すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:アクセス制御ポリシーに関するFAQ

最終更新日:Sep 25, 2024

このトピックでは、クラウドファイアウォールのアクセス制御ポリシーを使用してビジネストラフィックを制御するときに発生する可能性のある問題について説明します。 このトピックでは、問題の解決策も提供します。

透過プロキシモードとインターネットファイアウォールの両方でWAFを有効にした場合、クラウドファイアウォールのアクセス制御ポリシーによって転送ポートを介したトラフィックを制御できますか?

透過プロキシモードのWebアプリケーションファイアウォール (WAF) とインターネットファイアウォールの両方を有効にすると、インターネットファイアウォール用に作成されたアクセス制御ポリシーを使用して、転送ポートを介したトラフィックを制御できます。 ただし、転送ポート経由のトラフィックに対して、ログ監査、ログ分析、またはトラフィック統計収集を実行することはできません。 他のポート上のトラフィックは影響を受けません。

アクセス制御ポリシーのデフォルトのクォータを増やすことはできますか?

  • サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、またはUltimate Edition of Cloud Firewallを使用し、インターネットファイアウォール、NATファイアウォール、または仮想プライベートクラウド (VPC) ファイアウォールのアクセス制御ポリシーのクォータがビジネス要件を満たさない場合、quota for Additional Policyパラメーターを設定できます。クォータを増やすためのCloud Firewall購入ページ。 詳細については、「サブスクリプション」をご参照ください。

  • 従量課金方式を使用するクラウドファイアウォールを使用する場合、アクセス制御ポリシーのクォータを増やすことはできません。 詳細については、「従量課金」をご参照ください。

保護されたVPCトラフィック帯域幅を増やすことはできますか。

はい、

購入したVPCトラフィック処理機能がビジネス要件を満たしていない場合は、[保護されたVPCトラフィック] パラメーターを設定して、保護できるVPC間トラフィックのピークを増やすことができます。

  • エンタープライズ版: 基本料金では、200 Mbit/s の帯域幅に対応します。 トラフィック処理能力を最大5,000 Gbit/sに増やすことができます。

  • 究極のエディション: 基本価格は1,000 Mbit/sの帯域幅をカバーします。 トラフィック処理能力を最大10,000 Mbit/sに増やすことができます。

Cloud FirewallはIPv6 CIDRブロックのトラフィックをブロックできますか?

サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、またはUltimate Edition of Cloud Firewallを使用する場合、インターネットファイアウォールのアクセス制御ポリシーを作成して、IPv6 CIDRブロックのトラフィックを制御できます。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

従量課金方式を使用するクラウドファイアウォールは、IPv6 CIDRブロックのトラフィックを制御しません。

Cloud Firewallとセキュリティグループの違いは何ですか?

セキュリティグループは、ECSインスタンス間のトラフィックを制御するためにElastic Compute Service (ECS) によって提供される仮想ホストファイアウォールです。

Cloud Firewallは、インターネット境界のトラフィックを制御するインターネットファイアウォール、NAT境界のトラフィックを制御するNATファイアウォール、VPC境界のトラフィックを制御するVPCファイアウォール、およびECSインスタンス間のトラフィックを制御する内部ファイアウォールを提供します。

セキュリティグループと比較して、Cloud Firewallは次のユニークな機能を提供します。

  • アプリケーションベースのアクセス制御。 ポートを指定しなくても、HTTPなどのプロトコルでトラフィックを制御できます。

  • ドメイン名ベースのアクセス制御。 たとえば、ECSインスタンスが特定のドメイン名にのみリクエストを送信できるようにすることができます。

  • 侵入防止。 Cloud Firewallは、一般的なシステムの脆弱性やブルートフォース攻撃に対するプリエンプティブ対策を提供します。

  • アクセス制御ポリシーの監視モード。 Cloud Firewallはトラフィックを監視しますが、潜在的な悪意のあるトラフィックはブロックしません。

  • 完全なトラフィックログとリアルタイムのトラフィック分析。

  • 集中プラットフォームセキュリティ管理。 Cloud Firewallコンソールで内部ファイアウォール用に作成されたアクセス制御ポリシーは、ECSセキュリティグループに自動的に同期されます。 これにより、セキュリティ管理が簡単になります。

共通ポリシーグループとエンタープライズポリシーグループの違いは何ですか?

ECSインスタンス間の内部ファイアウォール用に設定されたポリシーグループは、ECSインスタンスのセキュリティグループに対応します。 ポリシーグループは、ECSインスタンス間のインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。 ポリシーグループは、共通ポリシーグループとエンタープライズポリシーグループに分類され、さまざまなシナリオに適しています。

  • 共通ポリシーグループは、ECSインスタンスの基本的なセキュリティグループに対応します。 同じ基本セキュリティグループ内のリソースは互いに通信できます。 共通のポリシーグループは、他のセキュリティグループのルールで権限付与オブジェクトとして指定できます。 共通ポリシーグループに含めることができるプライベートIPアドレスの数は、エンタープライズポリシーグループに含まれるものよりも少なくなります。

  • エンタープライズセキュリティグループは、ECSインスタンスの高度なセキュリティグループに対応します。 エンタープライズポリシーグループ内のより多くのプライベートIPアドレスに対してアクセス制御ポリシーを設定できます。 ただし、同じエンタープライズセキュリティグループ内のリソースは相互に通信できないか、エンタープライズポリシーグループを他のセキュリティグループのルールで権限付与オブジェクトとして指定できません。

詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。

ドメイン名に対してアプリケーションタイプがHTTPまたはHTTPSであるアウトバウンドアクセス制御ポリシーを設定しました。 ポリシーが有効かどうかを確認するにはどうすればよいですか。

curlコマンドを実行するか、ブラウザのアドレスバーにドメイン名を入力して、ポリシーが有効かどうかを確認できます。 たとえば、curl -k " https://www.aliyundoc.com " コマンドを実行し、Cloud Firewallコンソールにログインして、ポリシーがヒットした回数と監査ログを表示できます。

重要

telnetコマンドを実行して、ポリシーがドメイン名に有効かどうかを確認しないでください。 telne t example.com 80コマンドなどのtelnetコマンドを実行すると、TCPハンドシェイクトラフィックのみが生成されます。 完全なHTTPまたはHTTPSリクエストはシミュレートされません。 この場合、トラフィックのアプリケーションタイプは不明と識別され、アプリケーションタイプがHTTPまたはHTTPSのポリシーにヒットしません。

デフォルトの許可ポリシーをセキュリティグループに適用した後に返されるエラーのトラブルシューティングを行うにはどうすればよいですか?

次の理由により、ポリシーを適用するIPアドレスに関連付けられているセキュリティグループがデフォルトの許可ポリシーをサポートしていないため、エラーが報告されます。

  • IPアドレスに関連付けられているセキュリティグループは、高度なセキュリティグループです。

    高度なセキュリティグループは、既定の許可ポリシーをサポートしていません。 詳細については、「高度なセキュリティグループ」をご参照ください。

  • IPアドレスのインターネットファイアウォールが無効になっています。

    アセットをより適切に保護するために、Cloud Firewallが提供するファイアウォールが無効になっているリソースにはデフォルトの許可ポリシーを適用しないことを推奨します。 デフォルトの許可ポリシーを適用したリソースのファイアウォールを無効にしないことをお勧めします。

デフォルトの許可ポリシーを適用すると、システムは構成の競合を解決できないことを促します。 エラーをトラブルシューティングするにはどうすればよいですか?

考えられる原因

IPアドレスに関連付けられているセキュリティグループのセキュリティグループルールの優先度、プロトコルタイプ、ポート範囲、および許可オブジェクトは、適用されるデフォルトの許可ポリシーと同じです。

解決策

ECSコンソール[セキュリティグループ] ページに移動して、競合するルールの優先度を表示および調整することを推奨します。 詳細については、「セキュリティグループルールの変更」をご参照ください。 を送信することもできます。テクニカルサポートを得る切符。

クイック適用アイコンが使用できないのはなぜですか? エラーをトラブルシューティングするにはどうすればよいですか?

考えられる原因

競合するセキュリティグループルールが存在します。

解決策

デフォルトの許可ポリシーを適用する前に、プロンプトに従って [適用] をクリックしたIPアドレスに関連付けられたECSセキュリティグループのルール間の競合を解決する必要があります。 詳細については、「Internet Firewall」をご参照ください。

インターネットベースのスキャンによって引き起こされる疑わしいアウトバウンド接続の誤検知を排除するにはどうすればよいですか?

考えられる原因

インターネットベースのポートスキャンが実行されたときに疑わしいアウトバウンド接続に対して誤検出が生成された場合、インバウンドアクセス制御ポリシーは弱くなります。 攻撃者がサーバーで無効になっているポートをスキャンすると、サーバーはポートにアクセスできないことを示すインターネット制御メッセージプロトコル (ICMP) パケットを返します。 Cloud Firewallは、ICMPパケットをクライアントによって開始されたアウトバウンド接続と見なします。

原則

次のセクションでは、偽陽性が生成される方法について説明します。

  • 通常、SYNパケットがサーバーの開いているポートに到達すると、サーバーはSYN-ACKパケットを返します。 この場合、Cloud Firewallは、SYNパケットとSYN-ACKパケットが同じ接続に属していると見なします。

  • 攻撃者がサーバーで無効になっているポートをスキャンすると、サーバーまたはNATゲートウェイがICMPパケットを返します。これは、ポートにアクセスできないことを示します。 この場合、Cloud FirewallはICMPパケットに対応するリクエストパケットを特定できません。 したがって、ICMPパケットは、クライアントによって開始されるアウトバウンド接続と見なされます。 スキャンのソースが脅威インテリジェンスライブラリにリストされている場合、疑わしいアウトバウンド接続のアラートが生成されます。

image

解決策

この問題を解決するには、ワークロードに必要なポートでのみトラフィックを許可するように、インバウンドアクセス制御ポリシーを構成することをお勧めします。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

インターネットファイアウォールに対して、Sourceが0.0.0.0/0に設定されているアウトバウンドアクセス制御ポリシーを設定しました。 ただし、ポリシーが一致しないため、一部のトラフィックは引き続き許可されます。 これはなぜですか。

考えられる原因

  • トラフィックのドメイン名が特定されていません。

    優先度の高いドメイン名ベースのアクセス制御ポリシーを設定し、トラフィックの送信元IPアドレス、送信先IPアドレス、およびアプリケーションタイプが識別されます。 ただし、トラフィックのドメイン名は特定されません。 この場合、トラフィックは許可されます。 これにより、トラフィックのドメイン名を後続のアクセス制御ポリシーによって確実に識別できます。

  • トラフィックのアプリケーションタイプは識別されません。

    優先度の高いアプリケーションベースのアクセス制御ポリシーを設定し、トラフィックの送信元IPアドレス、送信先IPアドレス、およびポートが識別されます。 しかしながら、トラフィックのアプリケーションタイプは識別されない。 この場合、トラフィックは許可されます。 これにより、トラフィックのアプリケーションタイプを後続のアクセス制御ポリシーによって確実に識別できます。

解決策

  • インターネットファイアウォールのアクセス制御ポリシーに対してstrictモードを有効にします。

    strictモードを有効にすると、Cloud Firewallは、トラフィックのアプリケーションタイプまたはドメイン名が特定されるまで、前述のトラフィックを他のアクセス制御ポリシーと照合します。 拒否ポリシーが設定されている場合、アプリケーションタイプまたはドメイン名が不明であるトラフィックは拒否されます。 詳細については、「アクセス制御エンジンのモードの設定」をご参照ください。

  • レイヤー4アクセス制御ポリシーのみを作成します。 レイヤー7のアクセス制御ポリシーを作成しないでください。

    レイヤー4アクセス制御ポリシーを作成するときは、ApplicationパラメーターをANYに設定します。 Destinationにドメイン名を指定しないでください。 Cloud Firewallがトラフィックとレイヤー4アクセス制御ポリシーと一致する場合、Cloud Firewallはポリシーで指定されたアクションに基づいてトラフィックを処理します。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

セカンダリドメイン名の指定されたサブドメイン名へのアクセスのみを許可するようにアクセス制御ポリシーを設定するにはどうすればよいですか。

この例では、e xyz.comドメイン名が使用されます。 e abc.xyz.comドメイン名へのアクセスのみを許可するようにアクセス制御ポリシーを構成するには、次の操作を実行します。

  1. * .xyz.comドメイン名へのアクセスをブロックするアクセス制御ポリシーを作成し、ポリシーの優先度を最低に設定します。

  2. abc.xyz.comドメイン名へのアクセスを許可するアクセス制御ポリシーを作成し、ポリシーの優先度を最高に設定します。

サブドメイン名へのアクセスを許可するポリシーが、他のWebサイトへのアクセスを拒否するポリシーよりも優先度が高いことを確認してください。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

Cloud Firewallを使用して、要塞ホストのドメイン名のアクセス制御を強化する方法を教えてください。

Bastionhostは、O&M ID認証、アカウント管理、システム運用監査などのさまざまな機能を提供する包括的なO&M管理プラットフォームです。 要塞ホストは、アカウント情報などの大量の機密情報を保存および管理します。 したがって、要塞ホストは攻撃を受けやすいです。 Bastionhostの新しいバージョンは、ドメイン名ベースのアクセスをサポートしています。 この場合、権限のないユーザーが要塞ホストにログオンして多数の資産にアクセスする可能性があります。

Cloud Firewallを使用して、要塞ホストのドメイン名に対するアクセス制御を実行することを推奨します。 BastionhostとCloud Firewallの両方を購入した場合、BastionhostはCloud Firewallのアセットタイプに自動的に追加され、購入したbastionホストはCloud Firewallのアセットリストに自動的に同期されます。 Cloud Firewallを使用して、要塞ホストでアクセス制御、侵入防止、ネットワークトラフィック分析を実行し、要塞ホストのパブリックIPアドレスを一元管理および保護できます。

  • アクセス制御:

    • 指定したエリアのインターネットまたはインターネットから要塞ホストの開いているポートへのトラフィックを許可するように、インターネットファイアウォールの受信アクセス制御ポリシーを構成します。

    • インターネットファイアウォールのアウトバウンドアクセス制御ポリシーを構成して、要塞ホストからパブリックIPアドレスへのトラフィックを許可します。

  • 侵入防止: 要塞ホストのファイアウォールを有効にして、要塞ホストのインバウンドおよびアウトバウンドトラフィックを保護のためにCloud firewallにリダイレクトします。

詳細については、「Cloud FirewallがBastionhostとともにデプロイされるシナリオでのアクセス制御ポリシーの設定」をご参照ください。

再発に指定された期間が2暦日に及ぶ場合、アクセス制御ポリシーは有効になりますか?

アクセス制御ポリシーを設定するときに、[再発サイクル] パラメーターに指定した時間範囲が2暦日に及び、[有効日] パラメーターに指定された開始時間がその時間範囲内にある場合、再発の実際の終了時間は翌日の指定された終了時間にロールオーバーされます。

たとえば[繰り返しサイクル] パラメーターを毎週火曜日の18:00〜08:00 (+ 1) に設定し、[有効日] パラメーターを2024.08.20〜2024.08.22に設定した場合、アクセス制御ポリシーは2024年8月20日の18:00から、2024 8月21日の08:00に有効になります。image