ファイアウォール
Smart HUBからクラウド、クラウドからSmart HUBの通信をファイアウォールで制御します。
仕様
Smart HUB内ネットワークとクラウド接続ネットワーク間で、ファイアウォール機能を提供します。
クラウドポート品目「タイプA:プライベート」「タイプM:プライベート」での利用には、ファイアウォールオプションの契約が必要です。
クラウドポート品目「タイプA:パブリック」「タイプM:パブリック」「タイプM2:パブリック」ではファイアウォールが標準機能として提供されます。オプション契約はできません。
- ファイアウォールにはあらかじめ設定されたデフォルトポリシーが存在します。詳しくは下記「デフォルト動作」をご覧ください。
- 単一のPBBに接続された複数のSmart HUBが存在する場合(DR構成)、コントロールパネルから各クラウドポートに対してファイアウォール設定を行う必要があります。
通信ログは取得できません。
オプション契約
ファイアウォールオプション契約が不要なクラウドポート
以下パブリック接続のクラウドポートでは、ファイアウォールが標準機能として提供されます。またファイアウォール機能を無効にすることはできません。
接続種別品目 | 接続クラウド |
|---|---|
| タイプA:パブリック | AWS Direct Connect Public |
| タイプM2:パブリック | Microsoft Azure Peering Service |
| タイプM:パブリック | Microsoft Azure ExpressRoute Microsoft Peering |
ファイアウォール機能のセッション数は『NAPTセッション追加オプション』で割り当てをしているNAPTセッション数に依存します。
セッション数の変更を希望する場合は『NAPTセッション追加オプション』契約の変更が必要です。
ファイアウォールオプション契約が必要なクラウドポート
以下プライベート接続のクラウドポートでは、ファイアウォール機能を利用する場合『ファイアウォールオプション』契約が必要です。
オプションの適用を行わないクラウドポートではファイアウォール機能が無効となります。
接続種別品目 | 接続クラウド |
|---|---|
| タイプA:プライベート | AWS Direct Connect Private |
| タイプM:プライベート | Microsoft Azure ExpressRoute Private Peering |
ファイアウォールオプションの適用
クラウドポートにファイアウォールオプションを適用することでファイアウォール機能が有効になります。適用していないまたは適用を外したクラウドポートはファイアウォール機能が無効となります。
1つのクラウドポートに適用できるファイアウォールオプションの数量は1つまでです。
適用例
- (例1)100万セッション×数量2個を契約している場合
- 適用可能セッション数:0、100万
- 100万セッション×数量2個=200万セッションは適用できません。
- 100万セッション÷2=50万セッションのように分割することもできません。
- (例2)契約A:100万セッション×数量1個、契約B:200万セッション×数量1個を契約した場合
- 適用可能セッション数:0、1,00万、200万
- 100万セッション+200万セッション=300万セッションはできません。
ファイアウォールのセッション数を増加または減少する場合は、コントロールパネルでファイアウォールオプションの適用変更(アップグレードまたはダウングレード)を実行します。
コントロールパネルで可能及び不可な操作は以下の通りです。
| 現在の状態 | 適用 | 適用解除 | 適用変更(アップグレード) (例: 50万セッション => 300万セッション) | 適用変更(ダウングレード) (例: 300万セッション => 50万セッション) |
|---|---|---|---|---|
| ファイアウォールオプション適用なし | 可能 | - | - | - |
| ファイアウォールオプション適用済み | 不可 | 可能 | 可能 | 可能 |
【注意】適用に関する注意事項
- ファイアウォールオプションの適用、適用変更、または適用解除を実行すると、クラウドポートが再起動します。これにより、対象のクラウドポート通信が約5分間停止します。
- 適用済みのファイアウォールオプションを適用解除すると、ファイアウォールの設定は破棄されます。再びファイアウォールオプションを適用しても、元の設定に戻すことはできません。
- 適用解除したファイアウォールオプションは、本サービス内の別のクラウドポートに再適用できます。
- 適用解除したファイアウォールオプションを別のクラウドポートに再適用した場合に、以前のポリシーは継承されません。初期状態から再設定してください。
グレード品目
ファイアウォールオプションには、以下のグレード品目があります。50万セッションは1GbEポートのみ利用できます。
50万セッション
- 100万セッション
- 200万セッション
- 300万セッション
- 400万セッション
提供リージョン
- TYO
- OSA
いずれのリージョンでも利用が可能です。
ただし、複数リージョンでファイアウォール追加オプションを併用する場合、それぞれのSmart HUB契約でオプションを契約する必要があります。
ファイアウォール機能
お客様は、以下の仕様のファイアウォールを構成できます。
アプリケーション、アドレスグループ、及びポリシーの関係は、以下の図のとおりです。
アプリケーション
設定項目
| 項目 | 初期値 | 必須/任意 | 内容 | 制限事項 |
|---|---|---|---|---|
| アプリケーション名 | 空白 | 必須 | 最大63文字の英数、「-(ハイフン)」または「_(アンダーバー)」で、アプリケーション名を設定します。ポリシーにアドレスを指定する際に利用します |
|
| プロトコル | 空白 | 必須 | 以下から選択します
|
|
| 送信元ポート番号 | 空白 | tcpまたは udp選択時は必須 | 以下から選択します
|
|
| 宛先ポート番号 | 空白 | tcpまたは udp選択時は必須 | 以下から選択します
|
|
| メモ | 空白 | 任意 | 最大50文字で、アプリケーションの説明を入力できます |
|
アプリケーション追加/変更/削除
アプリケーションを100個まで登録できます。
| 項目 | 内容 |
|---|---|
| 追加 |
|
| 変更 |
|
| 削除 |
|
デフォルトアプリケーション
以下のアプリケーションは、本サービスが使用しています。変更できません。
| アプリケーション名 | プロトコル | 送信元ポート番号 | 宛先ポート番号 | メモ |
|---|---|---|---|---|
| any | any | any | any | すべてのアプリケーションが一致します。 |
| junos-icmp- all | icmp | - | - | すべてのICMP通信が一致します。 |
| junos-ftp | tcp | any | 21 | FTP通信が一致します。ALGによる制御が有効です。 |
| junos-dns- udp | udp | any | 53 | DNS通信が一致します。ALGによる制御が有効です。 |
| junos-dns- tcp | tcp | any | 53 | DNS通信が一致します。ALGによる制御が有効です。 |
| junos-h323 | tcp | any | 1720 | H323通信が一致します。ALGによる制御が有効です。 |
| udp | any | 1719 | ||
| tcp | any | 1503 | ||
| tcp | any | 389 | ||
| tcp | any | 522 | ||
| tcp | any | 1731 | ||
| junos-sip | udp | any | 5060 | SIP通信が一致します。ALGによる制御が有効です。 |
| tcp | any | 5060 | ||
| junos-tftp | udp | any | 69 | TFTP通信が一致します。ALGによる制御が有効です。 |
| junos-rtsp | tcp | any | 554 | RTSP通信が一致します。ALGによる制御が有効です。 |
※表中のALGは、Application Layer Gatewayの略称です。
アドレスグループ
設定項目
| 項目 | 初期値 | 必須/任意 | 内容 | 制限事項 |
|---|---|---|---|---|
| アドレスグループ名 | 空白 | 必須 | 最大63文字の英数、「-(ハイフン)」または「_(アンダーバー)」で、アドレスグループ名を設定します。ポリシーにアドレスを指定する際に利用します |
|
| IPv4アドレス | 空白 | 必須 | 最大32アドレスまで、IPv4アドレス(CIDR表記)を設定できます | - |
| メモ | 空白 | 任意 | 最大50文字で、アドレスグループの説明を入力できます |
|
アドレスグループの追加/変更/削除
アドレスグループを500個まで登録できます。
| 項目 | 内容 |
|---|---|
| 追加 |
|
| 変更 |
|
| 削除 |
|
デフォルトアドレスグループ
以下のアドレスグループは、本サービスが使用しています。変更できません。
| アドレスグループ名 | IPv4アドレス | メモ |
|---|---|---|
| any | 0.0.0.0/0 | すべてのIPアドレスが一致します。 |
ポリシー
ファイアウォール機能では、通信の発信元ごとにポリシーを適用できます。なお、戻りの通信は動的に許可されます。
| 発信元 | 適用されるポリシー | 発信元の例 |
|---|---|---|
| お客様ネットワーク機器 | ポリシー(Smart HUB => クラウド) |
|
| クラウドネットワーク機器 | ポリシー(クラウド => Smart HUB) |
|
ポリシーの設定項目
| 項目 | 初期値 | 必須または任意 | 内容 | 制限事項 |
|---|---|---|---|---|
| ポリシー番号 | 1 | - | システムが自動的に番号を割り当てます |
|
| 送信元アドレスグループ | 空白 | 必須 | アドレスグループ名を32個まで指定できます |
|
| 宛先アドレスグループ | 空白 | 必須 | アドレスグループ名を32個まで指定できます |
|
| アプリケーション | 空白 | 必須 | アプリケーション名を32個まで指定できます |
|
| アクション | 空白 | 必須 | 以下から選択します
|
|
| ポリシーの有効/無効 | 空白 | 必須 | 一時的にポリシーを無効にする場合に、「無効」を選択します |
|
| メモ | 空白 | 任意 | 最大50文字で、ポリシーの説明を入力できます |
|
ポリシーの追加、順番、変更、及び削除
ポリシーを100個まで追加できます。
| 項目 | 内容 |
|---|---|
| 追加 |
|
| 順番変更 |
|
| 変更 |
|
| 削除 |
|
デフォルト動作
ファイアウォール機能が有効なクラウドポートでは、クラウド品目によってデフォルト動作が異なります。
以下のクラウド品目のデフォルトポリシーは、以下の表のとおりです。
オプション名 | 接続クラウド |
|---|---|
| タイプA:プライベート | AWS Direct Connect Private |
| タイプM:プライベート | Microsoft Azure ExpressRoute Private Peering |
| 通信の方向 | 送信元アドレス | 宛先アドレス | アプリケーション | アクション | ポリシーの有効/無効 | メモ | ポリシー順の位置 |
|---|---|---|---|---|---|---|---|
| Smart HUB => クラウド | PBBNetwork | MonitoringTargets | junos- icmp- all | permit | 有効 | IIJ管理ポリシー(更新/削除不可) | 最上位 |
| Smart HUB => クラウド | any(0.0.0.0/0) | any(0.0.0.0/0) | any | permit | 有効 | IIJ管理ポリシー(更新/削除不可) | 最下位 |
| クラウド => Smart HUB | any(0.0.0.0/0) | any(0.0.0.0/0) | any | permit | 有効 | IIJ管理ポリシー(更新/削除不可) | 最下位 |
以下のクラウド品目のデフォルトポリシーは、以下の表のとおりです。
オプション名 | 接続クラウド |
|---|---|
| タイプA:パブリック | AWS Direct Connect Public |
| タイプM2:パブリック | Microsoft Azure Peering Service |
| タイプM:パブリック | Microsoft Azure ExpressRoute Microsoft Peering |
| 通信の方向 | 送信元アドレス | 宛先アドレス | アプリケーション | アクション | ポリシーの有効/無効 | メモ | ポリシー順の位置 |
|---|---|---|---|---|---|---|---|
| Smart HUB => クラウド | PBBNetwork | MonitoringTargets | junos- icmp- all | permit | 有効 | IIJ管理ポリシー(更新/削除不可) | 最上位 |
| Smart HUB => クラウド | any(0.0.0.0/0) | any(0.0.0.0/0) | any | permit | 有効 | IIJ管理ポリシー(更新/削除不可) | 最下位 |
| クラウド => Smart HUB | any(0.0.0.0/0) | any(0.0.0.0/0) | any | deny | 有効 | IIJ管理ポリシー(更新/削除不可) | 最下位 |
デフォルトポリシーの説明
- デフォルトポリシーは変更できません。
- 最上位のポリシーのPBB管理アドレス(PBBNetwork)から監視対象アドレスグループ(MonitoringTargets)への通信は、監視機能に必要な通信であるため、別のポリシーで打ち消せません。
- Smart HUB => クラウドまたクラウド => Smart HUBの最下位のポリシーは、上位にポリシーを設定することで、最下位のデフォルトポリシーを打ち消すことができます。
ファイアウォール機能が無効な場合
- ファイアウォール機能のポリシー無効のクラウドポートでは、ポリシー条件に一致する通信を遮断しません。
グローバル設定
TCP SYN Check機能
単一のPBBに接続された複数のSmart HUBが存在する場合(DR構成)に、障害発生などでSmart HUBの通信経路が切り替わる際、通信セッション断が発生しないようにするための機能です。デフォルト設定は「有効」です。
| TCP SYN Check機能 | 説明 |
|---|---|
| 有効 | Smart HUB=>クラウド、クラウド=>Smart HUBの双方向で新規tcpセッションの初期パケットがsyn以外の場合、パケットを破棄し、tcpセッションが切断されます。 |
| 無効 | Smart HUB=>クラウド、クラウド=>Smart HUBの双方向で新規tcpセッションの初期パケットがsyn以外でも通過し、 tcpセッションの切断を防ぎます。 |
- 単体リージョンのみ契約している場合は、TCP SYN Check機能「有効」を推奨します。
- TYO、OSAの複数リージョンを契約している場合は、TCP SYN Check機能「無効」を推奨します。
- パブリック接続のクラウドポートの通信は、NAPT機能により通信途中に経路の切替が行えないため、障害発生などでSmart HUBの通信経路が切り替わる際に通信セッション断が発生します。TCP SYN Check機能「有効」を推奨します。
グラフ
- ファイアウォールオプションが適用されたクラウドポートのグラフ一覧です。ファイアウォールのセッション数グラフを提供します。
- ファイアウォールオプションが適用されていないクラウドポートでは、グラフ一覧にファイアウォールのセッション数グラフは表示されません。
- ファイアウォールオプションを再適用した場合は、以前の適用期間がグラフ表示期間内であれば、以前のファイアウォールのセッション数グラフを提供します。
CSVインポート及びCSVエクスポート
アプリケーション、アドレスグループ、及びポリシーは、CSV形式で設定をインポート及びエクスポートできます。
- インポート及びエクスポート可能な書式コードは「Shift JIS」と「UTF-8」です。
- インポート可能な改行コードは「CRLF」と「LF」です。
- インポートした場合は、それまでの設定がすべて上書きされます。
- ポリシーで利用または選択しているアプリケーション名またはアドレスグループ名がインポートするCSVファイルに存在しない場合は、アプリケーションまたはアドレスグループをインポートできません。
注意事項
- 各ファイアウォール機能の設定は、本サービスのコントロールパネルで依頼ボタンを押すまで確定されません。
- ポリシーに利用しているアプリケーションまたはアドレスグループの設定を変更した場合、またはポリシーを変更した場合は、実際の通信に影響が出る場合があります。