- 印刷する
- PDF
Network ACL
- 印刷する
- PDF
VPC環境で利用できます。
Network ACLとACG
NAVERクラウドプラットフォームは、VPCのセキュリティを強化するためにNetwork ACLとACG機能を提供します。Network ACLを利用してSubnetのアクセスを制御し、Subnet内サーバの通信セキュリティはACGに制御して強固なネットワークセキュリティ体系を構成できます。
Network ACLとACGの特徴と違いをまとめると以下のとおりです。
Network ACL | ACG |
---|---|
Subnetアクセス時に動作 | サーバアクセス時に動作 |
Inbound/Outboundトラフィックの許可ルール、遮断ルールをすべて設定 | Inbound/Outboundトラフィックの許可ルールのみ設定 |
ステートレス方式 - トラフィック状態を保存しないため、InboundルールとOutboundルールの別途設定が必要 | ステートフル方式 - トラフィック状態を保存してInboundルールで許可されるトラフィックはOutboundを自動許可 |
トラフィック許可の有無を決定する際にルールを優先順位に処理 | トラフィック許可の有無を決定する前にすべてのルールを評価 |
対象Subnet内のすべてのサーバに適用(ACGを指定するユーザーに頼る必要なし) | サーバ起動時にセキュリティグループを指定したり、後でセキュリティグループをインスタンスと接続する時のみ適用 |
Network ACL画面
Network ACLを利用するための基本的な説明は以下のとおりです。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニュー名、作成されたNetwork ACL数 |
② 基本機能 | Network ACLの作成、Network ACL画面の更新 |
③ 作成後の機能 | 作成されたNetwork ACLのルール変更、Network ACLの削除 |
④ 検索ウィンドウ | 検索キーワードを入力してボタンをクリックし、項目を検索 |
⑤ 検索フィルタ | 照会するNetwork ACLの範囲を指定 |
⑥ Network ACLリスト | 作成されたNetwork ACLリストと情報を確認 |
Network ACLリストの確認
作成されたNetwork ACLリストでNetwork ACL別情報を確認できます。確認する方法は以下のとおりです。
VPCを作成すると、Default Network ACLが自動作成され、リストで確認できます。
- NAVERクラウドプラットフォームコンソールのVPC環境で、Services > Networking > VPCメニューを順にクリックします。
- Network ACL > ACL Ruleメニューを順にクリックします。
- 作成したNetwork ACLリストが表示されたらサマリー情報を確認するか、Network ACLをクリックして詳細情報を確認します。
- Network ACL名:Network ACLの名前
- Network ACL ID:Network ACLのID値
- VPC名:Network ACLが属するVPCの名前
- 適用Subnet数:Network ACLが適用されたSubnet数
- [Inboundルール] タブ:Network ACLに設定されたInboundルールのリスト
- [Outboundルール] タブ:Network ACLに設定されたOutboundルールのリスト
- Inbound ACL数:設定したInboundルール数
- Outbound ACL数:設定したOutboundルール数
- 作成日:Network ACLを作成した日付
- 適用サブネット:Network ACLが適用されたSubnetリスト
- メモ:Network ACLに関するメモであり、 [修正] ボタンをクリックして修正可能
Network ACLの作成
Network ACLを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境で、Services > Networking > VPCメニューを順にクリックします。
- Network ACL > ACL Ruleメニューを順にクリックします。
- [Network ACLの作成] ボタンをクリックします。
- Network ACLの作成ポップアップが表示されたら、作成するNetwork ACL名を入力して適用するVPCを選択します。
- Network ACL名はアルファベット、数字、ハイフン(-)を使用して3~30文字で入力
- [作成] ボタンをクリックします。
- ACL Rule画面のNetwork ACLリストで作成されたNetwork ACLを確認します。
Network ACLのルール設定
作成されたNetwork ACLにInboundとOutboundの詳細ルールを設定できます。詳細ルールを設定する方法は以下のとおりです。
- ACL Rule画面でルールを設定するNetwork ACLを選択し、[Rule設定] ボタンをクリックします。
- Network ACLのルール設定ポップアップが表示されたらInboundルールを入力し、[追加] ボタンをクリックしてルールを追加します。
- 優先順位:ルールの優先順位であり、0~199まで入力
- プロトコル:Inboundトラフィックのプロトコルを選択
- アクセスソース:InboundトラフィックのIP帯域またはあらかじめ設定したDeny-Allowグループを入力
- Deny-Allowグループ設定に対する詳しい内容は、Deny-Allow Groupの設定ガイドを参照
- ポート:Inboundトラフィックのポートであり、単一数字または範囲を指定
- 許可の有無:そのInboundトラフィックの許可または遮断の有無を選択
- メモ:そのInboundトラフィックに関するメモを入力
- :リストに追加されたInboundルールを削除
- [Outbound] タブをクリックしてOutboundルールを入力し、[追加] ボタンをクリックしてルールを追加します。
- 優先順位:ルールの優先順位であり、0~199まで入力
- プロトコル:Outboundトラフィックのプロトコルを選択
- 目的地:OutboundトラフィックのIP帯域またはあらかじめ設定したDeny-Allowグループを入力
- Deny-Allowグループ設定に対する詳しい内容は、Deny-Allow Groupの設定ガイドを参照
- ポート:Outboundトラフィックのポートであり、単一数字または範囲を指定
- 許可の有無:そのOutboundトラフィックの許可または遮断の有無を選択
- メモ:そのOutboundトラフィックに関するメモを入力
- :リストに追加されたOutboundルールを削除
- [適用] ボタンをクリックします。
- Network ACLリストでそのNetwork ACLをクリックして設定されたルールを確認します。
Network ACLの削除
作成されたNetwork ACLを削除する方法は以下のとおりです。
以下の場合に該当するNetwork ACLは削除されません。
- 自動作成されたDefault Network ACL
- 1つ以上のSubnetに適用中のNetwork ACL
- NAVERクラウドプラットフォームコンソールのVPC環境で、Services > Networking > VPCメニューを順にクリックします。
- Network ACL > ACL Ruleメニューを順にクリックします。
- 削除するNetwork ACLをクリックし、[削除] ボタンをクリックします。
- Network ACLの削除ポップアップが表示されたら、[削除] ボタンをクリックします。
Deny-Allow Groupの設定
Deny-Allowグループは多数のIPグループであり、Network ACLのInbound/Outboundルールを設定する場合にアクセスソースまたは目的地対象に利用できます。
Deny-Allow Group画面
Deny-Allowグループを利用するための基本的な説明は、以下のとおりです。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニュー名、作成されたDeny-Allowグループ数 |
② 基本機能 | Deny-Allow Groupの作成、Deny-Allow Group画面の更新 |
③ 作成後の機能 | 作成されたDeny-AllowグループのIP設定、Deny-Allowグループの削除 |
④ 検索ウィンドウ | 検索キーワードを入力してボタンをクリックし、項目を検索 |
⑤ 検索フィルタ | 照会するDeny-Allowグループの範囲を指定 |
⑥ Deny-Allow Groupリスト | 作成されたDeny-Allowグループリストと情報を確認 |
Deny-Allow Groupリストの確認
作成されたDeny-Allow Groupリストでグループ別情報を確認できます。確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境で、Services > Networking > VPCメニューを順にクリックします。
- Network ACL > Deny-Allow Groupメニューを順にクリックします。
- Deny-Allowグループリストが表示されたらサマリー情報を確認するか、Deny-Allowグループをクリックして詳細情報を確認します。
- Deny-Allow Group名:Deny-Allowグループの名前
- Deny-Allow Group ID:Deny-AllowグループのID値
- VPC名:Deny-Allowグループが属するVPCの名前
- 適用ACL Rule数:Deny-Allowグループが適用されたNetwork ACL数
- 適用Network ACL:Deny-Allowグループが適用されたNetwork ACLリスト
- 登録されたIP:Deny-Allowグループに登録されたIPアドレスリスト
- メモ:Deny-Allowグループに関するメモであり、[修正] ボタンをクリックして修正可能
Deny-Allow Groupの作成
Deny-Allowグループを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境で、Services > Networking > VPCメニューを順にクリックします。
- Network ACL > Deny-Allow Groupメニューを順にクリックします。
- [Groupの作成] ボタンをクリックします。
- Deny-Allow Groupの作成ポップアップが表示されたら、作成するDeny-Allowグループ名を入力して適用するVPCを選択します。
- Deny-Allowグループ名はアルファベット、数字、ハイフン(-)を使用して3~30文字で入力
- [作成] ボタンをクリックします。
- Deny-Allow Group画面のDeny-Allow Groupリストで作成されたグループを確認します。
VPC 1つ当たり最大4つのDeny-Allowグループを作成できます。
Deny-Allow Group IPの登録
作成されたDeny-AllowグループにIPを登録できます。IPを登録する方法は以下のとおりです。
Deny-Allow Group画面でIPを登録するDeny-Allowグループを選択し、[IP設定] ボタンをクリックします。
Deny-Allow Groupの設定ポップアップが表示されたら、グループに登録するIPを入力します。
領域 説明 ① 入力ウィンドウ 登録するIPアドレスを入力 - /32レベルで入力でき、Subnet mask(/32)は省略して入力
- 最大100個のIP入力可能
② 大量入力 大量のIPアドレスを一度に入力する場合にクリック - [Tab] 、 [Space] キーでスペースを置いたりコンマ(,)を入力してIP間の区分
- 入力後、[適用] ボタンをクリックすると一括登録される
③ 作成 入力したIPをリストに追加 ④ 削除 選択されたIPをリストから削除 ⑤ IPリスト 入力して追加されたIPリスト [確認] ボタンをクリックします。
Deny-Allow Groupリストで、そのDeny-Allowグループをクリックして登録されたIPを確認します。
Deny-Allow Groupの削除
作成されたDeny-Allowグループを削除する方法は以下のとおりです。
Network ACLルールで使用されているDeny-Allowグループは削除されません。削除したい場合、そのグループが使用されたNetwork ACLルールでグループを削除してから行います。
- NAVERクラウドプラットフォームコンソールのVPC環境で、Services > Networking > VPCメニューを順にクリックします。
- Network ACL > Deny-Allow Groupメニューを順にクリックします。
- 削除するDeny-Allowグループをクリックし、[削除] ボタンをクリックします。
- Deny-Allow Groupの削除ポップアップが表示されたら、[はい] ボタンをクリックします。