ファイアウォール テーブル
ファイアウォール テーブルには、プライベート クラウド リソースが送信元または宛先になるネットワーク トラフィックをフィルタするためのルールが記載されています。ファイアウォール ルールは、送信元のネットワークまたは IP アドレスと宛先のネットワークまたは IP アドレスの間のネットワーク トラフィックを制御します。
ファイアウォール テーブルとファイアウォール ルールを設定したら、そのテーブルをサブネットに接続して、対応するルールを適用できます。ファイアウォール テーブルは複数のサブネットに適用できますが、サブネットは 1 つのファイアウォール テーブルのみに関連付けることができます。
ファイアウォール テーブルは、外部 IP アドレスへのアクセスを制御するために使用されます。その他のアクセス制御はすべて、NSX-T Data Center のファイアウォール設定で管理します。詳しくは、Manager モードのファイアウォールをご覧ください。
ファイアウォール テーブルの作成
- Google Cloud VMware Engine ポータルにアクセスします。
- [Network] > [Firewall tables] の順に移動します。
- [Create new firewall table] をクリックします。
- テーブルの名前を入力します。
- 必要に応じてファイアウォール ルールを追加します。各ファイアウォール テーブルには、デフォルトのファイアウォール ルールのセットが含まれています。
- [Done] をクリックして、ファイアウォール テーブルを保存します。
サブネットへのファイアウォール テーブルの接続
ファイアウォール テーブルを定義したら、テーブル内のルールの対象となるサブネットを指定できます。
- [Network] > [Firewall Tables] ページで、ファイアウォール テーブルを選択します。
- [Attached subnets] タブを選択します。
- [Attach to a subnet] をクリックします。
- ファイアウォール テーブルを接続するプライベート クラウドを選択します。
- プライベート クラウドの NsxtEdgeUplink1 サブネットを選択します。
- [Submit] をクリックします。
- 該当するプライベート クラウドの NsxtEdgeUplink2 サブネットに、上の手順を繰り返します。
ファイアウォール ルール
ファイアウォール ルールでは、ファイアウォールで特定のタイプのトラフィックを処理する方法を指定します。選択したファイアウォール テーブルの [Rules] タブに、関連するすべてのルールが一覧表示されます。
ファイアウォール ルールを作成する手順は次のとおりです。
- [Network] > [Firewall tables] の順に移動します。
- ファイアウォール テーブルを選択します。
- [Create new rule] をクリックします。
- 必要なファイアウォール ルールのプロパティを設定します。
- [Done] をクリックしてルールを保存し、ファイアウォール テーブルのルールのリストに追加します。
ステートフル ルール
ステートフル ファイアウォール ルールは、通過する接続を追跡します。ステートフル ルールにより、既存の接続のフローレコードが作成されます。通信は、フローレコードの接続状態に基づいて許可または拒否されます。インターネットからのトラフィックをフィルタリングするには、このルールタイプをパブリック IP アドレスに使用します。
デフォルトのファイアウォール ルール
各ファイアウォール テーブルには、次のデフォルトのファイアウォール ルールがあります。
| 優先度 | 名前 | 方向 | トラフィックの種類 | プロトコル | 送信元 | 送信元ポート | 宛先 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-tcp-to-internet | 送信 | パブリック IP またはインターネット トラフィック | TCP | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65001 | allow-udp-to-internet | 送信 | パブリック IP またはインターネット トラフィック | UDP | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65002 | allow-icmp-to-internet | 送信 | パブリック IP またはインターネット トラフィック | ICMP | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65100 | deny-all-from-internet | 受信 | パブリック IP またはインターネット トラフィック | すべてのプロトコル | 任意 | 任意 | 任意 | 任意 | 拒否 |
| 65101 | allow-all-to-intranet | 送信 | Private Cloud 内部または VPN トラフィック | すべてのプロトコル | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65102 | allow-all-from-intranet | 受信 | Private Cloud 内部または VPN トラフィック | すべてのプロトコル | 任意 | 任意 | 任意 | 任意 | 許可 |
ファイアウォール ルールのプロパティ
次の表は、ファイアウォール ルールのプロパティを説明したものです。
| プロパティ | 説明 |
|---|---|
| 名前 | ファイアウォール ルールとその目的を一意に識別する名前。 |
| 優先度 | 100 から 4,096 までの数値(100 が最も高い優先度)。ルールは優先度の高い順に処理されます。トラフィックがルールと一致すると、ルールの処理が停止します。優先度の高いルールと同じ属性を持つ優先度の低いルールは処理されなくなります。注意してルールの競合を回避してください。 |
| プロトコル | ルールによってカバーされるインターネット プロトコル。 |
| 方向 | ルールが受信トラフィックと送信トラフィックのどちらに適用されるか。受信トラフィックと送信トラフィックに対して別々のルールを定義する必要があります。 |
| アクション | ルールで定義されたトラフィックの種類を許可または拒否します。 |
| 送信元 | IP アドレス、クラスレス ドメイン間ルーティング(CIDR)ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、またはアプリケーションのセキュリティ グループを指定すると、作成するセキュリティ ルールの数を削減できます。 |
| 送信元ポートの範囲 | ネットワーク トラフィックの発生元のポート。個別のポートまたはポート範囲(例: 443 または 8000~8080)を指定できます。範囲を指定すると、作成するセキュリティ ルールの数を削減できます。 |
| 宛先 | IP アドレス、CIDR ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、またはアプリケーションのセキュリティ グループを指定すると、作成するセキュリティ ルールの数を削減できます。 |
| 宛先ポートの範囲 | ネットワーク トラフィックが流れるポート。個別のポートまたはポート範囲(例: 443 または 8000~8080)を指定できます。範囲を指定すると、作成するセキュリティ ルールの数を削減できます。 |