:プリセールスFAQ

• FAQについての機能

  • サービスにリンクされたロールAliyunServiceRoleForCloudFWをCloud Firewallに割り当てる必要があるのはなぜですか。

  • マルチアカウント管理機能は何人のメンバーをサポートしていますか。

  • Cloud FirewallはAPT攻撃から防御できますか?

  • Cloud Firewallがインターネット向けSLBインスタンスを保護する主なシナリオは何ですか?

  • インターネットファイアウォールのコア防御機能は何ですか?

  • 自己管理ファイアウォールに対するAlibaba Cloud Cloudファイアウォールの利点は何ですか?

• 従量課金方式を使用するクラウドファイアウォールに関するよくある質問

  • 従量課金方法を使用するCloud Firewallに対してどのように課金されますか?

  • 従量課金方式を使用する Cloud Firewall の使用状況の詳細を表示するにはどうすればよいですか。

  • 従量課金の貯蓄プランとは何ですか? また、どのように使用すればよいですか?

  • 従量課金方式を使用する Cloud Firewall とサブスクリプション課金方式を使用する Cloud Firewall の違いは何ですか。

  • Cloud Firewallの課金方法をサブスクリプションから従量課金に変更するにはどうすればよいですか。

  • Cloud Firewallの課金方法を従量課金からサブスクリプションに変更するにはどうすればよいですか。

  • 従量課金方式を使用するCloud Firewallをリリースするにはどうすればよいですか?

  • 従量課金の Cloud Firewall をリリースしましたが、引き続き料金が差し引かれているのはなぜですか。

• FAQに関する保護スコープ

  • クラウドファイアウォールはレイヤ2 EIPを保護できますか?

  • Cloud Firewallはクラシックネットワークをサポートしていますか?

  • Cloud Firewallはインターネットに接続するSLBインスタンスを保護できますか?

  • Cloud FirewallはExpress ConnectまたはCENのトラフィックを保護できますか?

  • インターネットファイアウォールは、パブリックVPNゲートウェイ宛てのトラフィックを保護できますか?

  • VPCファイアウォールは、IPsec-VPN経由のVPC宛てのトラフィックを保護できますか。

  • 購入したCloud Firewallの保護帯域幅を消費するトラフィックの種類はどれですか。

• クラウドファイアウォールと他のAlibaba Cloudサービスとの関係に関するFAQ

  • Alibaba Cloudアーキテクチャにおけるcloud Firewallと他のクラウドサービスとの関係を教えてください。

  • Anti-DDoS ProまたはAnti-DDoS Premium、WAF、およびCloud Firewallを一緒に使用すると、サービスのトラフィックはどのように流れますか?

  • WAFとCloud Firewallを使用してインターネットの公開を管理するにはどうすればよいですか?

  • CENインスタンスのトランジットルーターを使用するユーザーがCloud Firewallの要件が高いのはなぜですか。

サービスにリンクされたロールAliyunServiceRoleForCloudFWをCloud Firewallに割り当てる必要があるのはなぜですか。

次の操作を実行する前に、現在のAlibaba Cloudアカウントに属するクラウドリソースへのアクセスを許可する必要があります。クラウドアセットのリクエストとレスポンスの表示、内部ネットワークを介したクラウドアセット間のアクセス情報の表示、cloud Firewallコンソールに表示される統計に基づくアクセス制御ポリシーの設定。 クラウドリソースには、Elastic Compute Service (ECS) インスタンス、仮想プライベートクラウド (VPC) 、およびServer Load Balancer (SLB) インスタンスが含まれます。

Alibaba CloudアカウントまたはAliyunRAMFullAccessポリシーがアタッチされているRAM (Resource access Management) ユーザーを使用している場合にのみ、クラウドファイアウォールにクラウドリソースへのアクセスを許可できます。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。

クラウドファイアウォールはレイヤ2 EIPを保護できますか?

はい、Cloud Firewallはレイヤ2 elastic IPアドレス (EIP) を保護できます。 Cloud Firewallの保護範囲の詳細については、クラウドファイアウォールとは

Cloud Firewallはクラシックネットワークをサポートしていますか?

Cloud Firewallは、パブリックIPアドレスを使用し、クラシックネットワークに存在するECSインスタンスと特定のSLBインスタンスを保護できます。 内部ファイアウォールはVPCのインスタンスを保護できますが、クラシックネットワークでは保護できません。

Cloud Firewallはインターネットに接続するSLBインスタンスを保護できますか?

Alibaba Cloudは、インターネット向けおよび内部向けのSLBインスタンスを提供します。 一部のインターネット接続SLBインスタンスは、ネットワークアーキテクチャの制限により、Cloud Firewallで保護できません。 この場合、内部対応のSLBインスタンスをデプロイし、EIPをSLBインスタンスに関連付けることを推奨します。

EIPに関連付けられている内部対応のSLBインスタンスに対してファイアウォールを有効にすると、トラフィックは最初にファイアウォールを通過し、次にEIPに関連付けられている宛先ネットワークアドレス変換 (DNAT) ゲートウェイを通過し、最後にSLBインスタンスに通過します。

Cloud FirewallはExpress ConnectまたはCENのトラフィックを保護できますか?

Cloud FirewallはAPT攻撃から防御できますか?

はい。Cloud Firewallの組み込み脅威インテリジェンス機能を使用して、高度な永続的脅威 (APT) 攻撃から防御できます。

インターネットファイアウォールは、パブリックVPNゲートウェイ宛てのトラフィックを保護できますか?

いいえ、インターネットファイアウォールは、パブリックVPNゲートウェイ宛てのトラフィックを保護できません。 インターネット経由でパブリックVPNゲートウェイにアクセスする場合、アクセストラフィックはVPNゲートウェイによって暗号化され、インターネットファイアウォールは暗号化されたトラフィックを識別して保護することはできません。

VPCファイアウォールは、IPsec-VPN接続を使用してVPC宛てのトラフィックを保護できますか?

答えは、ネットワークの展開によって異なります。 以下のシナリオが関係しています。

1. IPsec-VPN接続がCloud Enterprise Networkトランジットルーターに関連付けられており、IPsec-VPN接続がビジネスVPCに接続されている場合、VPCファイアウォールはIPsec-VPN接続を使用してVPC宛てのトラフィックを保護できます。

次の図は例として提供されています。 次の図では、VPCファイアウォールはオフィスネットワークとビジネスVPC間のトラフィックを保護します。

2. 接続をVPNゲートウェイに関連付けることでIPsec-VPN接続がビジネスVPCにデプロイされ、CENまたはVPCピアリング接続を使用して接続されたVPCのトラフィックなど、サービスにVPC間トラフィックが含まれている場合、VPCファイアウォールはIPsec-VPN接続を介してVPC宛てのトラフィックを保護できます。

次の図に例を示します。 次の図では、VPCファイアウォールは、オフィスネットワークからIPsec-VPN接続がデプロイされているVPCへのトラフィックを保護できません。 ただし、VPCファイアウォールは、オフィスネットワークから、IPsec-VPN接続がデプロイされているVPCに接続されている他のビジネスVPCへのトラフィックを保護します。

IPsec-VPN接続を使用して他のビジネスVPC宛てのトラフィックを保護する必要がある場合は、ネットワークのデプロイを変更し、別のVPCにIPsec-VPN接続をデプロイできます。 このようにして、Cloud Firewallは、IPsec-VPN接続がデプロイされているVPCから他のビジネスVPCへのトラフィックを保護できます。

3. 接続をVPNゲートウェイに関連付けることでIPsec-VPN接続がビジネスVPCにデプロイされ、サービスにVPC間トラフィックが含まれていない場合、VPCファイアウォールはIPsec-VPN接続を介してVPC宛てのトラフィックを保護できません。

次の図に例を示します。 次の図では、VPCファイアウォールはオフィスネットワークとビジネスVPC間のトラフィックを保護できません。

購入したCloud Firewallの保護帯域幅を消費するトラフィックの種類はどれですか。

Cloud Firewallの保護帯域幅には、保護されたインターネットトラフィック、保護されたVPCトラフィック、およびNAT Gatewayの保護されたプライベートネットワークトラフィックが含まれます。 詳細については、クラウドファイアウォールの購入ページをご覧ください。

Alibaba Cloudアーキテクチャにおけるcloud Firewallと他のクラウドサービスとの関係を教えてください。

次の図は、Cloud Firewallと他のAlibaba Cloudサービスとの論理的な関係を示しています。

Anti-DDoS、WAF、およびCloud Firewallを一緒に使用すると、サービスのトラフィックはどのように流れますか?

• Anti-DDoS、CNAMEレコードモードのWeb Application Firewall (WAF) 、およびCloud Firewallを一緒に使用すると、サービストラフィックは次のノードに1つずつ流れます。

  Anti-DDoS、WAF、Cloud Firewall、バックエンドサービス

• Anti-DDoS、クラウドネイティブモードのWAF、およびcloud Firewallを一緒に使用すると、サービストラフィックは次のノードに1つずつ流れます。

  Anti-DDoS、Cloud Firewall、WAF、およびバックエンドサービス

マルチアカウント管理機能は何人のメンバーをサポートしていますか。

Cloud Firewall Premium Edition、Enterprise Edition、およびUltimate Editionは、マルチアカウント管理機能をサポートしています。 Cloud Firewallの各エディションの機能でサポートされているメンバー数の詳細については、「課金ルール」をご参照ください。 さらにメンバーを追加する場合は、管理対象メンバーを再構成して、Cloud Firewallの仕様をアップグレードします。 詳細については、「Cloud Firewallのアップグレードまたはダウングレード」をご参照ください。

Cloud Firewallがインターネット向けSLBインスタンスを保護する主なシナリオは何ですか?

Cloud Firewallは、新世代のインターネット向けSLBアーキテクチャをサポートし、クラウド内のインターネット向けSLBインスタンスを包括的に保護します。 Alibaba Cloud Firewallを購入した場合、Cloud Firewallコンソールにログインし、ファイアウォールを有効にしてネットワーク全体のセキュリティを向上させることができます。 Cloud Firewallは、インターネット接続SLBインスタンスのインターネットアクセスのための侵入防止およびアクセス制御機能も提供します。

• 侵入防止: この機能は、仮想パッチのワンクリック展開をサポートし、ゼロデイ脆弱性やその他の緊急の高リスク脆弱性から保護します。 この機能を使用して、再起動やパッチインストールを必要とせずに脆弱性エクスプロイトから防御できます。

• アクセス制御: この機能は、きめ細かいインターネットアクセス制御を実装し、HTTPおよびHTTPSアプリケーションをサポートし、特定のIPアドレス、ポート、およびプロトコル (特にTCPベースのビジネス) に対する制限を提供します。 この機能を使用して、アクセスソースを制限できます。 たとえば、特定のエリアからのトラフィックを許可するようにアクセス制御ポリシーを設定できます。 これにより、ビジネスがより信頼性が高く安全に実行されます。

自己管理ファイアウォールに対するAlibaba Cloud Cloudファイアウォールの利点は何ですか?

Alibaba Cloud Firewallは、南北および東西のネットワークトラフィックを一元管理し、クラウド内のネットワークセキュリティを確保するために使用できる、使いやすい既成のソリューションを提供します。 自己管理ファイアウォールと比較して、Alibaba Cloud Cloudファイアウォールには次の利点があります。

• マネージドサービス: 自己管理ファイアウォールが設定され、デバイスはルートを使用して同期されます。 VPCの数が増加すると、自己管理ファイアウォール上のネットワーク側障害の数も増加します。 これにより、セキュリティ制御の複雑さとO&Mコストが増加します。 クラウドファイアウォールはAlibaba Cloudによって完全に管理されます。 デバイスをデプロイする必要はありません。 Cloud Firewallコンソールで必要な設定を完了すると、すぐにCloud Firewallを使用できます。 これにより、ネットワークセキュリティ制御とO&Mのコストが削減されます。

• 高可用性と柔軟なスケーリング: 仮想デバイスに基づいて、自己管理ファイアウォールの高可用性と高性能を実現します。 Cloud Firewallは、クラスター展開モードを使用して、高可用性、スケーリング、またはアクセスに関連する問題に注意を払う必要なく、スムーズなパフォーマンススケーリングをサポートします。 Cloud Firewallはデュアルゾーン展開を採用しています。 サーバーまたは可用性ゾーンに障害が発生した場合でも、Cloud Firewallは他のゾーンで期待どおりに実行できます。

• クラウドサービスとの深い統合: cloud Firewallは、VPC、CEN、Elastic IP Address、SLBなどのさまざまなAlibaba Cloudサービスと統合して、ネットワークレベルでクラウドアセットへのアクセスを制御し、端末のセキュリティ機能と統合して、クラウドアセットへの異常なアクセスを処理できます。

• 侵入防止と脅威インテリジェンス: Cloud Firewallには脅威検出エンジンが組み込まれており、ネットワーク全体の脅威インテリジェンスを同時に更新し、500万を超えるアクティブな悪意のあるIPアドレスとドメイン名を監視して、インターネットからの脅威をリアルタイムで検出およびブロックできます。

Cloud Firewallがインターネット境界に提供するコア保護機能は何ですか?

インターネットファイアウォールは、インターネットとAlibaba CloudのパブリックIPアドレス間のトラフィックを監視できます。 Cloud Firewallを有効化すると、次の防御機能を使用できます。

• アセットインベントリ: Cloud firewallのインターネットファイアウォールは、オープンアプリケーション、オープンポート、オープンパブリックIPアドレス、アクセスしたクラウドサービスに関する情報など、アセットの正常および異常なインバウンドおよびアウトバウンドトラフィックを分析できます。

• 侵入防止: Cloud Firewallには脅威検出エンジンが組み込まれており、インターネット上の悪意のあるトラフィックや攻撃をリアルタイムで検出および傍受できます。 Cloud Firewallは、脅威インテリジェンスに基づいて侵入をインテリジェントにブロックできます。

• ドメイン名のブロック: ネットワークアセットに対してファイアウォールを有効にすると、システムはアセットのアウトバウンド接続データをリアルタイムで分析して、疑わしいアセットをできるだけ早く検出します。 Cloud Firewallは、ドメインベースまたはIPアドレスベースのアクセス制御ポリシーに基づいてインターネットアクセスもブロックします。

• 脆弱性の防止: Cloud Firewallは、リモートで悪用される可能性のあるリスクの高い脆弱性から防御する仮想パッチ機能を提供します。 パッチのインストールやシステムの再起動ができない場合は、自動的に脆弱性を防ぐこともできます。

WAFとCloud Firewallを使用してインターネットの公開を管理するにはどうすればよいですか?

インターネット公開とは、インターネット上で公開されている既知または未知の資産を指します。 アセットには、IPアドレス、ポート、ドメイン名、アプリケーション、およびAPIが含まれます。 企業のネットワークに接続されている資産の数が増加するにつれて、インターネットの露出も増加します。 インターネットへの露出が多いほど、企業が直面する脅威が大きいことを示しています。 したがって、インターネット露出の効果的な管理は、セキュリティ運用と管理の基本的な要件です。

• ビジネスアプリケーション資産の管理: ビジネスシステムプラットフォームの数は、近年増加しています。 場合によっては、従業員が独自のWebサイトを構築し、テスト環境またはAPIが時間内にリサイクルされない場合があります。 アセットは、オープンソースシステム、コンポーネント、およびwebフレームワークの下位バージョンを使用し、ビジネス要件を超えるアクセス許可を持つ場合があります。 攻撃者は、アセットをジャンプサーバーとして使用して、企業のネットワーク境界での保護を回避できます。 Webアプリケーションファイアウォール (WAF) のアセット識別は、Alibaba Cloud Certificate Management Service、Alibaba Cloud DNS、WAF、HiChinaなどのサービスに関する構成情報を取得し、ビッグデータ関連付け分析機能を活用することで、グローバルなアセットの視点を提供します。 これにより、資産を完全に保護し、全体的なセキュリティを向上させます。

• ネットワーク資産管理: 企業の急速なビジネス成長に伴い、クラウド内のIPアドレスの数が増加しています。 IPアドレスは、管理の怠慢のためにビジネス要件を超えるポートやサービスを開いている可能性があります。 Cloud Firewallを使用して、インターネットとクラウド内のパブリックIPアドレス間の通信トラフィックを監視したり、インターネット上で公開されている不要なIPアドレスとポートを無効にしたり、アクセス制御ポリシーを設定して、インターネットアクセスにきめ細かいアクセス制御を実装したりできます。

CENインスタンスのトランジットルーターを使用するユーザーがCloud Firewallの要件が高いのはなぜですか。

ワークロードをクラウドに移行する企業が増えており、複数のクロスリージョンVPCを計画する場合があります。 ユーザーは、Cloud Enterprise Network (CEN) を使用して、クロスリージョンのVPCまたはVPCとデータセンターを相互接続する高性能、低レイテンシ、高可用性のネットワークを構築し、多様なネットワークおよび管理要件を満たすことができます。

ほとんどの場合、Enterprise Editionトランジットルーターのユーザーには次の要件があります。

• VPCおよびハイブリッドクラウド間の複数サービスのネットワーク管理要件: VPCのサービスレベルとセキュリティレベルは異なりますが、サービスへのアクセスには複数のVPCの条件付き接続が必要です。 企業は、VPC間またはVPCとデータセンター間のトラフィックを保護するために、アクセス制御ポリシーと保護ポリシーを適切に計画および設計する必要があります。 このようにして、企業はサイバーキルチェーンの水平浸透フェーズに基づいて攻撃から防御できます。 VPC間のトラフィック、およびVPCとデータセンター間のトラフィックの管理の複雑さは、企業内のVPCの数とクラウド内のビジネスの規模によって異なります。 トランジットルーターを使用すると、より多くのVPCを保護できるため、クラウド内の東西トラフィックの制御が複雑になります。 したがって、ユーザーは、クラウド内の東西トラフィックのきめ細かい管理に対するより高い要件を持っています。

• コンプライアンス要件: 大規模なエンタープライズユーザーがビジネスをクラウドに移行する場合、ほとんどのユーザーは、マルチレベル保護スキーム (MLPS) や国際標準化機構 (ISO) 27001などの機密保護要件を満たすためのアクセス制御ポリシーを必要とします。 例えば、MLPSのクラウド・コンピューティング・セキュリティ拡張要件によれば、ユーザは、セッションおよびアプリケーション・ベースのアクセス制御を実装するために、ネットワーク境界の異なるレベルでアクセス制御機構を展開しなければならない。 Cloud Firewall Enterprise Editionは、ユーザーが東西トラフィックを制御および保護する要件を満たすことができます。