ファイアウォール テーブルには、プライベート クラウド リソースが送信元または宛先になるネットワーク トラフィックをフィルタするためのルールが記載されています。ファイアウォール ルールは、送信元のネットワークまたは IP アドレスと宛先のネットワークまたは IP アドレスの間のネットワーク トラフィックを制御します。
ファイアウォール テーブルとファイアウォール ルールを設定したら、そのテーブルをサブネットに接続して、対応するルールを適用できます。ファイアウォール テーブルは複数のサブネットに適用できますが、サブネットは 1 つのファイアウォール テーブルのみに関連付けることができます。
ファイアウォール テーブルは管理サブネットにのみ適用できます。ワークロード VM を含むサブネットの場合は、代わりに NSX-T Data Center でファイアウォールの設定を管理します。詳しくは、Manager モードのファイアウォールをご覧ください。
ファイアウォール テーブルの作成
- Google Cloud VMware Engine ポータルにアクセスします。
- [Network] > [Firewall tables] の順に移動します。
- [Create new firewall table] をクリックします。
- テーブルの名前を入力します。
- 必要に応じてファイアウォール ルールを追加します。各ファイアウォール テーブルには、デフォルトのファイアウォール ルールのセットが含まれています。
- [Done] をクリックして、ファイアウォール テーブルを保存します。
サブネットへのファイアウォール テーブルの接続
ファイアウォール テーブルを定義したら、テーブル内のルールの対象となるサブネットを指定できます。
- [Network] > [Firewall Tables] ページで、ファイアウォール テーブルを選択します。
- [Attached subnets] タブを開きます。
- [Attach to a subnet] をクリックします。
- プライベート クラウドとサブネットを選択します。テーブル内にユーザーが作成したルールがパブリック IP アドレスまたはインターネットのみに適用される場合は、テーブルをシステム管理サブネットに接続します。
- [Submit] をクリックします。
ファイアウォール ルール
ファイアウォール ルールでは、ファイアウォールで特定のタイプのトラフィックを処理する方法を指定します。選択したファイアウォール テーブルの [Rules] タブに、関連するすべてのルールが一覧表示されます。
ファイアウォール ルールを作成する手順は次のとおりです。
- [Network] > [Firewall tables] の順に移動します。
- ファイアウォール テーブルを選択します。
- [Create new rule] をクリックします。
- 必要なファイアウォール ルールのプロパティを設定します。
- [Done] をクリックしてルールを保存し、ファイアウォール テーブルのルールのリストに追加します。
ステートレス ルール
ステートレス ファイアウォール ルールは個別のパケットのみを対象とし、ルールに基づいてパケットをフィルタリングします。次のようなポイント間のトラフィックには、ステートレス ルールを使用します。
- プライベート クラウドのサブネット
- オンプレミス サブネットとプライベート クラウド サブネット
- プライベート クラウドからのインターネット トラフィック
ステートフル ルール
ステートフル ファイアウォール ルールは、通過する接続を追跡します。ステートフル ルールにより、既存の接続のフローレコードが作成されます。通信は、フローレコードの接続状態に基づいて許可または拒否されます。インターネットからのトラフィックをフィルタリングするには、このルールタイプをパブリック IP アドレスに使用します。
デフォルトのファイアウォール ルール
各ファイアウォール テーブルには、次のデフォルトのファイアウォール ルールがあります。
| 優先度 | 名前 | 状態のトラッキング | 方向 | トラフィックの種類 | プロトコル | 送信元 | 送信元ポート | 宛先 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | ステートフル | 送信 | パブリック IP またはインターネット トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65001 | deny-all-from-internet | ステートフル | 受信 | パブリック IP またはインターネット トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 拒否 |
| 65002 | allow-all-to-intranet | ステートレス | 送信 | Private Cloud 内部または VPN トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65003 | allow-all-from-intranet | ステートレス | 受信 | Private Cloud 内部または VPN トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 許可 |
ファイアウォール ルールのプロパティ
次の表は、ファイアウォール ルールのプロパティを説明したものです。
| パラメータ | 詳細 |
|---|---|
| 名前 | ファイアウォール ルールとその目的を一意に識別する名前。 |
| 優先度 | 100 から 4,096 までの数値(100 が最も高い優先度)。ルールは優先度の高い順に処理されます。トラフィックがルールと一致すると、ルールの処理が停止します。優先度の高いルールと同じ属性を持つ優先度の低いルールは処理されなくなります。注意してルールの競合を回避してください。 |
| トラフィックの種類 | トラッキングには、ステートレス(プライベート クラウド、インターネット、VPN)またはステートフル(パブリック IP)があります。 |
| プロトコル | ルールが TCP または UDP プロトコルに対応しているかどうか。 |
| 方向 | ルールが受信トラフィックと送信トラフィックのどちらに適用されるか。受信トラフィックと送信トラフィックに対して別々のルールを定義する必要があります。 |
| アクション | ルールで定義されたトラフィックの種類を許可または拒否します。 |
| 送信元 | IP アドレス、クラスレス ドメイン間ルーティング(CIDR)ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、またはアプリケーションのセキュリティ グループを指定すると、作成するセキュリティ ルールの数を削減できます。 |
| 送信元ポートの範囲 | ネットワーク トラフィックの発生元のポート。個別のポートまたはポート範囲(例: 443 または 8000~8080)を指定できます。範囲を指定すると、作成するセキュリティ ルールの数を削減できます。 |
| 宛先 | IP アドレス、CIDR ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、またはアプリケーションのセキュリティ グループを指定すると、作成するセキュリティ ルールの数を削減できます。 |
| 宛先ポートの範囲 | ネットワーク トラフィックが流れるポート。個別のポートまたはポート範囲(例: 443 または 8000~8080)を指定できます。範囲を指定すると、作成するセキュリティ ルールの数を削減できます。 |