すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:用語

    ドキュメントセンター

    Cloud Firewall:用語

    最終更新日:Nov 09, 2025

    このトピックでは、Cloud Firewall の基本的な概念について説明します。

    セキュリティグループと内部ファイアウォール

    セキュリティグループは、Elastic Compute Service (ECS) によって提供される分散仮想内部ファイアウォールです。ポートステータスの監視とパケットフィルタリングをサポートしています。セキュリティグループを使用して、ECS インスタンスへのアクセスを制御できます。セキュリティグループは、同じリージョンにある ECS インスタンスのグループです。これらのインスタンスは同じセキュリティ要件を持ち、相互に信頼し合っています。ECS インスタンスを作成するときは、このインスタンスに少なくとも 1 つのセキュリティグループを指定する必要があります。

    内部ファイアウォールは、基盤となるレイヤーでセキュリティグループ機能を実装します。Cloud Firewall コンソールの [アクセス制御] ページの [内部ファイアウォール] タブでポリシーを設定するか、[ECS コンソール] でセキュリティグループを設定できます。設定は自動的に同期されます。

    アウトバウンド接続

    アウトバウンド接続は、Alibaba Cloud ホストが外部 IP アドレスにアクティブにアクセスするときに発生します。アウトバウンド接続トラフィックを分析して、不審なホストを検出できます。

    インターネットへの公開

    インターネットへの公開とは、クラウド内のアプリケーションとサービスがインターネットからパブリックにアクセスできることを意味します。

    侵害検知

    侵害検知は、ネットワーク伝送を監視し、不審なアクティビティをチェックする機能です。不審なイベントが検出されると、アラートを送信するか、プロアクティブな対策を講じます。Cloud Firewall は、Alibaba Cloud が過去 10 年間に蓄積してきた検出および防御機能を統合しています。Cloud Firewall を通過するトラフィックをリアルタイムで分析および統計収集し、侵害されたホストを検出し、異常なネットワークアクティビティをブロックします。

    オープン系アプリケーション、オープンポート、および公開パブリック IP アドレス

    オープン系アプリケーションは、HTTP や Secure Shell (SSH) など、インターネットに公開されているアプリケーションです。

    オープンポートは、ポート 80 や 22 など、インターネットに公開されているポートです。

    公開パブリック IP アドレスは、インターネットに公開されている資産のパブリック IP アドレスです。

    アプリケーショングループ

    東西トラフィックの可視化モジュールでは、アプリケーショングループは、同じまたは類似のサービスを提供するアプリケーションのコレクションです。たとえば、MySQL でデプロイされているすべての ECS インスタンスをデータベースアプリケーショングループに追加できます。

    アプリケーションは、Cloud Firewall の東西トラフィックの可視化における最小単位です。デフォルトでは、アプリケーションは ECS インスタンス上のすべてのオープンポートのコレクションとして機能します。特定のポートのアプリケーションを複製して、アプリケーションを作成できます。

    ビジネスグループ

    東西トラフィックの可視化モジュールでは、ビジネスグループには特定のビジネスに関連するすべてのアプリケーショングループが含まれます。たとえば、Web ポータルビジネスグループには、Web アプリケーショングループとデータベースアプリケーショングループが含まれます。

    脆弱性のあるアプリケーショングループと脆弱性の高いビジネスグループ

    脆弱性のあるアプリケーショングループは、ポート 445 など、脆弱性のあるオープンポートを持つアプリケーションのコレクションです。各脆弱性ポートは、脆弱性のあるアプリケーショングループに対応します。

    脆弱性の高いビジネスグループは、脆弱性のあるアプリケーショングループのコレクションです。

    脆弱性の高いビジネスグループとアプリケーショングループを使用して、脆弱性のあるオープンポートを持つ、または脆弱性のあるポートにアクセスした ECS インスタンスを特定できます。

    Cloud Firewall は、脆弱性の高いビジネスグループを自動的に作成し、脆弱性のあるビジネスをグループに追加します。

    初回トラフィック

    初回トラフィックは、統計期間内に送信元 IP アドレスから宛先 IP アドレスへのアクセスが最初に発生したトラフィックです。時間、送信元 IP アドレス、宛先 IP アドレスなどの情報に基づいて原因を調査できます。通常、初回トラフィックは、公開された新しいサービスまたは侵入によって発生します。

    アドレス帳

    Cloud Firewall では、IP アドレスまたはポート番号のアドレス帳を作成できます。これにより、IP アドレスまたはポートに基づいて柔軟なアクセス制御を実装できます。アクセス制御ポリシーを設定するときに、アドレス帳を使用して、アドレス帳内のすべての IP アドレスまたはポートを一度に指定できます。

    Cloud Firewall は、次の種類のアドレス帳をサポートしています。

    • IP アドレス帳: IP アドレスのセットを指定できます。

    • ポートアドレス帳: ポートのセットを指定できます。

    • ドメイン名アドレス帳: ドメイン名のセットを指定できます。

    • クラウドアドレス帳: IP アドレスまたはドメイン名のセットを指定できます。

    アドレス帳には次のルールが適用されます。

    • Cloud Firewall には、組み込みのグローバルアドレス帳があります。これらのアドレス帳を変更または削除することはできません。

    • 1 つの IP アドレスまたはポート番号を複数のアドレス帳に追加できます。

    • アドレス帳の IP アドレスまたはポート番号を変更すると、その変更はアクセス制御ポリシーに自動的に反映されます。