Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX仮想ファイアウォール向けAmazon仮想プライベートクラウドを設定する

開始する前に、Amazon Web Services(AWS)アカウントとアイデンティティおよびアクセス管理(IAM)ロールが必要で、Amazon Elastic Compute Cloud(Amazon EC2)、Amazon Simple Storage Service(S3)、Amazon Virtual Private Cloud(Amazon VPC)オブジェクトへのアクセス、作成、変更、削除に必要なすべての権限が必要です。また、アクセス キー、対応するシークレット アクセス キー、X.509 証明書、アカウント識別子も作成する必要があります。AWS の用語と vSRX 仮想ファイアウォール AWS の導入での使用について詳しくは、「AWS を 使用する vSRX について」を参照してください。

図 1 は、vSRX 仮想ファイアウォールを導入して、Amazon VPC のプライベート サブネットで実行されるアプリケーションにセキュリティを提供する方法の例を示しています。

図 1:AWS 導入における vSRX 仮想ファイアウォールの例 Example of vSRX Virtual Firewall in AWS Deployment

以下の手順では、Amazon VPC for vSRX 仮想ファイアウォールを作成および準備する方法について概要を説明します。この手順では、関連するインターネットゲートウェイ、サブネット、ルートテーブル、セキュリティグループを使用してAmazon VPCを設定する方法を説明します。

ステップ 1: Amazon VPC とインターネット ゲートウェイを作成する

Amazon VPC とインターネットゲートウェイを作成するには、次の手順に従います。VPC とインターネット ゲートウェイが既に存在する場合は、 ステップ 2: vSRX 仮想ファイアウォールのサブネットの追加に進みます。

  1. AWS マネジメントコンソールにログインし、[ Services > Networking > VPC] を選択します。
  2. VPC ダッシュボードで、左側のペインで VPC を選択し、[ VPC の作成] をクリックします。
  3. クラスレスインタードメインルーティング(CIDR)形式で、VPC名とプライベートIPアドレスの範囲を指定します。テナントとして[デフォルト]のままにします。
  4. [ はい、作成] をクリックします。
  5. 左側のウィンドウで [ インターネット ゲートウェイ ] を選択し、 [ インターネット ゲートウェイの作成] をクリックします。
  6. ゲートウェイ名を指定し、[ はい] をクリックして [作成] をクリックします。
  7. 作成したゲートウェイを選択し、[ VPC にアタッチ] をクリックします。
  8. 新しい Amazon VPC を選択し、[ はい、 アタッチ] をクリックします。

ステップ 2:vSRX 仮想ファイアウォールのサブネットを追加する

Amazon VPC では、パブリックサブネットはインターネットゲートウェイにアクセスできますが、プライベートサブネットではアクセスできません。vSRX仮想ファイアウォールには、個々のインスタンスグループごとに2つのパブリックサブネットと1つ以上のプライベートサブネットが必要です。パブリックサブネットは、管理インターフェイス(fxp0)用と収益(データ)インターフェイス用の1つで構成されています。他のvSRX仮想ファイアウォールインターフェイスに接続されたプライベートサブネットは、プライベートサブネットとインターネット上のアプリケーション間のすべてのトラフィックがvSRX仮想ファイアウォールインスタンスを通過する必要があります。

各 vSRX 仮想ファイアウォール サブネットを作成するには::

  1. VPC ダッシュボードで、左側のペインで [サブネット ] を選択し、 [ サブネットの作成] をクリックします。
  2. サブネット名を指定し、Amazon VPCとアベイラビリティゾーンを選択し、サブネットIPアドレスの範囲を CIDR 形式で指定します。
    ヒント:

    サブネットの命名規則のベスト プラクティスとして、どのサブネットがパブリックかプライベートかを簡単に知るために、名前に private または public を含めるのをお勧めします。

    メモ:

    vSRX仮想ファイアウォールインスタンスのすべてのサブネットは、同じアベイラビリティゾーンにある必要があります。アベイラビリティゾーンには [設定なし ]を使用しないでください。

  3. [ はい、作成] をクリックします。

vSRX 仮想ファイアウォール インスタンスを作成してアタッチする各サブネットについて、これらの手順を繰り返します。

ステップ 3: サブネットにインターフェイスをアタッチする

サブネットにインターフェイスをアタッチするには::

  1. Amazon EC2 ホーム ページからネットワーク インターフェイスを作成します。

    EC2ホームページで[ネットワークインターフェイス]オプションをクリックし、[ ネットワークインターフェイスの作成] ページが開きます。

  2. [ ネットワーク インターフェイスの作成 ] オプションをクリックし、フィールドに必要な情報を入力し、[ 作成] をクリックします。
  3. 新しく作成したインターフェイスを検索して選択します。

    このインターフェイスが収益インターフェイスの場合は、アクションメニューから[ソース/Destの変更]を選択し、[無効]を選択して、[保存]をクリックします。このインターフェイスが fxp0 インターフェイスである場合、この無効化ステップをスキップします。

  4. 画面上のメニューで [ アタッチ ] をクリックし、vSRX 仮想ファイアウォール インスタンスのインスタンス ID を 選択して、 [ アタッチ] をクリックします。
  5. vSRX仮想ファイアウォールは、インターフェイスのホットプラグインをサポートしていません。したがって、インターフェイスの追加が完了したら、インターフェイスが追加されたvSRX仮想ファイアウォールインスタンスを再起動して、変更を適用して有効にします。

ステップ 4: vSRX 仮想ファイアウォールのルート テーブルを追加する

デフォルトでは、各 Amazon VPC にメインルートテーブルが作成されます。パブリックサブネット用にカスタムルートテーブルを作成し、各プライベートサブネットに個別のルートテーブルを作成することをお勧めします。カスタムルートテーブルに関連付けられていないすべてのサブネットは、メインルートテーブルに関連付けられています。

ルート テーブルを作成するには、次の手順に沿います。

  1. VPC ダッシュボードで、左側のウィンドウで [ルート テーブル ] を選択し、 [ ルート テーブルの作成] をクリックします。
  2. ルートテーブル名を指定し、VPC を選択して、 はい、作成をクリックします。
    ヒント:

    ルートテーブルの命名規則のベストプラクティスとして、どのルートテーブルがパブリックかプライベートかを簡単に知るために、名前にプライベートまたはパブリックを含めるをお勧めします。

  3. 手順 1 と 2 を繰り返して、すべてのルート テーブルを作成します。
  4. パブリックサブネット用に作成したルートテーブルを選択し、以下を実行します
    1. ルート テーブルのリストの下にある [ルート] タブを選択します。
    2. [ 編集] をクリックし、 [ 別のルートの追加] をクリックします。
    3. 宛先として 0.0.0.0/0 と入力し、ターゲットとして VPC インターネット ゲートウェイを選択して[ 保存]をクリックします。
    4. [ サブネットの関連付け ] タブを選択し、 [ 編集] をクリックします。
    5. パブリック サブネットのチェック ボックスをオンにして、 [保存] をクリックします。
  5. プライベートサブネット用に作成した各ルートテーブルを選択し、以下を実行します。
    1. [ サブネットの関連付け ] タブを選択し、 [ 編集] をクリックします。
    2. 1 つのプライベート サブネットのチェック ボックスをオンにして、 [保存] をクリックします。

ステップ 5: vSRX 仮想ファイアウォールのセキュリティ グループの追加

Amazon VPC ごとにデフォルトのセキュリティ グループが作成されます。vSRX 仮想ファイアウォール管理インターフェイス(fxp0)用に個別のセキュリティ グループを作成し、他のすべての vSRX 仮想ファイアウォール インターフェイス用に別のセキュリティ グループを作成することをお勧めします。セキュリティ グループは、Amazon EC2 ダッシュボードで vSRX 仮想ファイアウォール インスタンスが起動されたときに割り当てられます。この場合は、セキュリティ グループを追加および管理することもできます。

セキュリティ グループを作成するには、以下の手順にしたがっています。

  1. VPC ダッシュボードで、左側のウィンドウで [ セキュリティ グループ ] を選択し、 [ セキュリティ グループの作成] をクリックします。
  2. vSRX 仮想ファイアウォール管理インターフェイスで、[名前タグ] フィールドにセキュリティ グループ名を指定し、[グループ名] フィールドを編集します(オプション)、グループの説明を入力して VPC を選択します。
  3. [ はい、作成] をクリックします。
  4. 手順 1 ~ 3 を繰り返して、vSRX 仮想ファイアウォール収益インターフェイス用のセキュリティ グループを作成します。
  5. 管理インターフェイス用に作成したセキュリティ グループを選択し、以下の操作を行います
    1. セキュリティ グループのリストの下にある [ インバウンド ルール ] タブを選択します。
    2. [ 編集] をクリックし、 [ 別のルールの追加 ] をクリックして、以下のインバウンド ルールを作成します。

      プロトコル

      ポート

      ソース

      カスタム TCP ルール

      既定

      20-21

      各ルールに CIDR アドレス形式を入力します(0.0.0.0/0 では任意の送信元を許可)。

      SSH(22)

      既定

      既定

      HTTP(80)

      既定

      既定

      HTTPS(443)

      既定

      既定

    3. [ 保存] をクリックします。
    4. [ 送信ルール ] タブを選択すると、すべてのアウトバウンド トラフィックを許可するデフォルト ルールが表示されます。アウトバウンドトラフィックを制限する必要がない限り、デフォルトルールを使用します。
  6. 他のすべての vSRX 仮想ファイアウォール インターフェイス用に作成したセキュリティ グループを選択し、以下の操作を行います
    メモ:

    インバウンドルールとアウトバウンドルールにより、すべてのトラフィックがvSRX仮想ファイアウォールのセキュリティ設定との競合を回避できる必要があります。

    1. セキュリティ グループのリストの下にある [ インバウンド ルール ] タブを選択します。
    2. [編集] をクリックし、以下のインバウンド ルールを作成します。

      プロトコル

      ポート

      ソース

      すべてのトラフィック

      すべての

      すべての

      • Web サーバーの場合、0.0.0.0/0 と入力します。

      • VPNの場合、クラスレスドメイン間ルーティング(CIDR)ブロック(例:10.0.0.0/16)の形式で、IPv4アドレスの範囲を入力します。

    3. [ 保存] をクリックします。
    4. [送信ルール] タブでは、デフォルト のルール を保持します。デフォルトルールは、すべてのアウトバウンドトラフィックを許可します。