KDDIクラウドプラットフォームサービス ナレッジサイト

  • HOME
  • 操作方法
  • 操作手順(ハンズオン)
  • ファイアウォール(FW)・ロードバランサー(LB)
  • 拡張ファイアウォール設定
  • ポリシー設定

ポリシー設定

  • ポリシーは、トラフィックの属性(通信元ゾーン、通信先ゾーン、通信元アドレス、通信先アドレス、
    アプリケーションおよびサービス(HTTPなど))に基づいて新しいネットワークセッションの許可または
    拒否(ブロック)を指定します。
  • 受信トラフィックは一番上に設定されたポリシーから順に照合され、条件に一致した最初のポリシーが適用され、
    定義されたアクションにしたがって、許可または拒否します。
  • どのポリシーにも一致しないトラフィックは拒否されます。
  • ポリシーは必要に応じて適用範囲を指定できます。

ポリシー定義の手順

  • メニューの[ファイアウォール設定]-[ポリシー設定]をクリックし、[ポリシー設定]を開きます。
  • 新しいポリシーを追加するには、ページの上下部にある[ポリシーの追加]をクリックします。新しいポリシー名を入力し[OK]をクリックすると、新しいポリシーがデフォルトの設定でリストの最上部に追加されます。
  • 新しいまたは既存のポリシーのフィールドを変更するには、現在のフィールドの値をクリックして以下に示した
    適切な情報を指定し、[OK]をクリックします。
    ※通信元:Untrustから通信先:Trust、通信元:Trustから通信先:Untrustへの通信はサービス上制限されております。
    カスタマーコントロールにてポリシーの登録はできますが通信の制限は解除されません。

policy

フィールド 説明
ポリシー名 ポリシー名を設定します。定義するポリシーを表す名前(最大31 文字)を入力します。英字、数字、
ハイフン、およびアンダースコア(すべて半角)のみ使用可能です。この名前は、名前の大文字と小文字は
区別されます。また、一意の名前にする必要があります。
(注意)「all_deny」はシステム内にて利用しているため、ポリシー名として使用できません。
通信元ゾーン
通信先ゾーン

ポリシーを適用する通信元と通信先のゾーンを選択します。

any すべてのゾーンが対象となります。
選択する 1つ以上の通信元ゾーンと通信先ゾーンを選択します。
・Trust_xx :信頼された内部ポート側を指します。
・Untrust_xx :信頼されていない外部ポート側(Internet 網)を指します。
・DMZ_x_xx :DMZ ポートを指します。

(注意)通信元:Untrust から通信先:Trust および通信元:Trustから通信先:Untrust への通信はサービス上
制限されております。カスタマーコントロールにてポリシーの登録はできますが通信の制限は解除されません。

通信元アドレス
通信先アドレス

ポリシーを適用する通信元と通信先の IP アドレスを選択します。

any すべてのアドレスが対象となります。
選択する オブジェクト選択にあるアドレスやアドレスグループの横にあるチェックボックスをオンにします。                            
個別にアドレスを定義する場合は、追加アドレス欄に 1 つ以上の IP アドレスを(1 行ごとに 1 つ)入力します。
ネットワークマスクは任意に指定が可能です。一般的な形式は以下の通りです。
<ip_address>/<mask>

※オブジェクトは、お客さまが作成したアドレスやアドレスグループが表示されます。
※アドレスグループを事前に設定しておくことでより効率的にポリシー設定ができます。
詳細は関連資料「カスタマーコントロール操作説明書」をご参照ください。

アプリケーション

ポリシーを適用する特定のアプリケーションを選択します。

any アプリケーションを特定しない場合に選択します。
選択する 表示されているアプリケーションの一覧の中から、設定したいアプリケーションを選び[追加]をクリックします。
「選択中のアプリケーション」に選択した分のアプリケーションが追加されるので、確認後[OK]をクリックします。
アプリケーションの一覧表示は絞り込みを行うことが可能です。
※アプリケーションの新規登録やアプリケーショングループの登録については関連資料「カスタマーコントロール操作説明書」をご参照ください。
Web ウイルスチェック ポリシーの条件に一致するトラフィックのウイルスチェックの有無を定義します。
スパイウェアチェック ポリシーの条件に一致するトラフィックのスパイウェアチェックの有無を定義します。
サービス 特定のアプリケーションにポリシーを定義する場合、1 つ以上のサービスを選択して、アプリケーションで使用できるポート
番号を制限できます。

any プロトコルやポートを特定しない場合に選択します。
application-default アプリケーションで任意のアプリケーションを選択している場合([any]でない場合)は、
本項目を選択してください。
選択する オブジェクト選択で該当するサービスの横にあるチェックボックスをオンにします。
一般的なサービスはあらかじめ定義されています。
IPS/IDS ポリシーの条件に一致するトラフィックの脆弱性チェックの有無を定義します。
アクション ポリシーの条件に一致するトラフィックの新しいネットワークセッションの扱いを定義します。
  • リスト内でポリシーを移動するには、ポリシー番号の横のラジオボタンをクリックして該当するポリシーを選択し、ページ上下部にある[ポリシーの移動]を選択します。移動する範囲は、[一番上へ移動][一番下へ移動]
    [ひとつ上へ移動][ひとつ下へ移動]になります。

操作方法

2024/03/15 2024/03/15