APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > OCI > 【OCI】OCI Network Firewall を使ってみる

【OCI】OCI Network Firewall を使ってみる

OCI

目次

はじめに

こんにちは、クラウド事業部の松尾です。

OCIにはfirewall機能のサービスとして「Network Firewall」と「Web Application Firewall」があります。 (セキュリティリストやセキュリティグループもアクセス制御機能を提供しますが今回は割愛します)
今回は「Network Firewall」について構築の流れとポリシーで特定の通信を拒否させてみます。

どんなひとに読んで欲しい

  • OCIの「Network Firewall」概要を知りたい人
  • 「Network Firewall」と「Web Application Firewall」の違いを知りたい人

関連記事

構築の参考チュートリアルはこちら。
oracle-japan.github.io

speakerdeck.com

docs.oracle.com

docs.oracle.com

Network Firewallとは

私の最初の疑問は「Network Firewall」と「Web Application Firewall」は何が違うのか?でした。 調べてみると分かりやすい記事が見つかりました。

https://blogs.oracle.com/oracle4engineer/post/ja-waf-vs-nfsw

まず、リソースの配置場所としてはこのような違いがあります。

「Network Firewall」はサブネットに配置、「Web Application Firewall」はロードバランサと統合して利用する形です。

機能としても違いがあり、「Network Firewall」は主にレイヤ3,4、「Web Application Firewall」は主にレイヤ7のトラフィックに対していくつかのセキュリティ機能を提供しています。

料金

機能も違うので参考程度ですが「Web Application Firewall」は1インスタンス、1000万リクエストまで無償。「Network Firewall」は1インスタンス10TBのデータ量の場合約32万円という結果でした。

ちなみに「Network Firewall」は3時間程度の稼働でも1300円ほど必要です。検証後の削除忘れには注意しましょう!

手順

今回はこちらのチュートリアルに沿って「Network Firewall」を作成、疑似ウィルスを検知するところまで動作確認をやってみたいと思います。

構成はこちら。Firewall Policyでルールを定義してFirewallと紐づける形です。

Network Firewallを作成

1. ネットワークの構築

ここは事前準備になるため割愛します。チュートリアル通りに作成していきます。

2. Network Firewallの作成

ここから紹介していきます。

まずはNetwork Firewall Policyを作成。

Network Firewallを作成開始しました。40分ほどかかるので暫く待ちます。

3. テストWebページ用のコンピュートインスタンスの作成と設定

実際にNetwork Firewallが動作することを確認するため、インスタンスを作成していきます。

コンピュート作成とApacheインストール後にブラウザアクセスすると接続できない場合は、 おそらくfirewalldが動作していることが原因です。(私はそうでした) 今回は検証なのでfirewalldを停止などして接続できる状態にしていきます。

firewalld停止した状態。

eicar.htmlも表示できることを確認。

4. Firewallを経由するためのルーティング設定

デフォルトではFirewallを使うルーティングにはなっていないため、ルートテーブルを変更していきます。

設定が完了するとこのような構成となります。

5. Network FirewallのIDP機能を確認する

疑似ウィルス(eicar.htmlへのアクセス)は接続できないことを確認していきます。

まずはトップ画面へ接続できることを確認。

続いて疑似ウィルスのURLへアクセスして遮断されることを確認します。

Network Firewallのダッシュボードでもトラフィックがカウントされていることを確認できました。

デフォルトではログは無効化されているため、脅威ログ(Threat Log)を有効化してみます。

アクティブ化しました。

もう一度eicar.htmlへアクセスして5分ほど待つとログが出力されていました。

チュートリアルと同様のログが出力されていました。

Network Firewallにてウィルスを検知した通信は遮断することを確認できました。

おわりに

チュートリアルに沿ってNetwork Firewallの構築を検証を紹介しました。Network Firewall Policyにはいくつも設定可能なポリシーがあるようなので他の機能も確認してみたいと思います。
Oracle LinuxのFirewalldが有効になっていて通信出来ないことや、ルーティングテーブルが正しく設定出来ていないなど多少トラブルはあったものの、最後まで動作確認することができました。
Network Firewallは1時間400円程度と安くはないリソースなので検証後は削除することをお忘れなく!

後日確認すると1,185円でした。2,3時間だったのでこのくらいですね。

これだけだと何の費用か分からないですが。。

techblog.ap-com.co.jp

お知らせ

私達クラウド事業部はクラウド技術を活用したSI/SESのご支援をしております。

www.ap-com.co.jp

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp