本文へジャンプします。

TOP

ニフティクラウド仕様・機能

ファイアウォール

ファイアウォール

お客様のサーバーへの通信を、あらかじめ定義されたルールに従ってフィルタリングする機能です。

サーバーの外でフィルタリングを行うため、複数のサーバーに一括で同じ設定のファイアウォールを適用することができます。

設定と管理は、コントロールパネルやニフティクラウドAPIで行うことができ、お客様の運用効率が飛躍的に向上します。

Webアプリケーションに特化した、SaaS型のファイアウォールを提供しています。詳しくはWAF(Scutum)のページをご確認ください。

特長

定義ミスによる事故を防止
ファイアウォールを利用することで、OS 設定時に誤って定義ミスをしてしまった場合などの事故を抑止します。

面倒な設定も、コントロールパネルから設定可能
コントロールパネルにて、複数のサーバーに一括でフィルター設定をすることが可能です。

ニフティクラウドAPIを利用して自動化も
ニフティクラウド API にも対応しているため、プログラムによる処理の自動化にも対応できます。

仕様

ファイアウォールの仕様の詳細につきましては、以下をご確認ください。

通信許可設定 Incoming/Outgoing許可設定
設定グループ数 ゾーンごとに60件まで設定可能
設定ルール数 100件まで設定可能
ルールの詳細 プロトコル TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP
宛先ポート お客様で指定可能
IN/OUT指定 Incoming/Outgoing
接続元種別 IPアドレス、CIDR、グループ
ログ取得 直近1,000件または2週間まで保存
(2週間経過すると、1日分ごとにログを削除します。)
  • ルール設定のプロトコル選択について、SSH、HTTP、HTTPS、RDPはそれぞれ22、80、443、3389を指定します。
サーバーへの適用
  • サーバーの作成/起動、ファイアウォールグループ作成時に選択することができます。
  • 1サーバーにつき、1グループのみ適用可能です。
  • ファイアウォールの適用/取り外しは、サーバー起動中でも行うことができます。
  • サーバーにファイアウォールが適用されている場合、そのファイアウォールの削除は行えません。
インポート

ファイアウォールグループをファイルからインポートできる機能です。
iptablesファイルの「filter」テーブルに記載されているAcceptルールのみを、以下の規則に従いインポートすることができます。

  オプション インポート仕様
チェイン -A INルールまたはOUTルールとしてインポートします。
プロトコル -p プロトコルとしてインポートします。
ポート --dports/--ports/--sports/--sport/--dport 宛先ポートとしてインポートします。
IPアドレス -d/-s IP/CIDRとしてインポートします。
コメント 行末の#〜〜から始まる文字列 メモとしてインポートします。
  • ファイル形式は、Linuxのiptablesファイルとなります。
  • ファイアウォールグループ新規作成時のみ、インポートすることができます。
  • コントロールパネルからのみインポート可能です。API、SDKにてインポートすることはできません。
  • インポートを実施することで、iptablesのルールがニフティクラウドのFWルールに変換されます。
  • ニフティクラウドのファイアウォールで提供されていない機能については正常にインポートされません。
  • iptablesルールは、全許可(CIDR0.0.0.0/0)としてインポートされます。
ログ取得
  • コントロールパネルで確認できるファイアウォールのログ情報は、ファイアウォールに設定したルールにより拒否された通信ログとなります。
  • ルールに抵触せず、正常にファイアウォールを通過した通信は、ログ情報に表示されません。
  • Outgoingの通信についてのログは表示されません。
  • ログのフィルタ機能で「全てのログを出力する」を選択いただいた場合や、CSV形式でログ情報をダウンロードいただいた場合も同様の表示となります。
その他
  • すべてのリージョン/ゾーンにおいて、ファイアウォールの利用有無に関わらず、TCPステートに適合しないフラグを持つパケットは拒否します。
    • ・例:ステートを保持し、SYN-SENT状態の時にACKフラグのみをもつ通信が来た場合、通信を拒否します。
    • ・例:非対称な経路を通過するような通信を行う場合 、通信を拒否します。(TCPステートは、サーバーのネットワークインターフェース毎に管理されます。)
    • ・例:セッション確立後、TCPステートが ESTABLISHED となった状態で、長時間(12時間以上)無通信の場合、TCPステートが削除されセッションタイムアウトとなります。
  • TCP:21(FTP)、TCP/UDP:111(SUN RPC)、TCP/UDP:135(MS RPC)は、ネットワークプロトコルを解釈し制御を行います。
  • 基本監視/パフォーマンスチャート用のサーバーから、snmpおよびicmp通信を、システム監視用のサーバーから、icmp通信を許可しています。ファイアウォールでの許可を別途設定する必要はありません。
  • ロードバランサー、および同一ファイアウォールグループ内からの通信はすべて許可しています。
  • サーバーに適用中のファイアウォールのルールを変更した場合、その変更内容は即時に反映されます。
  • ファイアウォールを外したサーバーは、すべての通信を許可することになりますので、ご注意ください。

料金

  月額(税抜)
基本料金 無料
オプション ログ取得(1,000件→100,000件) 1,000円/月

ご利用方法

コントロールパネルおよびニフティクラウドAPIからご利用いただけます。

注意事項

  • ファイアウォールにサーバーを追加するときは、同じゾーンでのみ選択可能です。
  • ファイアウォールのグループ作成をするときは、ゾーンを選択して作成してください。
  • ※本ページ記載の金額は、すべて税抜表示です。詳しくは、「弊社商品の価格表示について」をご覧ください。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2017年8月8日時点の情報です。

ニフティクラウド 機能・サービス一覧