内部ファイアウォールは、Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御して、不正アクセスをブロックできます。 Cloud firewallコンソールで内部ファイアウォールに対して設定および公開するアクセス制御ポリシーは、ECSセキュリティグループと同期されます。 このトピックでは、内部ファイアウォールのアクセス制御ポリシーを作成する方法について説明します。
内部ファイアウォールの図
メリット
内部ファイアウォールのアクセス制御ポリシーは、次の点でECSセキュリティグループルールよりも優れています。
一度に複数のポリシーを公開できます。
Cloud Firewallは、アプリケーショングループに基づいてセキュリティグループを作成します。
ECSインスタンスの異なるリージョンを切り替えることなく、Cloud Firewallコンソールでアクセス制御ポリシーを管理できます。
デフォルトでは、最大500のポリシーグループを作成し、各グループにポリシーを500できます。 ポリシーには、ECSセキュリティグループからCloud Firewallに同期されたものと、Cloud Firewallコンソールで作成されたものが含まれます。 より多くのポリシーが必要な場合は、不要なポリシーを削除するか、仮想プライベートクラウド (VPC) ファイアウォールのアクセス制御ポリシーを設定することを推奨します。
ポリシーグループの種類
ポリシーグループは、共通ポリシーグループとエンタープライズポリシーグループに分類されます。
シナリオ
共通のポリシーグループは、ECSインスタンスの基本的なセキュリティグループに対応し、仮想ファイアウォールとして機能して、ステートフルパケットインスペクション (SPI) およびパケットフィルタリング機能を提供します。 共通のポリシーグループを使用して、クラウド内のセキュリティドメインを分離できます。 共通ポリシーグループを設定して、共通ポリシーグループ内のECSインスタンス間のインバウンドトラフィックとアウトバウンドトラフィックを許可またはブロックできます。 共通のポリシーグループは、適度な数のネットワーク接続に対するネットワーク制御の要件が高いビジネスに適しています。
エンタープライズポリシーグループは、ECSインスタンスの高度なセキュリティグループに対応し、共通のポリシーグループよりも多くのECSインスタンスをサポートします。 無制限の数のプライベートIPアドレスに対してアクセス制御ポリシーを設定できます。 エンタープライズポリシーグループは、大規模ネットワークで効率的なO&Mを必要とする企業に最適です。
違い
基本セキュリティグループと高度セキュリティグループの違いの詳細については、「基本セキュリティグループと高度セキュリティグループ」をご参照ください。
前提条件
Cloud Firewall Enterprise EditionまたはUltimate Editionを購入しました。 詳細については、「Cloud Firewallの購入」をご参照ください。
内部ファイアウォールのアクセス制御ポリシーの設定
内部ファイアウォールのアクセス制御ポリシーを構成する前に、既定のアクセス制御ポリシーを含むポリシーグループを作成する必要があります。 次に、ポリシーグループで受信および送信のアクセス制御ポリシーを設定できます。 ポリシーグループでアクセス制御ポリシーを設定した後、ポリシーを公開する必要があります。 これにより、ポリシーをECSセキュリティグループに同期して有効にすることができます。
手順1: ポリシーグループの作成
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、.
ホスト境界ページで、Create Policy Groupをクリックします。
では、Create Policy Groupダイアログボックスで、以下のパラメーターを設定し、Confirm.
パラメーター
説明
Policy Group Type
ポリシーグループのタイプを選択します。 有効な値:
Common Policy Group
Enterprise Policy Group
Policy Group Name
ポリシーグループの名前を入力します。
簡単に識別できるように、有益な名前を入力することをお勧めします。
VPC
[VPC] ドロップダウンリストから、ポリシーグループを適用するVPCを選択します。 ポリシーグループは1つのVPCにのみ適用できます。
Instance ID
Instance ID ドロップダウンリストから、ポリシーグループを適用する1つ以上のECSインスタンスを選択します。
説明[インスタンスID] ドロップダウンリストには、選択したVPC内のECSインスタンスのみが含まれます。
Description
ポリシーグループの説明を入力します。
Template
Template ドロップダウンリストから、使用するテンプレートを選択します。
default-accept-login: TCPポート22と3389を宛先とするインバウンドトラフィックとすべてのアウトバウンドトラフィックを許可します。
default-accept-all: すべてのインバウンドトラフィックとアウトバウンドトラフィックを許可します。
default-drop-all: すべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。
説明エンタープライズポリシーグループは、default-drop-allテンプレートをサポートしていません。
手順2: ポリシーグループにポリシーを作成する
ホスト境界ページで、管理するポリシーグループを見つけて、Configure Policyで、Actions列を作成します。
インバウンドまたはアウトバンドタブで、Create Policyをクリックします。
では、Create Policyダイアログボックスで、以下のパラメーターを設定し、送信するをクリックします。
パラメーター
説明
NIC タイプ
デフォルト値はイントラネットです。 この値は、ポリシーがECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御することを指定します。
ポリシー方向性
ポリシーを適用するトラフィックの方向。 有効な値:
Inbound: 他のECSインスタンスからポリシーグループで指定されたECSインスタンスへのトラフィック。
Outbound: ポリシーグループで指定されたECSインスタンスから他のECSインスタンスへのトラフィック。
Policy Type
ポリシーのタイプです。 有効な値:
Allow: ポリシーにヒットするトラフィックを許可します。
Deny: ポリシーにヒットするトラフィックを拒否します。 トラフィックが拒否された場合、データパケットは応答なしで破棄されます。 2つのポリシーの構成が同じで、ポリシータイプが異なる場合、タイプがDenyのポリシーが有効になります。
説明エンタープライズポリシーグループは、Deny ポリシータイプをサポートしていません。
プロトコルタイプ
ポリシーを適用するトラフィックのプロトコルタイプ。
ANYを選択した場合、ポリシーはすべてのトラフィックに適用されます。 プロトコルタイプがわからない場合は、ANYを選択します。
ポート範囲
ポリシーを適用するトラフィックの宛先ポート範囲。
ポート範囲を入力すると、ポリシーはポート範囲内のすべてのポートで有効になります。 たとえば、1/200を入力すると、ポリシーはポート1〜200で有効になります。 ポートを入力すると、ポリシーはそのポートでのみ有効になります。 たとえば、80/80を入力すると、ポリシーはポート80で有効になります。
優先度
ポリシーの優先順位。 優先度は1から100の範囲内の整数でなければなりません。 数字が小さいほど、優先度が高くなります。
異なるポリシーは、同じ優先度を有することができる。 許可ポリシーと拒否ポリシーの優先度が同じ場合、Denyポリシーが優先されます。
ソースタイプとソースオブジェクト
トラフィックのソース。 DirectionをInboundに設定した場合、これらのパラメーターを設定する必要があります。 ソースタイプの値に基づいてソースを設定できます。 有効なソースタイプ:
CIDR Block
このタイプを選択した場合、ソースオブジェクトにソースCIDRブロックを入力する必要があります。 入力できるCIDRブロックは1つだけです。
Policy Group
このタイプを選択した場合、ソースオブジェクト ドロップダウンリストからポリシーグループをトラフィックソースとして選択する必要があります。 ポリシーグループ内のすべてのECSインスタンスからのトラフィックが管理されます。
説明エンタープライズポリシーグループは、Policy Groupタイプをサポートしていません。
プレフィックスリスト
このタイプを選択する場合は、ソースオブジェクト ドロップダウンリストからプレフィックスリストを選択する必要があります。 その後、Cloud Firewallは、プレフィックスリストが関連付けられているセキュリティグループ内のすべてのECSインスタンスのトラフィックを制御します。 プレフィックスリストの詳細については、「プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する」をご参照ください。
ターゲット選択
トラフィックの宛先。 DirectionをInboundに設定した場合、このパラメーターを設定する必要があります。 有効な値:
All ECS Instances: 現在のポリシーグループで指定されているすべてのECSインスタンス。
CIDR Block: このオプションを選択した場合、CIDRブロックを入力する必要があります。 CIDRブロックに対応するECSインスタンスがトラフィックの宛先です。 Cloud Firewallは、CIDRブロックに対応するECSインスタンスのインバウンドトラフィックのみを制御します。
ソース選択
トラフィックソースのタイプ。 DirectionをOutboundに設定した場合、このパラメーターを設定する必要があります。 有効な値:
All ECS Instances: 現在のポリシーグループで指定されているすべてのECSインスタンス。
CIDR Block: このオプションを選択した場合、送信元IPアドレスまたはCIDRブロックを入力する必要があります。 IPアドレスまたはCIDRブロックに対応するECSインスタンスがトラフィックの送信元です。
ターゲットタイプとターゲットオブジェクト
トラフィックの宛先と宛先アドレスのタイプ。 DirectionをOutboundに設定した場合、これらのパラメーターを設定する必要があります。
有効な宛先タイプ:
CIDR Block
このタイプを選択する場合は、宛先CIDRブロックを入力する必要があります。 入力できるCIDRブロックは1つだけです。
Policy Group
このタイプを選択する場合は、ポリシーグループを選択する必要があります。 ポリシーグループ内のすべてのECSインスタンス宛てのトラフィックが管理されます。
説明エンタープライズポリシーグループは、Policy Groupタイプをサポートしていません。
プレフィックスリスト
このタイプを選択する場合は、[ソース] ドロップダウンリストからプレフィックスリストを選択する必要があります。 プレフィックスリストが関連付けられているセキュリティグループ内のすべてのECSインスタンスのトラフィックが管理されます。 プレフィックスリストの詳細については、「プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する」をご参照ください。
記述
ポリシーの説明です。
ポリシーが作成されるまで待ちます。 次に、内部ファイアウォールのポリシーリストでポリシーを表示できます。
手順3: ポリシーグループにポリシーを公開
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、.
ホスト境界ページで、ポリシーを公開するポリシーグループを見つけ、Publishで、Actions列を作成します。
では、Publish Policyダイアログボックス, configure備考、確認するポリシーの変更をクリックし、OK.
ポリシーはECSセキュリティグループに同期され、ポリシーを公開した後にのみ有効になります。 ECSコンソールにログインし、 を選択して、Cloud Firewallコンソールで公開したポリシーを表示します。 ECSコンソールでCloud Firewallによって作成されたポリシーグループのデフォルト名はCloud_Firewall_Security_groupです。
ECSセキュリティグループルールの同期
手動同期: ホスト境界 ページで、[セキュリティグループの同期] をクリックして、ECSからCloud Firewallにセキュリティグループルールを同期します。 このプロセスは、完了するのに2〜3分を要する。
自動同期: Cloud Firewallは、ECSセキュリティグループルールに関する情報を2時間ごとに自動的に同期します。
次のステップ
ポリシーグループに対して次の操作を実行できます。
Edit: ポリシーグループで指定されたECSインスタンスを変更し、ポリシーグループの説明を変更します。
削除: ポリシーグループを削除します。
警告ポリシーグループを削除すると、そのアクセス制御ポリシーは無効になります。 作業は慎重に行ってください。 削除されたポリシーグループはリストに保持されますが、操作を実行できなくなります。
不要になったポリシーグループを削除する場合は、ポリシーグループソースを Custom に設定して、すべてのカスタムポリシーグループを照会し、削除するかどうかを決定できます。