ファイアウォール:グループ
ファイアウォールの適用対象と適用するルールをグループ化したものです。
ファイアウォールでは、ファイアウォールグループ内にフィルタリング条件となるINルール/OUTルールを定義します。 なお、ルールはファイアウォールグループに所属しているサーバー単位で適用する仕組みとなっています。
構成の上限
パラメーター名 | 内容 |
---|---|
設定可能グループ数上限 | 60件/ゾーン |
ファイアウォールグループの要素
パラメーター名 | 内容 |
---|---|
ファイアウォールグループ名 | ファイアウォールグループの名前です。半角英数字1~15文字で設定します。 |
ゾーン | ファイアウォールグループが属するゾーンです。同一ゾーンに存在するサーバー・ルーター・拠点間VPNゲートウェイにのみ、ファイアウォールは適用できます。 |
ログ取得件数 | 設定したルールより拒否した通信のログを保持しておく件数です。詳細につきましては、技術仕様 ファイアウォール:ログをご確認ください。 |
INルール | サーバーが受信する通信に対する制御ルールです。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。 |
OUTルール | サーバーが送信する通信に対する制御ルールです。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。 |
サーバー | ファイアウォールグループで定義された設定を適用する対象のサーバーです。1つのサーバーに1つのファイアウォールグループのみ設定できます。 |
ルーター | ファイアウォールグループで定義された設定を適用する対象のルーターです。1つのルーターに1つのファイアウォールグループのみ設定できます。 |
拠点間VPNゲートウェイ | ファイアウォールグループで定義された設定を適用する対象の拠点間VPNゲートウェイです。1つの拠点間VPNゲートウェイに1つのファイアウォールグループのみ設定できます。 |
コンパネ表示のパラメーター内容
パラメーター名 | 内容 |
---|---|
ファイアウォールグループ名 | 設定したファイアウォールグループの名前です。 |
ルール数 | 設定したファイアウォールのルール数です。自動で追加されたルールに関してはカウントされません。 |
適用台数 | ファイアウォールを適用しているサーバー・拠点間VPNゲートウェイ・ルーターの台数です。 |
ステータス | ファイアウォールルール設定変更の受付状況を示しています。ファイアウォールの設定が適用されるまでには、数分の時間がかかる場合がございます。 |
ステータスの種類
ステータス名 | ステータス |
---|---|
適用済み | ファイアウォールはコントロールパネルの表示どおり正常に動作しています。 |
適用中 | 変更操作の受け付けを行っているステータスです。 |
ファイアウォールグループのデフォルトルール
ファイアウォールグループを設定すると、ルールテーブルの末尾にルールが自動生成されます。 ここでは、ファイアウォールグループを作成すると自動生成されるルールについて説明します。 この以外にファイアウォールグループに所属している・いないによらず、自動生成されるデフォルトルールがあります。 デフォルトルールにつきましては、技術仕様 ファイアウォール:デフォルトルールをご確認ください。
INルール
ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。 コントロールパネルからINルールを設定していない場合と、設定している場合でも変わらず適用されます。
送信元 | プロトコル | 動作 | 内容 |
---|---|---|---|
同一ファイアウォールグループ | すべて | 許可 | 同じファイアウォールグループのサーバーからの受信は許可する。 |
すべて | すべて | 拒否 | ルールにマッチしなかった通信は拒否する。 |
※「同じファイアウォールグループのサーバーからの受信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。 詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
OUTルール
ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。 コントロールパネルからOUTルールを設定していない場合と、設定している場合で内容が異なります。
コントロールパネルからOUTルールを設定していない場合
送信元 | プロトコル | 動作 | 内容 |
---|---|---|---|
すべて | すべて | 許可 | すべてのルールを許可する。 |
コントロールパネルからOUTルールを設定している場合
送信元 | プロトコル | 動作 | 内容 |
---|---|---|---|
同一ファイアウォールグループ | すべて | 許可 | 同じファイアウォールグループのサーバーからの送信は許可する。 |
すべて | すべて | 拒否 | ルールにマッチしなかった通信は拒否する。 |
※「同じファイアウォールグループのサーバーからの送信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。 詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
サーバーへファイアウォールを適用できるタイミング
サーバー停止/起動状態にかかわらず可能です。
ファイアウォールグループを削除出来ない条件
- サーバー、ルーター、拠点間VPNゲートウェイが所属している場合、ファイアウォールグループを削除することができません。
- INルール/OUTルールの接続元種別/接続先種別としてファイアウォールグループを指定している場合、そのファイアウォールグループを削除することができません。
ファイアウォールルール変更時の挙動
ファイアウォールグループのルール内容を変更した場合、変更後のファイアウォールグループがサーバーに適用される直前までは、変更前のファイアウォールグループのフィルター設定で通信が制御されます。 ファイアウォールルール変更の過程で通信がすべて遮断されることや、すべて許可されることはございません。
ファイアウォール適用の範囲
- サーバーは1つのファイアウォールにのみ所属できます。ファイアウォールグループ作成時に、ほかのファイアウォールグループに所属しているサーバーを指定することはできません。
- ファイアウォールグループは最も少ない構成でもサーバー単位で適用します。サーバーは複数のネットワークに所属している場合、すべてのネットワークに定義したルールが適用されます。