アセットと特定のリージョン間のトラフィックを管理する場合は、インターネットファイアウォールのアクセス制御ポリシーを設定し、[ソースタイプ] または [宛先タイプ] パラメーターを [リージョン] に設定します。 たとえば、アセットから特定のリージョンへのトラフィックのみを許可したり、特定のリージョンからアセットへのトラフィックを拒否したりするようにアクセス制御ポリシーを設定できます。 このトピックでは、中国以外のリージョンからのトラフィックを拒否するようにアクセス制御ポリシーを設定する方法について説明します。
シナリオ例
この例では、アセットはElastic Compute Service (ECS) インスタンスであり、elastic IPアドレス (EIP) 47.100.XX.XXが関連付けられています。 お客様のビジネスは、中国のリージョンのユーザーを対象としています。 中国以外のリージョンからECSインスタンスへのトラフィックは必要ありません。 この目標を達成するには、中国以外のすべてのリージョンからのトラフィックを拒否するようにアクセス制御ポリシーを設定する必要があります。
前提条件
Cloud Firewallが有効になり、Internet Firewall機能が有効になります。 詳細については、「クラウドファイアウォールの購入」および「インターネットファイアウォール」をご参照ください。
手順
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 .
インバウンド タブで、Create Policy をクリックします。 インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックし、パラメーターを設定します。 下表に、各パラメーターを説明します。
パラメーター
説明
例
ソースタイプ
ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてソースアドレスを入力する必要があります。
ロケーション
ソース
すべての国際リージョン
宛先タイプ
ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。
IP
目的地
47.100.XX.XX/32。ECSインスタンスのパブリックIPアドレス
プロトコルタイプ
トランスポート層プロトコルのタイプ。 有効な値: TCP、UDP、ICMP、ANY。 プロトコルタイプがわからない場合は、ANYを選択します。
ANY
ポートタイプ
宛先のポートタイプとポート番号。
ポート
ポート
すべてのポートを示す0/0
アプリケーション
トラフィックのアプリケーションタイプ。
ANY
Action
トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:
許可: トラフィックは許可されています。
拒否: トラフィックは拒否され、通知は送信されません。
Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
拒否
優先度
アクセス制御ポリシーの優先度。 デフォルト値: Lowest
最高
ポリシー有効期間
アクセス制御ポリシーの有効期間。 ポリシーは、有効期間中にのみトラフィックを照合するために使用できます。
常に
ステータス
ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。
Enabled
次に何をすべきか
アクセス制御ポリシーのヒット詳細の表示
サービスが一定期間実行されると、アクセス制御ポリシーのリストの ヒットカウント /直近のヒット時間 列で、アクセス制御ポリシーに関するヒットの詳細を表示できます。
ヒット数をクリックすると、[ログ監査] ページに移動してトラフィックログを表示できます。 詳細については、「ログ監査」をご参照ください。
関連ドキュメント
インターネットファイアウォールのアクセス制御ポリシーを設定する方法の詳細については、インターネットファイアウォールのアクセス制御ポリシーの作成.
アクセス制御ポリシーを設定する方法の詳細については、アクセス制御ポリシーの設定.
アクセス制御ポリシーを設定および使用する方法の詳細については、アクセス制御ポリシーに関するよくある質問.