仮想プライベートクラウド (VPC) ファイアウォールを使用して、2つのVPC間のトラフィック、およびVPCとデータセンター間のトラフィックを監視および管理できます。 2つのVPCがExpress Connect回路を使用して接続されている場合、またはVPCが同じCloud Enterprise Network (CEN) インスタンスに属している場合、Express Connect回路またはCENインスタンス用のVPCファイアウォールを作成して、VPC間のトラフィックを管理できます。 このトピックでは、VPCファイアウォールを作成する方法について説明します。

前提条件

CENインスタンスまたはExpress Connect回路が作成され、そのインスタンスまたは回路を使用して2つのVPCが接続されます。 詳細については、「同じAlibaba Cloudアカウントで2つのVPCを接続する」および「Basic Editionトランジットルーターを使用して同じリージョンでVPCを接続する」をご参照ください。

CENインスタンスのVPCファイアウォールを作成する場合、2つのVPCはインスタンスを使用して接続されます。

サポートされているエディション

Cloud Firewall Enterprise EditionとUltimate EditionはVPCファイアウォールをサポートしています。 Cloud Firewall Premium EditionはVPCファイアウォールをサポートしていません。

使用上の注意

Cloud firewallコンソールでVPCファイアウォールを作成すると、次のリソースが自動的に作成されます。
  • Cloud_Firewall_VPCという名前のVPC。

    他のクラウドリソースをCloud_Firewall_VPCに追加しないでください。 Cloud_Firewall_VPCのネットワークリソースを手動で変更または削除しないでください。

  • Cloud_Firewall_vSwitchという名前のVSWITCH。 vSwitchはCIDRブロック10.219.219.216/29を使用します。

    ネットワーク計画中にCloud_Firewall_VSWITCHが使用するCIDRブロック10.219.219.216/29を使用しないでください。 これにより、2つのVPC間の通信障害を引き起こすCIDRブロックの競合を防ぐことができます。

  • 次の注意事項があるカスタムルートエントリ。クラウドファイアウォールによって作成されます。 変更または削除しないでください。
  • VPCファイアウォールを作成、有効化、無効化、または削除すると、VPCルートテーブルのカスタムルートエントリが自動的に変更されます。これにより、短いネットワーク中断が発生します。 VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、ビジネスに影響を与えないように、オフピーク時にそのような操作を実行することを推奨します。

CENインスタンスのVPCファイアウォールの作成

Cloud Firewallは、CENインスタンスを使用して接続され、異なるAlibaba Cloudアカウントに属する2つのVPC間のトラフィックを保護できます。 クラウドファイアウォールを使用してクロスアカウントVPCを保護する前に、VPCが属するアカウントのクラウドリソースへのアクセスをクラウドファイアウォールに許可する必要があります。 詳細については、「Cloud Firewallに他のクラウドリソースへのアクセスを許可する」をご参照ください。

重要
  • VPCファイアウォールは、必要なCENインスタンスが属するAlibaba Cloudアカウント内でクラウドファイアウォールの有料版を購入した場合にのみサポートされます。

    たとえば、CENインスタンスとVPC_1はアカウントaを使用して作成され、VPC_2はアカウントBを使用して作成されます。VPC_1とVPC_2はCENインスタンスを使用して接続されます。 この例では、アカウントAを使用してクラウドファイアウォールの有料版を購入し、VPC_1とVPC_2間のトラフィックを保護できます。

  • VPCファイアウォールは、CENインスタンスのリージョンで最大10個のVPCに対して有効にできます。 クォータを増やしたい場合は、を送信してください。
  • VPCファイアウォールは、VPC間、VPCとVirtual Border Router (VBR) またはデータセンター間、およびVPCとCloud Connect Network (CCN) インスタンス間のトラフィックを保護できます。 ただし、VPCファイアウォールは、VBR間、CCNインスタンス間、またはCCNインスタンスとVBR間のトラフィックを保護できません。
  1. Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、[ファイアウォール設定] > [ファイアウォール設定] を選択します。
  2. [ファイアウォールの設定] ページで、[VPCファイアウォール] タブをクリックします。
  3. [VPCファイアウォール] タブで、[CEN] タブをクリックします。
  4. VPCファイアウォールを作成するCENインスタンスを見つけ、[操作] 列の [作成] をクリックします。
    Cloud Firewallは、CENインスタンスのEnterprise Editionトランジットルーターを使用して、接続されている2つのVPC間のトラフィックを管理できます。
    多数のCENインスタンスが存在する場合、CENインスタンスをリージョン、CEN名、VPC名、またはCloud Firewallの設定ステータスで検索できます。 たとえば、設定ステータスドロップダウンリストから [未設定] を選択し、[検索] をクリックして、Cloud Firewallが設定されていないすべてのCENインスタンスを照会できます。
  5. [VPCファイアウォールの作成] ダイアログボックスで、パラメーターを設定します。
    CENインスタンスのトランジットルーターがBasic Editionを実行している場合、[今すぐチェックを開始] をクリックして、CENインスタンスのVPCファイアウォールを作成できるかどうかを確認できます。 チェックが完了したら、[レコードの確認] パネルでチェック結果を表示できます。

    次の表に、CENに接続されたVPCのVPCファイアウォールを作成するために必要なパラメーターを示します。

    パラメーター 説明
    インスタンス名 VPCファイアウォールの名前。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
    ルーティングモード Cloud Firewallを通過するトラフィックのルーティングモード。 このパラメーターは、CENインスタンスのトランジットルーターがEnterprise Editionを実行する場合にのみ必要です。 設定可能な値は以下のとおりです。
    • 自動: このオプションを選択すると、Cloud FirewallはVPCファイアウォールにVPCとvSwitch CIDRブロックを自動的に割り当てます。
    • 手動: ネットワーク計画をカスタマイズする場合は、このオプションを選択し、既存のネットワークアーキテクチャに影響を与えることなく、VPCおよびvSwitch CIDRブロックをVPCファイアウォールに手動で割り当てることができます。
      重要 このオプションを選択する場合、CENインスタンスが関連付けられているVPCと使用可能なvSwitchを選択する必要があります。 手動モードでは、有効期限が切れる前に、できるだけ早い機会にCloud Firewallを更新する必要があります。 Cloud Firewallの有効期限が切れると、Cloud Firewallの機能は使用できなくなり、作成したVPCファイアウォールにトラフィックをリダイレクトできなくなります。 その結果、ネットワークの中断が発生します。
    IPSモード 侵入防止システム (IPS) の作業モード。 設定可能な値は以下のとおりです。
    • 監視モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。
    • トラフィック制御モード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。
    この設定は、CENインスタンスに属するすべてのVPCに適用されます。
    IPS機能 有効にする侵入防止ポリシー。 設定可能な値は以下のとおりです。
    • 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。
    • 仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
    この設定は、CENインスタンスに属するすべてのVPCに適用されます。
  6. [送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。 VPCファイアウォールが作成されました。
  7. ファイアウォールの設定列でファイアウォールスイッチをオンにします。
    VPCファイアウォールが有効になるまで待ちます。 VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変更された場合、VPCファイアウォールが有効になります。

Express Connect回路用のVPCファイアウォールを作成する

VPCがExpress Connect回路を使用して接続されている場合、VPCファイアウォールを作成して、同じリージョンのVPC間のトラフィックを保護できます。 ただし、VPCファイアウォールは、VPCとVBR間、または異なるリージョンにデプロイされている、または異なるAlibaba Cloudアカウントを使用して作成されたVPC間のトラフィックを保護できません。
  1. Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、[ファイアウォール設定] > [ファイアウォール設定] を選択します。
  2. [ファイアウォールの設定] ページで、[VPCファイアウォール] タブをクリックします。
  3. [VPCファイアウォール] タブで、[Express Connect] タブをクリックします。
  4. VPCファイアウォールを作成するExpress Connect回路を見つけて、[操作] 列の [作成] をクリックします。
    多数のExpress Connect回線が存在する場合は、リージョン、VPC、またはCloud Firewallの設定ステータスごとに回線を検索できます。 たとえば、設定ステータスドロップダウンリストから [未設定] を選択し、[検索] をクリックして、Cloud Firewallが設定されていないすべてのExpress Connect回路を照会できます。
  5. [VPCファイアウォールの作成] ダイアログボックスで、次のパラメーターを設定します。
    パラメーター 説明
    インスタンス名 VPCファイアウォールの名前。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
    接続タイプ VPC間またはVPCとデータセンター間の接続のタイプ。 このシナリオでは、値はExpress Connectに固定されています。
    VPC VPCのリージョンと名前。 情報を確認し、ルートテーブル宛先CIDRブロックを設定します。
    • ルートテーブル

      VPCを作成すると、システムは自動的にデフォルトルートテーブルを作成します。 システムルートエントリをルートテーブルに追加して、VPCトラフィックを管理できます。 VPCでは、ビジネス要件に基づいて複数のルートテーブルを作成できます。 詳細については、「Route table overview」をご参照ください。

      Cloud firewallコンソールでVPCファイアウォールを作成すると、Cloud Firewallは自動的にVPCルートテーブルを読み取ります。 Express Connectは複数のルートテーブルをサポートしています。 Express Connect回線用のVPCファイアウォールを作成すると、複数のVPCルートテーブルを表示し、保護するルートテーブルを選択できます。

    • 宛先 CIDR ブロック

      [ルートテーブル] ドロップダウンリストからルートテーブルを選択すると、ルートテーブルのデフォルトの宛先CIDRブロックが [宛先CIDRブロック] セクションに表示されます。 他のCIDRブロックを宛先とするトラフィックを保護する必要がある場合は、宛先CIDRブロックを変更できます。 複数のCIDRブロックを追加できます。 CIDRブロックはコンマ (,) で区切ります。

    ピアVPC ピアVPCのリージョンと名前。 情報を確認し、ピアルートテーブルピア宛先CIDRブロックを設定します。 ルートテーブルと宛先CIDRブロックの詳細については、VPCパラメーターの設定説明をご参照ください。
    侵入防止 有効にする侵入防止ポリシー。 設定可能な値は以下のとおりです。
    • 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。
    • 仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
    VPCファイアウォールの有効化 VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。 作成後にVPCファイアウォールを自動的に有効にする必要がない場合は、VPCファイアウォールの有効化をオフにします。
  6. [送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。
    VPCファイアウォールが作成されました。 VPCファイアウォールを設定するときにVPCファイアウォールを有効にする場合は、VPCファイアウォールが有効になるまで待ちます。 VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変更された場合、VPCファイアウォールが有効になります。

VPCファイアウォールを使用してVPCとデータセンター間のトラフィックを保護する

VPCファイアウォールは、VBRによって接続されているVPCとデータセンター間のトラフィックを保護できます。 VPCとデータセンターがCENインスタンスを使用して接続されている場合、CENインスタンス用に作成されたVPCファイアウォールを有効にすると、VPCとデータセンター間のトラフィックは自動的に保護されます。 VBRのVPCファイアウォールを作成または有効にする必要はありません。

VBRの保護の詳細を表示するには、次の操作を実行します。にログインし、[ファイアウォールの設定] ページに移動し、[VPCファイアウォール] タブをクリックします。 表示されるタブのCENタブで、VBRの詳細を表示します。

次のタスク

VPCファイアウォールの作成後、次の操作を実行できます。
  • [VPCファイアウォール] タブで、[操作] 列の [変更] または [削除] をクリックして、VPCファイアウォールを変更または削除します。
  • [VPCファイアウォール] タブで、VPCファイアウォールを有効または無効にします。 詳細については、「VPCファイアウォールの有効化または無効化」をご参照ください。
  • 左側のナビゲーションウィンドウで、[アクセス制御] > [アクセス制御] を選択します。 [アクセス制御] ページで、[VPCファイアウォール] タブをクリックします。 [VPCファイアウォール] タブで、VPC間のトラフィックを管理するVPCファイアウォールポリシーを設定します。 詳細については、「VPCファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。

VPCファイアウォールを有効にすると、[VPCアクセス] ページで統計と分析結果を表示できます。 VPCアクセスページに移動するには、左側のナビゲーションウィンドウで [トラフィック分析] > [VPCアクセス] を選択します。 詳細については、「VPCアクセス」をご参照ください。