アドレス帳の管理

アドレス帳には、IPv4 アドレス、IPv6 アドレス、ポート、ドメイン名など、複数の IP アドレスを追加できます。その後、アクセス制御ポリシーを作成する際にアドレス帳を参照できます。これは、指定されたグループのネットワークトラフィックを制御するのに役立ちます。アドレス帳を使用すると、アクセス制御ポリシーの構成を簡素化できます。アドレス帳の更新は、関連するアクセス制御ポリシーに自動的に同期されます。これは、ポリシー調整の応答速度と全体的な管理効率の向上に役立ちます。

アドレス帳の種類

Cloud Firewall はカスタムアドレス帳をサポートし、推奨されるインテリジェントアドレス帳を提供します。カスタムアドレス帳を柔軟に作成し、適用して、ワークロードの多様なセキュリティ要件を満たすことができます。

アドレス帳の種類	説明

アドレス帳の種類

説明

カスタムアドレス帳

カスタムアドレス帳とは、ユーザーが作成するアドレス帳のことです。カスタム IPv4 アドレス帳、IPv6 アドレス帳、ポートアドレス帳、ドメインアドレス帳、Container Service for Kubernetes (ACK) アドレス帳を作成できます。

最大 5,000 個のカスタムアドレス帳を作成できます。アドレス帳に追加できるアドレスの最大数は、アドレス帳の種類によって異なります。

IPV4 アドレス帳: 各アドレス帳には、最大 2,000 個の IPv4 アドレスまたは 500 個の Elastic Compute Service (ECS) インスタンスタグを追加できます。
IPV6 アドレス帳: 各アドレス帳には、最大 2,000 個の IPv6 アドレスを追加できます。
Port Address Book: 各アドレス帳には、最大 50 個のポートを追加できます。
ドメイン名アドレス帳: 各アドレス帳には、最大 2,000 個のドメイン名を追加できます。
ACK address book: 各アドレス帳には、最大 10 個の名前空間またはラベルを追加できます。

説明

1 つの項目を複数のアドレス帳に追加できます。たとえば、1 つの IPv4 アドレスを 2 つの異なるアドレス帳に追加できます。

推奨インテリジェントアドレス帳

推奨インテリジェントアドレス帳とは、クラウドサービスアドレス帳と脅威インテリジェンスアドレス帳を含む組み込みアドレス帳のことです。アクセス制御ポリシーを構成する際に、推奨インテリジェントアドレス帳を直接参照できます。推奨インテリジェントアドレス帳を変更または削除することはできません。

説明

推奨インテリジェントアドレス帳は定期的に自動的に更新され、更新は関連するアクセス制御ポリシーに自動的に同期されます。自動更新時間は、アドレス帳の種類によって異なります。クラウドサービスアドレス帳の自動更新時間は 10 ～ 100 分で、脅威インテリジェンスアドレス帳の自動更新時間は 1 日です。

クラウドサービスアドレス帳には、セキュリティセンターの脆弱性スキャナーのサーバー IP アドレス、アカウント内のすべての ECS インスタンスのパブリック IP アドレス、Anti-DDoS インスタンスの原点復帰アドレス、Web Application Firewall (WAF) インスタンスの原点復帰アドレスなど、Alibaba Cloud サービスの原点復帰アドレスが含まれています。
クラウドサービスアドレス帳が無効になっていると、関連サービスの通常の動作に影響を与える可能性があります。すべてのクラウドサービスアドレス帳の IP アドレスとドメイン名のトラフィックを許可することをお勧めします。
脅威情報アドレス帳のリストには、Alibaba Cloud によって検出された悪意のある IP アドレスまたはドメイン名のアドレス帳と、一般的な Web サイトのアドレス帳が含まれています。
- ほとんどの場合、悪意のある IP アドレスまたはドメイン名のアドレス帳は、サイバー攻撃とマルウェアアクティビティの分析に基づいて、セキュリティ研究者と自動システムによって取得され、継続的に更新されます。悪意のあるアドレス帳の IP アドレスまたはドメイン名のトラフィックが拒否されると、既知の悪意のあるソースとの通信を遮断し、システムのセキュリティを強化できます。すべての悪意のあるアドレス帳の IP アドレスまたはドメイン名のトラフィックを拒否することをお勧めします。
- 一般的な Web サイトのアドレス帳には、一般的なオンラインドキュメント Web サイト、ソーシャルネットワーキング Web サイト、クラウドディスク Web サイトなど、頻繁にアクセスされる Web サイトが含まれています。企業の管理者は、アクセス制御ポリシーを構成して、これらの一般的な Web サイトへのアクセスを許可または拒否できます。
  一般的な Web サイトのアドレス帳は、企業が従業員のネットワークアクティビティを管理したいシナリオで使用できます。これは、ネットワーク帯域幅がビジネスに不可欠なアクティビティに優先的に使用され、コンプライアンスとセキュリティの要件を満たさない特定の Web サイトへのアクセスが制限されるようにするのに役立ちます。

カスタムアドレス帳を作成する

Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、[防御構成] > アクセス制御 > Address Books を選択します。
Address Books ページで、カスタムアドレス帳 タブをクリックし、作成するアドレス帳の種類に基づいてタブをクリックします。

IPV4 アドレス帳、IPV6 アドレス帳、Port Address Book、ドメイン名アドレス帳、または ACK address book タブをクリックし、Create Address Book をクリックして、パラメーターを構成します。

IPv4 アドレス帳を作成する

IP アドレスまたは ECS タグに基づいて IPv4 アドレス帳を作成できます。

IP アドレス: IPv4 アドレスを入力します。
ECS タグ: 複数の ECS インスタンスのパブリック IP アドレスをアドレス帳に追加する場合、ECS インスタンスにタグを追加している場合は、ECS タグを選択してパブリック IP アドレスをすばやく追加できます。
説明
Cloud Firewall は、ECS タグに基づいて作成されたアドレス帳を 100 分ごとに自動的に更新し、更新はアドレス帳を参照するアクセス制御ポリシーに自動的に同期されます。

アドレス帳タイプ	パラメータ	説明
IP Address	Address Book Name	アドレス帳を識別しやすいように、わかりやすい名前を入力します。
	IP Address	1 つ以上の IPv4 CIDR ブロックを入力します。例: 100.100.XX.XX/32。複数の CIDR ブロックはカンマ (,) で区切ります。
	記述	アドレス帳と、アドレス帳を使用するシナリオの説明を入力します。
ECS Tag	Address Book Name	アドレス帳を識別しやすいように、わかりやすい名前を入力します。
	ECS Tag Update	ECS インスタンスが指定されたタグと一致する場合に、ECS インスタンスのパブリック IP アドレスをアドレス帳に自動的に追加するかどうかを指定します。デフォルトでは、スイッチはオンになっています。スイッチをオフにすることはできません。
	ECS Tag	ECS タグとタグの値を選択します。必要な ECS インスタンスに異なるタグが追加されている場合は、Add ECS Tag をクリックして、異なるタグを持つ ECS インスタンスの複数のパブリック IP アドレスを追加できます。 ECS タグの詳細については、「インスタンスのタグを変更する」をご参照ください。
	記述	アドレス帳と、アドレス帳を使用するシナリオの説明を入力します。

IPv6 アドレス帳を作成する

パラメータ	説明
Address Book Name	アドレス帳を識別しやすいように、わかりやすい名前を入力します。
IP Address	1 つ以上の IPv6 CIDR ブロックを入力します。例：`2001:3caf:10f:**:**/56`。複数の CIDR ブロックはカンマ (,) で区切ります。
記述	アドレス帳と、アドレス帳を使用するシナリオの説明を入力します。

ポートアドレス帳を作成する

パラメータ	説明
Address Book Name	アドレス帳を識別しやすいように、わかりやすい名前を入力します。
ポート	1 つ以上のポート範囲を入力します。有効値：0 ～ 65535。複数のポート範囲はカンマ (,) で区切ります。ポート範囲は、`開始ポート/終了ポート` 形式である必要があります。たとえば、値 22/25 はポート 22、23、24、および 25 を示し、値 80/80 はポート 80 を示します。値 0/0 はすべてのポートを示します。
記述	アドレス帳と、アドレス帳を使用するシナリオの説明を入力します。

ドメインアドレス帳を作成する

パラメータ	説明
Address Book Name	アドレス帳を識別しやすいように、わかりやすい名前を入力します。
記述	アドレス帳と、アドレス帳を使用するシナリオの説明を入力します。
ドメイン名	1 つ以上のドメイン名を入力します。ワイルドカードドメイン名を入力できます。複数のドメイン名はカンマ (,) で区切ります。説明アクセス制御ポリシーの接続先タイプを [ドメイン名] に設定した場合、アプリケーションタイプは HTTP、HTTPS、SSL、SMTP、および SMTPS のみをサポートします。 NAT ファイアウォールのアクセス制御ポリシーを作成するときにワイルドカードドメイン名のアドレス帳を参照する場合、[ドメイン名識別モード] は FQDN ベース (メッセージが Host/SNI を抽出) のみに設定できます。

ACK アドレス帳を作成する

重要

ACK アドレス帳を作成する前に、まず [ACK クラスタ同期ノード] を作成し、ノードの ID または名前を取得する必要があります。
ACK アドレス帳は、ACK クラスタ 同期ノードに基づいて提供されます。ACK アドレス帳を作成した後、Instance ID/name of the ACK cluster synchronization node または ACK address book type の値を変更することはできません。ACK アドレス帳を変更するには、削除してから別のアドレス帳を作成します。

パラメータ	説明
Address Book Name	アドレス帳を識別しやすいように、わかりやすい名前を入力します。
記述	アドレス帳と、アドレス帳を使用するシナリオの説明を入力します。
Instance ID/name of the ACK cluster synchronization node	使用する ACK クラスタ同期ノードの ID または名前を入力します。ACK クラスタ同期ノードは、関連するポッドの最新の IP アドレスを ACK アドレス帳に定期的に自動的に同期します。
ACK address book type	ACK cluster namespace: このオプションを選択すると、指定した名前空間内のすべてのポッドの IP アドレスが ACK アドレス帳に同期されます。 ACK クラスターのコンテナーグループタグ: このオプションを選択すると、指定したラベルを持つすべてのポッドの IP アドレスが ACK アドレス帳に同期されます。
Content	ACK address book type で選択した値に基づいて値を入力します。 ACK address book type で ACK cluster namespace を選択した場合は、名前空間を指定できます。説明システムは、指定された名前空間を検証しません。指定された名前空間が無効な場合、関連する IP アドレスは表示されません。名前空間は最大 63 文字です。文字または数字で始まり、ハイフン（-）、アンダースコア（_）、ピリオド（.）、文字、または数字で終わる必要があります。 ACK address book type で ACK クラスターのコンテナーグループタグを選択した場合は、複数のキーと値のペアを指定できます。説明システムは、指定されたキーまたは値を検証しません。指定されたキーと値が無効な場合、関連する IP アドレスは表示されません。キー: キーには、スラッシュ（/）で区切られた、オプションのプレフィックスと必須の名前があります。必須の名前は、次の要件を満たしている必要があります。名前は最大 63 文字です。名前は文字または数字で始まり、文字または数字で終わる必要があります。名前は、ハイフン（-）、アンダースコア（_）、ピリオド（.）、文字、または数字で終わる必要があります。プレフィックスを指定する場合、プレフィックスは次の要件を満たしている必要があります。プレフィックスは、ピリオド（.）で区切られた DNS（Domain Name System）ラベルで構成されるサブドメインである必要があります。プレフィックスは 253 文字を超えることはできません。プレフィックスはスラッシュ（/）で終わる必要があります。値: 値は文字または数字で始まる必要があります。値は、ハイフン（-）、アンダースコア（_）、ピリオド（.）、文字、または数字で終わる必要があります。値は最大 63 文字です。

[OK] をクリックします。
アドレス帳が作成された後、アドレス帳リストで表示、変更、または削除できます。
重要
アドレス帳の アドレス帳タイプ または指定された ACK クラスタ同期ノードを変更したり、アクセス制御ポリシーによって参照されているカスタムアドレス帳を削除したりすることはできません。