本文へジャンプします。

ニフクラ ユーザーガイド

ファイアウォール:ルール

ファイアウォールの通信制御ルールを定義したものです。
ニフクラのファイアウォールは、基本的にはすべての通信を拒否し、ルールに列挙した通信のみ許可する方式です。 INルールに設定されたルールは、サーバー・ルーター・拠点間VPNゲートウェイが通信を受信する場合のフィルタとして利用されます。 OUTルールに設定されたルールは、サーバー・ルーター・拠点間VPNゲートウェイが通信を送信する場合のフィルタとして利用されます。

構成の上限

パラメータ名 内容
設定可能ルール数上限 100件/ファイアウォールグループ

ファイアウォール ルールの設定要素

パラメータ名 内容
プロトコル 許可対象のプロトコルです。
ポート 許可対象の宛先ポートの範囲です。プロトコルでTCP、UDPを選択した場合のみ設定が可能です。
接続元種別/接続先種別 許可対象の通信の接続元/接続先の種別です。ルールがINルールに所属する場合「接続元種別」、ルールがOUTルールに所属する場合「接続先種別」となります。
IPアドレス・グループ 接続元種別/接続先種別に対応した形式で記述された対象の情報です。ルールがINルールに所属する場合、接続元のIPアドレス・グループを設定します。ルールがOUTルールに所属する場合、接続先のIPアドレス・グループを設定します。
プロトコル

選択可能なプロトコルは以下となります。

プロトコル名 プロトコル番号 ポート番号
ICMP 1 -
TCP 6 任意の値の設定が可能
SSH 6 22
HTTP 6 80
HTTPS 6 443
RDP 6 3389
UDP 17 任意の値の設定が可能
L2TP 17 1701
GRE 47 -
ESP 50 -
AH 51 -
ICMPv6-all 58 -
VRRP 112 -

※プロトコル番号の詳細につきましては、IANAのプロトコル番号一覧をご確認ください。

「接続元種別/接続先種別」と「IPアドレス・グループ」について

選択可能な接続元種別/接続先種別は以下となります。

接続元/接続先種別名 内容 「IPアドレス・グループ」の設定値
IPアドレス(IPv4) IPv4のIPアドレスです IPv4のIPアドレスを1つ指定します(例:192.168.0.100)。
CIDR(IPv4) CIDR表記のサブネットです CIDR表記のサブネットを1つ指定します(例:192.168.0.0/24)。プレフィックス長が32の場合は IPアドレス(IPv4)を利用してください。
IPアドレス(IPv6) IPv6のIPアドレスです IPv6のIPアドレスを1つ指定します(例:2001:db8:20:3:1000:100:20:2)。
CIDR(IPv6) CIDR表記のサブネットです CIDR表記のサブネットを1つ指定します(例:2001:0DB8:0:CD30::/60)。プレフィックス長が128の場合は IPアドレス(IPv6)を利用してください。
グループ ファイアウォールグループです 同一ゾーンに所属するファイアウォールグループを1つ指定します。

接続元/接続先種別名でグループを指定した場合の動作

接続元/接続先種別名でグループを指定した場合、グループに所属しているサーバーのIPに対しての接続を許可するような動作をします。

注意点

グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。 VMware Toolsが動作していない場合、サーバーのIPを認識できず、通信を正常に許可できない場合があります。
VMware Toolsのバージョンについては、以下のページからご確認ください。
参考: VMware Toolsバージョンアップのご案内について

フィルタの動作仕様

ニフクラのファイアウォールはLayer4レベルで解析し、ステートフルに動作いたします。 INルールを通過した通信の戻りの通信は自動的に許可されます。 戻りの通信を許可するためにOUTルールを定義する必要はございません。 原則として、TCP(RFC793)またはUDP(RFC768)の仕様に即したフィルタリングを行います。

TCPに対する動作について

ファイアウォールルールで定義されている送信元/送信先、またはプロトコルでもファイアウォールの持つTCPの状態とパケットのTCPフラグの整合性が無い場合は、通信を拒否いたします。 TCPの状態は、サーバーのネットワークインターフェースごとに管理しています。

ハーフオープン発生時の挙動について

サーバーの異常による再起動などでコネクションを確立している片側のサーバーのコネクションがリセットされてしまった場合、以下の動作をします。

  • ESTABLISHED状態のときにSYNを受信するとTCP状態の不一致を検知しファイアウォールが送信元へACKを返却します。このACKを受信すると送信元はRSTを送出しコネクションをリセットすることができます。
    ※一部の環境ではTCP状態の不一致で拒否します。 ESTABLISHED状態はタイムアウトすることにより、ハーフオープンを復旧することができます。
  • SYNSENT状態時にACKを受信するとTCP状態の不一致を検知しファイアウォールが送信元へRSTを返却します。このRSTを受信する事により送信元のコネクションをリセットすることができます。
  • ESTABLISHED状態時にSYNを送信するとTCP状態の不一致を検知し、ファイアウォールが送信元へACKを返却します。このACKを受信すると、送信元はRSTを送出し、コネクションをリセットすることができます。
ハーフクローズ発生時の挙動について

TCPコネクションの片側がクローズしている状態の場合には、以下の動作をします。NAT配下でポートの再利用が想定よりも早い場合などが該当します。

  • CLOSE_WAIT状態時にSYNを受信すると、TCP状態の不一致で拒否します。CLOSE_WAIT状態はタイムアウトすることにより、ハーフクローズを復旧することができます。
非対称な通信に対する挙動について

ニフクラ上で往路(行き)と復路(戻り)で異なる経路を通過する通信を行った場合、ファイアウォールは正しく状態を更新できません。
そのような通信については、動作を保証することはできません。以下に該当する構成例を示します。

非対称通信の構成例

  • 往路と復路で経由するルーターが異なる構成(図左)
    • 同じプライベートLAN上にニフクラで作成したルーターと他のゲートウェイが存在する場合、他のゲートウェイから先にあるネットワーク宛の通信をニフクラのルーターに送信すると、ルートテーブル設定によっては他方のゲートウェイに転送して往路の通信を成立させることが可能ですが、復路においてニフクラのルーターを経由しないため、このルーターを保護するニフクラファイアウォールが正常に動作しません。
    • サーバーが全ての通信をニフクラのルーターに送信するのではなく、他のゲートウェイから先にあるネットワークへの通信は最初からそちらのゲートウェイに転送するようサーバーのルーティングの設定を見直すことで問題を回避できます。
  • Direct Server Return(図中央)
    • ニフクラに作成したサーバーをロードバランサーとして利用し、その際にDirect Server Return(DSR)を採用すると、このサーバーを保護するニフクラファイアウォールを往路の通信しか通過しないため、正常に動作しません。
    • DSRではなくサーバーでSNATすることで問題を回避できます。
  • パケットを受信したインターフェースとは別のインターフェースから戻り通信を送信する構成(図右)
    • ニフクラに作成したサーバーが、リクエストを受け付けたインターフェイスとは異なるインターフェイスからレスポンスを送信した場合、このサーバーを保護するニフクラファイアウォールが正常に動作しません。
    • 経路上にニフクラで作成したルーターが含まれる場合、このルーターについて往路で利用するインターフェイスと復路で利用するインターフェイスが異なれば、同様にこのルーターを保護するニフクラファイアウォールが正常に動作しません。
コネクションのタイムアウトについて

コネクションは無通信状態が続くとタイムアウトいたします。 タイムアウト値はファイアウォール上のTCP状態によって、異なります。 TCP状態に応じたタイムアウト値は以下となります。

TCP状態 タイムアウト値 内容
first_packet 2分 最初のパケットが送信された後の、接続のタイムアウト値です。
opening 30秒 2番目のパケットが転送された後の、接続のタイムアウト値です。
established 12時間 接続が完全に確立された後の、接続のタイムアウト値です。
closing 2分(一部環境では15分) 最初のFINが送信された後の、接続のタイムアウト値です。
fin_wait 45秒 両方のFINが交換され、接続が閉じられた後の、接続のタイムアウト値です。
closed 20秒 1つのエンドポイントがRSTを送信した後の、接続のタイムアウト値です。
ALGとして動作するプロトコルについて

以下のポート/プロトコルを指定した場合、特定のプロトコルであると判断します。 その場合、ネットワークプロトコルを解釈し制御を行います。

プロトコル名 ポート/プロトコル
FTP 21/tcp
SUN RPC 111/tcp
SUN RPC 111/udp
MS RPC 135/tcp
MS RPC 135/udp

※例えば、21/tcpを指定することにより、FTPのコントロールコネクション確立後にデータコネクションが自動的に許可されます。

ルールの適用順序について

パケットは、デフォルトルール → お客様に定義いただいたルール → ファイアウォールグループのデフォルトルールの順番で適用されます。

ファイアウォール ルール適用順序

ルールの適用順序について イメージ

  • ※本ページ記載の金額は、すべて税抜表示です。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2020年11月25日時点の情報です。

推奨画面サイズ 1024×768 以上