ファイアウォール テーブルには、プライベート クラウド リソースとの間のネットワーク トラフィックをフィルタするためのルールが記載されています。ファイアウォール テーブルを VLAN / サブネットに適用できます。ルールは、送信元ネットワークまたは IP アドレスと宛先ネットワークまたは IP アドレスとの間のネットワーク トラフィックを制御します。
ファイアウォール ルール
次の表は、ファイアウォール ルールのパラメータを説明したものです。
| パラメータ | 詳細 |
|---|---|
| Name | ファイアウォール ルールとその目的を一意に識別する名前。 |
| 優先度 | 100 から 4,096 までの数値(100 が最も高い優先度)。ルールは優先度の高い順に処理されます。トラフィックがルールの競合に遭遇すると、ルールの処理が停止します。その結果、優先度の高いルールと同じ属性を持つ優先度の低いルールは処理されなくなります。ルールの競合を避けるために注意が必要です。 |
| 状態のトラッキング | トラッキングには、ステートレス(プライベート クラウド、インターネット、VPN)またはステートフル(パブリック IP)があります。 |
| プロトコル | Any、TCP、または UDP 選択できます。ICMP が必要な場合は、Any を使用します。 |
| 方向 | ルールが受信トラフィックと送信トラフィックのどちらに適用されるかを指定します。 |
| 操作 | ルールで定義されたトラフィックの種類を許可または拒否します。 |
| 送信元 | IP アドレス、クラスレス ドメイン間ルーティング(CIDR)ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、アプリケーション セキュリティ グループを指定すると、作成するセキュリティ ルールの数を減らすことができます。 |
| 送信元ポート | ネットワーク トラフィックの発生元のポート。個別のポートまたはポート範囲(例: 443 または 8000-8080)を指定できます。範囲を指定すると、作成するセキュリティ ルールを減らすことができます。 |
| 宛先 | IP アドレス、CIDR ブロック(10.0.0.0/24 など)、または Any。範囲、サービスタグ、アプリケーション セキュリティ グループを指定すると、作成するセキュリティ ルールの数を減らすことができます。 |
| 宛先ポート | ネットワーク トラフィックが流れるポート。個別のポートまたはポート範囲(例: 443 または 8000-8080)を指定できます。範囲を指定すると、作成するセキュリティ ルールを減らすことができます。 |
ステートレス ルール
ステートレス ルールは個々のパケットのみを対象とし、ルールに基づいてパケットをフィルタリングします。次のようなポイント間のトラフィックには、ステートレス ルールを使用します。
- プライベート クラウドのサブネット
- オンプレミス サブネットとプライベート クラウド サブネット
- プライベート クラウドからのインターネット トラフィック
ステートフル ルール
ステートフル ルールは、通過する接続を追跡します。ステートフル ルールにより、既存の接続のフローレコードが作成されます。通信は、フローレコードの接続状態に基づいて許可または拒否されます。インターネットからのトラフィックをフィルタリングするには、このルールタイプをパブリック IP アドレスに使用します。
デフォルト ルール
すべてのファイアウォール テーブルには、次の表で説明するデフォルトのルールがあります。
| 優先値 | 名前 | 状態のトラッキング | 送信 / 受信 | トラフィックの種類 | プロトコル | ソース | 送信元ポート | 送信先 | 宛先ポート | 内容 |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | ステートフル | 送信 | パブリック IP またはインターネット トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65001 | deny-all-from-internet | ステートフル | 受信 | パブリック IP またはインターネット トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 拒否 |
| 65002 | allow-all-to-intranet | ステートレス | 送信 | Private Cloud 内部または VPN トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 許可 |
| 65003 | allow-all-from-intranet | ステートレス | 受信 | Private Cloud 内部または VPN トラフィック | すべて | 任意 | 任意 | 任意 | 任意 | 許可 |