#5 境界ファイアウォールを設定してみた

こんにちは。佐々木です。
本サイトを見てくださりありがとうございます。

この記事ではIIJ GIOインフラストラクチャーP2 Gen.2（以降、Gen.2）の境界ファイアウォール（以降、境界FW）の設定について説明したいと思います。

境界FWは必ずしも必要…という品目ではありませんが、サーバがインターネットに出たり入ったりする際にはほぼ必須となる機能群になります。ここでは設定イメージをご紹介しますので、設定時の参考にしていただければと思います。

この記事では以下の流れで進めてみたいと思います。

想定される構成

今回は作成予定の仮想サーバがインターネットに接続する為の設定を行いたいと思います。ファイアウォールは要件により様々な設定が必要になりますが、今回の記事でイメージを持っていただければお客様環境に応じた設定もやりやすくなるのではないかと思います。

（クリックして拡大）

早速、境界FWを設定してみる

早速、P2ポータルに入り、下記図のようにVPCの「コントロールパネル」を押下し、遷移した画面から「境界FW」を選択します。

（クリックして拡大）

境界FWの設定画面に遷移しますので、最初にデフォルトポリシーの設定を行います。
以下の図のように名前が「デフォルト」となっているポリシーがあり、全ての通信が「許可」されている状態です。

デフォルトポリシーのアクションから「拒否」を選択し、「保存する」を押下します。
これでデフォルトポリシーの設定が完了します。

※ 境界FWは暗黙のDenyではない為、注意が必要です。

続いて、ポリシーに割り当てるアドレスオブジェクトを作成します。
アドレスオブジェクト管理タブを選択し、「+アドレスオブジェクト追加」を押下します。

アドレスオブジェクト編集画面が表示されますので、名前にはわかりやすい名前（今回は作成したプライベートセグメントIPアドレス帯を設定するので、プライベートセグメントと命名）を付け、アドレス欄には必要なIPアドレスを記載します（今回は仮想サーバからインターネットに出たいので、設定したプライベートセグメントのアドレスを記載します）。それぞれ入力し、「保存する」を押下します。

続いてポリシーの設定を行います。基本情報タブのポリシー欄から「追加」を押下します。

ポリシーがほぼ何も入力されていない状態でできるので、名前欄で名前を入力します。
（ここでは「IIJ_WEB」という名前で入力します。）

送信元欄の「すべて」を押下します。

アドレスオブジェクト選択画面が出るので、先ほど作成したプライベートセグメントにチェックを入れ、「選択」を押下します。

※ 送信先アドレスの選択も行えます。必要に応じ操作してください。今回、送信先は「すべて」のままポリシーを作成します。

続いてサービスを設定します。サービス欄の「すべて」を押下します。

サービスオブジェクト選択画面が出てくるので、必要なサービスを設定します。
（今回はインターネット接続ができればいいのでHTTPとHTTPSを選択）
必要なものにチェックを入れたら、「選択」を押下します。

ポリシー設定画面に遷移したら、入力内容に間違いないかを確認し、「保存する」を押下します。

※ ポリシーは「保存する」を押下しないと反映されません。
※ 必要に応じてポリシーを同様の手順で複数作成ください。

これで境界FWの設定は完了です。

最後に補足として、今回の手順では飛ばしてしまったサービスオブジェクトの作成方法もご案内します。サービスオブジェクト管理タブから「+サービスオブジェクト追加」を押下します。

サービスオブジェクト編集画面が表示されるので、「名前」「プロトコル(UDP/TCPなど)」「送信元ポート」「送信先ポート」をそれぞれ入力し、「保存する」を押下し、完了です。

作成方法やインタフェースはアドレスオブジェクトとほぼ一緒なので、必要に応じて作成してください。またサービスに関しては、デフォルトで定義されているものも多数あります。

まとめ

• アドレスオブジェクトやサービスオブジェクトはユーザで好きに定義できる
• ポリシー設定画面で「保存する」を押さなければ、設定には反映されない
• 境界FWはステートフルFW

最後に

今回で概ね仮想サーバ周りの設定が完了しました。境界FWは一般的なFWでできる事は概ねできるかと思います。
次回はいよいよ、本丸である仮想サーバのデプロイ手順を案内できればと思います。