本文へジャンプします。

ニフクラ 技術仕様

ファイアウォール:グループ

ファイアウォールの適用対象と適用するルールをグループ化したものです。
ファイアウォールでは、ファイアウォールグループ内にフィルタリング条件となるINルール/OUTルールを定義します。なお、ルールはファイアウォールグループに所属しているサーバー単位で適用する仕組みとなっています。

構成の上限

パラメータ名 内容
設定可能グループ数上限 60件/ゾーン

ファイアウォールグループの要素

パラメータ名 内容
ファイアウォールグループ名 ファイアウォールグループの名前です。半角英数字1〜15文字で設定します。
ゾーン ファイアウォールグループが属するゾーンです。同一ゾーンに存在するサーバー・ルーター・VPNゲートウェイにのみ、ファイアウォールは適用できます。
ログ取得件数 設定したルールより拒否した通信のログを保持しておく件数です。詳細につきましては、技術仕様 ファイアウォール:ログをご確認ください。
INルール サーバーが受信する通信に対する制御ルールです。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
OUTルール サーバーが送信する通信に対する制御ルールです。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
サーバー ファイアウォールグループで定義された設定を適用する対象のサーバーです。1つのサーバーに1つのファイアウォールグループのみ設定できます。
ルーター ファイアウォールグループで定義された設定を適用する対象のルーターです。1つのルーターに1つのファイアウォールグループのみ設定できます。
VPNゲートウェイ ファイアウォールグループで定義された設定を適用する対象のVPNゲートウェイです。1つのVPNゲートウェイに1つのファイアウォールグループのみ設定できます。

コンパネ表示のパラメーター内容

パラメータ名 内容
ファイアウォールグループ名 設定したファイアウォールグループの名前です。
ルール数 設定したファイアウォールのルール数です。自動で追加されたルールに関してはカウントされません。
適用台数 ファイアウォールを適用しているサーバー・VPNゲートウェイ・ルーターの台数です。
ステータス ファイアウォールルール設定変更の受付状況を示しています。ファイアウォールの設定が適用されるまでには、数分の時間がかかる場合がございます。
ステータスの種類
ステータス名 ステータス
適用済み ファイアウォールはコントロールパネルの表示どおり正常に動作しています。
適用中 変更操作の受け付けを行っているステータスです。

ファイアウォールグループのデフォルトルール

ファイアウォールグループを設定すると、ルールテーブルの末尾にルールが自動生成されます。ここでは、ファイアウォールグループを作成すると自動生成されるルールについて説明します。この以外にファイアウォールグループに所属している・いないによらず、自動生成されるデフォルトルールがあります。デフォルトルールにつきましては、技術仕様 ファイアウォール:デフォルトルールをご確認ください。

INルール

ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。コントロールパネルからINルールを設定していない場合と、設定している場合でも変わらず適用されます。

送信元 プロトコル 動作 内容
同一ファイアウォールグループ すべて 許可 同じファイアウォールグループのサーバーからの受信は許可する。
すべて すべて 拒否 ルールにマッチしなかった通信は拒否する。
  • ※「同じファイアウォールグループのサーバーからの受信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。
OUTルール

ファイアウォールグループを適用したサーバーは、ルールテーブルの末尾に下記のルールが自動的に挿入されます。コントロールパネルからOUTルールを設定していない場合と、設定している場合で内容が異なります。

コントロールパネルからOUTルールを設定していない場合
送信元 プロトコル 動作 内容
すべて すべて 許可 すべてのルールを許可する。
コントロールパネルからOUTルールを設定している場合
送信元 プロトコル 動作 内容
同一ファイアウォールグループ すべて 許可 同じファイアウォールグループのサーバーからの送信は許可する。
すべて すべて 拒否 ルールにマッチしなかった通信は拒否する。
  • ※「同じファイアウォールグループのサーバーからの送信は許可する。」を正常に動作させるためには、グループに所属するサーバーのVMware Toolsが正しく動作している必要があります。詳細につきましては、技術仕様 ファイアウォール:ルールをご確認ください。

サーバーへファイアウォールを適用できるタイミング

サーバー停止/起動状態にかかわらず可能です。

ファイアウォールグループを削除出来ない条件

  • サーバー、ルーター、VPNゲートウェイが所属している場合、ファイアウォールグループを削除することができません。
  • INルール/OUTルールの接続元種別/接続先種別としてファイアウォールグループを指定している場合、そのファイアウォールグループを削除することができません。

ファイアウォールルール変更時の挙動

ファイアウォールグループのルール内容を変更した場合、変更後のファイアウォールグループがサーバーに適用される直前までは、変更前のファイアウォールグループのフィルター設定で通信が制御されます。ファイアウォールルール変更の過程で通信がすべて遮断されることや、すべて許可されることはございません。

ファイアウォール適用の範囲

  • サーバーは1つのファイアウォールにのみ所属できます。ファイアウォールグループ作成時に、ほかのファイアウォールグループに所属しているサーバーを指定することはできません。
  • ファイアウォールグループは最も少ない構成でもサーバー単位で適用します。サーバーは複数のネットワークに所属している場合、すべてのネットワークに定義したルールが適用されます。

推奨画面サイズ 1024×768 以上