原文はこちら
https://blogs.oracle.com/cloud-infrastructure/how-to-deploy-a-virtual-firewall-appliance-on-oracle-cloud-infrastructure
Oracle Cloud Infrastructureにはファイアウォール機能が含まれていますが、独自のカスタム・ファイアウォールを実行することを望まれるお客様もいらっしゃいます。このエントリでは、vSRX Virtual Firewallという、Juniper社の仮想セキュリティアプライアンスのデプロイ方法をご紹介します。このセキュリティ・アプライアンスは、仮想筐体で構成されたプライベートクラウド/パブリッククラウド環境向けのセキュリティおよびネットワークサービスを提供します。
パブリッククラウド環境において、vSRXを使うとステートフル・ファイアウォールによる保護、IPS、ウイルス対策、Webフィルタリング、スパム対策などのアプリケーションおよびコンテンツのためのセキュリティ機能を利用できます。
このエントリでは以下のトピックを取り扱います。
図には3個のサブネットを持つVCNがあります。
VCNの作成方法に関する情報は、以下のURLをご覧ください。
インターフェース・ゲートウェイを作成し、IGWという名前を割り付けます。
サブネットのセキュリティ・リストDefault Security Listのために、egressルールを作成して全宛先へのトラフィックを許可します。パブリック・インターネットからの22/tcpへのアクセスと、パブリック・インターネットからのWebアプリケーションへのアクセスのための80/tcp、443/tcpへのアクセスを許可するingressルールを作成します。
サブネットのセキュリティ・リストPublic Subnet SL,のために、egressルールを作成して全宛先へのトラフィックを許可します。パブリック・インターネットからのWebアプリケーションへのアクセスのための80/tcp、443/tcpへのアクセスと、接続性の確認が必要であればICMPでのアクセスを許可するingressルールを作成します。
このプライベート・サブネットを作成し、Private RTルーティングテーブルにルーティングルールを定義します。これにより、すべてのトラフィック(0.0.0.0/0)のルーティング先としてvSRXの2個目のvNICのプライベートIPアドレス(10.0.3.3)を構成します。
注意
2個目のVNICを作成、アタッチしてからルーティングルールを構成してください。
サブネットのセキュリティリストPrivate Subnet SLでは、全方向のトラフィックを許可するegressルールを作成します。特定のアドレス幅(オンプレミスネットワークやVCNの他のプライベート・サブネットと同様です)だけを許可するingressルールを作成します。
インスタンスをプロビジョニングすると、Instanceリストに現れます。
もう一つをプライベート・サブネットにデプロイします。VNICの作成およびアタッチ方法の詳細は以下のURLをご覧ください。
VNICを作成しアタッチすると、詳細情報がVNICリストに現れます。
管理インターフェース、SSHパスワード、SSH RSAキーを構成し、rootの認証を有効化します。
作成したrevenueのパブリックおよびプライベートインターフェースにvNIC を使ってIPアドレスを割り当てます。
ルーティングを構成して別の仮想ルータとパブリックおよびプライベートインターフェースのためのルーティング・オプションを追加します。
注意
トラフィックやルーティングが偏らないようにするため、ルーティングインスタンスにrevenue(データ)インターフェイスを置くことをお勧めします。
trust zoneを設定し、revenueプライベートインターフェースをtrust zone内に構成します。
untrust zoneを設定し、revenueパブリックインターフェースをuntrust zone内に構成します。
セキュリティポリシーを設定します。
NATを構成します。
vSRXに関する詳細情報はJuniper社のWebサイトをご覧ください。
https://blogs.oracle.com/cloud-infrastructure/how-to-deploy-a-virtual-firewall-appliance-on-oracle-cloud-infrastructure
Oracle Cloud Infrastructureにはファイアウォール機能が含まれていますが、独自のカスタム・ファイアウォールを実行することを望まれるお客様もいらっしゃいます。このエントリでは、vSRX Virtual Firewallという、Juniper社の仮想セキュリティアプライアンスのデプロイ方法をご紹介します。このセキュリティ・アプライアンスは、仮想筐体で構成されたプライベートクラウド/パブリッククラウド環境向けのセキュリティおよびネットワークサービスを提供します。
パブリッククラウド環境において、vSRXを使うとステートフル・ファイアウォールによる保護、IPS、ウイルス対策、Webフィルタリング、スパム対策などのアプリケーションおよびコンテンツのためのセキュリティ機能を利用できます。
このエントリでは以下のトピックを取り扱います。
- vSRX用にOracle Cloud Infrastructureを構成するには
- vSRXインスタンスをvirtual cloud network (VCN) で起動するには
- vSRXの構成方法
Configuration Diagram
下図は今回セットアップしようとしている構成のハイレベルなアーキテクチャを示したものです。図には3個のサブネットを持つVCNがあります。
- Public (10.0.1.0/24)管理インターフェース(インターネット・ゲートウェイ経由でインターネットにアクセス)
- Public (10.0.2.0/24)revenue(データ)インターフェース(インターネットゲートウェイ経由でアクセス)
- Private (10.0.3.0/24)プライベートサブネット(インターネットアクセスなし)
1. Configuring Oracle Cloud Infrastructure for vSRX
以下の手順はvSRX用にOracle Cloud InfrastructureのVCNを構成・準備手順を示しています。Create a VCN
Oracle Cloud Infrastructureコンソールで、リソース無しでVCNを作成します。VCNにはデフォルトの空のルーティングテーブル、デフォルトのセキュリティリスト、DHCPオプションがあります。この例では、VCNを DataCenter-1 と呼んでいます。VCNの作成方法に関する情報は、以下のURLをご覧ください。
Oracle Cloud Infrastructure Virtual Cloud Network Overview and Deployment Guide
https://cloud.oracle.com/opc/iaas/whitepapers/OCI_WhitePaper_VCN_v1.0_LL.pdf
インターフェース・ゲートウェイを作成し、IGWという名前を割り付けます。
Create Subnets for vSRX
vSRXは個々のインスタンスグループに対し、2個のパブリック・サブネットと1個以上のプライベート・サブネットを必要とします。1個のパブリック・サブネットは管理インターフェース(fxp0)、他方のパブリック・サブネットはrevenue(データ)インターフェースです。プライベート・サブネットは別のvSRXインターフェースと接続しており、これによってプライベート・サブネット上のアプリケーションとインターネット間の全てのトラフィックがvSRXインスタンスを通過することを保証します。Configure the Public Subnet (Management Interface)
このパブリック・サブネットを作成し、Default Route Tableルーティングテーブルにルーティングルールを定義します。これにより、すべてのトラフィック(0.0.0.0/0)のルーティング先としてインターネットゲートウェイを構成します。サブネットの作成方法の詳細は以下のドキュメントをご覧ください。VCNs and Subnets
https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/managingVCNs.htm
サブネットのセキュリティ・リストDefault Security Listのために、egressルールを作成して全宛先へのトラフィックを許可します。パブリック・インターネットからの22/tcpへのアクセスと、パブリック・インターネットからのWebアプリケーションへのアクセスのための80/tcp、443/tcpへのアクセスを許可するingressルールを作成します。
Configure the Public Subnet (Revenue Interface)
このパブリック・サブネットを作成し、Public RTルーティングテーブルにルーティングルールを定義します。これにより、すべてのトラフィック(0.0.0.0/0)のルーティング先としてインターネットゲートウェイを構成します。サブネットのセキュリティ・リストPublic Subnet SL,のために、egressルールを作成して全宛先へのトラフィックを許可します。パブリック・インターネットからのWebアプリケーションへのアクセスのための80/tcp、443/tcpへのアクセスと、接続性の確認が必要であればICMPでのアクセスを許可するingressルールを作成します。
Configure the Private Subnet
プライベートサブネットを作成します。このプライベート・サブネットを作成し、Private RTルーティングテーブルにルーティングルールを定義します。これにより、すべてのトラフィック(0.0.0.0/0)のルーティング先としてvSRXの2個目のvNICのプライベートIPアドレス(10.0.3.3)を構成します。
注意
2個目のVNICを作成、アタッチしてからルーティングルールを構成してください。
サブネットのセキュリティリストPrivate Subnet SLでは、全方向のトラフィックを許可するegressルールを作成します。特定のアドレス幅(オンプレミスネットワークやVCNの他のプライベート・サブネットと同様です)だけを許可するingressルールを作成します。
Import the Image by Using the Console
続いて、vSRXイメージファイルをOracle Cloud InfrastructureのObject Storegeにアップロードして、コンソールを使ってイメージをインポートします。カスタムイメージのインポート方法の詳細は以下のホワイトペーパーをご覧ください。Deploying Custom Operating System Images on Oracle Cloud Infrastructure
https://cloud.oracle.com/iaas/whitepapers/deploying_custom_os_images.pdf
2. Launching a vSRX Instance in a VCN
管理サブネット(パブリック・サブネット)のvSRXインスタンスを起動します。この例ではVM.Standard1.8シェイプを利用しています。詳細は以下のURLをご覧ください。Launching an Instance
https://docs.cloud.oracle.com/iaas/Content/GSG/Tasks/launchinginstance.htm?tocpath=Getting%20Started%7CTutorial%20-%20Launching%20Your%20First%20Linux%20Instance%7C_____4
インスタンスをプロビジョニングすると、Instanceリストに現れます。
Create and Attach Secondary VNICs
2個のVNICを作成し、1個をパブリック・サブネット(revenue dataインターフェース)もう一つをプライベート・サブネットにデプロイします。VNICの作成およびアタッチ方法の詳細は以下のURLをご覧ください。
Virtual Network Interface Cards (VNICs)
https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/managingVNICs.htm
VNICを作成しアタッチすると、詳細情報がVNICリストに現れます。
Create a Console Connection
To access the vSRXインスタンスへのアクセスには、コンソール接続を作成する必要があります。詳細は以下のドキュメントをご覧ください。Instance Console Connections
https://docs.cloud.oracle.com/iaas/Content/Compute/References/serialconsole.htm
3. Configuring vSRX
コンソール接続を使ってvSRXインスタンスに接続します。管理インターフェース、SSHパスワード、SSH RSAキーを構成し、rootの認証を有効化します。
作成したrevenueのパブリックおよびプライベートインターフェースにvNIC を使ってIPアドレスを割り当てます。
ルーティングを構成して別の仮想ルータとパブリックおよびプライベートインターフェースのためのルーティング・オプションを追加します。
注意
トラフィックやルーティングが偏らないようにするため、ルーティングインスタンスにrevenue(データ)インターフェイスを置くことをお勧めします。
trust zoneを設定し、revenueプライベートインターフェースをtrust zone内に構成します。
untrust zoneを設定し、revenueパブリックインターフェースをuntrust zone内に構成します。
セキュリティポリシーを設定します。
NATを構成します。
Verification
プライベート・サブネットの任意のOSを使ってホストインスタンスを起動します。割り当てたパブリックIPアドレスを使わずにインターネットに接続でき、インターネットからの接続は直接サーバにアクセスできません。vSRXに関する詳細情報はJuniper社のWebサイトをご覧ください。
vSRX Documentation
https://www.juniper.net/documentation/en_US/release-independent/vsrx/information-products/pathway-pages/index.html