すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:中国以外のリージョンからサーバーへのトラフィックを拒否するようにアクセス制御ポリシーを設定する

最終更新日:Dec 13, 2024

アセットと特定のリージョン間のトラフィックを管理する場合は、インターネットファイアウォールのアクセス制御ポリシーを設定し、[ソースタイプ] または [宛先タイプ] パラメーターを [リージョン] に設定します。 たとえば、アセットから特定のリージョンへのトラフィックのみを許可したり、特定のリージョンからアセットへのトラフィックを拒否したりするようにアクセス制御ポリシーを設定できます。 このトピックでは、中国以外のリージョンからのトラフィックを拒否するようにアクセス制御ポリシーを設定する方法について説明します。

シナリオ例

この例では、アセットはElastic Compute Service (ECS) インスタンスであり、elastic IPアドレス (EIP) 47.100.XX.XXが関連付けられています。 お客様のビジネスは、中国のリージョンのユーザーを対象としています。 中国以外のリージョンからECSインスタンスへのトラフィックは必要ありません。 この目標を達成するには、中国以外のすべてのリージョンからのトラフィックを拒否するようにアクセス制御ポリシーを設定する必要があります。

image

前提条件

Cloud Firewallが有効になり、Internet Firewall機能が有効になります。 詳細については、「クラウドファイアウォールの購入」および「インターネットファイアウォール」をご参照ください。

手順

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

  3. インバウンド タブで、Create Policy をクリックします。 インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックし、パラメーターを設定します。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    ソースタイプ

    ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてソースアドレスを入力する必要があります。

    ロケーション

    ソース

    すべての国際リージョン

    宛先タイプ

    ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。

    IP

    目的地

    47.100.XX.XX/32。ECSインスタンスのパブリックIPアドレス

    プロトコルタイプ

    トランスポート層プロトコルのタイプ。 有効な値: TCPUDPICMPANY。 プロトコルタイプがわからない場合は、ANYを選択します。

    ANY

    ポートタイプ

    宛先のポートタイプとポート番号。

    ポート

    ポート

    すべてのポートを示す0/0

    アプリケーション

    トラフィックのアプリケーションタイプ。

    ANY

    Action

    トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:

    • 許可: トラフィックは許可されています。

    • 拒否: トラフィックは拒否され、通知は送信されません。

    • Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。

    拒否

    優先度

    アクセス制御ポリシーの優先度。 デフォルト値: Lowest

    最高

    ポリシー有効期間

    アクセス制御ポリシーの有効期間。 ポリシーは、有効期間中にのみトラフィックを照合するために使用できます。

    常に

    ステータス

    ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。

    Enabled

次に何をすべきか

アクセス制御ポリシーのヒット詳細の表示

サービスが一定期間実行されると、アクセス制御ポリシーのリストの ヒットカウント /直近のヒット時間 列で、アクセス制御ポリシーに関するヒットの詳細を表示できます。

ヒット数をクリックすると、[ログ監査] ページに移動してトラフィックログを表示できます。 詳細については、「ログ監査」をご参照ください。

image.png

関連ドキュメント