ファイアウォール:グループ
ファイアウォールの適用対象と適用するルールをグループ化したものです。
ファイアウォールでは、ファイアウォールグループ内にフィルタリング条件となるINルール/OUTルールを定義します。 なお、ルールはファイアウォールグループに所属しているサーバー単位で適用する仕組みとなっています。
構成の上限
| パラメーター名 | 内容 |
|---|---|
| 設定可能グループ数上限 | 60件/ゾーン |
ファイアウォールグループの要素
| パラメーター名 | 内容 |
|---|---|
| ファイアウォールグループ名 | ファイアウォールグループの名前です。半角英数字1~15文字で設定します。 |
| ゾーン | ファイアウォールグループが属するゾーンです。同一ゾーンに存在するサーバー・ルーター・拠点間VPNゲートウェイにのみ、ファイアウォールは適用できます。 |
| ログ取得件数 | 設定したルールより拒否した通信のログを保持しておく件数です。詳細につきましては、技術仕様 ファイアウォール:ログをご確認ください。 |
| INルール | サーバーが受信する通信に対する制御ルールです。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。 |
| OUTルール | サーバーが送信する通信に対する制御ルールです。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。 |
| サーバー | ファイアウォールグループで定義された設定を適用する対象のサーバーです。1つのサーバーに1つのファイアウォールグループのみ設定できます。 |
| ルーター | ファイアウォールグループで定義された設定を適用する対象のルーターです。1つのルーターに1つのファイアウォールグループのみ設定できます。 |
| 拠点間VPNゲートウェイ | ファイアウォールグループで定義された設定を適用する対象の拠点間VPNゲートウェイです。1つの拠点間VPNゲートウェイに1つのファイアウォールグループのみ設定できます。 |
コンパネ表示のパラメーター内容
| パラメーター名 | 内容 |
|---|---|
| ファイアウォールグループ名 | 設定したファイアウォールグループの名前です。 |
| ルール数 | 設定したファイアウォールのルール数です。自動で追加されたルールに関してはカウントされません。 |
| 適用台数 | ファイアウォールを適用しているサーバー・拠点間VPNゲートウェイ・ルーターの台数です。 |
| ステータス | ファイアウォールルール設定変更の受付状況を示しています。ファイアウォールの設定が適用されるまでには、数分の時間がかかる場合がございます。 |
ステータスの種類
| ステータス名 | ステータス |
|---|---|
| 適用済み | ファイアウォールはコントロールパネルの表示どおり正常に動作しています。 |
| 適用中 | 変更操作の受け付けを行っているステータスです。 |
ファイアウォールグループのデフォルトルール
ファイアウォールグループを設定すると、ルールテーブルの末尾にルールが自動生成されます。 ここでは、ファイアウォールグループを作成すると自動生成されるルールについて説明します。 この以外にファイアウォールグループに所属している・いないによらず、自動生成されるデフォルトルールがあります。 デフォルトルールにつきましては、技術仕様 ファイアウォール:デフォルトルールをご確認ください。
INルール
ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。 コントロールパネルからINルールを設定していない場合と、設定している場合でも変わらず適用されます。
| 送信元 | プロトコル | 動作 | 内容 |
|---|---|---|---|
| 同一ファイアウォールグループ | すべて | 許可 | 同じファイアウォールグループのサーバーからの受信は許可する。 |
| すべて | すべて | 拒否 | ルールにマッチしなかった通信は拒否する。 |
※「同じファイアウォールグループのサーバーからの受信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。 詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
OUTルール
ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。 コントロールパネルからOUTルールを設定していない場合と、設定している場合で内容が異なります。
コントロールパネルからOUTルールを設定していない場合
| 送信元 | プロトコル | 動作 | 内容 |
|---|---|---|---|
| すべて | すべて | 許可 | すべてのルールを許可する。 |
コントロールパネルからOUTルールを設定している場合
| 送信元 | プロトコル | 動作 | 内容 |
|---|---|---|---|
| 同一ファイアウォールグループ | すべて | 許可 | 同じファイアウォールグループのサーバーからの送信は許可する。 |
| すべて | すべて | 拒否 | ルールにマッチしなかった通信は拒否する。 |
※「同じファイアウォールグループのサーバーからの送信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。 詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
サーバーへファイアウォールを適用できるタイミング
サーバー停止/起動状態にかかわらず可能です。
ファイアウォールグループを削除出来ない条件
- サーバー、ルーター、拠点間VPNゲートウェイが所属している場合、ファイアウォールグループを削除することができません。
- INルール/OUTルールの接続元種別/接続先種別としてファイアウォールグループを指定している場合、そのファイアウォールグループを削除することができません。
ファイアウォールルール変更時の挙動
ファイアウォールグループのルール内容を変更した場合、変更後のファイアウォールグループがサーバーに適用される直前までは、変更前のファイアウォールグループのフィルター設定で通信が制御されます。 ファイアウォールルール変更の過程で通信がすべて遮断されることや、すべて許可されることはございません。
ファイアウォール適用の範囲
- サーバーは1つのファイアウォールにのみ所属できます。ファイアウォールグループ作成時に、ほかのファイアウォールグループに所属しているサーバーを指定することはできません。
- ファイアウォールグループは最も少ない構成でもサーバー単位で適用します。サーバーは複数のネットワークに所属している場合、すべてのネットワークに定義したルールが適用されます。
