- 印刷する
- PDF
Network ACL
- 印刷する
- PDF
VPC環境で利用できます。
Network ACLと ACG
NAVERクラウドプラットフォームは、VPCのセキュリティ強化のために Network ACLと ACG機能を提供します。Network ACLを利用して Subnetのアクセスを制御し、Subnet内のサーバの通信セキュリティは ACGで制御し、強力なネットワークセキュリティ体系を構成できます。
Network ACLと ACGの特徴や違いをまとめると、次の通りです。
Network ACL | ACG |
---|---|
Subnetアクセス時に動作 | サーバアクセス時に動作 |
Inbound/Outboundトラフィックの許可ルール、遮断ルールの両方を設定 基本的に許可ルールを適用 | Inbound/Outboundトラフィックの許可ルールのみを設定 基本的に遮断ルールを適用 |
Stateless方式 - トラフィックステータスを保存しないため、Inboundルールと Outboundルールの別途の設定が必要 | Stateful方式 - トラフィックステータスを保存し、Inboundルールで許可されたトラフィックは Outboundを自動許可 |
トラフィック許可の有無を決定する際にルールを優先順位で処理 | トラフィック許可の有無を決定する前にすべてのルールを評価 |
対象 Subnet内のすべてのサーバに適用(ACGを指定するユーザーに依存する必要がない) | サーバ起動時にセキュリティグループを指定するか、後からセキュリティグループをインスタンスと接続する時のみ適用 |
Network ACL画面
Network ACLを利用するための基本的な説明は、次の通りです。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニュー名、作成された Network ACL数 |
② 基本機能 | Network ACLの作成、Network ACL画面の更新 |
③ 作成後の機能 | 作成された Network ACLのルール変更、Network ACL削除 |
④ 検索ボックス | 検索キーワードを入力して ![]() |
⑤ 検索フィルタ | 照会する Network ACLの範囲を指定 |
⑥ Network ACLリスト | 作成した Network ACLリストと情報の確認 |
Network ACLリスト確認
作成された Network ACLリストで Network ACL別情報を確認できます。確認する方法は次の通りです。
VPCを作成すると自動的に Default Network ACLが作成され、リストで確認できます。
- NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
- Network ACL > ACL Rule メニューを順にクリックします。
- 作成した Network ACLリストが表示されると、サマリー情報を確認するか、Network ACLをクリックして詳細情報を確認します。
- Network ACL名 : Network ACLの名前
- Network ACL ID : Network ACLの ID値
- VPC名 : Network ACLが属する VPCの名前
- 適用 Subnet数 : Network ACLが適用された Subnet数
- [Inboundルール] タブ: Network ACLに設定された Inboundルールリスト
- [Outboundルール] タブ: Network ACLに設定された Outboundルールリスト
- Inbound ACL数 : 設定した Inboundルール数
- Outbound ACL数 : 設定した Outboundルール数
- 作成日時 : Network ACLを作成した日
- 適用サブネット : Network ACLが適用された Subnetリスト
- メモ : Network ACLに関するメモであり、 [変更] ボタンをクリックして変更可能
Network ACL作成
Network ACLを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
- Network ACL > ACL Rule メニューを順にクリックします。
- [Network ACL作成] ボタンをクリックします。
- Network ACL作成 のポップアップが表示されたら、作成する Network ACLの名前を入力して適用する VPCを選択します。
- Network ACL名は英数字、ハイフン(-)を使用して3~30文字で入力
- [作成] ボタンをクリックします。
- ACL Rule画面の Network ACLリストで作成された Network ACLを確認します。
Network ACLルール設定
作成された Network ACLに Inboundと Outboundの詳細ルールを設定できます。詳細ルールを設定する方法は、次の通りです。
- ACL Rule画面で、ルールを設定する Network ACLを選択してから [Rule設定] ボタンをクリックします。
- Network ACLルール設定 のポップアップが表示されたら、Inboundルールを入力してから [追加] ボタンをクリックしてルールを追加します。
- 優先順位 : ルールの優先順位で、0~199まで入力
- プロトコル : Inboundトラフィックのプロトコルを選択
- アクセスソース : Inboundトラフィックの IPアドレス帯域またはプリセットした Deny-Allow Groupを入力
- Deny-Allow Group設定に関する詳細は、Deny-Allow Group設定ガイドを参照
- ポート : Inboundトラフィックのポートで、単一の数字または範囲を指定
- 許可有無 : 該当する Inboundトラフィックの許可または遮断の有無を選択
- メモ : 該当する Inboundトラフィックに関するメモを入力
: リストに追加された Inboundルールを削除
- [Outbound] タブをクリックして Outboundルールを入力してから [追加] ボタンをクリックしてルールを追加します。
- 優先順位 : ルールの優先順位で、0~199まで入力
- プロトコル : Outboundトラフィックのプロトコルを選択
- 目的地 : Outboundトラフィックの IPアドレス帯域またはプリセットした Deny-Allow Groupを入力
- Deny-Allow Group設定に関する詳細は、Deny-Allow Group設定ガイドを参照
- ポート : Outboundトラフィックのポートで、単一の数字または範囲を指定
- 許可有無 : 該当する Outboundトラフィックの許可または遮断の有無を選択
- メモ : 該当する Outboundトラフィックに関するメモを入力
: リストに追加された Outboundルールを削除
- [適用] ボタンをクリックします。
- Network ACLリストから該当する Network ACLをクリックして、設定されたルールを確認します。
Network ACL削除
作成された Network ACLを削除する方法は、次の通りです。
以下の場合に該当する Network ACLは削除されません。
- 自動作成された Default Network ACL
- 1つ以上の Subnetに適用中の Network ACL
- NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
- Network ACL > ACL Rule メニューを順にクリックします。
- 削除する Network ACLをクリックしてから [削除] ボタンをクリックします。
- Network ACL削除 のポップアップが表示されたら、 [削除] ボタンをクリックします。
Deny-Allow Group設定
Deny-Allow Groupは多数の IPアドレスグループであり、Network ACLの Inbound/Outboundルールを設定する場合にアクセスソースまたは目的地を対象として利用します。
Deny-Allow Group画面
Deny-Allow Groupを利用するための基本的な説明は次の通りです。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニュー名、作成された Deny-Allow Group数 |
② 基本機能 | Deny-Allow Group作成、Deny-Allow Group画面の更新 |
③ 作成後の機能 | 作成された Deny-Allow Groupの IPアドレス設定、Deny-Allow Group削除 |
④ 検索ボックス | 検索キーワードを入力して ![]() |
⑤ 検索フィルタ | 照会する Deny-Allow Groupの範囲を指定 |
⑥ Deny-Allow Groupリスト | 作成された Deny-Allow Groupリストと情報を確認 |
Deny-Allow Groupリスト確認
作成された Deny-Allow Groupリストでグループ別の情報を確認できます。確認する方法は次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
- Network ACL > Deny-Allow Group メニューを順にクリックします。
- Deny-Allow Groupリストが表示されたら、サマリー情報を確認するか、Deny-Allow Groupグループをクリックして詳細情報を確認します。
- Deny-Allow Group名 : Deny-Allow Groupの名前
- Deny-Allow Group ID : Deny-Allow Groupの ID値
- VPC名 : Deny-Allow Groupが属する VPCの名前
- 適用 ACL Rule数 : Deny-Allow Groupが適用された Network ACL数
- 適用 Network ACL : Deny-Allow Groupが適用された Network ACLリスト
- 登録された IPアドレス : Deny-Allow Groupに登録された IPアドレスリスト
- メモ : Deny-Allow Groupに関するメモであり、 [変更] ボタンをクリックして変更可能
Deny-Allow Group作成
Deny-Allow Groupを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
- Network ACL > Deny-Allow Group メニューを順にクリックします。
- [Group作成] ボタンをクリックします。
- Deny-Allow Group作成 のポップアップが表示されたら、作成する Deny-Allow Groupの名前を入力して適用する VPCを選択します。
- Deny-Allow Group名は英数字、ハイフン(-)を使用して3~30文字で入力
- [作成] ボタンをクリックします。
- Deny-Allow Group画面の Deny-Allow Groupリストで作成されたグループを確認します。
1つのVPCにつき最大4つの Deny-Allow Groupを作成できます。
Deny-Allow Group IPアドレス登録
作成された Deny-Allow Groupに IPアドレスを登録できます。IPアドレスを登録する方法は、次の通りです。
Deny-Allow Group画面で IPアドレスを登録する Deny-Allow Groupを選択してか [IPアドレス設定] ボタンをクリックします。
Deny-Allow Group設定 のポップアップが表示されたら、グループに登録する IPアドレスを入力します。
領域 | 説明 |
---|---|
① 入力欄 | |
② 大量入力 | |
③ 作成 | |
④ 削除 | |
⑤ IPアドレスリスト |
[確認] ボタンをクリックします。
Deny-Allow Groupリストから該当する Deny-Allow Groupをクリックして、登録された IPアドレスを確認します。
Deny-Allow Group削除
作成された Deny-Allow Groupを削除する方法は、次の通りです。
Network ACLルールで使用中の Deny-Allow Groupは削除されません。削除を希望する場合、そのグループが使用された Network ACLルールでグループを削除してから続けます。
- NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
- Network ACL > Deny-Allow Group メニューを順にクリックします。
- 削除する Deny-Allow Groupをクリックし、 [削除] ボタンをクリックします。
- Deny-Allow Group削除 のポップアップが表示されたら、 [はい] ボタンをクリックします。