ファイアウォール テーブルの概要
ファイアウォール テーブルには、プライベート クラウドのリソースとの間のネットワーク トラフィックをフィルター処理するためのルールが一覧表示されます。 ファイアウォール テーブルを VLAN/サブネットに適用できます。 このルールによって、ソース ネットワークまたは IP アドレスと、ターゲット ネットワークまたは IP アドレスとの間のネットワーク トラフィックが制御されます。
ファイアウォール規則
次の表では、ファイアーウォール ルールにおけるパラメーターについて説明します。
| プロパティ | 詳細 |
|---|---|
| Name | ファイアウォール ルールとその目的を一意に識別する名前。 |
| 優先順位 | 100 ~ 4096 の間の数。優先順位最大が 100。 規則は、優先度に従って処理されます。 トラフィックがルールと一致すると、ルールにより処理が停止されます。 この結果、優先順位が高いルールと同じ属性を持つ優先順位が低いルールは処理されません。 ルールは競合しないようにしてください。 |
| 状態の追跡 | 追跡は、ステートレス (プライベート クラウド、インターネット、または VPN) またはステートフル (パブリック IP) になることができます。 |
| プロトコル | オプションには、Any、TCP または UDP が含まれます。 ICMP が必要な場合は、Anyを使用します。 |
| 方向 | 規則が受信トラフィックまたは送信トラフィックに適用されるかどうか。 |
| 操作 | ルールで定義されているトラフィックの種類を許可または拒否します。 |
| ソース | IP アドレス、クラスレス ドメイン間ルーティング (CIDR) ブロック (10.0.0.0/24 など)、またはAny。 範囲、サービス タグ、またはアプリケーション セキュリティ グループを指定すると、作成するセキュリティ規則の数を減らせます。 |
| ソース ポート | ネットワーク トラフィックの発信元となる ポート。 443 または 8000~8080 など、個別のポートまたはポートの範囲を指定できます。 範囲を指定すると、作成するセキュリティ規則の数を減らすことができます。 |
| 宛先 | IP アドレス、クラスレス ドメイン間ルーティング (CIDR) ブロック (10.0.0.0/24 など)、またはAny。 範囲、サービス タグ、またはアプリケーション セキュリティ グループを指定すると、作成するセキュリティ規則の数を減らせます。 |
| 宛先ポート | ネットワーク トラフィックがフローするポート。 443 または 8000~8080 など、個別のポートまたはポートの範囲を指定できます。 範囲を指定すると、作成するセキュリティ規則の数を減らすことができます。 |
ステートレス
ステートレスのルールでは、個々 のパケットのみを探し、それらのルールに基づいてフィルター処理します。
逆方向のトラフィックのフローにはルールを追加する必要があるかもしれません。 次のポイント間でトラフィックのステートレス ルールを使用します。
- プライベート クラウドのサブネット
- オンプレミス サブネットとプライベート クラウドのサブネット
- プライベート クラウドからのインターネット トラフィック
ステートフル
ステートフル ルールは、通過する接続の認識です。 既存の接続に対するフロー レコードが作成されます。 そのフロー レコードの接続の状態に基づいて、通信が許可または拒否されます。 パブリック IP アドレスにこのタイプのルールを使用し、インターネットからのトラフィックをフィルタ処理します。
既定のルール
すべてのファイアウォール テーブルに、次の既定のルールが作成されます。
| Priority | Name | 状態の追跡 | Direction | トラフィックのタイプ | Protocol | source | 発信元ポート | 宛先 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet (インターネットへの発信をすべて許可) | ステートフル | 送信 | パブリック IP またはインターネットのトラフィック | All | Any | Any | Any | Any | Allow |
| 65001 | deny-all-from-internet (インターネットからの受信はすべて拒否) | ステートフル | 受信 | パブリック IP またはインターネットのトラフィック | All | Any | Any | Any | Any | 拒否 |
| 65002 | allow-all-to-intranet (イントラネットへの発信をすべて許可) | ステートレス | 送信 | プライベート クラウド内部または VPN トラフィック | All | Any | Any | Any | Any | Allow |
| 65003 | allow-all-from-intranet (イントラネットからの受信をすべて許可) | ステートレス | 受信 | プライベート クラウド内部または VPN トラフィック | All | Any | Any | Any | Any | Allow |