仮想プライベートクラウド (VPC) 内のElastic Compute Service (ECS) インスタンスやelasticコンテナインスタンスなどのリソースからNATゲートウェイ経由でインターネットへのアウトバウンドトラフィックを管理する場合は、NATゲートウェイのNATファイアウォールを有効にし、アクセス制御ポリシーを設定して、内部にあるリソースからインターネットへのトラフィックをきめ細かく管理できます。
VPC内の内部対応リソースがNATゲートウェイを介してインターネットに直接アクセスすると、不正アクセス、データ漏洩、トラフィック攻撃などのリスクが発生する可能性があります。 送信元アドレス、宛先アドレス、ポート、プロトコル、アプリケーションなどの項目を指定することで、必要なトラフィックのみを許可するNATファイアウォールを作成できます。 これにより、内部対応リソースからインターネットへの不正アクセスが効果的に制限されます。
NATゲートウェイに対してNATファイアウォールを有効にすると、NATファイアウォールはVPC内の内部対応リソースからNATゲートウェイへのすべてのアウトバウンドトラフィックを管理します。 リソースには、同じVPCにデプロイされているリソースとVPC間のリソースが含まれます。
前提条件
NATファイアウォールが作成され、有効になっています。 詳細は、「NATファイアウォール」をご参照ください。
アクセス制御ポリシーのクォータは十分です。 アクセス制御ポリシーのクォータは、アクセス制御ポリシーの概要」をご参照ください。
ページで確認できます。 クォータ使用量の計算方法の詳細については、「クォータが不十分な場合は、仕様のアップグレードをクリックして追加ポリシーのクォータの値を増加させます。 詳細については、「Cloud Firewallの購入」をご参照ください。
複数の項目を送信元アドレスまたは送信先アドレスとして指定する場合は、アドレス帳を作成できます。 詳細については、「アドレス帳の管理」をご参照ください。
手順
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 .
NAT 境界 ページで、アクセス制御ポリシーを作成するNATゲートウェイを見つけ、Create Policy をクリックします。
現在のAlibaba Cloudアカウント内のNAT Gatewayは、Cloud Firewallに自動的に同期されます。
ポリシーの作成 - NAT 境界 パネルで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ソースタイプ
ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。
ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。
一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。
ソースタイプをアドレス帳に設定した場合は、IPアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
ソース
宛先タイプ
ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。
ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。
一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。
ソースタイプをアドレス帳に設定した場合は、IPアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
宛先タイプをドメイン名に設定した場合、ドメイン名識別モードを選択します。 有効な値:
FQDN ベース (メッセージが Host/SNI を抽出): HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理する場合は、このモードを選択することを推奨します。
DNS ベースの動的名前解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィック以外のトラフィックを管理する場合は、このモードを選択することを推奨します。
重要このモードはワイルドカードドメイン名をサポートしていません。
FQDN と DNS に基づく動的解決 (メイン名アプリケーションタイプ:HTTP/HTTPS/SSL/SMTP/STMPS): HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理したいが、特定のまたはすべてのトラフィックにHOSTまたはSNIフィールドが含まれていない場合は、このモードを使用することを推奨します。
重要このモードは、ACL エンジン管理モードがStrictの場合にのみ有効です。
宛先タイプを [リージョン] に設定した場合、宛先に1つ以上のトラフィック宛先の場所を選択します。 中国内外の1つ以上の場所を選択できます。
目的地
プロトコルタイプ
トランスポート層プロトコル。 有効な値: TCP、UDP、ICMP、ANY。 プロトコルタイプがわからない場合は、ANYを選択します。
ポートタイプ
宛先のポートタイプとポート番号。
ポートタイプをポートに設定した場合は、ポート範囲を入力します。 ポート番号 /ポート番号の形式でポート範囲を指定します。 例: 22/22または80/88。 複数のポート範囲はコンマ (,) で区切ります。 最大2,000のポート範囲を入力できます。
複数のポート範囲を入力すると、Cloud Firewallは入力されたポート範囲を含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。
ポートタイプをアドレス帳に設定した場合は、ポートアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
ポート
アプリケーション
トラフィックのアプリケーションタイプ。
ドメイン名識別モードパラメーターをDNSベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。
ドメイン名識別モードパラメーターをFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。
ドメイン名識別モードパラメーターをFQDNおよびDNSベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLを選択できます。
Action
トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:
許可: トラフィックは許可されています。
拒否: トラフィックは拒否され、通知は送信されません。
Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
説明
アクセス制御ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。
優先度
アクセス制御ポリシーの優先度。 デフォルト値: Lowest 有効な値:
最高: アクセス制御ポリシーの優先度が最も高い。
最低: アクセス制御ポリシーの優先度が最も低い。
ポリシー有効期間
アクセス制御ポリシーの有効期間。 ポリシーは、有効期間内にのみトラフィックを照合するために使用できます。
ステータス
ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。
アクセス制御エンジンモードの設定
アクセス制御ポリシーが作成された後、NATファイアウォールのアクセス制御エンジンモードはデフォルトでルーズモードになります。 このモードでは、アプリケーションタイプまたはドメイン名が不明と識別されたトラフィックが自動的に許可され、ワークロードへの影響を回避できます。 ビジネス要件に基づいて、モードを 厳密モード に変更できます。
ページで、アクセス制御ポリシーリストの右上隅にある ACL エンジン管理 をクリックします。
ACL エンジン管理 - NAT ボーダーファイアウォール パネルで、エンジンモードを変更するNATゲートウェイを見つけ、エンジンモード 列の 変更 をクリックします。
エンジンモードの変更 ダイアログボックスで、[エンジンモード] パラメーターを設定し、[OK] をクリックします。
厳密モード: 厳密モードを有効にすると、アプリケーションタイプまたはドメイン名が不明であるトラフィックが、設定したすべてのポリシーと照合されます。 拒否ポリシーを設定した場合、このタイプのトラフィックは拒否されます。
ルーズモード: ルーズモードを有効にすると、アプリケーションタイプまたはドメイン名が不明であるトラフィックが許可されます。 これにより、通常のアクセスが保証されます。
アクセス制御ポリシーのヒット詳細の表示
サービスが一定期間実行されると、アクセス制御ポリシーのリストの ヒットカウント /直近のヒット時間 列で、アクセス制御ポリシーに関するヒットの詳細を表示できます。
ヒット数をクリックすると、[ログ監査] ページに移動してトラフィックログを表示できます。 詳細については、「ログ監査」をご参照ください。
関連する API 操作
アクセス制御ポリシーを作成したら、ポリシーの [操作] 列で [変更] 、[削除] 、または [コピー] をクリックします。 [移動] をクリックして、ポリシーの優先順位を変更することもできます。 ポリシーの優先度を変更すると、優先度の低いアクセス制御ポリシーの優先度が低下します。
ポリシーを削除すると、Cloud Firewallはポリシーが元々有効なトラフィックを管理しなくなります。 作業は慎重に行ってください。
関連ドキュメント
内部対応アセットから特定のドメイン名へのトラフィックを管理する方法の詳細については、内部対応サーバーのみが特定のドメイン名にアクセスできるようにポリシーを設定する.
アクセス制御ポリシーの仕組みの詳細については、アクセス制御ポリシーの概要.
アクセス制御ポリシーを設定する方法の詳細については、アクセス制御ポリシーの設定.
アクセス制御ポリシーでIPアドレスブック、ポートアドレスブック、およびドメインアドレスブックを表示および管理する方法の詳細については、アドレス帳の管理.
アクセス制御ポリシーを設定および使用する方法の詳細については、アクセス制御ポリシーに関するFAQ.