トラフィックフィルタリングを利用すると、VPG を利用する IoT SIM やバーチャル SIM/Subscriber が直接アクセスできる宛先を、IP アドレス、FQDN (ドメイン名)、ポート、プロトコル の条件で制限できます。たとえば、デバイスが特定のクラウドサーバーとのみ通信できるように許可リストを構成したり、特定の API ドメインのみへのアクセスを許可したりできます。
トラフィックフィルタリングの利用には別途お申し込みが必要です
トラフィックフィルタリングを利用するには、別途お申し込みが必要です。詳しくは、SORACOM サポート にお問い合わせください。
トラフィックフィルタリングは VPG Type-F / Type-F2 / Type-G で利用できます
VPG Type-C / Type-D / Type-E では利用できません。サポートしている VPG タイプについては、Virtual Private Gateway (VPG) のタイプ を参照してください。
トラフィックフィルタリングでできること
トラフィックフィルタリングには、2 種類のフィルタリングがあります。ユーザーコンソールでは、それぞれ 、 として表示されます。
| フィルタリングの種類 | ユーザーコンソールでの表示 | 説明 |
|---|---|---|
| IP フィルタリング | 宛先 IP アドレス、プロトコル、ポート番号で許可 (allow) / 拒否 (deny) を設定します。 | |
| ドメインフィルタリング (FQDN フィルタリング) | 宛先 FQDN (ドメイン名)、プロトコル、ポート番号で許可 (allow) を設定します。ワイルドカードを使用したパターンも指定できます。 |
IP ルールとドメインルールは、どちらか一方を選ぶものではありません。必要に応じて併用できます。
アウトバウンドルーティングフィルターとの違い
アウトバウンドルーティングフィルター は、IP アドレスレンジ単位で許可 / 拒否を設定する機能です。これに対してトラフィックフィルタリングは、ポートやプロトコル単位での制御や、FQDN (ドメイン名) 単位での制御 ができる、より細かい制御を提供します。両方を併用することもできます。詳しくは、アウトバウンドルーティングフィルターとの併用 を参照してください。
SORACOM 内部の通信は常に許可されます
100.64.0.0/10 (RFC 6598 の Shared Address Space) 宛ての通信は、SORACOM 内部の通信のため、トラフィックフィルタリングのルールに関わらず常に許可されます。このアドレスレンジへのルールを明示的に追加する必要はありません。
トラフィックフィルタリングはアプリケーション連携サービスの転送先には適用されません
トラフィックフィルタリングは、デバイスから VPG を経由する通信に適用されます。SORACOM Beam などのアプリケーション連携サービスを利用している場合、IP ルール・ドメインルールいずれも、フィルタリングの対象になるのは デバイスからこれらのサービスまでの通信 です。アプリケーション連携サービスからお客様が指定した転送先への通信は、トラフィックフィルタリングの対象外です。
たとえば、SORACOM Beam の転送先に customer.com を指定している場合、トラフィックフィルタリングで customer.com を許可する (または拒否する) ルールを設定しても、Beam から customer.com への転送には影響しません。
設定例
トラフィックフィルタリングでは、たとえば以下のような設定ができます。
| 目的 | 設定の例 |
|---|---|
| HTTPS 通信のみを許可する | IP ルールで 0.0.0.0/0, TCP, 443, 443, allow を設定します。 |
| 特定の API サーバーのみを許可する | IP ルールで特定の IP アドレスレンジを許可し、ドメインルールで *.soracom.io, TCP, 443, 443 のような FQDN パターンを許可します。 |
| DNS と NTP を許可する | IP ルールで DNS サーバーの UDP 53、NTP サーバーの UDP 123 を許可します。 |
| 旧システムから新システムに段階的に移行する | ドメインルールで旧 API と新 API の FQDN を並行して許可し、移行後に旧 API のルールを削除します。 |
設定前に決めること (ベストプラクティス)
トラフィックフィルタリングを設定する前に、以下を決めておくことを推奨します。
必要最小限の通信だけを許可する
必要最小限の通信のみを許可し、それ以外は拒否する設定を推奨します。たとえば、宛先のすべて (
0.0.0.0/0、ALL、any~any) を許可するようなルールは避けてください。ワイルドカードの範囲を確認する
ドメインルールでワイルドカードを利用するときは、対象範囲が広くなりすぎないように指定してください。たとえば、
*.example.comはwww.example.comやapi.example.comなど、example.comの 1 階層下のサブドメインにのみマッチします。詳しくは、ドメインルールの仕様 を参照してください。検証環境で確認してから本番環境に適用する
新しいフィルタリングルール (IP ルール / ドメインルール) は、まず検証環境の VPG で動作を確認してから本番環境の VPG に適用することを推奨します。
ルール数の上限を意識する
IP ルールとドメインルールは、それぞれ VPG ごとに最大 500 件です。CIDR レンジを統合したり、ワイルドカードを活用したりして、ルール数を抑えるよう設計してください。
アウトバウンドルーティングフィルターとの併用
アウトバウンドルーティングフィルター を設定済みの VPG でトラフィックフィルタリングを有効化した場合、両方の機能を併用できます。ユーザーコンソールでは、両方とも タブ内に表示されます (アウトバウンドルーティングフィルターは セクション、トラフィックフィルタリングは セクション)。
| 観点 | 説明 |
|---|---|
| 併用 | 同じ VPG で同時に有効化できます。 |
| 評価順序 | トラフィックフィルタリングのルールが、アウトバウンドルーティングフィルターのルールより先に評価されます。 |
| 推奨 | より細かい制御 (FQDN、プロトコル、ポート) ができるトラフィックフィルタリングへの移行を推奨します。 |
両方を有効化する場合は、ルールの内容に矛盾がないようにしてください
トラフィックフィルタリングとアウトバウンドルーティングフィルターは個別に評価されるため、両方で同じ通信に対して異なるアクションを指定すると、意図しない結果になる場合があります。両方を有効化する場合は、双方のルールに矛盾がないようにしてください。