ファイアウォール:グループ
ファイアウォールの適用対象と適用するルールをグループ化したものです。
ファイアウォールでは、ファイアウォールグループ内にフィルタリング条件となるINルール/OUTルールを定義します。
なお、ルールはファイアウォールグループに所属しているサーバー単位で適用する仕組みとなっています。
構成の上限
| パラメーター名 | 内容 |
|---|---|
| 設定可能グループ数上限 | 60件/ゾーン |
ファイアウォールグループの要素
| パラメーター名 | 内容 |
|---|---|
| ファイアウォールグループ名 | ファイアウォールグループの名前です。半角英数字1~15文字で設定します。 |
| ゾーン | ファイアウォールグループが属するゾーンです。 同一ゾーンに存在するサーバー・ルーター・拠点間VPNゲートウェイにのみ、ファイアウォールは適用できます。 |
| ログ取得件数 | 設定したルールより拒否した通信のログを保持しておく件数です。詳細につきましては、技術仕様/制限値 ファイアウォール:ログをご確認ください。 |
| INルール | サーバーが受信する通信に対する制御ルールです。詳細につきましては、技術仕様/制限値 ファイアウォール:ルールをご確認ください。 |
| OUTルール | サーバーが送信する通信に対する制御ルールです。詳細につきましては、技術仕様/制限値 ファイアウォール:ルールをご確認ください。 |
| サーバー | ファイアウォールグループで定義された設定を適用する対象のサーバーです。 1つのサーバーに1つのファイアウォールグループのみ設定できます。 |
| ルーター | ファイアウォールグループで定義された設定を適用する対象のルーターです。 1つのルーターに1つのファイアウォールグループのみ設定できます。 |
| 拠点間VPNゲートウェイ | ファイアウォールグループで定義された設定を適用する対象の拠点間VPNゲートウェイです。 1つの拠点間VPNゲートウェイに1つのファイアウォールグループのみ設定できます。 |
| メモ | メモを保存できます。全半角40文字以内で設定します。 |
ファイアウォールグループのデフォルトルール
ファイアウォールグループを設定すると、ルールテーブルの末尾にルールが自動生成されます。
ここでは、ファイアウォールグループを作成すると自動生成されるルールについて説明します。
これ以外にファイアウォールグループに所属している・いないによらず、自動生成されるデフォルトルールがあります。
デフォルトルールにつきましては、技術仕様/制限値 ファイアウォール:デフォルトルールをご確認ください。
INルール
ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。コントロールパネルからINルールを設定していない場合と、設定している場合でも変わらず適用されます。
| 送信元 | プロトコル | 動作 | 内容 |
|---|---|---|---|
| 同一ファイアウォールグループ | すべて | 許可 | 同じファイアウォールグループのサーバーからの受信は許可する。 |
| すべて | すべて | 拒否 | ルールにマッチしなかった通信は拒否する。 |
※「同じファイアウォールグループのサーバーからの受信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。
詳細につきましては、技術仕様/制限値 ファイアウォール:ルールをご確認ください。
OUTルール
ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。コントロールパネルからOUTルールを設定していない場合と、設定している場合で内容が異なります。
コントロールパネルからOUTルールを設定していない場合
| 送信元 | プロトコル | 動作 | 内容 |
|---|---|---|---|
| すべて | すべて | 許可 | すべてのルールを許可する。 |
コントロールパネルからOUTルールを設定している場合
| 送信元 | プロトコル | 動作 | 内容 |
|---|---|---|---|
| 同一ファイアウォールグループ | すべて | 許可 | 同じファイアウォールグループのサーバーからの送信は許可する。 |
| すべて | すべて | 拒否 | ルールにマッチしなかった通信は拒否する。 |
※「同じファイアウォールグループのサーバーからの送信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。
詳細につきましては、技術仕様/制限値 ファイアウォール:ルールをご確認ください。
サーバーへファイアウォールを適用できるタイミング
- サーバー停止/起動状態にかかわらず可能です。
注意事項
- ファイアウォールの設定が適用されるまでには、数分の時間がかかる場合がございます。
ファイアウォールグループを削除出来ない条件
- サーバー、ルーター、拠点間VPNゲートウェイが所属している場合、ファイアウォールグループを削除することができません。
- INルール/OUTルールの接続元種別/接続先種別としてファイアウォールグループを指定している場合、そのファイアウォールグループを削除することができません。
ファイアウォールルール変更時の挙動
- ファイアウォールグループのルール内容を変更した場合、変更後のファイアウォールグループがサーバーに適用される直前までは、変更前のファイアウォールグループのフィルター設定で通信が制御されます。
- ファイアウォールルール変更の過程で通信がすべて遮断されることや、すべて許可されることはございません。
ファイアウォール適用の範囲
- サーバーは1つのファイアウォールにのみ所属できます。ファイアウォールグループ作成時に、ほかのファイアウォールグループに所属しているサーバーを指定することはできません。
- ファイアウォールグループは最も少ない構成でもサーバー単位で適用します。
- サーバーは複数のネットワークに所属している場合、すべてのネットワークに定義したルールが適用されます。
ネットワーク転送量の加算
ネットワーク転送量の流量はインターネットとファイアウォールの間で計測しております。
そのため、INルールでブロックいただいた場合でもインターネットからの通信は流量計測機を通過するため加算されます。
OUTルールでブロックいただいた通信は流量計測機を通過する前にブロックされるため加算されません。
