ファイアーウォールの設定

IaaSポータルにログインした画面から下記2つのファイアーウォールを設定します。

バックLAN側ルータに設定するファイアーウォール
フロントLAN側ルータ（センタールータ）のファイアーウォール

なお、以下で設定する<prefix>という可変値は、以下を設定します。

<サービス名>は、common_platform_conf.ymlに設定したサービス名で置き換えます。詳細は「2.1.4 Automation Managerの設定」を参照してください。

バックLAN側ルータに設定するファイアーウォール設定の場合

az1_<サービス名>_cmn
フロントLAN側ルータ（センタールータ）のファイアーウォール設定の場合

az1_<サービス名>_service

以上をもとに、以下を設定してください。

ファイアーウォールポリシーの作成
1. 左側のメニューで「ネットワーク」－「ファイアーウォール」を選択し、「ファイアーウォール一覧」画面を表示します。
2. 右上の「ポリシー一覧」をクリックし、「ファイアーウォールポリシー一覧」画面を表示します。
3. 右上の「+」をクリックし、「ファイアーウォールポリシー作成」画面を表示します。
4. 以下の設定で、「次へ」をクリックします。
  - ポリシー名：<prefix>_fw_policy
  - ルール名：設定しない
  - 説明：設定しない
5. 「確認」画面で設定した内容であることを確認し、「作成」をクリックします。
6. 右上の「Reload（矢印2つのマーク）」をクリックし、「ファイアーウォールポリシー一覧」画面を更新します。
7. 「ファイアーウォールポリシー一覧」画面で、作成したファイアーウォールポリシーを選択し、「ポリシーID」を確認します(「ファイアーウォールルールの追加」で利用します）。
ファイアーウォールの作成
1. 左側のメニューで「ネットワーク」－「ファイアーウォール」を選択し、「ファイアーウォール一覧」画面を表示します。
2. 「右上にある「+」をクリックし、「ファイアーウォール作成」画面を表示します。
3. 以下の設定で、「次へ」をクリックします。
  - ファイアーウォール名：<prefix>_fw
  - 管理状態：「true(up)」
  - ポリシー名：<「ファイアーウォールポリシーの作成」で作成したファイアーウォールポリシー>
  - 仮想ルータ名（注）：<prefix>_router
    注）フロントLANルータのファイアーウォール設定の場合、仮想ルータ名の<prefix>は、以下です。
    
    az1_<サービス名>_dmz
  - 説明：設定しない
4. 「確認」画面で設定した内容であることを確認し、「作成」をクリックします。

ファイアーウォールルールの作成

以下の表に記載されたファイアーウォールルールに対し、ルールを作成します。

■管理サブネット側ルータのファイアーウォール

以下を指定してファイアーウォールルールを作成します。送信元ポートは、一律で指定不要です。

注)表の「並び順」は、「ファイアーウォールルールの追加」で利用します。

並び順 (注)	ルール名	送信元IPアドレス	宛先IPアドレス	allow /deny	プロトコル	宛先ポート
1	az1_<サービス名>_cmn_fw_rule _vpn_allow	未指定	192.168.90.5/32 （SSL-VPN接続リソースのIPアドレス）	allow	TCP	443
2	az1_<サービス名>_cmn_fw_rule _client2management_allow	172.16.128.0/24 （VPNクライアント）	172.16.0.0/20 （管理サブネット）	allow	null	未指定
3	az1_<サービス名>_cmn_fw_rule _management2any_allow	172.16.0.0/20 （管理サブネット）	未指定	allow	null	未指定
4	az1_<サービス名>_cmn_fw_rule _all_deny	未指定	未指定	deny	null	未指定

■サービスサブネット側ルータのファイアーウォール

以下を指定してファイアーウォールルールを作成します。送信元ポートは、一律で指定不要です。

注1)表の「並び順」は、「ファイアーウォールルールの追加」で利用します。

注2)ここでは、構築した環境をインターネットに公開しないようにするためdenyにします。アプリケーションをインターネットに公開する段階でallowにしてください。アプリケーションをインターネットに公開する手順は、「操作ガイド」の「アプリケーション公開・公開停止方法」を参照してください。

並び順 (注1)	ルール名	送信元IPアドレス	宛先IPアドレス	allow /deny	プロトコル	宛先ポート
1	az1_<サービス名>_service_fw_rule _public_inbound_allow (注2)	未指定	192.168.30.0/24 （DMZサブネット）	deny(注2)	TCP	443
2	az1_<サービス名>_service_fw_rule _dmz2apiproxy1_allow	192.168.30.0/24 （DMZサブネット）	192.168.0.0/20 （サービスサブネット）	allow	TCP	8000
3	az1_<サービス名>_service_fw_rule _dmz2service_deny	192.168.30.0/24 （DMZサブネット）	192.168.0.0/20 （サービスサブネット）	deny	null	未指定
4	az1_<サービス名>_service_fw_rule _dmz2any_allow	192.168.30.0/24 （DMZサブネット）	未指定	allow	null	未指定
5	az1_<サービス名>_service_fw_rule _service2any_allow	192.168.0.0/20 （サービスサブネット）	未指定	allow	null	未指定
6	az1_<サービス名>_service_fw_rule _all_deny	未指定	未指定	deny	null	未指定

左側のメニューで「ネットワーク」－「ファイアーウォール」を選択し、「ファイアーウォール一覧」画面を表示します。
右上の「ルール一覧」をクリックし、「ファイアーウォールルール一覧」画面を表示します。
右上にある「+」をクリックし、「ファイアーウォールルール作成」画面を表示します。
上表に従って、ルール詳細を設定し、「次へ」をクリックします。
「確認」画面で設定した内容であることを確認し、「作成」をクリックします。
右上の「Reload（矢印2つのマーク）」をクリックし、「ファイアーウォールルール一覧」画面を更新します。
「ファイアーウォールルール一覧」画面で、作成したファイアーウォールルールを選択(注)し、「ルールID」を確認します。この「ルールID」は「ファイアーウォールルールの追加」で利用します。

注)作成したファイアーウォールルールの名前でFilterすることをお勧めします。

ファイアーウォールルールの追加

対象ファイアーウォールポリシーに対して、「ファイアーウォールルールの作成」の表にある「並び順」の順に従ってルールを追加します。

左側のメニューで「API実行」を選択し、「API実行」画面を表示します。

対象ファイアーウォールポリシーにおいて、「1つ目のルールを追加する場合」と「2つ目以降のルールを追加する場合」に応じて、以下の設定をして、「API実行」をクリックし、「レスポンス」に「"Response": 200」が表示されることを確認します。

1つ目のルールを追加する場合

【リクエスト】
リージョン：「jp-east-3」
HTTPメソッド：「PUT」
エンドポイント：「networking」
URI：/v2.0/fw/firewall_policies/<更新対象ファイアーウォールポリシーID>/insert_rule

【クエリパラメーター】
キー：設定しない

【HTTPヘッダー】
変更しない

【リクエストボディ】
{"firewall_rule_id": "<追加対象ファイアーウォールルールID>"}

2つ目以降のルールを追加する場合

【リクエスト】
リージョン：「jp-east-3」
HTTPメソッド：「PUT」
エンドポイント：「networking」
URI：/v2.0/fw/firewall_policies/<更新対象ファイアーウォールポリシーID>/insert_rule

【クエリパラメーター】
キー：設定しない

【HTTPヘッダ】
変更しない

【リクエストボディ】
{"firewall_rule_id": "<追加対象ファイアーウォールルールID>", "insert_after": "<1つ前に追加したファイアーウォールルールID>"}

2.1.6 ファイアーウォールの設定