すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:用語

最終更新日:Jul 17, 2024

このトピックでは、Cloud Firewallの一般的な用語を紹介します。

セキュリティグループと内部ファイアウォール

セキュリティグループは、Elastic Compute Service (ECS) が提供する分散仮想内部ファイアウォールです。 ポートステータスの監視とパケットフィルタリングをサポートしています。 セキュリティグループを使用して、ECSインスタンスへのアクセスを制御できます。 セキュリティグループは、同じリージョンにあるECSインスタンスのグループです。 これらのインスタンスは同じセキュリティ要件を持ち、互いに信頼します。 ECSインスタンスを作成するときは、このインスタンスに少なくとも1つのセキュリティグループを指定する必要があります。

内部ファイアウォールは、下層のセキュリティグループ機能を実装します。 Cloudファイアウォールコンソールのアクセス制御ページの [内部ファイアウォール] タブでポリシーを設定するか、ECSコンソールでセキュリティグループを設定できます。 設定は自動的に同期されます。

アウトバウンド接続

Cloud Firewallは、Alibaba Cloudのサーバーによって開始されたアウトバウンド接続を分析して、疑わしいサーバーを検出します。

違反の意識

違反認識モジュールは、ネットワークトラフィックを監視し、疑わしいイベントを検出します。 モジュールは、検出された疑わしいイベントにアラートを送信するか、直接処理します。 Cloud Firewallは、10年以上にわたって構築されたAlibaba Cloudの侵入検知および防止機能を統合しています。 これにより、Cloud Firewallは、Cloud Firewallを通過するトラフィックをリアルタイムで収集および分析し、侵害されたサーバーを検出し、疑わしいネットワークアクティビティをブロックできます。

オープンアプリケーション、オープンポート、オープンパブリックIPアドレス

オープンアプリケーションは、HTTPやSSHアプリケーションなど、インターネット上で公開されるアプリケーションです。

オープンポートは、ポート80または22など、インターネット上で公開されているポートです。

公開パブリックIPアドレスは、インターネット上で公開されているアセットのパブリックIPアドレスです。

Cloud Firewallでは、次のタイプのパブリックIPアドレスを識別できます。

  • Elastic IPアドレス (EIP) 。 EIPは、VPCタイプのECSインスタンス、VPCタイプの内部対応のServer Load Balancer (SLB) インスタンス、elastic network Interface (ENI) 、またはNetwork Address Translation (NAT) Gatewayに関連付けることができます。

  • ECSインスタンスのパブリックNAT IPアドレス。

アプリケーショングループ

東西ビジネス可視化モジュールでは、アプリケーショングループは、同じまたは類似のサービスを提供するアプリケーションの集合である。 たとえば、MySQLでデプロイされたすべてのECSインスタンスをデータベースアプリケーショングループに追加できます。

アプリケーションは、Cloud Firewallの東西のビジネス可視化の最小単位です。 デフォルトでは、アプリケーションはECSインスタンス上のすべての開いているポートのコレクションとして機能します。 特定のポートのアプリケーションを複製してアプリケーションを作成できます。

ビジネスグループ

east-westビジネス可視化モジュールでは、ビジネスグループには、特定のビジネスに関連するすべてのアプリケーショングループが含まれます。 たとえば、webポータルビジネスグループには、webアプリケーショングループとデータベースアプリケーショングループが含まれます。

脆弱なアプリケーショングループと脆弱なビジネスグループ

脆弱なアプリケーショングループは、ポート445などの脆弱なポートが開いているアプリケーションの集まりです。 各脆弱ポートは、脆弱アプリケーショングループに対応する。

脆弱なビジネスグループは、脆弱なアプリケーショングループの集まりです。

脆弱なビジネスグループとアプリケーショングループを使用して、脆弱なポートが開いている、または脆弱なポートにアクセスしたECSインスタンスを識別できます。

Cloud Firewallは、脆弱なビジネスグループを自動的に作成し、脆弱なビジネスをグループに追加します。

独立したビジネスグループと依存するビジネスグループ

east-westトラフィック視覚化モジュールでは、これらの用語は2つのビジネスグループ間のアクセス関係を反映しています。 たとえば、ビジネスグループAがビジネスグループBのリソースにアクセスする場合、ビジネスグループBは独立グループであり、ビジネスグループAは従属グループです。

最初の訪問トラフィック

最初の訪問トラフィックは、特定の期間内の最初の訪問中のソースIPアドレスから宛先IPアドレスへのトラフィックを指します。 最初の訪問の時間と送信元および送信先のIPアドレスなどの情報に基づいて、最初の訪問トラフィックの原因を特定できます。 初回訪問トラフィックは、新たに公開された侵入またはアプリケーションによって生成することができる。

アドレス帳

Cloud Firewallを使用すると、IPアドレスまたはポート番号のアドレス帳を作成できます。 これにより、IPアドレスまたはポートに基づく柔軟なアクセス制御を実装できます。 アクセス制御ポリシーを設定するときは、アドレス帳を使用して、アドレス帳内のすべてのIPアドレスまたはポートを一度に指定できます。

Cloud Firewallは、次のタイプのアドレス帳をサポートします。

  • IPアドレス帳: IPアドレスのセットを指定できます。

  • ポートアドレス帳: ポートのセットを指定できます。

  • ドメイン名アドレス帳: ドメイン名のセットを指定できます。

  • クラウドアドレスブック: IPアドレスまたはドメイン名のセットを指定できます。

アドレス帳には次の規則が適用されます。

  • Cloud Firewallにはグローバルアドレス帳が組み込まれています。 これらのアドレス帳は変更または削除できません。

  • 1つのIPアドレスまたはポート番号を複数のアドレス帳に追加できます。

  • アドレス帳のIPアドレスまたはポート番号を変更すると、その変更はアクセス制御ポリシーに対して自動的に有効になります。