内部対応アセットからインターネットへのトラフィックをきめ細かく管理する場合は、NATファイアウォールのアクセス制御ポリシーを設定して、内部対応アセットからインターネットへの不正アクセスをブロックできます。 これにより、コアビジネスにおけるデータリークなどのリスクを軽減できます。 このトピックでは、NATファイアウォールのアクセス制御ポリシーを設定して、内部対応アセットから特定のWebサイトへのトラフィックのみを許可する方法について説明します。
シナリオ例
この例では、アセットは、プライベートIPアドレスが10.10.XX.XXの内部対応のECS (Elastic Compute Service) インスタンスです。 ECSインスタンスは、インターネットに接続されたNATゲートウェイを介してインターネットにアクセスします。 ECSインスタンスのセキュリティを確保するには、ECSインスタンスからwebsit e www.aliyun.comへのトラフィックのみを許可するようにアクセス制御ポリシーを設定する必要があります。
手順
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 .
[NAT Border] ページで、アクセス制御ポリシーを作成するNAT gatewayを見つけ、[create policy] をクリックします。
現在のAlibaba Cloudアカウント内のNAT Gatewayは、Cloud Firewallに自動的に同期されます。
ポリシーの作成 - NAT 境界 パネルで、ECSインスタンスからのトラフィックを許可し、優先度が最も高いアクセス制御ポリシーと、ECSインスタンスからすべてのパブリックIPアドレスへのトラフィックをo www.aliyun.comし、優先度が最も低いアクセス制御ポリシーを設定します。
ECSインスタンスo www.aliyun.comからのトラフィックを許可するアクセス制御ポリシーを設定します。 下表に、各パラメーターを説明します。
パラメーター
説明
例
ソースタイプ
ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。
IP
ソース
10.10.XX.XX/32。ECSインスタンスのプライベートIPアドレス
宛先タイプ
ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。
ドメイン名を指定し、ドメイン名識別モードパラメーターをFQDN ベース (メッセージが Host/SNI を抽出) に設定します。
目的地
www.aliyun.comは、ECSインスタンスへのアクセスを許可するWebサイトです。
説明ドメイン名をIPアドレスに解決することもできます。
プロトコルタイプ
トランスポート層プロトコル。 有効な値: TCP、UDP、ICMP、ANY。 プロトコルタイプがわからない場合は、ANYを選択します。
TCP
ポートタイプ
宛先のポートタイプとポート番号。
ポート
ポート
すべてのポートを示す0/0
アプリケーション
トラフィックのアプリケーションタイプ。 有効な値:
ドメイン名識別モードパラメーターをDNSベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。
ドメイン名識別モードパラメーターをFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。
ドメイン名識別モードパラメーターをFQDNおよびDNSベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、SSL、またはANYのみを選択できます。
HTTPS
Action
トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:
許可: トラフィックは許可されています。
拒否: トラフィックは拒否され、通知は送信されません。
Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
許可
優先度
アクセス制御ポリシーの優先度。 デフォルト値: Lowest 有効な値:
最高: アクセス制御ポリシーの優先度が最も高い。
最低: アクセス制御ポリシーの優先度が最も低い。
最高
ポリシー有効期間
アクセス制御ポリシーの有効期間。 ポリシーは、有効期間中にのみトラフィックを照合するために使用できます。
常に
ステータス
ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。
Enabled
ECSインスタンスからすべてのパブリックIPアドレスへのトラフィックを拒否するようにアクセス制御ポリシーを設定します。 次のリストにパラメーターを示します。
ソース: 10.10.X.X/32を入力します。
宛先: すべてのサーバーのIPアドレスを示す0.0.0.0/0を入力します。
プロトコルタイプ: 任意を選択します。
ポート: サーバーのすべてのポートを示す0/0を入力します。
アプリケーション: Select ANY.
アクション: [拒否] を選択します。
優先度: 最低を選択します。
アクセス制御ポリシーを作成したら、ECSインスタンスからのトラフィックを許可するポリシーの優先度が、ECSインスタンスからすべてのパブリックIPアドレスへのトラフィックをo www.aliyun.comするポリシーの優先度よりも高いことを確認します。
次に何をすべきか
関連ドキュメント
NATファイアウォールのアクセス制御ポリシーを設定する方法の詳細については、NATファイアウォールのアクセス制御ポリシーを作成する.
アクセス制御ポリシーを設定する方法の詳細については、アクセス制御ポリシーの設定.
アクセス制御ポリシーを設定および使用する方法の詳細については、アクセス制御ポリシーに関するよくある質問.