すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:アドレス帳の管理

最終更新日:Aug 15, 2024

IPv4アドレスやIPv6アドレス、ポート、ドメイン名など、複数のIPアドレスをアドレス帳に追加できます。 次に、アクセス制御ポリシーを作成するときにアドレス帳を参照できます。 これにより、指定したグループのネットワークトラフィックを制御できます。 アドレス帳を使用して、アクセス制御ポリシーの設定を簡素化できます。 アドレス帳の更新は、関連するアクセス制御ポリシーと自動的に同期されます。 これにより、ポリシー調整の応答速度と全体的な管理効率が向上します。

アドレス帳の種類

Cloud Firewallはカスタムアドレス帳をサポートし、推奨されるインテリジェントアドレス帳を提供します。 カスタムアドレス帳を柔軟に作成して適用し、ワークロードのさまざまなセキュリティ要件を満たすことができます。

アドレス帳タイプ

説明

カスタムアドレス帳

カスタムアドレス帳とは、作成するアドレス帳を指します。 カスタムIPv4アドレス帳、IPv6アドレス帳、ポートアドレス帳、およびドメインアドレス帳を作成できます。

最大5,000のカスタムアドレス帳を作成できます。 アドレス帳に追加できるアドレスの最大数は、アドレス帳のタイプに基づいています。

  • IPV4 アドレス帳: 各アドレス帳に、最大2,000個のIPv4アドレスまたはECS (Elastic Compute Service) インスタンスの500タグを追加できます。

  • IPV6 アドレス帳: 各アドレス帳に最大2,000個のIPv6アドレスを追加できます。

  • Port Address Book: 各アドレス帳に最大50個のポートを追加できます。

  • ドメイン名アドレス帳: 各アドレス帳に最大2,000のドメイン名を追加できます。

説明

アイテムは複数のアドレス帳に追加できます。 例えば、IPv4アドレスを2つの異なるアドレス帳に追加することができる。

推奨インテリジェントアドレス帳

推奨されるインテリジェントアドレス帳とは、組み込みアドレス帳を指します。 アクセス制御ポリシーを設定するときに、推奨されるインテリジェントアドレス帳を直接参照できます。 推奨されるインテリジェントアドレス帳を変更または削除することはできません。 推奨されるインテリジェントアドレス帳には、クラウドサービスアドレス帳と脅威インテリジェンスアドレス帳が含まれます。

説明

推奨されるインテリジェントアドレス帳は定期的に自動的に更新され、更新は関連するアクセス制御ポリシーと自動的に同期されます。 自動更新時間は、アドレス帳のタイプによって異なります。 クラウドサービスのアドレス帳の自動更新時間は10〜100分で、脅威インテリジェンスのアドレス帳の自動更新時間は1日です。

  • クラウドサービスアドレス帳には、Security Center脆弱性スキャナーのサーバーIPアドレス、アカウント内のすべてのECSインスタンスのパブリックIPアドレス、Anti-DDoSインスタンスのback-to-originアドレス、Web Application Firewall (WAF) インスタンスのback-to-originアドレスなど、Alibaba Cloudサービスのback-to-originアドレスが含まれています。

    クラウドサービスのアドレス帳が無効になっている場合、関連サービスの通常の運用に影響を与える可能性があります。 すべてのクラウドサービスアドレスブックでIPアドレスとドメイン名のトラフィックを許可することを推奨します。

  • 脅威情報アドレス帳のリストには、Alibaba Cloudによって検出された悪意のあるIPアドレスまたはドメイン名のアドレス帳と、一般的なWebサイトのアドレス帳が含まれています。

    • ほとんどの場合、悪意のあるIPアドレスまたはドメイン名アドレス帳は、サイバー攻撃とマルウェア活動の分析に基づいて、セキュリティ研究者と自動化システムによって取得され、継続的に更新されます。 悪意のあるアドレス帳のIPアドレスまたはドメイン名のトラフィックが拒否されると、既知の悪意のあるソースとの通信が傍受され、システムのセキュリティが強化されます。 すべての悪意のあるアドレス帳のIPアドレスまたはドメイン名のトラフィックを拒否することを推奨します。

    • 一般的なWebサイトのアドレス帳には、一般的なオンラインドキュメントWebサイト、ソーシャルネットワーキングWebサイト、クラウドディスクWebサイトなど、頻繁にアクセスされるWebサイトが含まれています。 企業の管理者は、これらの共通Webサイトへのアクセスを許可または拒否するアクセス制御ポリシーを設定できます。

      一般的なWebサイトのアドレス帳は、企業が従業員のネットワーク活動を管理したいシナリオで使用できます。 これにより、ネットワーク帯域幅がビジネスクリティカルなアクティビティに優先的に使用され、コンプライアンスとセキュリティ要件を満たさない特定のWebサイトへのアクセスが制限されます。

    説明

    脅威インテリジェンスのアドレス帳は、1日おきに自動的に更新されます。

カスタムアドレス帳の作成

  1. Cloud Firewallコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アクセス制御 > Address Books を選択します。

  3. Address Books ページで、カスタムアドレス帳 タブをクリックし、作成するアドレス帳の種類に基づいてタブをクリックします。

  4. IPV4 アドレス帳IPV6 アドレス帳Port Address Book 、または ドメイン名アドレス帳 タブをクリックし、Create Address Book をクリックしてパラメーターを設定します。

    IPv4アドレス帳の作成

    IPアドレスまたはECSタグに基づいてIPv4アドレス帳を作成できます。

    • IPアドレス: IPv4アドレスを入力します。

    • ECSタグ: 複数のECSインスタンスのパブリックIPアドレスをアドレス帳に追加し、ECSインスタンスにタグを追加した場合、ECSタグを選択してパブリックIPアドレスをすばやく追加できます。

      説明

      Cloud Firewallは、ECSタグに基づいて作成されたアドレス帳を100分ごとに自動的に更新し、更新はアドレス帳を参照するアクセス制御ポリシーに自動的に同期されます。

    アドレス帳タイプ

    パラメーター

    説明

    IP Address

    Address Book Name

    アドレス帳の名前を入力して、アドレス帳を識別しやすくします。

    IP Address

    1つ以上のIPv4 CIDRブロックを入力します。 例: 100.100.XX.XX/32. カンマ (,) で複数の CIDR ブロックを区切ります。

    記述

    アドレス帳と、アドレス帳を使用するシナリオに関する情報を入力します。

    ECS Tag

    Address Book Name

    アドレス帳の名前を入力して、アドレス帳を識別しやすくします。

    ECS Tag Update

    ECSインスタンスが指定されたタグと一致する場合、ECSインスタンスのパブリックIPアドレスをアドレス帳に自動的に追加するかどうかを指定します。 デフォルトでは、スイッチはオンになっています。 スイッチをオフにすることはできません。

    ECS Tag

    ECSタグとタグの値を選択します。

    必要なECSインスタンスに異なるタグが追加されている場合、Add ECS Tag をクリックして、異なるタグを持つECSインスタンスの複数のパブリックIPアドレスを追加できます。

    ECSタグの詳細については、「インスタンスのタグの編集」をご参照ください。

    記述

    アドレス帳と、アドレス帳を使用するシナリオに関する情報を入力します。

    IPv6アドレス帳の作成

    パラメーター

    説明

    Address Book Name

    アドレス帳の名前を入力して、アドレス帳を識別しやすくします。

    IP Address

    1つ以上のIPv6 CIDRブロックを入力します。 例: 2001:3caf:10f:****:****/56 カンマ (,) で複数の CIDR ブロックを区切ります。

    記述

    アドレス帳と、アドレス帳を使用するシナリオに関する情報を入力します。

    ポートアドレス帳の作成

    パラメーター

    説明

    Address Book Name

    アドレス帳の名前を入力して、アドレス帳を識別しやすくします。

    ポート

    1つ以上のポート範囲を入力します。 有効な値: 0 ~ 65535 複数のポート範囲はコンマ (,) で区切ります。

    • ポート範囲は、Start port/End port形式である必要があります。 例えば、値22/25はポート22、23、24、25を示し、値80/80はポート80を示す。

    • 値0/0はすべてのポートを指定します。

    記述

    アドレス帳と、アドレス帳を使用するシナリオに関する情報を入力します。

    ドメインアドレス帳の作成

    パラメーター

    説明

    Address Book Name

    アドレス帳の名前を入力して、アドレス帳を識別しやすくします。

    記述

    アドレス帳と、アドレス帳を使用するシナリオに関する情報を入力します。

    ドメイン名

    1つ以上のドメイン名を入力します。 ワイルドカードドメイン名を入力できます。 複数のドメイン名はコンマ (,) で区切ります。

    説明
    • アクセス制御ポリシーの宛先タイプをドメイン名に設定した場合、アプリケーションタイプはHTTP、HTTPS、SSL、SMTP、およびSMTPSのみをサポートします。

    • NATファイアウォールのアクセス制御ポリシーを作成するときにワイルドカードドメイン名のアドレス帳を参照する場合、ドメイン名識別モードをFQDN ベース (メッセージが Host/SNI を抽出) にのみ設定できます。

  5. [OK] をクリックします。

    アドレス帳の作成後、アドレス帳リストでアドレス帳を表示、変更、または削除できます。

    説明

    アドレス帳のアドレス帳タイプパラメーターを変更したり、アクセス制御ポリシーで参照されているカスタムアドレス帳を削除したりすることはできません。

推奨されるインテリジェントアドレス帳の表示

推奨されるインテリジェントアドレス帳を表示できます。 ただし、推奨されるインテリジェントアドレス帳を作成または編集することはできません。

  1. Cloud Firewallコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アクセス制御 > Address Books を選択します。

  3. AIRec アドレス帳 タブをクリックして、推奨インテリジェントアドレス帳のリストを表示します。

    image

  4. アドレス帳の [操作] 列の 表示する をクリックして、アドレス帳の詳細を表示します。