Configure a Hardware Firewall

 

概要

 

ハードウェア・ファイアウォールは、サーバーのアップストリームで接続されたネットワーク・デバイスです。ファイアウォールは、望ましくないトラフィックがサーバーに到達する前に、そのトラフィックをサーバーからブロックします。ハードウェア・ファイアウォールを使用する主な利点は、サーバーが「良好な」トラフィックを処理するだけですみ、「不正な」トラフィックの処理のためにリソースが無駄にならないことです。

ファイアウォールの構成は、特定のインターネット・アドレスから一定の IP アドレスとポートへのアクセスを許可する一連のルールを作成するだけで簡単です。

サーバーへのファイアウォールの追加

サーバーにファイアウォールを追加するには、カスタマー・ポータルでリンク「デバイス (Devices)」>「デバイス・リスト (Device List)」> 目的のサーバーをクリック >「構成 (Configuration)」> 画面下部に移動「ハードウェア・ファイアウォールの注文 (Order Hardware Firewall)」をクリックします。このページには、アカウント上のサーバー、ファイアウォールによる保護に適格なサーバー、既にファイアウォールによって保護されているサーバー、ネットワーク構成が原因でファイアウォールによって保護できないサーバーのリストが表示されます。

サーバーがファイアウォールに適格であることを想定して、サーバーにファイアウォールを追加するには、「追加 (add)」リンクをクリックします。サーバーにファイアウォール保護を追加する手順が表示されます。ファイアウォールがサーバーに追加されると、ファイアウォールを構成するための「編集 (Edit)」リンクを使用できるようになります。

ルールの編集

ファイアウォールが初めてサーバーに追加されるときは、すべてのトラフィックがサーバーに到達できるようにする一連のルールが最初に設定されています。サーバーに到達するトラフィックを制御するために、ルールを編集できます。ルールは、低い番号のルールの方が高い番号のルールよりも優先される順序で表示されます。

ファイアウォール管理リンクから、構成するファイアウォールの「編集 (Edit)」リンクをクリックします。ページには、有効になっている現行のルールを示すタブと、サーバーのオペレーティング・システム用にカスタマイズされたテンプレートを示す複数のタブが入ったブロックが表示されます。

この時点で、現行のルールを編集したり、テンプレートを使用して新規作成するためのリンクを使用できます。ユーザーが現行のルールを編集するか、テンプレートで開始して新規構成を編集するかを選択した後、各行に「編集 (Edit)」ボタンがあるルールのリストが表示されます。ルールのリストは「作業構成」と呼ばれます。「作業構成」は、作成プロセス中で、まだファイアウォールに適用されていない一連のルールです。ユーザーは、ルール・セットが完了するまでルールの編集、追加、削除を行うことができ、その後でルールをファイアウォールに適用できます。ファイアウォールはルール・セットを有効にします。

「編集 (Edit)」ボタンをクリックすると、ユーザーはルール編集フォームに移動します。以下のフィールドがあります。

  • 順序 - この選択リストは、ルールが評価される順序を制御します
  • アクション - この選択リストは、このルールと一致するトラフィックの「許可」または「拒否」のために使用されます
  • ソース IP - この IP アドレス・フィールドには、「任意」または特定の IP アドレス (名前ではなく IP でなければなりません) を指定できます
  • ソース IP マスク - この選択リストは、通常は「インターネット」全体に設定されたルールに IP の範囲が必要になった場合に使用されます
  • 宛先ポート - これらの 2 つのフィールドでは、ルールのポートまたはポート範囲を選択できます (1 個のポートの場合は両方のフィールドに同じポート番号を入力します)
  • プロトコル - この選択リストでは、ルールを特定のプロトコル (通常は TCP) にのみ適用できます

共通ポート:

FTP - 21
SSH - 22
Telnet - 23
SMTP - 25
DNS - 53
HTTP - 80
POP3 - 110
IMAP - 143
HTTPS - 443
MSSQL - 1433
MySQL - 3306
Remote Desktop - 3389
PostgreSQL - 5432
VNC Web - 5800
VNC Client - 5900
Urchin - 9999 または 10000

ルールの適用

「作業構成」が完了したら、「構成の適用 (Apply Config)」ボタンを押して「作業構成」をファイアウォールに適用します。ルールは即時に有効になるはずです。

ファイアウォールのバイパス

ユーザーが、一時的にすべてのトラフィックがファイアウォール経由で移動するようにしたい場合、多くのファイアウォール管理ページで「バイパス (Bypass)」ボタンを使用できます。ファイアウォールがこのモードにある場合、すべてのトラフィックの移動を許可するためのルールが適用されます。最後に適用されていたルールのセットは引き続き保管されるため、その構成を再び適用することで、いつでも有効にすることができます。バイパス・モードでは、ファイアウォール管理ページの状況行には「バイパスされている (bypassed)」と表示されます。