
VPCファイアウォールが有効になるまで待ちます。 VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変更された場合、VPCファイアウォールが有効になります。
Express Connect回路用のVPCファイアウォールを作成する
注 VPCがExpress Connect回路を使用して接続されている場合、VPCファイアウォールを作成して、同じリージョンのVPC間のトラフィックを保護できます。 ただし、VPCファイアウォールは、VPCとVBR間、または異なるリージョンにデプロイされている、または異なるAlibaba
Cloudアカウントを使用して作成されたVPC間のトラフィックを保護できません。
- Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。
- [ファイアウォールの設定] ページで、[VPCファイアウォール] タブをクリックします。
- [VPCファイアウォール] タブで、[Express Connect] タブをクリックします。
- VPCファイアウォールを作成するExpress Connect回路を見つけて、[操作] 列の [作成] をクリックします。
多数のExpress Connect回線が存在する場合は、リージョン、VPC、またはCloud Firewallの設定ステータスごとに回線を検索できます。 たとえば、設定ステータスドロップダウンリストから
[未設定] を選択し、[検索] をクリックして、Cloud Firewallが設定されていないすべてのExpress Connect回路を照会できます。
- [VPCファイアウォールの作成] ダイアログボックスで、次のパラメーターを設定します。
パラメーター |
説明 |
インスタンス名 |
VPCファイアウォールの名前。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。 |
接続タイプ |
VPC間またはVPCとデータセンター間の接続のタイプ。 このシナリオでは、値はExpress Connectに固定されています。
|
VPC |
VPCのリージョンと名前。 情報を確認し、ルートテーブルと宛先CIDRブロックを設定します。
- ルートテーブル
VPCを作成すると、システムは自動的にデフォルトルートテーブルを作成します。 システムルートエントリをルートテーブルに追加して、VPCトラフィックを管理できます。
VPCでは、ビジネス要件に基づいて複数のルートテーブルを作成できます。 詳細については、「Route table overview」をご参照ください。
Cloud firewallコンソールでVPCファイアウォールを作成すると、Cloud Firewallは自動的にVPCルートテーブルを読み取ります。 Express
Connectは複数のルートテーブルをサポートしています。 Express Connect回線用のVPCファイアウォールを作成すると、複数のVPCルートテーブルを表示し、保護するルートテーブルを選択できます。
- 宛先 CIDR ブロック
[ルートテーブル] ドロップダウンリストからルートテーブルを選択すると、ルートテーブルのデフォルトの宛先CIDRブロックが [宛先CIDRブロック] セクションに表示されます。
他のCIDRブロックを宛先とするトラフィックを保護する必要がある場合は、宛先CIDRブロックを変更できます。 複数のCIDRブロックを追加できます。 CIDRブロックはコンマ
(,) で区切ります。
|
ピアVPC |
ピアVPCのリージョンと名前。 情報を確認し、ピアルートテーブルとピア宛先CIDRブロックを設定します。 ルートテーブルと宛先CIDRブロックの詳細については、VPCパラメーターの設定説明をご参照ください。
|
侵入防止 |
有効にする侵入防止ポリシー。 設定可能な値は以下のとおりです。
- 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール
(C&C) サーバーへの接続を管理することもできます。
- 仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
|
VPCファイアウォールの有効化 |
VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。 作成後にVPCファイアウォールを自動的に有効にする必要がない場合は、VPCファイアウォールの有効化をオフにします。
|
- [送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。
VPCファイアウォールが作成されました。 VPCファイアウォールを設定するときにVPCファイアウォールを有効にする場合は、VPCファイアウォールが有効になるまで待ちます。
VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変更された場合、VPCファイアウォールが有効になります。
VPCファイアウォールを使用してVPCとデータセンター間のトラフィックを保護する
VPCファイアウォールは、VBRによって接続されているVPCとデータセンター間のトラフィックを保護できます。 VPCとデータセンターがCENインスタンスを使用して接続されている場合、CENインスタンス用に作成されたVPCファイアウォールを有効にすると、VPCとデータセンター間のトラフィックは自動的に保護されます。
VBRのVPCファイアウォールを作成または有効にする必要はありません。
VBRの保護の詳細を表示するには、次の操作を実行します。にログインし、[ファイアウォールの設定] ページに移動し、[VPCファイアウォール] タブをクリックします。 表示されるタブのCENタブで、VBRの詳細を表示します。
次のタスク
VPCファイアウォールの作成後、次の操作を実行できます。
- [VPCファイアウォール] タブで、[操作] 列の [変更] または [削除] をクリックして、VPCファイアウォールを変更または削除します。
- [VPCファイアウォール] タブで、VPCファイアウォールを有効または無効にします。 詳細については、「VPCファイアウォールの有効化または無効化」をご参照ください。
- 左側のナビゲーションウィンドウで、 を選択します。 [アクセス制御] ページで、[VPCファイアウォール] タブをクリックします。 [VPCファイアウォール] タブで、VPC間のトラフィックを管理するVPCファイアウォールポリシーを設定します。
詳細については、「VPCファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。
VPCファイアウォールを有効にすると、[VPCアクセス] ページで統計と分析結果を表示できます。 VPCアクセスページに移動するには、左側のナビゲーションウィンドウで
を選択します。 詳細については、「VPCアクセス」をご参照ください。