:インターネットファイアウォールのアクセス制御ポリシーの作成

カスタムポリシーの作成

ビジネス要件に基づいて、インターネットファイアウォールのカスタム送信または受信ポリシーを作成できます。

1. Cloud Firewall コンソール にログインします。

2. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

3. アウトバウンド または インバウンド タブで、ドロップダウンリストからIPV4またはIPV6を選択し、Create Policy をクリックします。 デフォルトでは、IPv4アドレスのアクセス制御ポリシーが作成されます。

   

4. アウトバウンドポリシーの作成 または インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。

5. 次の表に基づいてポリシーを設定し、[OK] をクリックします。

   インターネット上のアウトバウンドトラフィックを保護するためのアクセス制御ポリシーの作成

   パラメーター	説明
   ソースタイプ	ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。 ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。 一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。 送信元タイプをアドレス帳に設定した場合は、IPv4またはIPv6アドレス帳が設定されていることを確認します。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
   ソース
   宛先タイプ	ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。 ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。 一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。 送信元タイプをアドレス帳に設定した場合は、IPv4またはIPv6アドレス帳が設定されていることを確認します。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。 宛先タイプをドメイン名に設定した場合、ドメイン名識別モードを選択します。 有効な値： FQDN ベース (メッセージが Host/SNI を抽出): HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理する場合は、このモードを選択することを推奨します。 DNS ベースの動的名前解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィック以外のトラフィックを管理する場合は、このモードを選択することを推奨します。 重要 このモードはワイルドカードドメイン名をサポートしていません。 FQDNおよびDNSベースの動的解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理したいが、特定のまたはすべてのトラフィックにHOSTまたはSNIフィールドが含まれていない場合は、このモードを使用することを推奨します。 重要 このモードは、ACL エンジン管理モードがStrictの場合にのみ有効です。 宛先タイプを [リージョン] に設定した場合、宛先に1つ以上のトラフィック宛先の場所を選択します。 中国内外の1つ以上の場所を選択できます。
   目的地
   プロトコルタイプ	トランスポート層プロトコル。 有効な値: TCP、UDP、ICMP、ANY。 プロトコルタイプがわからない場合は、ANYを選択します。
   ポートタイプ	宛先のポートタイプとポート番号。 ポートタイプをポートに設定した場合は、ポート範囲を入力します。 ポート番号 /ポート番号の形式でポート範囲を指定します。 例: 22/22または80/88。 複数のポート範囲はコンマ (,) で区切ります。 最大2,000のポート範囲を入力できます。 複数のポート範囲を入力すると、Cloud Firewallは入力されたポート範囲を含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。 ポートタイプをアドレス帳に設定した場合は、ポートアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
   ポート
   アプリケーション	トラフィックのアプリケーションタイプ。 [プロトコルタイプ] を [TCP] に設定した場合、アプリケーション用にHTTP、HTTPS、SMTP、SMTPS、SSL、およびFTPを選択できます。 [プロトコルタイプ] を [UDP] 、[ICMP] 、または [ANY] に設定した場合、[アプリケーション] には [ANY] のみを選択できます。 [宛先タイプ] に [ドメイン名] または [アドレス帳] を選択した場合、アプリケーションにはHTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。 ドメイン名識別モードパラメーターをDNSベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。 ドメイン名識別モードパラメーターをFQDNベースの解決 (パケットのホストまたはSNIフィールドの抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。 ドメイン名識別モードパラメーターをFQDNおよびDNSベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLを選択できます。 説明 Cloud Firewallは、ポート番号ではなくパケット特性に基づいてアプリケーションタイプを識別します。 Cloud Firewallがパケット内のアプリケーションタイプを識別できない場合、Cloud Firewallはパケットを許可します。 アプリケーションタイプが不明なトラフィックをブロックする場合は、インターネットファイアウォールのstrictモードを有効にすることを推奨します。 詳細については、「アクセス制御エンジンのモードの設定」をご参照ください。
   Action	トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値: 許可: トラフィックは許可されています。 拒否: トラフィックは拒否され、通知は送信されません。 Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
   説明	アクセス制御ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。
   優先度	アクセス制御ポリシーの優先度。 デフォルト値: Lowest 有効な値: 最高: アクセス制御ポリシーの優先度が最も高い。 最低: アクセス制御ポリシーの優先度が最も低い。
   ポリシー有効期間	アクセス制御ポリシーの有効期間。 ポリシーは、有効期間内にのみトラフィックを照合するために使用できます。 有効な値： 常に。 単一の時間範囲: このオプションを選択する場合は、単一の時間範囲を指定します。 繰り返しサイクル: このオプションを選択する場合は、ポリシーを有効にする時間範囲と日付を指定します。 説明 開始日は終了日より前でなければなりません。 ポリシーが有効になるまでに3分から5分かかります。 [不定再発] を選択した場合、終了日は自動的にDec 31, 2099に設定されます。 FAQ:再発に指定された期間が2暦日に及ぶ場合、アクセス制御ポリシーは有効になりますか?
   ステータス	ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。

   インターネット上のインバウンドトラフィックを保護するためのアクセス制御ポリシーの作成

   パラメーター	説明
   ソースタイプ	ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。 ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。 一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。 ソースタイプをアドレス帳に設定した場合は、IPアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。 ソースタイプをリージョンに設定した場合、ソースのトラフィックソースの場所を1つ以上選択します。 中国内外の1つ以上の場所を選択できます。
   ソース
   宛先タイプ	ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。 ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。 一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。 ソースタイプをアドレス帳に設定した場合は、IPアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。 宛先タイプをドメイン名に設定した場合、ドメイン名識別モードを選択します。 有効な値： FQDN ベース (メッセージが Host/SNI を抽出): HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理する場合は、このモードを選択することを推奨します。 DNS ベースの動的名前解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィック以外のトラフィックを管理する場合は、このモードを選択することを推奨します。 重要 このモードはワイルドカードドメイン名をサポートしていません。 FQDNおよびDNSベースの動的解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理したいが、特定のまたはすべてのトラフィックにHOSTまたはSNIフィールドが含まれていない場合は、このモードを使用することを推奨します。 重要 このモードは、ACL エンジン管理モードがStrictの場合にのみ有効です。 宛先タイプを [リージョン] に設定した場合、宛先に1つ以上のトラフィック宛先の場所を選択します。 中国内外の1つ以上の場所を選択できます。
   目的地
   プロトコルタイプ	トランスポート層プロトコル。 有効な値: TCP、UDP、ICMP、ANY。 プロトコルタイプがわからない場合は、ANYを選択します。
   ポートタイプ	宛先のポートタイプとポート番号。 ポートタイプをポートに設定した場合は、ポート範囲を入力します。 ポート番号 /ポート番号の形式でポート範囲を指定します。 例: 22/22または80/88。 複数のポート範囲はコンマ (,) で区切ります。 最大2,000のポート範囲を入力できます。 複数のポート範囲を入力すると、Cloud Firewallは入力されたポート範囲を含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。 ポートタイプをアドレス帳に設定した場合は、ポートアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
   ポート
   アプリケーション	トラフィックのアプリケーションタイプ。 ドメイン名識別モードパラメーターをDNSベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。 ドメイン名識別モードパラメーターをFQDNベースの解決 (パケットのホストまたはSNIフィールドの抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。 ドメイン名識別モードパラメーターをFQDNおよびDNSベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLを選択できます。 [プロトコルタイプ] を [TCP] に設定した場合、アプリケーション用にHTTP、HTTPS、SMTP、SMTPS、SSL、およびFTPを選択できます。 [プロトコルタイプ] を [UDP] 、[ICMP] 、または [ANY] に設定した場合、[アプリケーション] には [ANY] のみを選択できます。 説明 Cloud Firewallは、ポート番号ではなくパケット特性に基づいてアプリケーションタイプを識別します。 Cloud Firewallがパケット内のアプリケーションタイプを識別できない場合、Cloud Firewallはパケットを許可します。 アプリケーションタイプが不明なトラフィックをブロックする場合は、インターネットファイアウォールのstrictモードを有効にすることを推奨します。 詳細については、「アクセス制御エンジンのモードの設定」をご参照ください。
   Action	トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値: 許可: トラフィックは許可されています。 拒否: トラフィックは拒否され、通知は送信されません。 Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
   説明	アクセス制御ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。
   優先度	アクセス制御ポリシーの優先度。 デフォルト値: Lowest 有効な値: 最高: アクセス制御ポリシーの優先度が最も高い。 最低: アクセス制御ポリシーの優先度が最も低い。
   ポリシー有効期間	アクセス制御ポリシーの有効期間。 ポリシーは、有効期間内にのみトラフィックを照合するために使用できます。 有効な値： 常に。 単一の時間範囲: このオプションを選択する場合は、単一の時間範囲を指定します。 繰り返しサイクル: このオプションを選択する場合は、ポリシーを有効にする時間範囲と日付を指定します。 説明 開始日は終了日より前でなければなりません。 ポリシーが有効になるまでに3分から5分かかります。 [不定再発] を選択した場合、終了日は自動的にDec 31, 2099に設定されます。 FAQ:再発に指定された期間が2暦日に及ぶ場合、アクセス制御ポリシーは有効になりますか?
   ステータス	ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。

推奨されるインテリジェントポリシーの適用

Cloud Firewallは、過去30日間のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。 推奨されるインテリジェントポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

推奨されるアウトバウンドとインバウンドの両方のインテリジェントポリシーを適用できます。

1. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

2. [推奨インテリジェントポリシー] ページに移動します。 次のいずれかの方法を使用できます。

   • ポリシーリストの右上隅にある [インテリジェントポリシー] をクリックします。 表示されるパネルで、[アウトバウンド] または [インバウンド] タブをクリックします。

     

   • アウトバウンド または インバウンド タブで、Create Policy をクリックします。 表示されるパネルで、[推奨インテリジェントポリシー] タブをクリックします。

3. 推奨されるインテリジェントポリシーを表示して適用します。 ポリシーを見つけて、[ポリシーの適用] をクリックします。 または、複数のポリシーを選択し、一括送信 をクリックします。

推奨される共通ポリシーの適用

推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

1. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

2. アウトバウンド または インバウンド タブで、Create Policy をクリックします。 表示されるパネルで、[推奨共通ポリシー] タブをクリックします。

3. 推奨される共通ポリシーを表示して適用します。 ポリシーを見つけて、Quick Apply をクリックします。