お客さまのサーバーへの通信を、あらかじめ定義されたルールに従ってフィルタリングする機能です。
サーバーの外でフィルタリングを行うため、複数のサーバーに一括で同じ設定のファイアウォールを適用することができます。
設定と管理は、コントロールパネルやAPIで行うことができ、お客さまの運用効率が飛躍的に向上します。
Webアプリケーションに特化した、SaaS型のファイアウォールを提供しています。詳しくはWAF(Scutum)のページをご確認ください。
特長
定義ミスによる事故を防止
ファイアウォールを利用することで、OS 設定時に誤って定義ミスをしてしまった場合などの事故を抑止します。
面倒な設定も、コントロールパネルから設定可能
コントロールパネルにて、複数のサーバーに一括でフィルター設定をすることが可能です。
APIを利用して自動化も
API にも対応しているため、プログラムによる処理の自動化にも対応できます。
仕様
| 通信許可設定 | Incoming/Outgoing許可設定 | |
|---|---|---|
| 設定グループ数 | ゾーンごとに60件まで設定可能 | |
| 設定ルール数 | 100件まで設定可能 | |
| ルールの詳細 | プロトコル | TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP |
| 宛先ポート | お客さまで指定可能 | |
| IN/OUT指定 | Incoming/Outgoing | |
| 接続元種別 | IPアドレス、CIDR、グループ | |
| ログ取得 | 直近1,000件または2週間まで保存 (2週間経過すると、1日分ごとにログを削除します。) |
|
ルール設定のプロトコル選択について、SSH、HTTP、HTTPS、RDPはそれぞれ22、80、443、3389を指定します。
サーバーへの適用
- サーバーの作成/起動、ファイアウォールグループ作成時に選択することができます。
- 1サーバーにつき、1グループのみ適用可能です。
- ファイアウォールの適用/取り外しは、サーバー起動中でも行うことができます。
- サーバーにファイアウォールが適用されている場合、そのファイアウォールの削除は行えません。
インポート
ファイアウォールグループをファイルからインポートできる機能です。
iptablesファイルの「filter」テーブルに記載されているAcceptルールのみを、以下の規則に従いインポートすることができます。
| オプション | インポート仕様 | |
|---|---|---|
| チェイン | -A | INルールまたはOUTルールとしてインポートします。 |
| プロトコル | -p | プロトコルとしてインポートします。 |
| ポート | --dports/--ports/--sports/--sport/--dport | 宛先ポートとしてインポートします。 |
| IPアドレス | -d/-s | IP/CIDRとしてインポートします。 |
| コメント | 行末の#~~から始まる文字列 | メモとしてインポートします。 |
- ファイル形式は、Linuxのiptablesファイルとなります。
- ファイアウォールグループ新規作成時のみ、インポートすることができます。
- コントロールパネルからのみインポート可能です。API、SDKにてインポートすることはできません。
- インポートを実施することで、iptablesのルールがCloudestのFWルールに変換されます。
- Cloudestのファイアウォールで提供されていない機能については正常にインポートされません。
- iptablesルールは、全許可(CIDR0.0.0.0/0)としてインポートされます。
ログ取得
- コントロールパネルで確認できるファイアウォールのログ情報は、ファイアウォールに設定したルールにより拒否された通信ログとなります。
- ルールに抵触せず、正常にファイアウォールを通過した通信は、ログ情報に表示されません。
- Outgoingの通信についてのログは表示されません。
- ログのフィルタ機能で「全てのログを出力する」を選択いただいた場合や、CSV形式でログ情報をダウンロードいただいた場合も同様の表示となります。
その他
- TCPステートに適合しないフラグをもつパケットは拒否します。
(例: SYN-SENT 状態のとき ACK フラグのみをもつ通信が来た場合、通信を拒否します。) - TCP:21(FTP)、TCP/UDP:111(SUN RPC)、TCP/UDP:135(MS RPC)は、ネットワークプロトコルを解釈し制御を行います。
- 基本監視/パフォーマンスチャート用のサーバーから、snmpおよびicmp通信を、システム監視用のサーバーから、icmp通信を許可しています。ファイアウォールでの許可を別途設定する必要はありません。
- ロードバランサー、および同一ファイアウォールグループ内からの通信はすべて許可しています。
- サーバーに適用中のファイアウォールのルールを変更した場合、その変更内容は即時に反映されます。
- すでにご契約中のお客さまは引き続きiptablesでのフィルター設定を行ってください。
- ファイアウォールを外したサーバーは、すべての通信を許可することになりますので、ご注意ください。
料金
| 月額(税別) | ||
|---|---|---|
| 基本料金 | 無料 | |
| オプション | ログのフィルタ機能 | 無料 |
| ログ取得(1,000件→100,000件) | 1,000円/月 | |
ご利用方法
コントロールパネルからご利用いただけます。
注意事項
- ファイアウォールにサーバーを追加するときは、同じゾーンでのみ選択可能です。
- ファイアウォールのグループ作成をするときは、ゾーンを選択して作成します。
本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
本ページの内容は、2016年11月21日時点の情報です。