Cloud Firewall:NATファイアウォール

機能の説明

実装

NATファイアウォールを有効にして、数回クリックするだけでアセット情報を同期し、NATファイアウォールのアクセス制御ポリシーを設定し、トラフィック分析結果を表示し、監査ログを表示できます。

NATファイアウォールまたはNATゲートウェイを有効にすると、NATファイアウォールは、VPC内の内部対応リソースからNATゲートウェイへのすべてのアウトバウンドトラフィック (同じVPC内のリソースおよびVPC間のリソースを含む) を監視します。 NATファイアウォールは、トラフィックに関する情報をユーザー定義のアクセス制御ポリシーおよび組み込みの脅威インテリジェンスライブラリと照合して、トラフィックを許可するかどうかを判断します。 情報には、ソースアドレス、宛先アドレス、ポート、プロトコル、アプリケーション、およびドメイン名が含まれます。 このようにして、インターネットへの不正アクセスがブロックされます。

次の図に例を示します。

影響

NATファイアウォールを有効または無効にすると、Cloud firewallはNATエントリを切り替えます。 その結果、永続的な接続は1〜2秒間一時的に閉じられますが、短命の接続は影響を受けません。 ピーク時間外にNATファイアウォールを有効または無効にすることを推奨します。

• NATファイアウォールを作成する場合、ワークロードは影響を受けません。 ただし、NATファイアウォールの作成時にステータスをオンにすると、永続的な接続は1〜2秒間一時的に閉じられますが、短期間の接続は影響を受けません。

  説明

  NATファイアウォールの作成に必要な期間は、NATゲートウェイに関連付けられているelastic IPアドレス (EIP) の数によって異なります。 必要な時間は、追加のEIPごとに約2〜5分増加する。 その間、ワークロードは影響を受けません。

• NATファイアウォールを無効にした後に削除しても、ワークロードは影響を受けません。

制限事項

• NATファイアウォールを有効にした後、NATファイアウォールのvSwitchのルート、またはnext hopがNATファイアウォールであるルートは変更しないことを推奨します。 そうでなければ、サービスの中断が起こり得る。

• クラウドファイアウォールの有効期限が切れ、クラウドファイアウォールを更新しない場合、作成したNATファイアウォールは自動的にリリースされ、トラフィックは元のルートに戻ります。 サービスの中断は、切り替え中に発生する可能性があります。

  Cloud Firewallが期待どおりに実行されるように、できるだけ早い機会に自動更新またはCloud Firewallの更新を有効にすることを推奨します。 詳細については、「更新」をご参照ください。

• NATファイアウォールが9月1日2023より前に作成された場合、同じ宛先IPアドレスと宛先ポートを持つ接続のNATファイアウォールの最大保護帯域幅は20 Mbit/sです。 同じ宛先IPアドレスと宛先ポートを持つ接続の帯域幅が20 Mbit/sを超えると、ネットワークジッタが発生する可能性があります。 NATファイアウォールの最大保護帯域幅を増やしたい場合は、NATファイアウォールを削除してNATファイアウォールを作成することを推奨します。

  2023年9月1日以降にNATファイアウォールが作成された場合、保護帯域幅に制限はありません。

• NATファイアウォールはIPv6アドレスのトラフィックを保護できません。

手順

次のフローチャートは、NATファイアウォールの使用方法を示しています。

前提条件

• Cloud Firewallが有効化され、NATファイアウォールの十分なクォータが購入されます。 詳細については、「Cloud Firewallの購入」をご参照ください。

• インターネットNATゲートウェイが作成されます。 詳細については、「VPCの作成と管理」をご参照ください。

  重要

  NATファイアウォール機能は、インターネットNATゲートウェイのみをサポートします。

  インターネットNATゲートウェイは、次の要件を満たす必要があります。

  • インターネットNATゲートウェイは、NATファイアウォール機能が使用可能なリージョンにあります。 NATファイアウォール機能が使用可能なリージョンの詳細については、「サポートされているリージョン」をご参照ください。

  • 少なくとも1つのEIPがインターネットNATゲートウェイに関連付けられており、NATゲートウェイに関連付けられているEIPの数は10以下です。 詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。

  • SNATエントリが作成され、インターネットNATゲートウェイにはDNATエントリが存在しません。 詳細については、「SNATエントリの作成と管理」をご参照ください。

    インターネットNATゲートウェイにDNATエントリが存在する場合、NATファイアウォールを有効にする前にDNATエントリを削除する必要があります。 詳細については、「DNATエントリの作成と管理」をご参照ください。

  • インターネットNATゲートウェイがデプロイされているVPCは、高度なVPC機能をサポートしています。 詳細については、「高度なVPC機能」をご参照ください。

  • インターネットNATゲートウェイを指す0.0.0.0ルートが、インターネットNATゲートウェイのVPCに追加されます。 詳細については、「ルートテーブルの作成と管理」をご参照ください。

  • インターネットNATゲートウェイのVPCに割り当てられているCIDRブロックのサブネットマスクの長さは少なくとも28ビットです。

NATファイアウォールの作成と有効化

このセクションでは、NATファイアウォールを作成する方法について説明します。 NATゲートウェイごとにNATファイアウォールを作成できます。

使用上の注意

• 新しいNATゲートウェイに関する情報をNATファイアウォール機能に同期するには、約1分から5分かかります。

• NATゲートウェイに関連付けられているEIPと、NATゲートウェイに設定されているSNATエントリをNATファイアウォール機能に同期するには、約1分から2分かかります。 EIPおよびSNATエントリは、同期が完了するまで有効になりません。

  ファイアウォールスイッチ > インターネットボーダー タブで Synchronize Assets をクリックして、EIPの数とSNATエントリを手動で同期することもできます。

• システムは、NATゲートウェイを指すルートをNATファイアウォール機能に同期するのに30分かかります。

  ファイアウォールスイッチ > [NATファイアウォール] タブで Synchronize Assets をクリックして、ルートを手動で同期することもできます。

• NATファイアウォールを作成すると、Cloud firewallは次の操作を実行します。

  • NATファイアウォール用に作成したvSwitchのルートテーブルに、NATゲートウェイを指す0.0.0.0/0ルートを追加します。

  • システムルートテーブルの0.0.0.0/0ルートを変更して、次のホップをCloud FirewallのENIに向けます。

手順

1. Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. NAT Firewall タブをクリックします。 [NAT Firewall] タブで、必要なNATゲートウェイを見つけ、操作する 列の 作成する をクリックします。

3. [NATファイアウォールの作成] パネルで、[今すぐ確認] をクリックします。 チェックが完了し、すべての診断項目に合格したら、[次へ] をクリックします。

   NAT gatewayがNATファイアウォールの作成に必要なすべての条件を満たしていることを確認したら、[スキップして作成] をクリックします。

4. [NATファイアウォールの作成] パネルで、次のパラメーターを設定します。

   パラメーター		説明
   Basic Information	名前	NATファイアウォールの名前を入力します。
   Traffic Redirection Configurations	Select Route Table	ネクストホップがNATゲートウェイであるルートテーブルを選択し、ネクストホップをCloud Firewall用に作成されたルートテーブルに変更します。 このようにして、内部対応アセットを宛先とするトラフィックの次のホップはNATファイアウォールを指します。
   	vSwitch for Traffic RedirectionおよびvSwitch CIDRブロック	新しいvSwitchを作成するか、既存のvSwitchを選択できます。 vSwitchのCIDRブロックを作成するための使用上の注意事項: トラフィックのリダイレクトのために、vSwitchのCIDRブロックをNATファイアウォールに割り当てる必要があります。 CIDRブロックには、少なくとも28ビットのサブネットマスクが必要であり、ネットワーク計画と競合してはなりません。 vSwitchのCIDRブロックは、VPCのCIDRブロック内にある必要があり、現在のサービスCIDRブロックと競合しません。 vSwitchのCIDRブロックを割り当てると、Cloud FirewallはvSwitchをカスタムルートテーブルに自動的に関連付けます。 既存のvSwitchを選択するための使用方法のメモ: NATファイアウォールには、次の要件を満たすvSwitchが必要です。詳細については、「VPCの作成と管理」をご参照ください。 vSwitch、NAT gateway、およびNATファイアウォールは、同じVPCにデプロイする必要があります。 vSwitchは、NATゲートウェイと同じゾーンに存在する必要があります。 vSwitchのCIDRブロックのサブネットマスクの長さは少なくとも28ビットである必要があり、CIDRブロック内の使用可能なIPアドレスの数は、NATゲートウェイのSNATエントリで指定されているEIPの数よりも大きい必要があります。 他のクラウドリソースはvSwitchに接続されていません。 ルートテーブルを作成し、ルートテーブルをvSwitchに関連付けます。 詳細については、「ルートテーブルの作成と管理」をご参照ください。 オプションです。 ビジネス要件に基づいて、0.0.0.0/0エントリ以外のカスタムルートをルートテーブルに追加します。 詳細は、「サブネットルーティング」をご参照ください。 たとえば、ワークロードでVPC間の通信が必要な場合は、VPCのバックホールルートを手動でルートテーブルに追加する必要があります。 説明 vSwitchがドロップダウンリストに表示されていない場合、または必要なvSwitchが暗くなっている場合は、vSwitchが他のクラウドリソースに関連付けられているかどうか、およびvSwitchがカスタムルートテーブルに関連付けられているかどうかを確認します。 vSwitchを指定した後、NAT Firewall タブの右上隅にある Synchronize Assets をクリックします。
   Engine Mode	エンジンモード	アクセス制御ポリシーの一致モードを選択します。 ルーズモード (デフォルト): アプリケーションタイプまたはドメイン名が不明であるトラフィックは、通常のアクセスを保証できます。 厳密モード: アプリケーションタイプまたはドメイン名が不明であるトラフィックは、設定したすべてのポリシーで処理されます。 拒否ポリシーを設定すると、トラフィックは拒否されます。

5. 選択前のメモを読みました。 [ファイアウォールの有効化] をクリックします。

6. NATファイアウォールの作成後、[ステータス] を手動でオンにする必要があります。

   NATファイアウォールを有効にした後にのみ、トラフィックをNATファイアウォールにルーティングできます。

次に何をすべきか

NATファイアウォールを有効にすると、NATファイアウォールのアクセス制御ポリシーを設定し、監査ログを表示して、プライベートアセットから発生し、インターネット宛てのトラフィックを制御できます。

NATファイアウォールの無効化と削除

• NATファイアウォールの無効化

  ファイアウォールスイッチ > NAT Firewall タブに移動し、無効にするNATファイアウォールを見つけて、スイッチ 列でスイッチをオフにします。

• NATファイアウォールの削除

  ファイアウォールスイッチ > NAT Firewall タブに移動し、削除するNATファイアウォールを見つけ、操作する 列のアイコンをクリックして、削除する をクリックします。

関連ドキュメント

• 内部対応アセットから特定のドメイン名へのトラフィックを管理する方法の詳細については、内部対応サーバーのみが特定のドメイン名にアクセスできるようにポリシーを設定する.

• NATファイアウォールのトラフィックログを表示する方法の詳細については、「ログ監査」をご参照ください。

• インターネットファイアウォールの詳細については、次のトピックを参照してください。

  • NATファイアウォールを有効にすることの影響は何ですか?

  • NATファイアウォールを有効にした後、Cloud Firewallがルートテーブルを作成し、静的ルート0.0.0.0/0をルートテーブルに追加するのはなぜですか。

  • クラウドファイアウォールは、アウトバウンドトラフィックをインターネットファイアウォール、NATファイアウォール、およびDNSファイアウォールのアクセス制御ポリシーとどのように一致させますか。