ファイアウォール テーブル

ファイアウォール テーブルには、プライベート クラウド リソースとの間のネットワーク トラフィックをフィルタするためのルールが記載されています。ファイアウォール テーブルを VLAN / サブネットに適用できます。ルールは、送信元ネットワークまたは IP アドレスと宛先ネットワークまたは IP アドレスとの間のネットワーク トラフィックを制御します。

ファイアウォール ルール

次の表に、ファイアウォール ルールのパラメータを示します。

特性 詳細
名前 ファイアウォール ルールとその目的を一意に識別する名前。
優先度 100 から 4,096 までの数値(100 が最も高い優先度)。ルールは優先度の高い順に処理されます。トラフィックがルールに一致すると、ルールの処理が停止します。そのため、優先度の高いルールと同じ属性を持つ優先度の低いルールは、処理されません。競合するルールを避けるために、注意が必要です。
状態のトラッキング トラッキングには、ステートレス(プライベート クラウド、インターネット、VPN)またはステートフル(パブリック IP)があります。
プロトコル オプションには、Any、TCP、UDP があります。ICMP が必要な場合は、Any を使用します。
方向 ルールが受信トラフィックと送信トラフィックのどちらに適用されるか。
操作 ルールで定義された種類のトラフィックを許可または拒否します。
ソース IP アドレス、クラスレス ドメイン間ルーティング(CIDR)ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、アプリケーション セキュリティ グループを指定すると、作成するセキュリティ ルールの数を減らすことができます。
送信元ポート ネットワーク トラフィックの発生元のポート。個別のポートまたはポート範囲(例: 443 または 8000-8080)を指定できます。範囲を指定すると、セキュリティ ルールが少なくなります。
発信先 IP アドレス、CIDR ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、アプリケーション セキュリティ グループを指定すると、作成するセキュリティ ルールの数を減らすことができます。
宛先ポート ネットワークトラフィックが送信されるポート。個別のポートまたはポート範囲(例: 443 または 8000-8080)を指定できます。範囲を指定すると、セキュリティ ルールが少なくなります。

ステートレス

ステートレス ルールは個々のパケットのみを調べ、ルールに基づいてそれらをフィルタリングします。

逆方向のトラフィック フローには追加のルールが必要です。次のポイント間のトラフィックにはステートレス ルールを使用します。

  • プライベート クラウドのサブネット
  • オンプレミス サブネットとプライベート クラウド サブネット
  • プライベート クラウドからのインターネット トラフィック

ステートフル

ステートフル ルールは、それを通過する接続を追跡します。ステートフル ルールによって、既存の接続のフローレコードが作成されます。フローレコードの接続状態に基づいて、通信が許可または拒否されます。インターネットからのトラフィックをフィルタするには、このルールタイプをパブリック IP アドレスに使用します。

デフォルトのルール

すべてのファイアウォール テーブルに次のデフォルト ルールがあります。

優先度 名前 状態のトラッキング 方向 トラフィックの種類 プロトコル ソース 送信元ポート 発信先 宛先ポート 操作
65000 allow-all-to-internet ステートフル 送信 パブリック IP またはインターネット トラフィック すべて 任意 任意 任意 任意 許可
65001 deny-all-from-internet ステートフル 受信 パブリック IP またはインターネット トラフィック すべて 任意 任意 任意 任意 拒否
65002 allow-all-to-intranet ステートレス 送信 Private Cloud 内部または VPN トラフィック すべて 任意 任意 任意 任意 許可
65003 allow-all-from-intranet ステートレス 受信 Private Cloud 内部または VPN トラフィック すべて 任意 任意 任意 任意 許可

次のステップ