すべてのプロダクト
Search

このプロダクト

    :用語

    ドキュメントセンター

    :用語

    最終更新日:Jul 17, 2024

    このトピックでは、Cloud Firewallの一般的な用語を紹介します。

    セキュリティグループと内部ファイアウォール

    セキュリティグループは、Elastic Compute Service (ECS) が提供する分散仮想内部ファイアウォールです。 ポートステータスの監視とパケットフィルタリングをサポートしています。 セキュリティグループを使用して、ECSインスタンスへのアクセスを制御できます。 セキュリティグループは、同じリージョンにあるECSインスタンスのグループです。 これらのインスタンスは同じセキュリティ要件を持ち、互いに信頼します。 ECSインスタンスを作成するときは、このインスタンスに少なくとも1つのセキュリティグループを指定する必要があります。

    内部ファイアウォールは、下層のセキュリティグループ機能を実装します。 Cloudファイアウォールコンソールのアクセス制御ページの [内部ファイアウォール] タブでポリシーを設定するか、ECSコンソールでセキュリティグループを設定できます。 設定は自動的に同期されます。

    アウトバウンド接続

    Cloud Firewallは、Alibaba Cloudのサーバーによって開始されたアウトバウンド接続を分析して、疑わしいサーバーを検出します。

    違反の意識

    違反認識モジュールは、ネットワークトラフィックを監視し、疑わしいイベントを検出します。 モジュールは、検出された疑わしいイベントにアラートを送信するか、直接処理します。 Cloud Firewallは、10年以上にわたって構築されたAlibaba Cloudの侵入検知および防止機能を統合しています。 これにより、Cloud Firewallは、Cloud Firewallを通過するトラフィックをリアルタイムで収集および分析し、侵害されたサーバーを検出し、疑わしいネットワークアクティビティをブロックできます。

    オープンアプリケーション、オープンポート、オープンパブリックIPアドレス

    オープンアプリケーションは、HTTPやSSHアプリケーションなど、インターネット上で公開されるアプリケーションです。

    オープンポートは、ポート80または22など、インターネット上で公開されているポートです。

    公開パブリックIPアドレスは、インターネット上で公開されているアセットのパブリックIPアドレスです。

    Cloud Firewallでは、次のタイプのパブリックIPアドレスを識別できます。

    • Elastic IPアドレス (EIP) 。 EIPは、VPCタイプのECSインスタンス、VPCタイプの内部対応のServer Load Balancer (SLB) インスタンス、elastic network Interface (ENI) 、またはNetwork Address Translation (NAT) Gatewayに関連付けることができます。

    • ECSインスタンスのパブリックNAT IPアドレス。

    アプリケーショングループ

    東西ビジネス可視化モジュールでは、アプリケーショングループは、同じまたは類似のサービスを提供するアプリケーションの集合である。 たとえば、MySQLでデプロイされたすべてのECSインスタンスをデータベースアプリケーショングループに追加できます。

    アプリケーションは、Cloud Firewallの東西のビジネス可視化の最小単位です。 デフォルトでは、アプリケーションはECSインスタンス上のすべての開いているポートのコレクションとして機能します。 特定のポートのアプリケーションを複製してアプリケーションを作成できます。

    ビジネスグループ

    east-westビジネス可視化モジュールでは、ビジネスグループには、特定のビジネスに関連するすべてのアプリケーショングループが含まれます。 たとえば、webポータルビジネスグループには、webアプリケーショングループとデータベースアプリケーショングループが含まれます。

    脆弱なアプリケーショングループと脆弱なビジネスグループ

    脆弱なアプリケーショングループは、ポート445などの脆弱なポートが開いているアプリケーションの集まりです。 各脆弱ポートは、脆弱アプリケーショングループに対応する。

    脆弱なビジネスグループは、脆弱なアプリケーショングループの集まりです。

    脆弱なビジネスグループとアプリケーショングループを使用して、脆弱なポートが開いている、または脆弱なポートにアクセスしたECSインスタンスを識別できます。

    Cloud Firewallは、脆弱なビジネスグループを自動的に作成し、脆弱なビジネスをグループに追加します。

    独立したビジネスグループと依存するビジネスグループ

    east-westトラフィック視覚化モジュールでは、これらの用語は2つのビジネスグループ間のアクセス関係を反映しています。 たとえば、ビジネスグループAがビジネスグループBのリソースにアクセスする場合、ビジネスグループBは独立グループであり、ビジネスグループAは従属グループです。

    最初の訪問トラフィック

    最初の訪問トラフィックは、特定の期間内の最初の訪問中のソースIPアドレスから宛先IPアドレスへのトラフィックを指します。 最初の訪問の時間と送信元および送信先のIPアドレスなどの情報に基づいて、最初の訪問トラフィックの原因を特定できます。 初回訪問トラフィックは、新たに公開された侵入またはアプリケーションによって生成することができる。

    アドレス帳

    Cloud Firewallを使用すると、IPアドレスまたはポート番号のアドレス帳を作成できます。 これにより、IPアドレスまたはポートに基づく柔軟なアクセス制御を実装できます。 アクセス制御ポリシーを設定するときは、アドレス帳を使用して、アドレス帳内のすべてのIPアドレスまたはポートを一度に指定できます。

    Cloud Firewallは、次のタイプのアドレス帳をサポートします。

    • IPアドレス帳: IPアドレスのセットを指定できます。

    • ポートアドレス帳: ポートのセットを指定できます。

    • ドメイン名アドレス帳: ドメイン名のセットを指定できます。

    • クラウドアドレスブック: IPアドレスまたはドメイン名のセットを指定できます。

    アドレス帳には次の規則が適用されます。

    • Cloud Firewallにはグローバルアドレス帳が組み込まれています。 これらのアドレス帳は変更または削除できません。

    • 1つのIPアドレスまたはポート番号を複数のアドレス帳に追加できます。

    • アドレス帳のIPアドレスまたはポート番号を変更すると、その変更はアクセス制御ポリシーに対して自動的に有効になります。