Network ACL
    • PDF

    Network ACL

    • PDF

    記事の要約

    VPC環境で利用できます。

    Network ACLと ACG

    NAVERクラウドプラットフォームは、VPCのセキュリティ強化のために Network ACLと ACG機能を提供します。Network ACLを利用して Subnetのアクセスを制御し、Subnet内のサーバの通信セキュリティは ACGで制御し、強力なネットワークセキュリティ体系を構成できます。

    Network ACLと ACGの特徴や違いをまとめると、次の通りです。

    vpc-nacl-vpc_diagram_ko

    Network ACLACG
    Subnetアクセス時に動作サーバアクセス時に動作
    Inbound/Outboundトラフィックの許可ルール、遮断ルールの両方を設定
    基本的に許可ルールを適用
    Inbound/Outboundトラフィックの許可ルールのみを設定
    基本的に遮断ルールを適用
    Stateless方式 - トラフィックステータスを保存しないため、Inboundルールと Outboundルールの別途の設定が必要Stateful方式 - トラフィックステータスを保存し、Inboundルールで許可されたトラフィックは Outboundを自動許可
    トラフィック許可の有無を決定する際にルールを優先順位で処理トラフィック許可の有無を決定する前にすべてのルールを評価
    対象 Subnet内のすべてのサーバに適用(ACGを指定するユーザーに依存する必要がない)サーバ起動時にセキュリティグループを指定するか、後からセキュリティグループをインスタンスと接続する時のみ適用

    Network ACL画面

    Network ACLを利用するための基本的な説明は、次の通りです。

    vpc-nacl-vpc-screen_ko

    領域説明
    ① メニュー名現在確認中のメニュー名、作成された Network ACL数
    ② 基本機能Network ACLの作成、Network ACL画面の更新
    ③ 作成後の機能作成された Network ACLのルール変更、Network ACL削除
    ④ 検索ボックス検索キーワードを入力して i-vpc_find ボタンをクリックし、項目を検索
    ⑤ 検索フィルタ照会する Network ACLの範囲を指定
    ⑥ Network ACLリスト作成した Network ACLリストと情報の確認

    Network ACLリスト確認

    作成された Network ACLリストで Network ACL別情報を確認できます。確認する方法は次の通りです。

    参考

    VPCを作成すると自動的に Default Network ACLが作成され、リストで確認できます。

    1. NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
    2. Network ACL > ACL Rule メニューを順にクリックします。
    3. 作成した Network ACLリストが表示されると、サマリー情報を確認するか、Network ACLをクリックして詳細情報を確認します。
      vpc-nacl-vpc-screen1_ko
      • Network ACL名 : Network ACLの名前
      • Network ACL ID : Network ACLの ID値
      • VPC名 : Network ACLが属する VPCの名前
      • 適用 Subnet数 : Network ACLが適用された Subnet数
      • [Inboundルール] タブ: Network ACLに設定された Inboundルールリスト
      • [Outboundルール] タブ: Network ACLに設定された Outboundルールリスト
      • Inbound ACL数 : 設定した Inboundルール数
      • Outbound ACL数 : 設定した Outboundルール数
      • 作成日時 : Network ACLを作成した日
      • 適用サブネット : Network ACLが適用された Subnetリスト
      • メモ : Network ACLに関するメモであり、 [変更] ボタンをクリックして変更可能

    Network ACL作成

    Network ACLを作成する方法は、次の通りです。

    1. NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
    2. Network ACL > ACL Rule メニューを順にクリックします。
    3. [Network ACL作成] ボタンをクリックします。
      vpc-nacl-vpc-add_ko
    4. Network ACL作成 のポップアップが表示されたら、作成する Network ACLの名前を入力して適用する VPCを選択します。
    • Network ACL名は英数字、ハイフン(-)を使用して3~30文字で入力
    1. [作成] ボタンをクリックします。
    2. ACL Rule画面の Network ACLリストで作成された Network ACLを確認します。

    Network ACLルール設定

    作成された Network ACLに Inboundと Outboundの詳細ルールを設定できます。詳細ルールを設定する方法は、次の通りです。

    1. ACL Rule画面で、ルールを設定する Network ACLを選択してから [Rule設定] ボタンをクリックします。
    2. Network ACLルール設定 のポップアップが表示されたら、Inboundルールを入力してから [追加] ボタンをクリックしてルールを追加します。
      vpc-nacl-vpc-inboundset_ko
    • 優先順位 : ルールの優先順位で、0~199まで入力
    • プロトコル : Inboundトラフィックのプロトコルを選択
    • アクセスソース : Inboundトラフィックの IPアドレス帯域またはプリセットした Deny-Allow Groupを入力
    • ポート : Inboundトラフィックのポートで、単一の数字または範囲を指定
    • 許可有無 : 該当する Inboundトラフィックの許可または遮断の有無を選択
    • メモ : 該当する Inboundトラフィックに関するメモを入力
    • i-vpc_delete : リストに追加された Inboundルールを削除
    1. [Outbound] タブをクリックして Outboundルールを入力してから [追加] ボタンをクリックしてルールを追加します。
      vpc-nacl-vpc-outboundset_ko
    • 優先順位 : ルールの優先順位で、0~199まで入力
    • プロトコル : Outboundトラフィックのプロトコルを選択
    • 目的地 : Outboundトラフィックの IPアドレス帯域またはプリセットした Deny-Allow Groupを入力
    • ポート : Outboundトラフィックのポートで、単一の数字または範囲を指定
    • 許可有無 : 該当する Outboundトラフィックの許可または遮断の有無を選択
    • メモ : 該当する Outboundトラフィックに関するメモを入力
    • i-vpc_delete : リストに追加された Outboundルールを削除
    1. [適用] ボタンをクリックします。
    2. Network ACLリストから該当する Network ACLをクリックして、設定されたルールを確認します。

    Network ACL削除

    作成された Network ACLを削除する方法は、次の通りです。

    参考

    以下の場合に該当する Network ACLは削除されません。

    • 自動作成された Default Network ACL
    • 1つ以上の Subnetに適用中の Network ACL
    1. NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
    2. Network ACL > ACL Rule メニューを順にクリックします。
    3. 削除する Network ACLをクリックしてから [削除] ボタンをクリックします。
    4. Network ACL削除 のポップアップが表示されたら、 [削除] ボタンをクリックします。

    Deny-Allow Group設定

    Deny-Allow Groupは多数の IPアドレスグループであり、Network ACLの Inbound/Outboundルールを設定する場合にアクセスソースまたは目的地を対象として利用します。

    Deny-Allow Group画面

    Deny-Allow Groupを利用するための基本的な説明は次の通りです。

    vpc-nacl-vpc_groupscreen_ko

    領域説明
    ① メニュー名現在確認中のメニュー名、作成された Deny-Allow Group数
    ② 基本機能Deny-Allow Group作成、Deny-Allow Group画面の更新
    ③ 作成後の機能作成された Deny-Allow Groupの IPアドレス設定、Deny-Allow Group削除
    ④ 検索ボックス検索キーワードを入力して i-vpc_find ボタンをクリックし、項目を検索
    ⑤ 検索フィルタ照会する Deny-Allow Groupの範囲を指定
    ⑥ Deny-Allow Groupリスト作成された Deny-Allow Groupリストと情報を確認

    Deny-Allow Groupリスト確認

    作成された Deny-Allow Groupリストでグループ別の情報を確認できます。確認する方法は次の通りです。

    1. NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
    2. Network ACL > Deny-Allow Group メニューを順にクリックします。
    3. Deny-Allow Groupリストが表示されたら、サマリー情報を確認するか、Deny-Allow Groupグループをクリックして詳細情報を確認します。
      vpc-nacl-vpc_groupscreen1_ko
      • Deny-Allow Group名 : Deny-Allow Groupの名前
      • Deny-Allow Group ID : Deny-Allow Groupの ID値
      • VPC名 : Deny-Allow Groupが属する VPCの名前
      • 適用 ACL Rule数 : Deny-Allow Groupが適用された Network ACL数
      • 適用 Network ACL : Deny-Allow Groupが適用された Network ACLリスト
      • 登録された IPアドレス : Deny-Allow Groupに登録された IPアドレスリスト
      • メモ : Deny-Allow Groupに関するメモであり、 [変更] ボタンをクリックして変更可能

    Deny-Allow Group作成

    Deny-Allow Groupを作成する方法は、次の通りです。

    1. NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
    2. Network ACL > Deny-Allow Group メニューを順にクリックします。
    3. [Group作成] ボタンをクリックします。
      vpc-nacl-vpc-groupadd_ko
    4. Deny-Allow Group作成 のポップアップが表示されたら、作成する Deny-Allow Groupの名前を入力して適用する VPCを選択します。
    • Deny-Allow Group名は英数字、ハイフン(-)を使用して3~30文字で入力
    1. [作成] ボタンをクリックします。
    2. Deny-Allow Group画面の Deny-Allow Groupリストで作成されたグループを確認します。
    参考

    1つのVPCにつき最大4つの Deny-Allow Groupを作成できます。

    Deny-Allow Group IPアドレス登録

    作成された Deny-Allow Groupに IPアドレスを登録できます。IPアドレスを登録する方法は、次の通りです。

    1. Deny-Allow Group画面で IPアドレスを登録する Deny-Allow Groupを選択してか [IPアドレス設定] ボタンをクリックします。

    2. Deny-Allow Group設定 のポップアップが表示されたら、グループに登録する IPアドレスを入力します。
      vpc-nacl-vpc-groupset_ko

    領域説明
    ① 入力欄
    大量入力
    作成
    削除
    ⑤ IPアドレスリスト
    1. [確認] ボタンをクリックします。

    2. Deny-Allow Groupリストから該当する Deny-Allow Groupをクリックして、登録された IPアドレスを確認します。

    Deny-Allow Group削除

    作成された Deny-Allow Groupを削除する方法は、次の通りです。

    参考

    Network ACLルールで使用中の Deny-Allow Groupは削除されません。削除を希望する場合、そのグループが使用された Network ACLルールでグループを削除してから続けます。

    1. NAVERクラウドプラットフォームコンソールの VPC 環境で、Services > Networking > VPC メニューを順にクリックします。
    2. Network ACL > Deny-Allow Group メニューを順にクリックします。
    3. 削除する Deny-Allow Groupをクリックし、 [削除] ボタンをクリックします。
    4. Deny-Allow Group削除 のポップアップが表示されたら、 [はい] ボタンをクリックします。

    この記事は役に立ちましたか?

    What's Next
    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.