ファイアウォール

Smart HUBからクラウド、クラウドからSmart HUBの通信をファイアウォールで制御します。

仕様
  • Smart HUB内ネットワークとクラウド接続ネットワーク間で、ファイアウォール機能を提供します。

  • クラウドポート品目「タイプA:プライベート」「タイプM:プライベート」での利用には、ファイアウォールオプションの契約が必要です。

  • クラウドポート品目「タイプA:パブリック」「タイプM:パブリック」「タイプM2:パブリック」ではファイアウォールが標準機能として提供されます。オプション契約はできません。

  • ファイアウォールにはあらかじめ設定されたデフォルトポリシーが存在します。詳しくは下記「デフォルト動作」をご覧ください。
  • 単一のPBBに接続された複数のSmart HUBが存在する場合(DR構成)、コントロールパネルから各クラウドポートに対してファイアウォール設定を行う必要があります。
  • 通信ログは取得できません。

オプション契約

ファイアウォールオプション契約が不要なクラウドポート

以下パブリック接続のクラウドポートでは、ファイアウォールが標準機能として提供されます。またファイアウォール機能を無効にすることはできません。

接続種別品目

接続クラウド

タイプA:パブリックAWS Direct Connect Public
タイプM2:パブリックMicrosoft Azure Peering Service
タイプM:パブリック

Microsoft Azure ExpressRoute Microsoft Peering

ファイアウォール機能のセッション数は『NAPTセッション追加オプション』で割り当てをしているNAPTセッション数に依存します。
セッション数の変更を希望する場合は『NAPTセッション追加オプション』契約の変更が必要です。

ファイアウォールオプション契約が必要なクラウドポート

以下プライベート接続のクラウドポートでは、ファイアウォール機能を利用する場合『ファイアウォールオプション』契約が必要です。
オプションの適用を行わないクラウドポートではファイアウォール機能が無効となります。

接続種別品目

接続クラウド

タイプA:プライベートAWS Direct Connect Private
タイプM:プライベートMicrosoft Azure ExpressRoute Private Peering
ファイアウォールオプションの適用

クラウドポートにファイアウォールオプションを適用することでファイアウォール機能が有効になります。適用していないまたは適用を外したクラウドポートはファイアウォール機能が無効となります。

1つのクラウドポートに適用できるファイアウォールオプションの数量は1つまでです。

適用例
  • (例1)100万セッション×数量2個を契約している場合
    • 適用可能セッション数:0、100万
    • 100万セッション×数量2個=200万セッションは適用できません。
    • 100万セッション÷2=50万セッションのように分割することもできません。
  • (例2)契約A:100万セッション×数量1個、契約B:200万セッション×数量1個を契約した場合
    • 適用可能セッション数:0、1,00万、200万
    • 100万セッション+200万セッション=300万セッションはできません。

ファイアウォールのセッション数を増加または減少する場合は、コントロールパネルでファイアウォールオプションの適用変更(アップグレードまたはダウングレード)を実行します。

コントロールパネルで可能及び不可な操作は以下の通りです。

現在の状態適用適用解除

適用変更(アップグレード)

(例: 50万セッション => 300万セッション)

適用変更(ダウングレード)

(例: 300万セッション => 50万セッション)

ファイアウォールオプション適用なし可能---
ファイアウォールオプション適用済み不可可能可能可能
【注意】適用に関する注意事項

  • ファイアウォールオプションの適用、適用変更、または適用解除を実行すると、クラウドポートが再起動します。これにより、対象のクラウドポート通信が約5分間停止します。
  • 適用済みのファイアウォールオプションを適用解除すると、ファイアウォールの設定は破棄されます。再びファイアウォールオプションを適用しても、元の設定に戻すことはできません。
  • 適用解除したファイアウォールオプションは、本サービス内の別のクラウドポートに再適用できます。
  • 適用解除したファイアウォールオプションを別のクラウドポートに再適用した場合に、以前のポリシーは継承されません。初期状態から再設定してください。

グレード品目

ファイアウォールオプションには、以下のグレード品目があります。50万セッションは1GbEポートのみ利用できます。

  • 50万セッション

  • 100万セッション
  • 200万セッション
  • 300万セッション
  • 400万セッション
提供リージョン
  • TYO
  • OSA

いずれのリージョンでも利用が可能です。

ただし、複数リージョンでファイアウォール追加オプションを併用する場合、それぞれのSmart HUB契約でオプションを契約する必要があります。

ファイアウォール機能

お客様は、以下の仕様のファイアウォールを構成できます。

アプリケーション、アドレスグループ、及びポリシーの関係は、以下の図のとおりです。


アプリケーション
設定項目
項目初期必須/任意内容制限事項
アプリケーション名空白必須最大63文字の英数、-(ハイフンまたは「_(アンダーバー)」で、アプリケーション名を設定します。ポリシーにアドレスを指定する際に利用します
  • junos-を先頭に設定する名称は使用できません
  • 既に登録しているアプリケーション名は適用できません
  • 先頭文字に-(ハイフン」及び 「_(アンダーバー)」は使用できません
プロトコル空白必須

以下から選択します

  • tcp
  • udp
  • icmp
  • IPプロトコル番号
  • icmpまたはIPプロトコル番号を指定した場合は、送信元ポート番号及び宛先ポート番号を指定できません
  • 1つのアプリケーションでは、プロトコルを1つだけ指定できます。tcpまたはudpのように複数選択はできません
送信元ポート番号空白tcpまたは udp選択時は必須

以下から選択します

  • ポート番号レンジ指定
  • ポート番号単一指定
  • any
  • ポート番号レンジ指定の場合は 「-(ハイフンで繋げます
    例:100-101
  • 連続しない複数のポート番号は指定できません
    例:80, 88
宛先ポート番号空白tcpまたは udp選択時は必須

以下から選択します

  • ポート番号レンジ指定
  • ポート番号単一指定
  • any
  • ポート番号レンジ指定の場合は -(ハイフンで繋げます
    例:100-101
  • 連続しない複数のポート番号は指定できません
    例:80, 88
メモ空白任意最大50文字で、アプリケーションの説明を入力できます
  • 改行は使用できません
  • 入力可能な文字は「漢字、全角カナ、全角かな、半角英数字、一部記号」のみです。また機種依存文字は入力できません
アプリケーション追加/変更/削除

アプリケーションを100個まで登録できます。

項目内容
追加
  • アプリケーションを追加できます。追加したアプリケーションはポリシーで選択できます
変更
  • アプリケーションのプロトコル、送信元ポート番号、宛先ポート番号、及びメモを変更できます。ただし、アプリケーション名は変更できません
  • ポリシーで利用しているアプリケーションは、変更後のアプリケーションのポリシー合致条件として動作するため、意図しない通信が許可または拒否される場合があります
削除
  • アプリケーションを削除できます。削除したアプリケーションは復旧できません
  • ポリシーで利用しているアプリケーションは、削除できません
デフォルトアプリケーション

以下のアプリケーションは、本サービスが使用しています。変更できません。

アプリケーション名プロトコル送信元ポート番号宛先ポート番号メモ
anyanyanyany

すべてのアプリケーションが一致します。

junos-icmp- allicmp--すべてのICMP通信が一致します。
junos-ftptcpany21FTP通信が一致します。ALGによる制御が有効です。
junos-dns- udpudpany53DNS通信が一致します。ALGによる制御が有効です。
junos-dns- tcptcpany53DNS通信が一致します。ALGによる制御が有効です。
junos-h323tcpany1720H323通信が一致します。ALGによる制御が有効です。
udpany1719
tcpany1503
tcpany389
tcpany522
tcpany1731
junos-sipudpany5060SIP通信が一致します。ALGによる制御が有効です。
tcpany5060
junos-tftpudpany69TFTP通信が一致します。ALGによる制御が有効です。
junos-rtsptcpany554RTSP通信が一致します。ALGによる制御が有効です。

※表中のALGは、Application Layer Gatewayの略称です。

アドレスグループ
設定項目
項目初期値必須/任意内容制限事項
アドレスグループ名空白必須最大63文字の英数、-(ハイフンまたは「_(アンダーバー)」で、アドレスグループ名を設定します。ポリシーにアドレスを指定する際に利用します
  • 既に登録しているアドレスグループ名は適用できません
  • 先頭文字に-(ハイフン」及び 「_(アンダーバー)」は 利用できません
IPv4アドレス空白必須最大32アドレスまで、IPv4アドレス(CIDR表記)を設定できます
メモ空白任意最大50文字で、アドレスグループの説明を入力できます
  • 改行は使用できません
  • 入力可能な文字は「漢字、全角カナ、全角かな、半角英数字、一部記号」のみです。また機種依存文字は入力できません
アドレスグループの追加/変更/削除

アドレスグループを500個まで登録できます。

項目内容
追加
  • アドレスグループを追加できます。追加したアドレスグループはポリシーで選択できます
変更
  • アドレスグループのIPv4アドレス及びメモを変更できます。アドレスグループ名は変更できません
  • ポリシーで利用しているアドレスグループは、変更後のアドレスグループのポリシー合致条件として動作するため、意図しない通信が許可または拒否される場合があります
削除
  • アドレスグループを削除できます。削除したアドレスグループは復旧できません
  • ポリシーで利用しているアドレスグループは、削除できません
デフォルトアドレスグループ

以下のアドレスグループは、本サービスが使用しています。変更できません。

アドレスグループ名IPv4アドレスメモ
any0.0.0.0/0すべてのIPアドレスが一致します。
ポリシー

ファイアウォール機能では、通信の発信元ごとにポリシーを適用できます。なお、戻りの通信は動的に許可されます。

発信元適用されるポリシー発信元の例
お客様ネットワーク機器ポリシー(Smart HUB => クラウド)
  • お客様内の機器がクラウド側サーバに、HTTP/HTTPSで接続する
  • お客様内の機器がクラウド側サーバに、SMTP/POP3で接続する
クラウドネットワーク機器ポリシー(クラウド => Smart HUB)
  • クラウド側の機器がお客様内のDNSサーバに、名前解決のための通信をする
  • クラウド側の機器がお客様内のNTPサーバに、時刻同期のための通信をする
  • クラウド側の機器がお客様内のサーバに、HTTP/HTTPSで接続する


ポリシーの設定項目
項目初期値必須または任意内容制限事項
ポリシー番号1-システムが自動的に番号を割り当てます
  • ポリシー番号は1 - 100までとなります。
送信元アドレスグループ空白必須アドレスグループ名を32個まで指定できます
  • 「any」を選択した場合は、他のアドレスグループ名を指定できません
宛先アドレスグループ空白必須アドレスグループ名を32個まで指定できます
  • 「any」を選択した場合は、他のアドレスグループ名を指定できません
アプリケーション空白必須アプリケーション名を32個まで指定できます
  • 「any」を選択した場合は、他のアプリケーション名を指定できません
アクション空白必須

以下から選択します

  • permit
  • deny
  • reject
  • 「reject」を選択した場合は、条件に合致したパケットに対してRSTを返答します
ポリシーの有効/無効空白必須一時的にポリシーを無効にする場合に、「無効」を選択します
  • 無効にしたポリシーは、通信制御に利用されません
メモ空白任意最大50文字で、ポリシーの説明を入力できます
  • 改行は使用できません。
  • 入力可能な文字は「漢字、全角カナ、全角かな、半角英数字、一部記号」のみです。また機種依存文字は入力できません。
ポリシーの追加、順番、変更、及び削除

ポリシーを100個まで追加できます。

項目内容
追加
  • ポリシーを追加できます。追加したポリシーは、一覧の末尾に追加されます
順番変更
  • ポリシーは上から順番に精査され、最初に条件が一致したポリシーのみが通信に適用されます。そのため、ポリシーの優先度を変更するには、ポリシーの並び順を変更します
変更
  • ポリシーの内容を変更できます。ポリシー合致条件を変更した場合は、意図しない通信が許可または拒否される場合があります
削除
  • ポリシーを削除できます。削除したポリシーは復旧できません
デフォルト動作

ファイアウォール機能が有効なクラウドポートでは、クラウド品目によってデフォルト動作が異なります。

以下のクラウド品目のデフォルトポリシーは、以下の表のとおりです。

オプション名

接続クラウド

タイプA:プライベートAWS Direct Connect Private
タイプM:プライベートMicrosoft Azure ExpressRoute Private Peering
通信の方向送信元アドレス宛先アドレスアプリケーションアクションポリシーの有効/無効メモポリシー順の位置
Smart HUB => クラウドPBBNetworkMonitoringTargetsjunos- icmp- allpermit有効IIJ管理ポリシー(更新/削除不可)最上位
Smart HUB => クラウドany(0.0.0.0/0)any(0.0.0.0/0)anypermit有効IIJ管理ポリシー(更新/削除不可)最下位
クラウド => Smart HUBany(0.0.0.0/0)any(0.0.0.0/0)anypermit有効IIJ管理ポリシー(更新/削除不可)最下位

以下のクラウド品目のデフォルトポリシーは、以下の表のとおりです。

オプション名

接続クラウド

タイプA:パブリックAWS Direct Connect Public
タイプM2:パブリックMicrosoft Azure Peering Service
タイプM:パブリックMicrosoft Azure ExpressRoute Microsoft Peering
通信の方向送信元アドレス宛先アドレスアプリケーションアクションポリシーの有効/無効メモポリシー順の位置
Smart HUB => クラウドPBBNetworkMonitoringTargetsjunos- icmp- allpermit有効IIJ管理ポリシー(更新/削除不可)最上位
Smart HUB => クラウドany(0.0.0.0/0)any(0.0.0.0/0)anypermit有効IIJ管理ポリシー(更新/削除不可)最下位
クラウド => Smart HUBany(0.0.0.0/0)any(0.0.0.0/0)anydeny有効IIJ管理ポリシー(更新/削除不可)最下位
デフォルトポリシーの説明
  • デフォルトポリシーは変更できません。
  • 最上位のポリシーのPBB管理アドレス(PBBNetwork)から監視対象アドレスグループ(MonitoringTargets)への通信は、監視機能に必要な通信であるため、別のポリシーで打ち消せません。
  • Smart HUB => クラウドまたクラウド => Smart HUBの最下位のポリシーは、上位にポリシーを設定することで、最下位のデフォルトポリシーを打ち消すことができます。
ファイアウォール機能が無効な場合
  • ファイアウォール機能のポリシー無効のクラウドポートでは、ポリシー条件に一致する通信を遮断しません。
グローバル設定
TCP SYN Check機能

単一のPBBに接続された複数のSmart HUBが存在する場合(DR構成)に、障害発生などでSmart HUBの通信経路が切り替わる際、通信セッション断が発生しないようにするための機能です。デフォルト設定は「有効」です。

TCP SYN Check機能説明
有効

Smart HUB=>クラウド、クラウド=>Smart HUBの双方向で新規tcpセッションの初期パケットがsyn以外の場合、パケットを破棄し、tcpセッションが切断されます。

無効

Smart HUB=>クラウド、クラウド=>Smart HUBの双方向で新規tcpセッションの初期パケットがsyn以外でも通過し、 tcpセッションの切断を防ぎます。

  • 単体リージョンのみ契約している場合は、TCP SYN Check機能「有効」を推奨します。
  • TYO、OSAの複数リージョンを契約している場合は、TCP SYN Check機能「無効」を推奨します。
  • パブリック接続のクラウドポートの通信は、NAPT機能により通信途中に経路の切替が行えないため、障害発生などでSmart HUBの通信経路が切り替わる際に通信セッション断が発生します。TCP SYN Check機能「有効」を推奨します。
グラフ
  • ファイアウォールオプションが適用されたクラウドポートのグラフ一覧です。ファイアウォールのセッション数グラフを提供します。
  • ファイアウォールオプションが適用されていないクラウドポートでは、グラフ一覧にファイアウォールのセッション数グラフは表示されません。
  • ファイアウォールオプションを再適用した場合は、以前の適用期間がグラフ表示期間内であれば、以前のファイアウォールのセッション数グラフを提供します。
CSVインポート及びCSVエクスポート

アプリケーション、アドレスグループ、及びポリシーは、CSV形式で設定をインポート及びエクスポートできます。

  • インポート及びエクスポート可能な書式コードは「Shift JIS」と「UTF-8」です。
  • インポート可能な改行コードは「CRLF」と「LF」です。
  • インポートした場合は、それまでの設定がすべて上書きされます。
  • ポリシーで利用または選択しているアプリケーション名またはアドレスグループ名がインポートするCSVファイルに存在しない場合は、アプリケーションまたはアドレスグループをインポートできません。

注意事項
  • 各ファイアウォール機能の設定は、本サービスのコントロールパネルで依頼ボタンを押すまで確定されません。
  • ポリシーに利用しているアプリケーションまたはアドレスグループの設定を変更した場合、またはポリシーを変更した場合は、実際の通信に影響が出る場合があります。