Cloud Firewall:Express Connect回路を使用して接続されたVPCのVPCファイアウォールを設定する

機能の説明

保護図

Cloud Firewallの保護範囲の詳細については、クラウドファイアウォールとは

影響

VPCファイアウォールを直接作成して、現在のネットワークトポロジを変更することなく、ビジネス資産を保護できます。 作成時間は約5分で、ワークロードは影響を受けません。 オフピーク時にVPCファイアウォールを有効にすることを推奨します。

VPCファイアウォールを有効または無効にするには、約5〜30分かかります。 作成期間は、ルートの数によって異なります。 永続的な接続は、数秒間中断され得る。 短命の接続は影響を受けません。

統計情報の表示

Cloud Firewallは、現在のアカウント内のVPCファイアウォールに関する統計情報を表示します。

1. Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. VPC 境界ファイアウォール タブで、次の情報を表示します。未作成状態のVPCファイアウォールの数、作成状態のVPCファイアウォールの数、およびVPCファイアウォールの使用可能なクォータ。 ネットワーク要素の総数、保護されているネットワーク要素の数、および保護されていないネットワーク要素の数を表示することもできます。

   Cloud FirewallエディションのVPCファイアウォールのクォータが使い果たされた場合は、[クォータの増加] をクリックして、ビジネス要件に基づいてクォータを増やすことができます。 各エディションで作成できるVPCファイアウォールの数の詳細については、「サブスクリプション」をご参照ください。

   

3. VPCファイアウォールセクションのアイコンをクリックして、未作成状態と作成状態のVPCファイアウォールの数を表示します。 VPCファイアウォールは、Express Connect回線を使用して接続されたEnterprise Editionトランジットルーター、Basic Editionトランジットルーター、およびVPC用に設定されています。

4. [保護されたネットワーク要素] セクションのアイコンをクリックして、ネットワーク要素の総数、保護されていないネットワーク要素の数を表示します。 ネットワーク要素は、VPC、VBR、トランジットルーター、およびVPNゲートウェイです。

次のリストは、統計項目について説明しています。

• CEN (エンタープライズ版)

  • 保護されていないネットワーク要素: VPCファイアウォールによって保護されていないネットワーク要素の数。 ネットワーク要素は、手動モードでは追加されないVPC、VBR、トランジットルーター、およびVPNゲートウェイです。

  • 保護されたネットワーク要素: VPCファイアウォールによって保護されているネットワーク要素の数。 ネットワーク要素は、手動モードでは追加されないVPC、VBR、トランジットルーター、およびVPNゲートウェイです。

  • 使用可能なクォータ: 有効になっているVPCファイアウォールの数。 各トランジットルーターはVPCファイアウォールに対応します。

• CEN (ベーシックエディション)

  • 保護されていないネットワーク要素: VPCファイアウォールによって保護されていないVPCの数。

  • 保護されたネットワーク要素: VPCファイアウォールによって保護されているVPCの数。

  • 使用可能なクォータ: 有効になっているVPCファイアウォールの数。 各VPCはVPCファイアウォールに対応します。

• エクスプレスコネクト回路

  • 保護されていないネットワーク要素: VPCファイアウォールによって保護されていないVPCの数。

  • 保護されたネットワーク要素: VPCファイアウォールによって保護されているVPCの数。

  • 使用可能なクォータ: 有効になっているVPCファイアウォールの数。 ローカルVPCとそのピアVPCは、VPCファイアウォールに対応します。

VPCファイアウォールの作成

手順

1. Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. VPC 境界ファイアウォールタブで、エクスプレスコネクトタブをクリックします。

3. [資産の同期] をクリックして、現在のアカウントとメンバーアカウントの資産に関する情報を同期します。

   このプロセスは、完了するのに1分から2分を要する。

4. VPCファイアウォールを作成するExpress Connect回路を見つけて、作成で、アクション列を作成します。

   多数のExpress Connect回線が存在する場合は、リージョンまたはVPCごとに回線を検索できます。

5. [VPCファイアウォールの作成] ダイアログボックスで、必要なパラメーターを設定します。 下表にパラメーターを示します。

   パラメーター	説明
   [インスタンス名]	VPCファイアウォールの名前。 VPCファイアウォールの識別に役立つ一意の名前を入力することを推奨します。
   接続タイプ	VPC間またはVPCとデータセンター間の接続のタイプ。 この例では、値はExpress Connectに固定されています。
   [VPC]	VPCに関する情報。 VPCのリージョンとIDを確認し、ルートテーブルと宛先CIDRブロックを指定します。 ルートテーブル VPCを作成すると、システムは自動的にデフォルトルートテーブルを作成し、システムルートエントリをルートテーブルに追加します。 ビジネス要件に基づいて、VPCの複数のルートテーブルを作成できます。 詳細については、「ルートテーブルの概要」をご参照ください。 Cloud firewallコンソールでVPCファイアウォールを作成すると、Cloud Firewallは自動的にVPCルートテーブルを読み取ります。 Express Connectは複数のルートテーブルをサポートしています。 Express Connect回線用のVPCファイアウォールを作成すると、複数のVPCルートテーブルを表示し、使用するルートテーブルを選択できます。 宛先 CIDR ブロック [ルートテーブル] または [ピアルートテーブル] ドロップダウンリストからルートテーブルを選択すると、ルートテーブルのデフォルトの宛先CIDRブロックが [宛先CIDRブロック] または [ピア宛先CIDRブロック] セクションに表示されます。 他のCIDRブロックを宛先とするトラフィックを保護する場合は、宛先CIDRブロックを変更できます。 複数のCIDRブロックを追加できます。 CIDRブロックはコンマ (,) で区切ります。
   ピアVPC	ピアVPCのリージョンと名前。 情報を確認し、ピアルートテーブルおよびピア宛先CIDRブロックパラメーターを設定します。
   侵入防止	有効にする侵入防止ポリシー。 有効な値： IPSモード 監視モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。 トラフィック制御モード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。 IPS機能 基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。 仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
   VPCファイアウォールの有効化	VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。

6. [送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。

   説明

   VPCファイアウォールを有効にした後、VPCルートテーブルでルートを追加または削除する場合は、Cloud firewallがルートを学習するまで15分から30分待ちます。 Cloud Firewallがルートを学習したら、ルートテーブルが有効かどうかを確認することを推奨します。 また、DingTalkグループ33081734に参加して、Cloud Firewallのテクニカルサポートを取得することもできます。

   VPCファイアウォールを作成すると、Cloud firewallは自動的に次のリソースを作成します。

   • Cloud_Firewall_VPCという名前のVPC。

     重要

     Cloud_Firewall_VPCにクラウドリソースを追加しないでください。 そうしないと、VPCファイアウォールを削除するときにクラウドリソースを削除できません。 Cloud_Firewall_VPCのネットワークリソースを変更または削除しないでください。

   • Cloud_Firewall_vSwitchという名前のVSWITCH。

   • 次の注意事項があるカスタムルートエントリ。クラウドファイアウォールによって作成されました。 変更または削除しないでください。

   VPCファイアウォールを有効にすると、ECS (Elastic Compute Service) は自動的にCloud_Firewall_Security_Groupという名前のセキュリティグループを作成し、ActionパラメーターがAllowに設定されているセキュリティグループルールをセキュリティグループに追加します。 このルールは、VPCファイアウォールからECSへのインバウンドトラフィックを許可します。

   重要

   Cloud_Firewall_Security_Groupまたはセキュリティグループルールは削除しないでください。 それ以外の場合、VPCファイアウォールからECSへのインバウンドトラフィックはVPCファイアウォールで保護できません。

   VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、業務への影響を防ぐため、オフピーク時に操作を実行することを推奨します。

VPCファイアウォールの有効化または無効化

Cloud Firewallは、VPCファイアウォールを有効にした後にのみネットワークリソースを保護できます。

1. ファイアウォールスイッチページで、VPC 境界ファイアウォールタブをクリックします。

2. エクスプレスコネクトタブで、管理するVPCファイアウォールを見つけ、スイッチをオンまたはオフにします。ファイアウォールの設定列を作成します。

   VPCファイアウォールが有効または無効になるまで待ちます。 VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [有効] に変更された場合、VPCファイアウォールは有効になります。 VPCファイアウォールの [ファイアウォールステータス] 列のステータスが [無効] に変更された場合、VPCファイアウォールは無効になります。

VPCファイアウォールの変更または削除

VPCファイアウォールの設定を変更する場合、またはVPCファイアウォールが不要になった場合は、[VPCファイアウォール] タブに移動し、[Express Connect] タブをクリックして、管理するVPCファイアウォールを見つけ、[操作] 列の [変更] または [削除] をクリックします。