- ホワイトクラウド ASPIRE
- サービスご利用ガイド
- テナントネットワークを作成・管理する
- ネットワークファイアウォールを設定する
ネットワークファイアウォールを設定する
ネットワークファイアウォールの概要と設定方法を説明します。
ネットワークファイアウォールとは
ネットワークファイアウォールは、Edgeゲートウェイでの通信制御に加えより細かな通信制御を実現します。
なお、ネットワークファイアウォールのデフォルトアクションは許可となっております。
| 通信方向 | 種別 | ||
|---|---|---|---|
| 通信元 | 通信先 | Edgeゲートウェイ | ネットワークファイアウォール(NWFW) |
| 外部ネットワーク | 内部ネットワーク | ○ | ○ |
| 内部ネットワーク | 外部ネットワーク | ○ | ○ |
| 内部ネットワーク | 内部ネットワーク | ― | ○ |
ネットワークファイアウォールを設定する
ネットワークファイアウォールを1ルール単位で作成する方法を説明します。
-
ユーザ管理者の権限を持つユーザで、セルフポータルサイトにログインします。
-
「ネットワーク」タブをクリックします。
-
左ペインで「ネットワークファイアウォール」-「ネットワークファイアウォール一覧」の順にクリックします。
ネットワークファイアウォール一覧が表示されます。
-
アイコンをクリックします。
「ファイアウォールの新規追加」画面が表示されます。
-
各項目を設定し、「完了」ボタンをクリックします。
項目 説明 有効 チェックを入れると、ネットワークファイアウォールルールが有効化されます。 名前 ネットワークファイアウォールルールの名前を入力します。 順番 値の小さいルールの優先順位が高くなります。 ソース 「手動」または「グループ」を選択します。
手動:送信元のIPアドレス、CIDR、IP範囲、「any」で指定します。
グループ:仮想マシングループを選択します。ソースポート 送信元のポート番号を指定します。範囲指定も可能です。 ターゲット 「手動」または「グループ」を選択します。
手動:送信元のIPアドレス、CIDR、IP範囲、「any」で指定します。
グループ:仮想マシングループを選択します。ターゲットポート 送信先のポート番号を指定します。範囲指定も可能です。 プロトコル 対象のプロトコルを選択します。 アクション ルールに適合した通信の処理方法を「許可」または「拒否」から選択します。
「デフォルトアクション」で「拒否」を選択した場合は「許可」を、「デフォルトアクション」で「許可」を選択した場合は「拒否」を選択します。 -
ネットワークファイアウォールが有効化されます。
ネットワークファイアウォールを設定する(一括更新)
ネットワークファイアウォールを「CSVから登録」を利用して一括更新する方法を説明します。
- edit
- 補足
CSVに記載された内容で一括更新がかかりますので、ルールの記載間違いにはご注意ください。
-
ユーザ管理者の権限を持つユーザで、セルフポータルサイトにログインします。
-
「ネットワーク」タブをクリックします。
-
左ペインで「ネットワークファイアウォール」-「ネットワークファイアウォール一覧」の順にクリックします。
ネットワークファイアウォール一覧が表示されます。
-
「CSVから登録」アイコンをクリックします。
「CSVからの登録」画面が表示されます。
-
「ファイルを選択」ボタンからファイアウォールルールを記載したCSV選択し、「次へ」ボタンをクリックします。
CSVファイル(utf-8形式)のフォーマットは、以下のとおりです。
項目 説明 順番 値の小さいルールの優先順位が高くなります。 適用対象 EastWest 固定です。 名前 ネットワークファイアウォールルールの名前を指定します。 ソースタイプ区分 「手動」または「グループ」を指定します。 ソース 「手動」または「グループ」を選択します。
手動:送信元のIPアドレス、CIDR、IP範囲、「any」で指定します。
グループ:仮想マシングループを選択します。ソースポート 送信元のポート番号を指定します。範囲指定も可能です。 ターゲットタイプ区分 「手動」または「グループ」を指定します。 ターゲット 「手動」または「グループ」を指定します。
手動:送信元のIPアドレス、CIDR、IP範囲、「any」で指定します。
グループ:仮想マシングループを指定します。ターゲットポート 送信先のポート番号を指定します。範囲指定も可能です。 プロトコル 対象のプロトコルを指定します。 アクション ルールに適合した通信の処理方法を「許可」または「拒否」を指定します。 有効 有効にしたい場合、「Y」を指定
無効にしたい場合、「N」を指定 -
「取込内容の確認」画面で「次へ」ボタンをクリックします
「次へ」ボタンをクリックした時点ではまだ設定は反映されてません。
エラーがあった場合は、CSVファイルを修正し、再度「CSVファイルの選択」からやり直してください。
-
「設定の確認」画面で「完了」ボタンをクリックします
「完了」ボタンをクリックした時点で設定が反映されます。
通信タイムアウト仕様について
ネットワークファイアーウォールを経由する通信では、以下のタイムアウト値が設定されています。
| 項目 |
タイム
アウト値(秒) |
|
|---|---|---|
| TCP |
最初のパケットが送信された後の、接続のタイムアウト値です。
(送信元のTCP State:SYN_SENT) |
120 |
|
2番目のパケットが転送された後の、接続のタイムアウト値です。
(送信元のTCP State:ESTABLISHED) |
30 | |
|
接続が完全に確立された後の、接続のタイムアウト値です。
(送信元のTCP State:ESTABLISHED) |
43,200
(12時間) |
|
|
最初のFINが送信された後の、接続のタイムアウト値です。
(送信元のTCP State:FIN-WAIT1) |
120 | |
|
両方のFINが交換され、接続が閉じられた後の、接続のタイムアウト値です。
(送信元のTCP State:FIN-WAIT2) |
45 | |
|
1つのエンドポイントがRSTを送信した後の、接続のタイムアウト値です。
(送信元のTCP State:CLOSED) |
20 | |
| UDP |
最初のパケットが送信された後の、接続のタイムアウト値です。
(新しいUDPフローの最初のタイムアウトになる) |
60 |
| 送信元ホストが複数のパケットを送信し、宛先ホストが送り返さなかった場合の、接続のタイムアウト値です。 | 30 | |
| 両方のホストがパケットを送信した場合の、接続のタイムアウト値です。 | 60 | |
| ICMP | 最初のパケットが送信された後の、接続のタイムアウト値です。 | 20 |
| ICMPパケットへの応答でICMPエラーが返された後の、接続のタイムアウト値です。 | 10 | |