Oracle Cloud Infrastructureドキュメント

ファイアウォールの作成

ネットワーク・ファイアウォール・サービスを使用してファイアウォールを作成します。

ファイアウォールを作成する前に、次の重要な点を考慮してください。
  • パフォーマンスを向上させるには、ファイアウォール・サブネットにアタッチされているセキュリティ・リストにステートフル・ルールを追加したり、ステートフル・ルールを含むネットワーク・セキュリティ・グループ(NSG)にファイアウォールを含めたりしないでください。
  • ファイアウォール・サブネットおよびVNICに関連付けられたセキュリティ・リストまたはNSGルールは、ファイアウォールのに評価されます。トラフィックを適切に評価できるように、セキュリティ・リストまたはNSGルールによってファイアウォールに入ることを許可します。
  • ファイアウォールで使用するポリシーにルールが指定されていない場合、ファイアウォールによってすべてのトラフィックが拒否されます。
ノート

ファイアウォールでNATを有効にするには、ファイアウォール・サブネットで4Gbpsのファイアウォールに対して少なくとも4つのスペアIPアドレスが使用可能であり、25Gbpsのファイアウォールで少なくとも5つのスペアIPアドレスが使用可能であることを確認してください。
    1. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「ファイアウォール」で、「ネットワーク・ファイアウォール」ポリシーを選択します。
    2. 「ネットワーク・ファイアウォールの作成」を選択します。
    3. 「Name」ボックスに、ファイアウォールのわかりやすい名前を入力します。機密情報を入力しないでください。
    4. 「コンパートメントに作成」リストで、ファイアウォールを作成するコンパートメントを選択します、
    5. 「ネットワーク・ファイアウォール・ポリシー」リストで、このファイアウォールに関連付けるファイアウォール・ポリシーを選択します。ポリシーが表示されない場合は、ポリシー・コンパートメントを変更します。
      ノート

      このファイアウォールを新規またはアップグレード済のポリシーに関連付けると、ファイアウォールは新規またはアップグレード済のポリシーのみを使用します。後でこのファイアウォールを古いアップグレードされていないポリシーに関連付けることはできません。

    6. 「仮想クラウド・ネットワーク」リストで、VCNを選択します。必要に応じてVCNコンパートメントを変更します。
    7. 「サブネット」リストで、サブネットを選択します。パブリックまたはプライベートの通常サブネットまたはリージョナル・サブネットを選択できます。必要に応じてサブメット・コンパートメントを変更します。
    8. ネットワーク・セキュリティ・グループ(NSG)を使用してファイアウォールとの間のトラフィックを制御するには、「ネットワーク・セキュリティ・グループを使用したトラフィックの制御」を選択し、NSGを選択します。さらにNSGを追加するには、「別のネットワーク・セキュリティ・グループの追加」を選択します。
    9. IPv4アドレスまたはIPv6アドレス(あるいはその両方)を入力するには、「サブネットのIPアドレスをファイアウォールに手動で割り当てます」を選択します。このオプションを選択せずにIPアドレスを入力すると、IPアドレスが自動的に割り当てられます。
    10. 「Enable NAT on firewall」トグルを確認します。前に選択したネットワーク・ファイアウォール・ポリシーNATルールが含まれている場合、このオプションは自動的に有効になります。このファイアウォールでNATを無効にするには、ポリシーからNATルールを削除するか、別のポリシーを選択する必要があります。
      NATルールの詳細は、NATルールについておよびファイアウォール・ポリシーへのNATルールの追加を参照してください。ファイアウォール・ポリシーからNATルールを削除するには、ファイアウォール・ポリシーからのルールの削除を参照してください。
    11. 「ファイアウォール・スコープ」で、「リージョン内の単一の可用性ドメインにデプロイ」を選択して、ファイアウォールを特定の可用性ドメインにデプロイします。
      リージョン・ファイアウォールは、リージョン内のすべての可用性ドメインにデプロイされます。可用性ドメイン固有のファイアウォールが特定のAD内にデプロイされます。アベイラビリティ・ドメインの詳細は、リージョンおよび可用性ドメインに関する項を参照してください。
      重要

      単一の可用性ドメインにデプロイされたファイアウォールは、後でリージョナル・ファイアウォールに変更することはできません。
    12. 「タグ」セクションで、ファイアウォールに1つ以上のタグを追加します。
      リソースを作成するアクセス許可がある場合、そのリソースにフリーフォーム・タグを適用するアクセス許可もあります。定義済タグを適用するには、タグネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。
    13. 「ネットワーク・ファイアウォールの作成」を選択します。

      ファイアウォール・リソースをクラウド・アカウントにプロビジョニングする作業リクエストが作成されます。作業リクエストを表示するには、ファイアウォールの詳細ページで「作業リクエスト」タブを選択します。ステータスが「アクティブ」に設定されている場合、ファイアウォールが作成されていることを確認できます。

  • ファイアウォールを作成するには、network-firewall network-firewall createコマンドと必要なパラメータを使用します。
    oci network-firewall network-firewall create --compartment-id compartment_id
 --subnet-id subnet_id --network-firewall-policy-id network_firewall_policy_id[OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateNetworkFirewall操作を使用してファイアウォールを作成します。