5.7. vファイアウォール

 vファイアウォールは、ファイアウォール機能として、主に、ルーティング機能、パケットフィルタリング機能、NAT/NAPT機能を提供するサービスです。vファイアウォールでは、お客様専用のvファイアウォールを提供します。
 カスタマーポータルから、各種パラメータを変更することが可能です。
../../_images/image172.png

重要

  • vファイアウォールの利用を開始すると、vファイアウォールを通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖して、不正なアクセスを遮断するステートフルパケットインスペクション機能が有効になります。
    この機能は無効にすることはできません。

注釈

  • 1つの Enterprise Cloud サービス契約内の1つのデータセンターに対し、統合ネットワークアプライアンス、またはvファイアウォールのうち、必ず1つを契約する必要があります。併用、複数利用はできません。
  • vファイアウォールは、インターネット、VPN、サーバーセグメントと接続できます。
  • vファイアウォールは、冗長化された物理機器(装置、配線)で構築されます。

5.7.1. 利用できる機能

 vファイアウォールでは以下の機能を利用できます。
機能 概要
ルーティング機能 インターネットトランジット・VPNトランジット・サーバーセグメントに接続し、その間のルーティングを行う機能。
ファイアウォール機能 Enterprise Cloud サービスで提供する環境内に、お客様専用のvファイアウォールを提供する機能。
パケットフィルタリング機能 ルーティング機能で利用できるルーティング間において、IP通信の許可/拒否を設定する機能。
NAT/NAPT機能 インターネットトランジット・VPNトランジット・サーバーセグメント間で、IPアドレスおよびポートを変換する機能。
ログ専用ポータルの提供※ ログ専用ポータルにてログの表示機能、ログファイルの保存・ダウンロード機能を提供します。
※ 埼玉第1データセンター、関西1および関西1aデータセンター、横浜第1データセンターにおいて提供します。ログ専用ポータルのアカウントを発行にはお申込みが必要です。ただし、以下の条件にてEnterprise Cloudの新規申込をされたお客様については、サービス開通時にアカウントを発行しますのでお申込みは不要です。

埼玉第1データセンター:2015年7月6日(月)以降
関西1および1aデータセンター:2016年9月20日(火)以降

vファイアウォールのIPアドレス
 vファイアウォールで使用するIPアドレスは以下のとおりです。
機器 割り当てられるIPアドレス
インターネットトランジット 別途申し込みいただくグローバルIPアドレスブロックから選択
VPNトランジット お客様のVPNのIPアドレスブロック(以下、VPNトランジット用IPアドレスブロック)から選択
vファイアウォール VPNトランジット用IPアドレスブロックから、弊社がIPアドレスを2つ選択(※)
サーバーセグメントと接続するための仮想ネットワークインターフェース(以下、サーバーセグメント側ネットワークインターフェース) サーバーセグメントのAvailable IPアドレスから、2つ選択(※)
※ アクティブ/スタンバイ構成で構成されているため、アクティブ機で1つ、スタンバイ機で1つのIPアドレスを使用します。

重要

  • サーバーセグメント側ネットワークインターフェースのIPアドレスは、サーバーセグメント作成時にのみ指定できます。
    IPアドレスを指定しなかった場合は、自動的に割り当てられます。
  • サーバーセグメント側ネットワークインターフェースに割り当てられたIPアドレスは変更できません。

注釈

  • サーバーセグメント側ネットワークインターフェースをなしで指定した場合、対応するサーバーセグメントとvファイアウォールは接続されません。サーバーセグメントとvファイアウォールを接続しない場合は、当該サーバーセグメントに接続した各機器に対して、弊社からのPing監視が実施できません。

5.7.2. ルーティング機能

 インターネット接続、VPN接続を利用中の場合、vファイアウォールは、それぞれのネットワークと、サーバーセグメントと接続されます。
 各ネットワークおよびサーバーセグメント間のルーティングが行われます。
スタティックルーティング
 vファイアウォールに、スタティックルーティングを設定することもできます。
 1つのルーティング設定ごとに、設定できるルーティング条件は以下のとおりです。
  • ネットワークアドレス
  • ゲートウェイ
  • 出力インターフェース

注釈

  • インターネット接続とVPN接続をあわせて利用している場合、vファイアウォールを経由してインターネットとVPNを直接折り返す通信はできません。
  • 入力インターフェースと出力インターフェースが、同じインターフェースとなるルーティングは設定できません。
  • 以下のアドレスをゲートウェイアドレスに指定しないでください。
    • vファイアウォールにアサインされたIPアドレス(アクティブ/スタンバイ)
    • Multicastアドレス
    • Subnet アドレス
    • Loopback アドレス

5.7.3. ファイアウォール機能

 vファイアウォールが提供する性能を、vファイアウォールリソース値で指定できます。
 1つのvファイアウォールリソースの性能は以下のとおりです。リソース値は、カスタマーポータルから変更できます。
項目 性能(最大値) 備考
トラフィック処理能力 40 Mbps vファイアウォールに着信するIPパケット転送処理能力(vロードバランサーからの着信は除く)です。
同時セッション数 10,000※ vファイアウォール内で同時に保持できるTCP/UDPセッション数です。
フィルタルール設定数 30 -
IPアドレスグループ設定数 5
vファイアウォールリソースが1つの場合は、最大値は10です。
vファイアウォールリソースを追加した場合、追加したvファイアウォールリソースの「IPアドレスグループ設定数」の最大値は5です。
サービスグループ設定数 5
vファイアウォールリソースが1つの場合は、最大値は10です。
vファイアウォールリソースを追加した場合、追加したvファイアウォールリソースの「サービスグループ数」の最大値は5です。
ルーティング設定数 5 -
※ NAPTに関してはご利用開始、あるいは最後にリソース数を変更した時期により1リソースあたりのセッション数が異なります。2,500セッションでご利用上不都合がある場合は個別にお問い合わせください。
 2015年4月15日以前からご利用の場合:2,500
 2015年4月16日以降からご利用の場合:10,000

IPアドレスグループ設定・サービスグループ設定
 vファイアウォールに対して、カスタマーポータルにおける設定の利便性を向上させるために、IPアドレスグループ設定、サービスグループ設定の機能が提供されます。
項目 概要
IPアドレスグループ設定
IPアドレスをグループ化することができます。
設定したIPアドレスグループは、パケットフィルタリング設定で利用できます。
サービスグループ設定
TCP・UDPのポートおよびICMPのTypeをグループ化することができます。
設定したサービスグループは、パケットフィルタリング設定で利用できます。

vファイアウォールリソースの追加・削減
 利用できるvファイアウォールリソースは、以下に記載した範囲で追加・削減できます。
  下限 上限 申込単位
vファイアウォールリソース 1 50(※) 1
※ カスタマーポータルで設定可能な値は最大10です。11以上のvファイアウォールリソースをご希望の場合は、別途お問い合わせください。

5.7.4. パケットフィルタリング機能

 vファイアウォールに対して、IPパケットのフィルタ条件(パケットフィルタリングのポリシー)を指定する機能です。フィルタ条件に合致したIPパケットの通過を許可したり拒否したりすることができます。
 パケットフィルタリングを適用するIPパケットのフィルタ条件として、1つのフィルタルール設定ごとに、以下の条件を指定できます。
項目 概要
インターフェース
パケットフィルタリングを実施するvファイアウォールのネットワークインターフェースを、以下のいずれかから選択します。
  • インターネットトランジット
  • VPNトランジット
  • サーバーセグメント
送信元IPアドレス IPパケットの送信元IPアドレスを、IPアドレスまたはIPアドレスグループで指定します。
送信元サービス IPパケットの送信元サービスを、TCP・UDPのポートおよびICMPのTypeまたはサービスグループで指定します。
あて先IPアドレス IPパケットの送信先IPアドレスを、IPアドレスまたはIPアドレスグループで指定します。
あて先サービス IPパケットの送信先サービスを、TCP・UDPのポートおよびICMPのTypeまたはサービスグループで指定します。
アクション 上記の項目で設定した条件に合致したIPパケットの通過について、許可または拒否を指定します。

重要

  • vファイアウォールの利用開始直後は、フィルタルールは設定されていません。この場合、すべての通信が拒否されます。通信を許可するためには、vファイアウォールの利用開始後、カスタマーポータルから任意のフィルタルールを設定してください。

5.7.5. NAT/NAPT機能

 vファイアウォールに対して、インターネットトランジット・VPNトランジット・サーバーセグメント間の、IPアドレス変換およびIPアドレス・ポート変換(以下、NAT/NAPT)ルールを設定することができます。
 1つのvファイアウォールに対して設定できるNAT/NAPT設定ルール数は、最大256通りです。

注釈

  • 1対1、または1対NのIPアドレス変換を行うことができます。

  • NAT/NAPTに指定できるIPアドレスは、NAT/NAPTを行うネットワークごとに異なります。

    インターネットトランジット

    • インターネット接続で利用しているグローバルIPアドレス

    VPNトランジット

    • VPN接続でVPNトランジットに割り当てるIPアドレスブロックのうち、未使用のIPアドレス

    サーバーセグメント

    • 任意のIPアドレス
  • カスタマーポータル対応VPN接続をご利用の場合、VPNトランジットにアサインしたIPアドレスを使用して設定できるNATルール数は1つまでです。


5.7.6. ログ専用ポータルの提供機能

 ログ専用ポータルのアカウントを提供します。ポータルにログインすることで、フィルタログの閲覧及びダウンロードを行うことができます。
 以下の機能を提供します。
機能 内容
ログの表示 ログ専用ポータル上で、vファイアウォールのフィルタログを表示します。ブラウザを更新いただくことで、最新のログを表示することができます。表示ログは、最大500行分です。
ログファイルの保存 画面表示されるログを含む非圧縮のログファイルが一つ生成、保存されます。このファイルが5MBに達すると、別ファイルとしてzip形式で自動的に圧縮保存されます。最大60のログファイルが保存されます。
ログファイルのダウンロード 保存されたログファイルを、ポータル上からお客様環境にダウンロードすることができます。
パスワードの変更 ログ専用ポータルのアカウントパスワード変更を行うことができます。

5.7.7. 注意事項

  • 弊社での保守・監視のために、vファイアウォールの設定を変更する場合があります。弊社で設定した内容については、お客様は設定を変更・削除することはできません。
  • カスタマーポータルでvファイアウォールの設定を変更する際、通信断が発生する場合があります。
ログ専用ポータル

  • ログ専用ポータルには、インターネットを経由してWebブラウザでアクセスする必要があります。別途インターネットへアクセスできる環境を準備してください。
  • vファイアウォールのフィルタログを閲覧・ダウンロードすることができます。他メニューのログや、カスタマポータルポータルの操作ログ等は提供しません。
  • ログ専用ポータルをご利用される際の推奨ブラウザは以下の通りです。
    • Mozilla Firefox 38.0
    • Google Chrome 43.0.2357
  • Syslogを利用し機能を提供しています。ログの取得に十分な設計を行っておりますが、共用環境への急激な負荷上昇等により、ログが欠損する可能性があります。また、弊社による基盤運用に係るログは表示されません。
  • ログの内容やその解析に関するお問い合わせはサポート対象外です。下記機器のログが未加工で表示・保存されます。機器提供元の開情情報等をご参照ください。
    • Cisco ASA 5500
  • SLAは提供しません。
  • ログ専用ポータルアカウント(ログインID・パスワード)を1つ提供します。2つ以上のアカウントは利用できません。また、複数のデータセンターにてご利用の場合はそれぞれアカウントが払い出されます。
  • アカウントのパスワードを忘れた場合、弊社サポートデスクまでご連絡ください。
  • ログは5MBごとに自動的に圧縮保存されます。任意のタイミングでログファイルとして保存することはできません。急激な通信の増加などにより、ログ容量・ログファイル数が急増する可能性がある点、ご了承ください。
  • ログファイルとして圧縮保存されたログは、専用ポータル上での参照ができません。ダウンロードの上ご参照ください。
  • ログファイルは最大60ファイルを保管します。60ファイルを越えた場合、古いファイルから自動的に削除されます。また、任意のログファイルを削除することはできません。
  • 一度削除されたログファイルは、復旧することはできませんのでご注意ください。