Network Firewallを作成するための手順と作成後のコンソールの使用方法を説明します。
Network Firewallを使うためには、まず、Network Firewallサービスを有効化します。
Network Firewallの作成に必要な最小ネットワークサービスリソースは次のとおりです。
[参考] Network Firewall > 概要のNetwork Firewallサービス構成図を参照してください。
[1つのプロジェクトを構成する際の準備事項]
[1つのプロジェクト内に2つのSpoke VPCを構成する場合の準備事項]
[1つ以上のプロジェクトを構成する際の準備事項]
[他のリージョン間プロジェクトを構成する際の準備事項]
[単一VPC内の複数のサブネットを構成する際の準備事項]
[参考] * 上記のサービスリソースは[Network]カテゴリーで作成可能です。
- Network Firewallは、プロジェクトごとに1つずつしか作成できません。
[参考]
- 作成されたNetwork Firewallはユーザーのプロジェクトに表示されません。
- サブネット、 NAT、外部転送に使用するサブネットはすべて別のサブネットを選択する必要があります。
- なるべくNHN Cloudコンソールで作成できる最小単位(28ビット)で作成することを推奨します。
- Network Firewallが属するVPCのルーティングテーブルにインターネットゲートウェイが接続されている必要があります。
- Network Firewallサービスは、利用可能領域を分離して冗長化を基本的に提供します。
- Security Groupsとは別のサービスなので、Network Firewallを使用すると、両方のサービスを許可しなければインスタンスにアクセスすることができません。
- Network Firewallが所有しているCIDR帯域と接続が必要なCIDR帯域は重複してはいけません。
- Network > Network InterfaceにてVirtual_IPタイプで作成されているIPはNetwork Firewallにて冗長化用途で使用中のため、削除すると通信が遮断される可能性があります。
[例] Network Firewallが使用するVPC(Hub)は10.0.0.0/24で、Network Firewallと接続が必要なVPC(Spoke)は172.16.0.0/24の場合 1. Network > Routing に移動し、Spoke VPCを選択した後、ルーティングテーブルを変更します。 * Spoke VPCを選択した後、ルーティングテーブルの変更をクリックして中央集中型ルーティング(CVR)方式に変更します。
Network > Peering Gateway に移動してピアリングを作成します。
Network > Routing に移動してHub VPCを選択した後、下記のルーティングを設定します。
Network > Routing に移動してSpoke VPCを選択した後、下記のルーティングを設定します。
Network > Peering Gateway に移動してルーティングを設定します。
上記のルーティング設定が完了すると、Spoke VPCにあるインスタンスがNetwork Firewallを経由して公認通信をすることができます。 (Network Firewall > NAT タブでNATを追加する必要があります)
Spoke VPCのサブネットが2つ以上あり、Network Firewallを介してサブネット間のトラフィック制御が必要な場合、以下のルーティングを追加します。
[例] Spoke VPC(172.16.0.0/24)のサブネットが172.16.0.0/25と172.16.0.128/25の場合
Spoke VPCが2つ以上ある場合は、以下のルーティングを追加します。
[例] Spoke VPC1(172.16.0.0/24)とSpoke VPC2(192.168.0.0/24)の場合 * Network > Routing に移動してHub VPCを選択した後、下記の2つのルーティングを追加します。 * Spoke VPC 1 * 対象CIDR: 172.16.0.0/24 * ゲートウェイ: Hub VPCとSpoke VPC1の間に追加されたピアリングタイプのゲートウェイ * Spoke VPC 2 * 対象CIDR: 192.168.0.0/24 * ゲートウェイ: Hub VPCとSpokr VPC2の間に追加されたピアリングタイプのゲートウェイ
[参考] 接続設定の5のようにSpoke VPC2-Hub間のVPCピアリングにもルートの追加設定が必要です。 上記のルーティング設定が完了すると、異なるSpoke VPC間のNetwork Firewallを経由してプライベート通信を行うことができます。 (Network Firewall > ポリシータブでポリシーの追加が必要) Network Firewallサービス構成図を参考にして、お客様の環境に合わせて接続を設定してください。
Network Firewallの作成と接続設定が完了すると、Network Firewallの様々な機能を活用してアクセス制御を構成できます。
Network Firewallインスタンスを作成すると、ポリシー初期ページに移動します。
ポリシータブではNetwork Firewallインスタンスと接続されたVPC間のトラフィックとインバウンド/アウトバウンドトラフィックを制御できるポリシーを管理できます。
[参考] default-denyポリシーでブロックされたログは、オプションタブの基本ブロックポリシーログ設定を使用に変更した後、ログ**タブで確認できます。
[注意] 一度削除したポリシーは復元することができず、 default-denyポリシーは削除できません。
オブジェクトタブでは、ポリシーを作成する時に使用するIPとポートを作成して管理します。
必須項目を入力してオブジェクトを作成します。 IPとポートは下記のタイプとプロトコルを追加できます。
削除をクリックしてオブジェクトを削除できます。
[注意] ポリシーで使用中のオブジェクトは削除後、ALLオブジェクトに変更されます。
NAT(ネットワークアドレス変換)タブでは、外部から接続するインスタンスを指定して専用グローバルIPを作成します。
[参考] NATを生成した後、許可ポリシーを追加すると公認通信が可能になります。
* 選択するオブジェクトはあらかじめ作成されている必要があります。
ログタブでは、Network Firewallで作成されたログを検索できます。
トラフィック: Network Firewallを経由する際に、許可またはブロックポリシーによって作成されたトラフィックログを検索します。
Audit:ポリシーの作成および削除など、Network Firewallの変更事項に関するログを検索
モニタータブではNetwork Firewallの状態をリアルタイムで確認できます。 検索は最大24時間(1日)以内でのみ可能です。
オプションタブではNetwork Firewall運営に必要なオプションを設定できます。
[参考] トラフィック、 NATイーサネットの基本MTUサイズは1450Byteです。
プロジェクト管理 > 利用中中のサービスでNetwork Firewallサービスを無効にできます。
[無効化前の注意事項]
- Network Firewallサービスの無効化はパンギョリージョンとピョンチョンリージョンの両方に適用されます。 例えば、同じプロジェクトのパンギョリージョンとピョンチョンリージョンの両方でNetwork Firewallサービスを有効にした場合、2つのリージョンのうち1つのNetwork Firewallサービスだけを無効にすることはできません。 (機能改善予定)