お問い合わせ ドキュメント
検索
Compute V
Compute O
Compute D
MECダイレクト
MECダイレクト(SA)
ドコモ画像認識PF
ネットワークセキュリティサービス
docomo MECポータルへのログイン方法
用語集

ファイアウォールの設定

概要

 エッジゲートウェイにはファイアウォールを適用できます。ファイアウォールはフロントネットワークのIPアドレスベースで設定します。インターネットとフロントネットワーク間のIPアドレスとプロトコルに対して、許可または拒否を行えます。
Compute Vのファイアウォールはインターネットとフロントネットワークの間にあるエッジゲートウェイだけで有効です。仮想データセンター内部のネットワークでファイアウォールが必要な場合は、通信を行う仮想マシンのiptablesなどで設定を行ってください。
 

セキュリティの設定

 ファイアウォールを設定するにはセキュリティの設定が必要です。ファイアウォールとセキュリティの設定はエッジゲートウェイごとに行う必要があります。

IP アドレスセット

 エッジゲートウェイに対してIP アドレスセットを設定します。IP アドレスセットはIPアドレスかCIDR表記で設定できます。
  1. 仮想データセンターの左ペインメニューから エッジ を選択し、Edgeゲートウェイリストからファイアウォールを設定したいエッジゲートウェイ名を選択します。

    2.  

  2. 詳細画面左側のペインから IP アドレス セット を選択し 新規 をクリックします。

    • グループに設定する名前と説明を入力します。
      名前はファイアウォールルールの設定画面に表示されるのでわかりやすい名称をつけます。
    • グループにまとめたいIPアドレスを入力します。入力フォーマットはIPアドレスのみ、CIDR表記のIPアドレス、を入力できます。
      • IPアドレス
        指定したIPアドレスにルーティングされるトラフィックがファイアウォールの対象です。フォーマットは 192.168.0.1 です。
      • CIDR表記のIPアドレス
        指定したIPアドレスの範囲にルーティングされるトラフィックがファイアウォールの対象です。フォーマットは 192.168.0.0/24 です。
    • グループ化するIPアドレスを入力し終えたら 保存 をクリックします。

アプリケーションポートプロファイル

 エッジゲートウェイに対して通信ポートを設定できます。設定はプロファイルとして指定したプロトコルのポートに対して行えます。1つのプロファイルに複数の設定を行うことができファイアウォールルールにはプロファイル単位で設定します。

HTTP:80 や HTTPS:443 などよく使われる設定はデフォルトアプリケーションとしてすでに設定しています。まずデフォルトアプリケーションを確認して存在しない物のみプロファイルとして追加します。設定を探すにはカラムヘッダにあるフィルタマークをクリックします。名前やプロトコル名、ポート番号でフィルタリングが可能です。

  1. 仮想データセンターの左ペインメニューから エッジ を選択し、Edgeゲートウェイリストからファイアウォールを設定したいエッジゲートウェイ名を選択します。

  2. 詳細画面左側のペインから アプリケーションポートプロファイル を選択し 新規 をクリックします。

    • プロファイルに設定する名前と説明を入力します。
      名前はファイアウォールルールの設定画面に表示されるのでわかりやすい名称をつけます。
    • プロファイルに設定するプロトコルとポートを選択します。プロトコルは
      • TCP
      • UDP
      • ICMPv4
      • ICMPv6
        が選択できます。ポート番号は 80 や 80,443 のようにカンマ区切りです。
    • 必要な設定を終えたら 保存 をクリックします。

ファイアウォールの作成

 セキュリティの設定を終えたらファイアウォールを設定します。

  1. 仮想データセンターの左ペインメニューから エッジ を選択し、Edgeゲートウェイリストからファイアウォールを設定したいエッジゲートウェイ名を選択します。

  2. 詳細画面左側のペインから ファイアウォール を選択し ルールの編集 をクリックします。

  3.  最上位に追加 またはルールを挿入したい位置にある既存のルールを選択して 上に追加 を選択します。
    ファイアウォールは先頭から順番にルールが評価され一致したルールにしたがってルーティングされます。より優先したいルールほど先頭に配置します。ルールの評価順序は優先度のみです。

  4. ルールを設定します。各ルールは、条件に合致した通信を許可、もしくは拒否します。条件としては、通信元(ソース)や通信先(ターゲット)のIPアドレスセット、通信ポートなどが使用可能です。

    • ルール名を入力します。名称にはルールの動作を表すものを入力します。

    • ルールが通信ポートを対象にする物である場合は、アプリケーションカラムを選択してルールに含めるアプリケーションを選択します。1つのルールには複数のアプリケーションを含めることができます。通信ポートを指定しない場合は空にします。

    • ルールが適用されるソースIPアドレスセットを選択します。ソースの選択は必須です。ソースには複数のIPアドレスセットを含めることができますが、全てのソースを受け入れる場合は、 任意のソース スライドボタンをクリックして Any ソースを選択します。

    • ルールが適用されるターゲットIPアドレスセットを選択します。ターゲットの選択は必須です。ターゲットには複数のIPアドレスセットを含めることができますが、全てのターゲットを対象にする場合は、 任意のターゲット スライドボタンをクリックして Any ターゲットを選択します。Anyターゲットはエッジゲートウェイに接続されている全てのネットワークが対象です。

    • ルールが一致したときにトラフィックに対して行われるアクションを設定します。設定は 許可 または 拒否 です。

    • ルールが適用されるIPプロトコルを選択します。設定は IPv4 または IPv6 あるいは両方が設定可能です。

    • ルールが適用されるトラフィックの方向を設定します。設定は 内部 方向または 外部 方向、あるいは 送受信可能 が設定可能です。
       内部 とはCompute Vが 受信 するトラフィックを示します。ソースにAnyアドレスを選択しターゲットにCompute Vの内部ネットワークIPを選択すると、ソースからターゲットに向かうトラフィックが内部となります。
       外部 とはCompute Vが 送信 するトラフィックを示します。ソースにAnyアドレスを選択しターゲットにCompute Vの内部ネットワークIPを選択すると、ターゲットからソースに向かうトラフィックが外部となります。
      次に方向設定の概要を示します。

      ソース ターゲット 方向設定 トラフィックの向き
      Compute V外のIP Compute V内のIP 内部 ソース → ターゲット
      Compute V外のIP Compute V内のIP 外部 ソース ← ターゲット
      Compute V内のIP Compute V外のIP 内部 ソース ← ターゲット
      Compute V内のIP Compute V外のIP 外部 ソース → ターゲット
      Any Any 内部 Compute Vが受信するトラフィック
      Any Any 外部 Compute Vが送信するトラフィック

    •  ログ記録 のスライドボタンを無効に切り替えます。
      現在ログを記録することはできません。必ず無効に切り替えてください。

    • 設定が完了したら、 保存 をクリックします。
NICの追加 リモート接続
  • ※「docomo MEC」は株式会社NTT ドコモの商標です。