Security > Network Firewall > コンソール使用ガイド

Network Firewallを作成するための手順と作成後のコンソールの使用方法を説明します。

はじめる

Network Firewallを使うためには、まず、Network Firewallサービスを有効化します。

Network Firewallの作成

事前準備

Network Firewallの作成に必要な最小ネットワークサービスリソースは次のとおりです。

[参考] Network Firewall > 概要のNetwork Firewallサービス構成図を参照してください。

[1つのプロジェクトを構成する際の準備事項]

  • 1個のプロジェクト
  • 2個のVPC(Hub VPC, Spoke VPC)
  • Hub VPC内の3つのサブネット
    • トラフィック(内部)サブネット、 NAT(外部)サブネット、外部転送サブネット
  • Spoke VPC内の最小1つのサブネット
  • Hub VPCのRoutingに接続されたインターネットゲートウェイ

[1つのプロジェクト内に2つのSpoke VPCを構成する場合の準備事項]

  • 1つのプロジェクト
  • 3つのVPC(Hub VPC、Spoke1 VPC、Spoke2 VPC)
  • Hub VPC内の3つのサブネット
    • トラフィック(内部)サブネット、 NAT(外部)サブネット、外部転送サブネット
  • Spoke1 VPC、Spoke2 VPC内のそれぞれ最低1つのサブネット
  • Hub VPCのRoutingに接続されたインターネットゲートウェイ

[1つ以上のプロジェクトを構成する際の準備事項]

  • 2つのプロジェクト
  • 2つのVPC(それぞれプロジェクトにHub VPC、Spoke VPC)
  • Hub VPC内の3つのサブネット
    • トラフィック(内部)サブネット、 NAT(外部)サブネット、外部転送サブネット
  • Spoke VPC内の最小1つのサブネット
  • Hub VPCのRoutingに接続されたインターネットゲートウェイ

[他のリージョン間プロジェクトを構成する際の準備事項]

  • 1つのプロジェクト
  • 2個のVPC(KR1リージョンにHub VPC, KR2リージョンにSpoke VPC)
  • Hub VPC内の3つのサブネット
    • トラフィック(内部)サブネット、 NAT(外部)サブネット、外部転送サブネット
  • Spoke VPC内の最小1つのサブネット
  • Hub VPCのRoutingに接続されたインターネットゲートウェイ

[単一VPC内の複数のサブネットを構成する際の準備事項]

  • 1個のプロジェクト
  • 1個のVPC
  • 3つのHubサブネット
    • トラフィック(内部)サブネット、 NAT(外部)サブネット、外部転送サブネット
  • 最低1つのSpokeサブネット
  • VPCのRoutingに接続されたインターネットゲートウェイ

[参考] * 上記のサービスリソースは[Network]カテゴリーで作成可能です。 * Network Firewallは、プロジェクトごとに1つずつしか作成できません。

Network Firewallの作成

  1. Security > Network Firewallに移動します。
  2. 各必須項目を全て選択し、下部のNetwork Firewall作成をクリックします。
    • RBAC:インスタンスオブジェクト照会、 Network Firewallサービスの提供に必要なAPI権限を付与
    • 構成方式:単一構成と冗長構成を選択します。
    • VPC: Network Firewallで使用するVPC
    • サブネット: Network Firewallで内部トラフィック制御のために使用するサブネット
    • NAT: Network Firewallで外部トラフィック制御のために使用するサブネット
    • 外部転送: Network Firewallで成されたトラフィックとログを転送するサブネット

[作成前の参考事項] * 作成されたNetwork Firewallはユーザーのプロジェクトに表示されません。 * サブネット、 NAT、外部転送に使用するサブネットはすべて別のサブネットを選択する必要があります。 * なるべくNHN Cloudコンソールで作成できる最小単位(28ビット)で作成することを推奨します。 * Network Firewallが属するVPCのルーティングテーブルにインターネットゲートウェイが接続されている必要があります。 * Security Groupsとは別のサービスなので、Network Firewallを使用すると、両方のサービスを許可しなければインスタンスにアクセスすることができません。 * Network Firewallが所有しているCIDR帯域と接続が必要なCIDR帯域は重複してはいけません。 * Network > Network InterfaceにてVirtual_IPタイプで作成されているIPはNetwork Firewallにて冗長化用途で使用中のため、削除すると通信が遮断される可能性があります。 * 単一または冗長構成を選択してNetwork Firewallを作成した後、変更が必要な場合、オプション タブで構成を変更できます。ただし、アベイラビリティゾーンは変更ができないため、冗長構成の場合、アベイラビリティゾーンを分離して構成してください。

接続設定

[例] Network Firewallが使用するVPC(Hub)は10.0.0.0/24で、Network Firewallと接続が必要なVPC(Spoke)は172.16.0.0/24の場合 1. Network > Routing に移動し、Spoke VPCを選択した後、ルーティングテーブルを変更します。 * Spoke VPCを選択した後、ルーティングテーブルの変更をクリックして中央集中型ルーティング(CVR)方式に変更します。

  1. Network > Peering Gateway に移動してピアリングを作成します。

    • Spoke VPCが別のプロジェクトの場合、プロジェクトピアリングを作成します。
    • Spoke VPCが別のリージョンの場合、リージョンピアリングを作成します。
    • Spoke VPCが同じプロジェクトの場合、ピアリングを作成します。
      • ピアリングゲートウェイ接続の詳細については、 ユーザーガイドを参照してください。

  2. Network > Routing に移動してHub VPCを選択した後、下記のルーティングを設定します。

    • 対象CIDR: 172.16.0.0/24
    • ゲートウェイ:ピアリング接続後に追加されたピアリングタイプのゲートウェイ
  3. Network > Routing に移動してSpoke VPCを選択した後、下記のルーティングを設定します。

    • 対象CIDR: 0.0.0.0/0
    • ゲートウェイ:ピアリング接続後に追加したピアリングタイプのゲートウェイ
  4. Network > Peering Gateway に移動してルーティングを設定します。

    • 作成されたピアリングを選択してルート タブに移動します。
    • ピアまたはローカルルートの変更ボタンを押して、以下のようにルーティングを設定します。
      • 対象CIDR: 0.0.0.0/0
      • ゲートウェイ: NetworkFirewall_INF_TRAFFIC_VIP

上記のルーティング設定が完了すると、Spoke VPCにあるインスタンスがNetwork Firewallを経由して公認通信をすることができます。 (Network Firewall > NAT タブでNATを追加する必要があります)



Spoke VPCのサブネットが2つ以上あり、Network Firewallを介してサブネット間のトラフィック制御が必要な場合、以下のルーティングを追加します。

[例] Spoke VPC(172.16.0.0/24)のサブネットが172.16.0.0/25と172.16.0.128/25の場合

  • Network > Routing に移動して Spoke VPCを選択した後、下記の2つのルーティングを追加します。
    • 対象CIDR: 172.16.0.0/25と172.16.0.128/25
    • ゲートウェイ:ピアリング接続後に追加されたピアリングタイプのゲートウェイ
      上記のルーティング設定が完了したら、Spoke VPC内にあるサブネット間のNetwork Firewallを経由してプライベート通信をすることができます。 (Network Firewall > Policy タブでポリシーを追加する必要があります)


Spoke VPCが2つ以上ある場合は、以下のルーティングを追加します。

[例] Spoke VPC1(172.16.0.0/24)とSpoke VPC2(192.168.0.0/24)の場合 * Network > Routing に移動してHub VPCを選択した後、下記の2つのルーティングを追加します。 * Spoke VPC 1 * 対象CIDR: 172.16.0.0/24 * ゲートウェイ: Hub VPCとSpoke VPC1の間に追加されたピアリングタイプのゲートウェイ * Spoke VPC 2 * 対象CIDR: 192.168.0.0/24 * ゲートウェイ: Hub VPCとSpokr VPC2の間に追加されたピアリングタイプのゲートウェイ

[参考] 接続設定5のようにSpoke VPC2-Hub間のVPCピアリングにもルートの追加設定が必要です。 上記のルーティング設定が完了すると、異なるSpoke VPC間のNetwork Firewallを経由してプライベート通信を行うことができます。 (Network Firewall > ポリシータブでポリシーの追加が必要) Network Firewallサービス構成図を参考にして、お客様の環境に合わせて接続を設定してください。



インスタンス接続

Network Firewallを作成し、接続設定を全て完了した後、Network Firewallを経由してインスタンスに接続できます。

例えば、1つのプロジェクト内の2つのSpoke VPCで3つのサブネットを構成し、外部からWebファイアウォール接続が必要な場合、下記のようにNAT、ACLを設定します。

[設定方法] * Network Firewall > NAT タブに移動 * 追加ボタンをクリックし、NATを設定 * 設定前にオブジェクトタブで目的地IPオブジェクトを作成し、余分なFloating IPが必要 * Network Firewall > ポリシー > ACL タブで必要なACLを許可
上記のように設定後、送信元IPをセキュリティグループで許可すると、インスタンスに接続可能です。


ポリシー

Network Firewallを作成すると、ポリシータブに移動します。

policy-default.PNG

[参考]

  • default-denyは必須ポリシーであり、修正または削除できません。
  • default-denyポリシーでブロックされたログは、オプションタブの基本ブロックポリシーログ設定使用に変更した後、ログタブで確認できます。

ACL

ACLタブでは、Network Firewallと接続されたVPC間のトラフィックとインバウンド/アウトバウンドトラフィックを制御できます。

追加

  • 出発地、目的地、宛先ポートを基にポリシーを追加できます。
    • すでに作成されたオブジェクトを通じて出発地、目的地、宛先ポートを選択します。
  • ポリシーの状態(有効/無効)と動作(許可/ブロック)、スケジュールを設定し、ポリシーごとのロギングの有無などのオプションを設定してポリシーを追加できます。
  • スケジュール機能は、ポリシーの状態を有効にした後に動作します(ポリシーが無効になっている場合、スケジュール機能は適用されません)。

acl_add.PNG

コピー

  • コピーをクリックしてポリシーをコピーできます。
    • コピーされたポリシーは無効になります。

acl_copy.PNG

修正

  • 修正をクリックしてポリシーを修正できます。

移動

  • 移動をクリックしてポリシーを移動できます。
    • default-denyポリシーの下には移動できません。

acl_move.PNG

削除

  • 削除をクリックしてポリシーを削除できます。

[注意] 一度削除したポリシーは復元することができず、 default-denyポリシーは削除できません。

ポリシーの一括ダウンロード

  • ポリシータブに作成されているポリシー全体を一度にダウンロードできます。

ポリシーの一括登録

  • ダウンロードしたテンプレートを使って、ポリシーを一括で登録できます。

acl_batch.PNG

ルート

ルートタブでは、Network Firewallを経由する通信の経路を指定できます。

policy-route.PNG

[参考] * Network FirewallのデフォルトゲートウェイはNATイーサネットであり、修正または削除できません。 * ルートの設定が変更された場合、通信に問題が発生する可能性があるため、注意して設定してください。

追加

  • 追加をクリックしてイーサネットを選択し、目的地とゲートウェイを入力します。
    • 目的地:サブネット形式で入力
    • イーサネット:NAT、TRAFFIC、VPN(IPSec VPN機能使用時)の中から選択
    • ゲートウェイ:ホスト形式で入力

[参考] * イーサネットをVPNとして選択した場合、ゲートウェイは指定する必要はありません。 * IPSec VPNと連動したプライベートIP帯域に対するルート設定は、必ずイーサネットをVPNとして設定してください。 * 目的地サブネットを入力する際、以下のような有効性メッセージが表示される場合は、サブネット範囲を事前に確認し、サブネットの開始IPで入力してください。 * [例] * 192.168.199.0/21 (X) → 192.168.192.0/21 (O) * 172.16.100.0/20 (X) → 172.16.96.0/20 (O) * 10.10.10.130/25 (X) → 10.10.10.128/25 (O)

route_add.PNG

修正

  • 修正をクリックしてルートを修正できます。

削除

  • 削除をクリックしてルートを削除できます。

オブジェクト

オブジェクトタブでは、ポリシーを作成する時に使用するIP、ポートを作成して管理します。

追加

  • 必須項目を入力してオブジェクトを作成します。
    • オブジェクトはIP、ポートの2つの形で追加できます。

[参考] グループオブジェクトを作成する場合、グループオブジェクトは追加できません(単一または範囲オブジェクトのみ選択して追加可能)。

修正

  • 修正をクリックしてオブジェクトを修正できます。
    • タイプは修正ができません。

削除

  • 削除をクリックしてオブジェクトを削除できます。

    • 自動的にNetwork Firewallで生成されたオブジェクトは修正や削除ができません。

[注意] ポリシーで使用中のオブジェクトは削除後、ALLオブジェクトに変更されます。

インスタンスオブジェクトの追加

  • Network Firewallが作成されたプロジェクト内にあるインスタンスを活用して、オブジェクトを追加できます。

[参考] * インスタンスに関係なく、単にインスタンスの名前とプライベートIPアドレスだけを参考にしてオブジェクトを作成します。作成したオブジェクトはオブジェクトタブで管理します。

オブジェクトの一括ダウンロード

  • オブジェクトタブに作成されているIPとポートオブジェクト全体をそれぞれ一度にダウンロードできます。

NAT

NAT(ネットワークアドレス変換)タブでは、外部から接続するインスタンスと専用に使用するグローバルIPを選択して接続します。

[参考] * NATは目的地ベースおよび1:1方式のみ提供します。 * ポートベースのNATは提供しません。 * NATを作成した後、ポリシータブに許可ポリシーを追加すると公認通信が可能です。 * NAT削除後、使用しないNAT前のグローバルIPはNetwork - Floatingで直接削除してください。

追加

  • 追加をクリックしてNATを作成します。
    • NAT前のグローバルIPはNetwork > Floating IPであらかじめ作成したIPのいずれかを選択します。
    • NAT後、プライベートIPで選択するオブジェクトは、オブジェクトタブであらかじめ作成しておく必要があり、追加をクリックして追加できます。

nat_add.PNG

[参考] インスタンスへの接続は、NATを追加しながら設定したNAT前のグローバルIPで行うことができます。 (インスタンスに直接Floating IPを接続する必要はありません)

修正

  • 修正をクリックして作成されたNATを修正します。
    • 修正はグローバルIPとプライベートIPの両方を修正できます。

削除

  • 削除をクリックして作成されたNATを削除します。

VPN

VPNタブでは、サイト間の暗号化されたトンネルを通じて安全なプライベート通信をサポートします。

ゲートウェイ作成

  • ゲートウェイの作成をクリックして、ピアVPN機器と接続するためのゲートウェイを作成します。

gw_add.PNG

[参考] * VPCとサブネットは修正できません。 * ゲートウェイは最大10個まで作成可能です。

ゲートウェイの修正

  • 修正ボタンをクリックしてゲートウェイを修正します。

ゲートウェイの削除

  • 削除ボタンをクリックしてゲートウェイを削除します。
    • ゲートウェイに接続されたトンネルがある場合、削除されません。

Floating IP接続

  • ピア機器との接続に必要なFloating IPを設定します。
    • Floating IPは Network > Floating IPに作成されたリストのうち、未使用中の項目が表示されます。

fip.PNG

トンネル作成

  • ピア機器と接続するトンネルを作成します。

tunnel_add.PNG

  • トンネル設定
    • ゲートウェイ:ゲートウェイタブで作成されたゲートウェイが表示され、トンネルと接続するゲートウェイを選択します。
      • 作成されたゲートウェイがない場合は、表示されません。
    • ピアIPアドレス:接続するピアVPN機器のIPアドレスを入力します。
    • IKEバージョン:ピアVPN機器と同じバージョンに設定します。
      • IKEバージョン1はMain Modeのみサポートされます。
    • Pre-Shared Key:ピアVPN機器と同じキー値を入力します。
    • DPD(dead peer detection): 10秒単位で合計5回の再送信を試行し、無効を選択した場合、ピアVPN機器のDPDリクエストに対するレスポンスのみをサポートします。
    • NAT-Traversal:トンネル作成時に発生するパケットの削除を防止するための機能で、一般的にピアVPN装置がグローバルIPの場合、使用に設定します。
  • Phase 1/2設定
    • IPSec VPN トンネルを作成するために必要な設定情報を入力します。

[設定時の注意事項] * 全ての設定はピアVPN機器と同じように設定します。 * ローカルIDはピアVPN機器の設定方式によって選択的に設定します。 * Phase 2の追加は最大3つまで可能です。 * ローカルプライベートIPとピアプライベートIPは互いに重複しないようにしてください。 この範囲には、VPCピアリングを含むNetwork Firewallと接続するすべてのプライベート帯域が含まれます。 下記のCIDRは、ローカルプライベートIPとピアプライベートIPに追加することができず、追加する場合、Network Firewallを経由する通信に問題がある可能性があります。 * 10.0.0.0/8 * 172.16.0.0/12 * 192.168.0.0/16

トンネル接続

  • トンネルは接続待機状態で作成され、接続をクリックして作成されたトンネルとピアVPN機器を接続します。

[参考] * 状態列で色別にトンネルの状態を確認できます。 * 緑:ピアVPN機器と正常に接続している状態です。 * 赤:設定値または通信状態などの問題でピアVPN機器間の接続に失敗した状態。 * 灰色: 接続待機状態(新しく作成されたトンネル) * トンネル作成が完了した後、ピア機器の種類と設定により、接続をクリックしなくても接続できる場合があります。

トンネル修正

  • 修正ボタンをクリックしてトンネルを修正します。
    • 設定値のうち、ゲートウェイを除くすべての値を修正することができ、修正する場合、ピアVPN機器も同じ値に修正する必要があります。

トンネル停止

  • 停止ボタンをクリックしてトンネルを停止します。
    • 停止する場合、ピアVPN機器を介したプライベート通信が中断されます。

トンネル削除

  • 削除ボタンをクリックしてトンネルを削除します。

イベント

  • ピアVPN機器とのトンネル接続時に発生するイベントログを検索できます。

[参考] * イベントでは、トンネルに関するイベントログのみを検索できます。 * VPN トンネルを介した通信ログまたはトンネル作成と削除などの監査ログは、ログタブでご確認ください。

ログ

ログタブでは、Network Firewallで作成されたログを検索できます。

検索

  • トラフィック: Network Firewallを経由する際に、許可またはブロックポリシーによって作成されたトラフィックログを検索します。

    • 照会は1か月単位で最大3か月までの過去のデータのみ検索可能です。
      • 最大保存ログ数は800万個であり、トラフィックの量によって保存されるログの量が変わるため、過去のデータが照会されない場合があります。
    • 別のデータ保存が必要な場合は、オプションタブのログリモート送信設定を参照してください。
  • Audit:ポリシーの作成および削除など、Network Firewallの変更事項に関するログを検索

    • 照会は最大1か月単位で検索可能で、組織サービスであるCloudTrailでも検索できます。

Excelダウンロード

  • ExcelダウンロードをクリックしてトラフィックとAuditログの検索結果をダウンロードできます。
    • トラフィックログの最大ダウンロード数は30万件です。

モニター

モニタータブではNetwork Firewallの状態をリアルタイムで確認できます。 検索は最大24時間(1日)以内でのみ可能です。

検索

  • セッション:現在Network Firewallを介して使用するセッションの数量
  • ネットワーク使用量:現在Network Firewallを経由するインバウンド/アウトバウンドトラフィック

オプション

オプションタブではNetwork Firewall運営に必要なオプションを設定できます。

ログ設定

  • 基本ブロックポリシーログ設定: Network Firewall作成後に必ず作成される基本ブロックポリシーログを保存するかどうかを選択します。
    • 使用を選択すると、基本ブロックポリシーで作成されたログはトラフィックログから検索できます。
  • ログ遠隔転送設定:遠隔地にトラフィックログを保存できるオプションを選択します。
    • Syslog:最大2つの遠隔地アドレスにログを保存
      • 2つの遠隔地は 個別に設定可能(IPアドレス、プロトコル、ポート番号)
    • Object Storage: NHN Cloudで提供するObject Storageサービスでログを転送
    • Log & Crash Search: NHN Cloudで提供するLog & Crash Searchサービスでログを転送

一般設定

  • MTU(maximum transmission unit)サイズ設定: Network Firewallに連結されたイーサネットのMTUサイズを設定します。
    • トラフィック: NHN Cloud内部通信に使用するイーサネット(ピアリング通信を含む)
    • NAT:外部通信に使用するイーサネット

[参考] トラフィック、 NATイーサネットの基本MTUサイズは1450Byteです。


  • Network Firewall構成:単一または冗長化でNetwork Firewallの構成方法を設定できます。

[参考] * 構成方法を変更する場合、数分程度の時間がかかり、設定変更が完了するまでサービスに影響を及ぼす可能性があります。 * ポリシー、NATなどNetwork Firewallの変更作業は、構成方法の変更が完了した後に行うことを推奨します。 * Network Firewallの削除:運用中のNetwork Firewallを削除できます。 * Network Firewallは韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョンでそれぞれ削除できます。

[削除時の注意事項] * 運営中のNetwork Firewallを削除する場合、Network Firewallと接続されている他のサービスを考慮して実行してください。

サービスの無効化

プロジェクト管理 > 利用中中のサービスでNetwork Firewallサービスを無効にできます。

[参考] * Network Firewallサービスの無効化は、韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョンの両方に適用されます。 例えば、Network Firewallサービスを同じプロジェクトの韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョンの両方で有効にした場合、2つのリージョンのうち1つのNetwork Firewallサービスだけを無効にすることはできません。 * 無効化するには、韓国(パンギョ)リージョンと韓国(ピョンチョン)リージョでそれぞれNetwork Firewallを削除してください。

TOP