Network Firewallを作成するための手順と作成後のコンソールの使用方法を説明します。
Network Firewallを使うためには、まず、Network Firewallサービスを有効化します。
Network Firewallの作成に必要な最小ネットワークサービスリソースは次のとおりです。
[参考] Network Firewall > 概要のNetwork Firewallサービス構成図を参照してください。
[1つのプロジェクトを構成する際の準備事項]
[1つのプロジェクト内に2つのSpoke VPCを構成する場合の準備事項]
[1つ以上のプロジェクトを構成する際の準備事項]
[他のリージョン間プロジェクトを構成する際の準備事項]
[単一VPC内の複数のサブネットを構成する際の準備事項]
[参考] * 上記のサービスリソースは[Network]カテゴリーで作成可能です。 * Network Firewallは、プロジェクトごとに1つずつしか作成できません。
[作成前の参考事項] * 作成されたNetwork Firewallはユーザーのプロジェクトに表示されません。 * サブネット、 NAT、外部転送に使用するサブネットはすべて別のサブネットを選択する必要があります。 * なるべくNHN Cloudコンソールで作成できる最小単位(28ビット)で作成することを推奨します。 * Network Firewallが属するVPCのルーティングテーブルにインターネットゲートウェイが接続されている必要があります。 * Security Groupsとは別のサービスなので、Network Firewallを使用すると、両方のサービスを許可しなければインスタンスにアクセスすることができません。 * Network Firewallが所有しているCIDR帯域と接続が必要なCIDR帯域は重複してはいけません。 * Network > Network InterfaceにてVirtual_IPタイプで作成されているIPはNetwork Firewallにて冗長化用途で使用中のため、削除すると通信が遮断される可能性があります。 * 単一または冗長構成を選択してNetwork Firewallを作成した後、変更が必要な場合、オプション タブで構成を変更できます。ただし、アベイラビリティゾーンは変更ができないため、冗長構成の場合、アベイラビリティゾーンを分離して構成してください。
[例] Network Firewallが使用するVPC(Hub)は10.0.0.0/24で、Network Firewallと接続が必要なVPC(Spoke)は172.16.0.0/24の場合 1. Network > Routing に移動し、Spoke VPCを選択した後、ルーティングテーブルを変更します。 * Spoke VPCを選択した後、ルーティングテーブルの変更をクリックして中央集中型ルーティング(CVR)方式に変更します。
Network > Peering Gateway に移動してピアリングを作成します。
Network > Routing に移動してHub VPCを選択した後、下記のルーティングを設定します。
Network > Routing に移動してSpoke VPCを選択した後、下記のルーティングを設定します。
Network > Peering Gateway に移動してルーティングを設定します。
上記のルーティング設定が完了すると、Spoke VPCにあるインスタンスがNetwork Firewallを経由して公認通信をすることができます。 (Network Firewall > NAT タブでNATを追加する必要があります)
Spoke VPCのサブネットが2つ以上あり、Network Firewallを介してサブネット間のトラフィック制御が必要な場合、以下のルーティングを追加します。
[例] Spoke VPC(172.16.0.0/24)のサブネットが172.16.0.0/25と172.16.0.128/25の場合
Spoke VPCが2つ以上ある場合は、以下のルーティングを追加します。
[例] Spoke VPC1(172.16.0.0/24)とSpoke VPC2(192.168.0.0/24)の場合 * Network > Routing に移動してHub VPCを選択した後、下記の2つのルーティングを追加します。 * Spoke VPC 1 * 対象CIDR: 172.16.0.0/24 * ゲートウェイ: Hub VPCとSpoke VPC1の間に追加されたピアリングタイプのゲートウェイ * Spoke VPC 2 * 対象CIDR: 192.168.0.0/24 * ゲートウェイ: Hub VPCとSpokr VPC2の間に追加されたピアリングタイプのゲートウェイ
[参考] 接続設定の5のようにSpoke VPC2-Hub間のVPCピアリングにもルートの追加設定が必要です。 上記のルーティング設定が完了すると、異なるSpoke VPC間のNetwork Firewallを経由してプライベート通信を行うことができます。 (Network Firewall > ポリシータブでポリシーの追加が必要) Network Firewallサービス構成図を参考にして、お客様の環境に合わせて接続を設定してください。
Network Firewallを作成し、接続設定を全て完了した後、Network Firewallを経由してインスタンスに接続できます。
例えば、1つのプロジェクト内の2つのSpoke VPCで3つのサブネットを構成し、外部からWebファイアウォール接続が必要な場合、下記のようにNAT、ACLを設定します。
[設定方法] * Network Firewall > NAT タブに移動 * 追加ボタンをクリックし、NATを設定 * 設定前にオブジェクトタブで目的地IPオブジェクトを作成し、余分なFloating IPが必要 * Network Firewall > ポリシー > ACL タブで必要なACLを許可
上記のように設定後、送信元IPをセキュリティグループで許可すると、インスタンスに接続可能です。
Network Firewallを作成すると、ポリシータブに移動します。
[参考]
- default-denyは必須ポリシーであり、修正または削除できません。
- default-denyポリシーでブロックされたログは、オプションタブの基本ブロックポリシーログ設定を使用に変更した後、ログタブで確認できます。
ACLタブでは、Network Firewallと接続されたVPC間のトラフィックとインバウンド/アウトバウンドトラフィックを制御できます。
[注意] 一度削除したポリシーは復元することができず、 default-denyポリシーは削除できません。
ルートタブでは、Network Firewallを経由する通信の経路を指定できます。
[参考] * Network FirewallのデフォルトゲートウェイはNATイーサネットであり、修正または削除できません。 * ルートの設定が変更された場合、通信に問題が発生する可能性があるため、注意して設定してください。
[参考] * イーサネットをVPNとして選択した場合、ゲートウェイは指定する必要はありません。 * IPSec VPNと連動したプライベートIP帯域に対するルート設定は、必ずイーサネットをVPNとして設定してください。 * 目的地サブネットを入力する際、以下のような有効性メッセージが表示される場合は、サブネット範囲を事前に確認し、サブネットの開始IPで入力してください。 * [例] * 192.168.199.0/21 (X) → 192.168.192.0/21 (O) * 172.16.100.0/20 (X) → 172.16.96.0/20 (O) * 10.10.10.130/25 (X) → 10.10.10.128/25 (O)
オブジェクトタブでは、ポリシーを作成する時に使用するIP、ポートを作成して管理します。
[参考] グループオブジェクトを作成する場合、グループオブジェクトは追加できません(単一または範囲オブジェクトのみ選択して追加可能)。
削除をクリックしてオブジェクトを削除できます。
[注意] ポリシーで使用中のオブジェクトは削除後、ALLオブジェクトに変更されます。
[参考] * インスタンスに関係なく、単にインスタンスの名前とプライベートIPアドレスだけを参考にしてオブジェクトを作成します。作成したオブジェクトはオブジェクトタブで管理します。
NAT(ネットワークアドレス変換)タブでは、外部から接続するインスタンスと専用に使用するグローバルIPを選択して接続します。
[参考] * NATは目的地ベースおよび1:1方式のみ提供します。 * ポートベースのNATは提供しません。 * NATを作成した後、ポリシータブに許可ポリシーを追加すると公認通信が可能です。 * NAT削除後、使用しないNAT前のグローバルIPはNetwork - Floatingで直接削除してください。
[参考] インスタンスへの接続は、NATを追加しながら設定したNAT前のグローバルIPで行うことができます。 (インスタンスに直接Floating IPを接続する必要はありません)
VPNタブでは、サイト間の暗号化されたトンネルを通じて安全なプライベート通信をサポートします。
[参考] * VPCとサブネットは修正できません。 * ゲートウェイは最大10個まで作成可能です。
[設定時の注意事項] * 全ての設定はピアVPN機器と同じように設定します。 * ローカルIDはピアVPN機器の設定方式によって選択的に設定します。 * Phase 2の追加は最大3つまで可能です。 * ローカルプライベートIPとピアプライベートIPは互いに重複しないようにしてください。 この範囲には、VPCピアリングを含むNetwork Firewallと接続するすべてのプライベート帯域が含まれます。 下記のCIDRは、ローカルプライベートIPとピアプライベートIPに追加することができず、追加する場合、Network Firewallを経由する通信に問題がある可能性があります。 * 10.0.0.0/8 * 172.16.0.0/12 * 192.168.0.0/16
[参考] * 状態列で色別にトンネルの状態を確認できます。 * 緑:ピアVPN機器と正常に接続している状態です。 * 赤:設定値または通信状態などの問題でピアVPN機器間の接続に失敗した状態。 * 灰色: 接続待機状態(新しく作成されたトンネル) * トンネル作成が完了した後、ピア機器の種類と設定により、接続をクリックしなくても接続できる場合があります。
[参考] * イベントでは、トンネルに関するイベントログのみを検索できます。 * VPN トンネルを介した通信ログまたはトンネル作成と削除などの監査ログは、ログタブでご確認ください。
ログタブでは、Network Firewallで作成されたログを検索できます。
トラフィック: Network Firewallを経由する際に、許可またはブロックポリシーによって作成されたトラフィックログを検索します。
Audit:ポリシーの作成および削除など、Network Firewallの変更事項に関するログを検索
モニタータブではNetwork Firewallの状態をリアルタイムで確認できます。 検索は最大24時間(1日)以内でのみ可能です。
オプションタブではNetwork Firewall運営に必要なオプションを設定できます。
[参考] トラフィック、 NATイーサネットの基本MTUサイズは1450Byteです。
[参考] * 構成方法を変更する場合、数分程度の時間がかかり、設定変更が完了するまでサービスに影響を及ぼす可能性があります。 * ポリシー、NATなどNetwork Firewallの変更作業は、構成方法の変更が完了した後に行うことを推奨します。 * Network Firewallの削除:運用中のNetwork Firewallを削除できます。 * Network Firewallは韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョンでそれぞれ削除できます。
[削除時の注意事項] * 運営中のNetwork Firewallを削除する場合、Network Firewallと接続されている他のサービスを考慮して実行してください。
プロジェクト管理 > 利用中中のサービスでNetwork Firewallサービスを無効にできます。
[参考] * Network Firewallサービスの無効化は、韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョンの両方に適用されます。 例えば、Network Firewallサービスを同じプロジェクトの韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョンの両方で有効にした場合、2つのリージョンのうち1つのNetwork Firewallサービスだけを無効にすることはできません。 * 無効化するには、韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョでそれぞれNetwork Firewallを削除してください。