デフォルトでは、インターネットファイアウォールを有効にした後にアクセス制御ポリシーを作成しない場合、Cloud firewallは、アクセス制御ポリシーに基づくトラフィック一致フェーズのすべてのトラフィックを許可します。 インターネットファイアウォールのアウトバウンドおよびインバウンドのアクセス制御ポリシーを作成して、インターネットに接続されているアセットとインターネット間の不正アクセスを防止できます。 このトピックでは、インターネットファイアウォールの受信および送信アクセス制御ポリシーを作成する方法について説明します。
前提条件
インターネットに接続されているアセットに対して、インターネットファイアウォールが有効になっています。 インターネットファイアウォールを有効にする方法の詳細については、「インターネットファイアウォールを有効にする」をご参照ください。
Cloud Firewallで保護できるインターネット向けアセットの詳細については、「保護範囲」をご参照ください。
アクセス制御ポリシーのクォータは十分です。 クォータ使用量は、アクセス制御ポリシーの概要」をご参照ください。
ページで確認できます。 クォータ使用量の計算方法の詳細については、「残りのクォータが不十分な場合は、仕様のアップグレードをクリックして追加ポリシーのクォータの値を増加させます。 詳細については、「Cloud Firewallの購入」をご参照ください。
複数のオブジェクトをアクセス元またはアクセス先として追加したい場合は, それらを含むアドレス帳が作成されていることを確認してください。 詳細については、「アドレス帳の管理」をご参照ください。
インターネットファイアウォールのアクセス制御ポリシーの作成
Cloud Firewallを使用すると、カスタムポリシーを作成でき、適用できる推奨ポリシーを提供します。
カスタムポリシーの作成: ビジネス要件に基づいてカスタムポリシーを作成できます。
推奨されるインテリジェントポリシーの適用: Cloud Firewallは、過去30日間のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。 ポリシーを適用するかどうかを決定できます。
推奨される共通ポリシーの適用: Cloud Firewallは共通ポリシーを推奨します。 推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。
インターネットファイアウォールのオープンパブリックIPアドレスに対してサービスが提供されているオープンポートへのアクセスを許可し、他のポートへのアクセスを拒否することを推奨します。 これにより、資産のインターネットへの露出が減少します。
IPアドレスやドメイン名などの信頼できるソースからのアクセスを許可し、他のソースへのアクセスを拒否する場合は、最初に信頼できるソースからのアクセスを許可し、優先度の高いポリシーを作成してから、すべてのソースからのトラフィックを拒否し、優先度の低いポリシーを作成することをお勧めします。
推奨されるインテリジェントポリシーまたは推奨される共通ポリシーを適用しない場合、ポリシーは有効になりません。
カスタムポリシーの作成
ビジネス要件に基づいて、インターネットファイアウォールのカスタム送信または受信ポリシーを作成できます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 .
アウトバウンド または インバウンド タブで、ドロップダウンリストからIPV4またはIPV6を選択し、Create Policy をクリックします。 デフォルトでは、IPv4アドレスのアクセス制御ポリシーが作成されます。
アウトバウンドポリシーの作成 または インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。
次の表に基づいてポリシーを設定し、[OK] をクリックします。
推奨されるインテリジェントポリシーの適用
Cloud Firewallは、過去30日間のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。 推奨されるインテリジェントポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。
推奨されるアウトバウンドとインバウンドの両方のインテリジェントポリシーを適用できます。
推奨ポリシーを適用する前に、その意味とサービスへの影響を理解していることを確認してください。
推奨されるインテリジェントポリシーは無視できます。 推奨されるインテリジェントポリシーを無視すると、ポリシーは復元できません。 作業は慎重に行ってください。
左側のナビゲーションウィンドウで、 .
[推奨インテリジェントポリシー] ページに移動します。 次のいずれかの方法を使用できます。
ポリシーリストの右上隅にある [インテリジェントポリシー] をクリックします。 表示されるパネルで、[アウトバウンド] または [インバウンド] タブをクリックします。
アウトバウンド または インバウンド タブで、Create Policy をクリックします。 表示されるパネルで、[推奨インテリジェントポリシー] タブをクリックします。
推奨されるインテリジェントポリシーを表示して適用します。 ポリシーを見つけて、[ポリシーの適用] をクリックします。 または、複数のポリシーを選択し、一括送信 をクリックします。
推奨される共通ポリシーの適用
推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。
推奨ポリシーを適用する前に、その意味とサービスへの影響を理解していることを確認してください。
推奨される共通ポリシーは無視できます。 推奨される共通ポリシーを無視すると、ポリシーは復元できません。 作業は慎重に行ってください。 推奨される共通ポリシーをすべて無視すると、[推奨共通ポリシー] タブは表示されなくなります。
左側のナビゲーションウィンドウで、 .
アウトバウンド または インバウンド タブで、Create Policy をクリックします。 表示されるパネルで、[推奨共通ポリシー] タブをクリックします。
推奨される共通ポリシーを表示して適用します。 ポリシーを見つけて、Quick Apply をクリックします。
アクセス制御エンジンモードの設定
アクセス制御ポリシーが作成された後、インターネットファイアウォールのアクセス制御エンジンモードはデフォルトでルーズモードになります。 このモードでは、アプリケーションタイプまたはドメイン名が不明と識別されたトラフィックが自動的に許可され、ワークロードへの影響を回避できます。 ビジネス要件に基づいて、モードを [厳格モード] に変更できます。
ページで、アクセス制御ポリシーリストの右上隅にある [ACLエンジン管理] をクリックします。
[Access Control Engine Management - Internet Border] パネルで、[Engine Mode] パラメーターを見つけ、[変更] をクリックします。
[エンジンモードの変更] ダイアログボックスで、[エンジンモード] パラメーターを設定し、[OK] をクリックします。
厳密モード: 厳密モードを有効にすると、アプリケーションタイプまたはドメイン名が不明であるトラフィックが、設定したすべてのポリシーと照合されます。 拒否ポリシーを設定した場合、このタイプのトラフィックは拒否されます。
ルーズモード: ルーズモードを有効にすると、アプリケーションタイプまたはドメイン名が不明であるトラフィックが許可されます。 これにより、通常のアクセスが保証されます。
アクセス制御ポリシーのヒット詳細の表示
サービスが一定期間実行されると、アクセス制御ポリシーのリストの ヒットカウント /直近のヒット時間 列で、アクセス制御ポリシーに関するヒットの詳細を表示できます。
ヒット数をクリックすると、[ログ監査] ページに移動してトラフィックログを表示できます。 詳細については、「ログ監査」をご参照ください。
次のステップ
カスタムポリシーを作成したら、カスタムポリシーのリストでポリシーを見つけ、[操作] 列の [編集] 、[削除] 、または [コピー] をクリックしてポリシーを管理します。 カスタムポリシーのリストをダウンロードし、一度に複数のポリシーを削除し、[移動] をクリックしてポリシーの優先順位を変更できます。
有効な優先度の値は、1から既存のポリシーの数までの範囲です。 数字が小さいほど、優先度が高くなります。 ポリシーの優先度を変更すると、優先度の低いポリシーの優先度が低下します。
ポリシーを削除すると、Cloud Firewallはポリシーが元々有効なトラフィックを管理しなくなります。 作業は慎重に行ってください。
関連ドキュメント
セカンダリドメイン名の指定されたサブドメイン名へのアクセスのみを許可するようにアクセス制御ポリシーを設定するにはどうすればよいですか。
インターネットに接続されたアセットとWebサイトドメイン名間のトラフィックを管理する方法の詳細については、インターネット接続サーバーから特定のドメイン名へのトラフィックのみを許可するようにアクセス制御ポリシーを構成する.
指定されたリージョンでアクセス制御を実行する方法の詳細については、中国以外のリージョンからサーバーへのトラフィックを拒否するようにアクセス制御ポリシーを設定する.
アクセス制御ポリシーの仕組みの詳細については、アクセス制御ポリシーの概要.
アクセス制御ポリシーを設定する方法の詳細については、アクセス制御ポリシーの設定.
アクセス制御ポリシーでIPアドレスブック、ポートアドレスブック、およびドメインアドレスブックを表示および管理する方法の詳細については、アドレス帳の管理.
アクセス制御ポリシーを設定および使用する方法の詳細については、アクセス制御ポリシーに関するFAQ.