デフォルトでは、コンピューティング ゲートウェイはすべてのアップリンクへのトラフィックをブロックします。必要に応じて、トラフィックを許可するコンピューティング ゲートウェイのファイアウォール ルールを追加します。

コンピューティング ゲートウェイ ファイアウォール ルールは、指定された送信元から指定された宛先へのネットワーク トラフィックに対して実行するアクションを指定します。アクションは、許可(トラフィックを許可する)かドロップ(指定された送信元と宛先に一致するすべてのパケットをドロップする)のいずれかです。送信元と宛先は、物理ネットワーク インターフェイスのリストから選択するか、 [すべてのアップリンク] という一般的な指定(ゲートウェイから VPC インターフェイス、インターネット インターフェイス、Direct Connect インターフェイスに向かうすべてのトラフィックに適用される)によって選択できます。
注: [すべてのアップリンク] に適用されるファイアウォール ルールは、仮想インターフェイスであって物理アップリンクではない [VPN トンネル インターフェイス] (VTI) には適用されません。 [VPN トンネル インターフェイス] は、ルートベースの VPN で行われるワークロード仮想マシンの通信を管理する、任意のファイアウォール ルールの [適用先] パラメータで明示的に指定する必要があります。
コンピューティング ゲートウェイには、VTI へのすべてのトラフィックをドロップする [デフォルトの VTI ルール] および [すべてのアップリンク] へのトラフィックがドロップされる [デフォルトのアップリンク ルール] が含まれています。ワークロード仮想マシンが VTI 上で通信できるようにするには、このルールを変更するか、ルール階層の下位に移動して、より許可度の高いルールの後ろに配置します。

ファイアウォールを通過するすべてのトラフィックに、このルール テーブルのルールが上から順に適用されます。上位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケットがドロップされるか拒否されるまで、またはデフォルト ルールに適合するまで、ルールの適用が続けられます。

前提条件

コンピューティング ゲートウェイ のファイアウォール ルールでは、送信元と宛先の値についてインベントリ グループを指定する必要があります。コンピューティング グループの追加または変更 を参照してください。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] タブで、[ゲートウェイのファイアウォール] をクリックします。
  3. [ゲートウェイ ファイアウォール] 画面で、[コンピューティング ゲートウェイ] をクリックします。
  4. ルールを追加するには、[ルールの追加] をクリックし、新しいルールの [名前] を入力します。
  5. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( ) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元 [送信元] 列の [任意] をクリックし、送信元ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    宛先 [宛先] 列の [任意] をクリックし、宛先ネットワーク トラフィックのインベントリ グループを選択するか、[新しいグループの作成] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    サービス [サービス] 列の [任意] をクリックし、リストからサービスを選択します。[保存] をクリックします。
    適用先 ルールを適用するトラフィックのタイプを定義します。
    • ルートベースの VPN 上のトラフィックにルールを適用する場合は、[VPN トンネル インターフェイス] を選択します。
    • リンクされた Amazon VPC 接続上のトラフィックにルールを適用する場合は、[VPC インターフェイス] を選択します。
    • パブリック IP アドレスを使用するポリシーベースの VPN を含むインターネット上のトラフィックにルールを適用する場合は、[インターネット インターフェイス] を選択します。
    • プライベート IP アドレスを使用するポリシーベースの VPN を含む AWS Direct Connect(プライベート VIF)上のトラフィックをルールで許可する場合は、[Direct Connect インターフェイス] を選択します。
    • [VPC インターフェイス][インターネット インターフェイス][Direct Connect インターフェイス] にルールを適用し、[VPN トンネル インターフェイス] に適用しない場合は、[すべてのアップリンク] を選択します
      注: [VPN トンネル インターフェイス] はアップリンクとして分類されていません。
    操作
    • すべての L2 および L3 トラフィックがファイアウォールを通過できるようにするには、[許可] を選択します。
    • [ドロップ] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットをドロップします。これは、送信元または宛先のシステムに通知されない、サイレント アクションです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試行されます。
    • [拒否] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットを拒否します。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他のプロトコルの場合、応答には「管理上禁止」のコード(9 または 10)が含まれます。接続を確立できない場合、すぐに送信者に通知されます(再試行は行われません)。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  6. [発行] をクリックして、ルールを作成します。

    新しいルールには、ルールによって生成されるログ エントリで使用される、整数の [ID] 値が付与されます。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing vRealize Log Insight Cloudを参照してください。

  • グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
    表 1. ルールのヒットの統計
    ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。
    ヒット カウント ルールが作成されてからトリガーされた回数。
    表 2. フローの統計
    パケット数 このルールの対象となるパケット フローの合計。
    バイト数 このルールの対象となるバイト フローの合計。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。
  • ファイアウォール ルールを並べ替えます。

    [新しいルールの追加] ボタンから作成されたルールは、ルールのリストの一番上に配置されます。ファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。