すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:インターネット接続サーバーから特定のドメイン名へのトラフィックのみを許可するようにアクセス制御ポリシーを構成する

最終更新日:Aug 15, 2024

インターネットに面した資産がインターネットに直接アクセスすると、リスクが発生する可能性があります。 たとえば、コアビジネスのデータが漏洩し、ビジネスシステムが攻撃される可能性があります。 インターネットに面したアセットとインターネット間の不正アクセスを防ぐために、インターネットファイアウォールのアクセス制御ポリシーを設定できます。 これは、潜在的なデータ漏洩やインターネット上の資産の公開から保護するのに役立ちます。 このトピックでは、サーバーから特定のWebサイトへのトラフィックのみを許可するようにアクセス制御ポリシーを設定する方法について説明します。

シナリオ例

次の例では、アセットはElastic Compute Service (ECS) インスタンスであり、elastic IPアドレス (EIP) 47.100.XX.XXが関連付けられています。 ECSインスタンスのセキュリティを確保するには、websit e www.aliyun.comへのトラフィックのみを許可するようにアクセス制御ポリシーを設定する必要があります。

image

前提条件

Cloud Firewallが有効になり、Internet Firewall機能が有効になります。 詳細については、「クラウドファイアウォールの購入」および「インターネットファイアウォール」をご参照ください。

手順

  1. Cloud Firewallコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

  3. アウトバウンド タブで、Create Policy をクリックします。 アウトバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。

  4. ECSインスタンスからwww.aliyun.comのトラフィックを許可し、優先度が最も高いアクセス制御ポリシーと、ECSインスタンスからすべてのパブリックIPアドレスへのトラフィックを拒否し、優先度が最も低いアクセス制御ポリシーを設定します 。

    1. ECSインスタンスから www.aliyun.comのトラフィックを許可するアクセス制御ポリシーを設定します。 下表に、各パラメーターを説明します。

      パラメーター

      説明

      ソースタイプ

      ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。

      IP

      ソース

      47.100.XX.XX/32。ECSインスタンスのパブリックIPアドレス

      宛先タイプ

      ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。

      ドメイン名

      目的地

      www.aliyun.comは、ECSインスタンスへのアクセスを許可するWebサイトです。

      説明

      ドメイン名をIPアドレスに解決することもできます。

      プロトコルタイプ

      トランスポート層プロトコルのタイプ。 有効な値: TCPUDPICMPANY。 プロトコルタイプがわからない場合は、ANYを選択します。

      TCP

      ポートタイプ

      宛先のポートタイプとポート番号。

      ポート

      ポート

      すべてのポートを示す0/0

      アプリケーション

      トラフィックのアプリケーションタイプ。

      ANY

      Action

      トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:

      • 許可: トラフィックは許可されています。

      • 拒否: トラフィックは拒否され、通知は送信されません。

      • Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。

      許可

      説明

      アクセス制御ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。

      o www.aliyun.comのトラフィックを許可する

      優先度

      アクセス制御ポリシーの優先度。 デフォルト値: Lowest

      最高

      ポリシー有効期間

      アクセス制御ポリシーの有効期間。 ポリシーは、有効期間中にのみトラフィックを照合するために使用できます。

      常に

      ステータス

      ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。

      Enabled

    2. ECSインスタンスからすべてのパブリックIPアドレスへのトラフィックを拒否するようにアクセス制御ポリシーを設定します。 次のリストにパラメーターを示します。

      • ソース: 47.100.X.X/32を入力します。

      • 宛先: すべてのサーバーのIPアドレスを示す0.0.0.0/0を入力します。

      • プロトコルタイプ: 任意を選択します。

      • ポート: サーバーのすべてのポートを示す0/0を入力します。

      • アプリケーション: Select ANY.

      • アクション: [拒否] を選択します。

      • 優先度: 最低を選択します。

    アクセス制御ポリシーを作成したら、ECSインスタンスからのトラフィックを許可するポリシーの優先度が、ECSインスタンスからすべてのパブリックIPアドレスへのトラフィックをo www.aliyun.comするポリシーの優先度よりも高いことを確認します。

アクセス制御ポリシーのヒット詳細の表示

関連ドキュメント