すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:インターネットファイアウォールのアクセス制御ポリシーの作成

最終更新日:Sep 26, 2024

デフォルトでは、インターネットファイアウォールを有効にした後にアクセス制御ポリシーを作成しない場合、Cloud firewallは、アクセス制御ポリシーに基づくトラフィック一致フェーズのすべてのトラフィックを許可します。 インターネットファイアウォールのアウトバウンドおよびインバウンドのアクセス制御ポリシーを作成して、インターネットに接続されているアセットとインターネット間の不正アクセスを防止できます。 このトピックでは、インターネットファイアウォールの受信および送信アクセス制御ポリシーを作成する方法について説明します。

前提条件

  • インターネットに接続されているアセットに対して、インターネットファイアウォールが有効になっています。 インターネットファイアウォールを有効にする方法の詳細については、「インターネットファイアウォールを有効にする」をご参照ください。

    Cloud Firewallで保護できるインターネット向けアセットの詳細については、「保護範囲」をご参照ください。

  • アクセス制御ポリシーのクォータは十分です。 クォータ使用量は、[防御設定] > アクセス制御 > インターネットボーダー ページで確認できます。 クォータ使用量の計算方法の詳細については、「アクセス制御ポリシーの概要」をご参照ください。

    残りのクォータが不十分な場合は、仕様のアップグレードをクリックして追加ポリシーのクォータの値を増加させます。 詳細については、「Cloud Firewallの購入」をご参照ください。

    image.png

  • 複数のオブジェクトをアクセス元またはアクセス先として追加したい場合は, それらを含むアドレス帳が作成されていることを確認してください。 詳細については、「アドレス帳の管理」をご参照ください。

インターネットファイアウォールのアクセス制御ポリシーの作成

Cloud Firewallを使用すると、カスタムポリシーを作成でき、適用できる推奨ポリシーを提供します。

  • カスタムポリシーの作成: ビジネス要件に基づいてカスタムポリシーを作成できます。

  • 推奨されるインテリジェントポリシーの適用: Cloud Firewallは、過去30日間のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。 ポリシーを適用するかどうかを決定できます。

  • 推奨される共通ポリシーの適用: Cloud Firewallは共通ポリシーを推奨します。 推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

重要
  • インターネットファイアウォールのオープンパブリックIPアドレスに対してサービスが提供されているオープンポートへのアクセスを許可し、他のポートへのアクセスを拒否することを推奨します。 これにより、資産のインターネットへの露出が減少します。

  • IPアドレスやドメイン名などの信頼できるソースからのアクセスを許可し、他のソースへのアクセスを拒否する場合は、最初に信頼できるソースからのアクセスを許可し、優先度の高いポリシーを作成してから、すべてのソースからのトラフィックを拒否し、優先度の低いポリシーを作成することをお勧めします。

  • 推奨されるインテリジェントポリシーまたは推奨される共通ポリシーを適用しない場合、ポリシーは有効になりません。

カスタムポリシーの作成

ビジネス要件に基づいて、インターネットファイアウォールのカスタム送信または受信ポリシーを作成できます。

  1. Cloud Firewall コンソール にログインします。

  2. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

  3. アウトバウンド または インバウンド タブで、ドロップダウンリストからIPV4またはIPV6を選択し、Create Policy をクリックします。 デフォルトでは、IPv4アドレスのアクセス制御ポリシーが作成されます。

    image.png

  4. アウトバウンドポリシーの作成 または インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。

  5. 次の表に基づいてポリシーを設定し、[OK] をクリックします。

    インターネット上のアウトバウンドトラフィックを保護するためのアクセス制御ポリシーの作成

    パラメーター

    説明

    ソースタイプ

    ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。

    • ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。

      一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。

    • 送信元タイプをアドレス帳に設定した場合は、IPv4またはIPv6アドレス帳が設定されていることを確認します。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。

    ソース

    宛先タイプ

    ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。

    • ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。

      一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。

    • 送信元タイプをアドレス帳に設定した場合は、IPv4またはIPv6アドレス帳が設定されていることを確認します。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。

    • 宛先タイプをドメイン名に設定した場合、ドメイン名識別モードを選択します。 有効な値:

      • FQDN ベース (メッセージが Host/SNI を抽出): HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理する場合は、このモードを選択することを推奨します。

      • DNS ベースの動的名前解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィック以外のトラフィックを管理する場合は、このモードを選択することを推奨します。

        重要

        このモードはワイルドカードドメイン名をサポートしていません。

      • FQDNおよびDNSベースの動的解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理したいが、特定のまたはすべてのトラフィックにHOSTまたはSNIフィールドが含まれていない場合は、このモードを使用することを推奨します。

        重要

        このモードは、ACL エンジン管理モードがStrictの場合にのみ有効です。

    • 宛先タイプを [リージョン] に設定した場合、宛先に1つ以上のトラフィック宛先の場所を選択します。 中国内外の1つ以上の場所を選択できます。

    目的地

    プロトコルタイプ

    トランスポート層プロトコル。 有効な値: TCPUDPICMPANY。 プロトコルタイプがわからない場合は、ANYを選択します。

    ポートタイプ

    宛先のポートタイプとポート番号。

    • ポートタイプをポートに設定した場合は、ポート範囲を入力します。 ポート番号 /ポート番号の形式でポート範囲を指定します。 例: 22/22または80/88。 複数のポート範囲はコンマ (,) で区切ります。 最大2,000のポート範囲を入力できます。

      複数のポート範囲を入力すると、Cloud Firewallは入力されたポート範囲を含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。

    • ポートタイプアドレス帳に設定した場合は、ポートアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。

    ポート

    アプリケーション

    トラフィックのアプリケーションタイプ。

    • [プロトコルタイプ][TCP] に設定した場合、アプリケーション用にHTTPHTTPSSMTPSMTPSSSL、およびFTPを選択できます。

    • [プロトコルタイプ][UDP][ICMP] 、または [ANY] に設定した場合、[アプリケーション] には [ANY] のみを選択できます。

    • [宛先タイプ][ドメイン名] または [アドレス帳] を選択した場合、アプリケーションにはHTTPHTTPSSMTPSMTPS、またはSSLのみを選択できます。

    • ドメイン名識別モードパラメーターをDNSベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。

    • ドメイン名識別モードパラメーターをFQDNベースの解決 (パケットのホストまたはSNIフィールドの抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。

    • ドメイン名識別モードパラメーターをFQDNおよびDNSベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLを選択できます。

    説明

    Cloud Firewallは、ポート番号ではなくパケット特性に基づいてアプリケーションタイプを識別します。 Cloud Firewallがパケット内のアプリケーションタイプを識別できない場合、Cloud Firewallはパケットを許可します。 アプリケーションタイプが不明なトラフィックをブロックする場合は、インターネットファイアウォールのstrictモードを有効にすることを推奨します。 詳細については、「アクセス制御エンジンのモードの設定」をご参照ください。

    Action

    トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:

    • 許可: トラフィックは許可されています。

    • 拒否: トラフィックは拒否され、通知は送信されません。

    • Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。

    説明

    アクセス制御ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。

    優先度

    アクセス制御ポリシーの優先度。 デフォルト値: Lowest 有効な値:

    • 最高: アクセス制御ポリシーの優先度が最も高い。

    • 最低: アクセス制御ポリシーの優先度が最も低い。

    ポリシー有効期間

    アクセス制御ポリシーの有効期間。 ポリシーは、有効期間内にのみトラフィックを照合するために使用できます。 有効な値:

    • 常に。

    • 単一の時間範囲: このオプションを選択する場合は、単一の時間範囲を指定します。

    • 繰り返しサイクル: このオプションを選択する場合は、ポリシーを有効にする時間範囲と日付を指定します。

      説明

    ステータス

    ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。

    インターネット上のインバウンドトラフィックを保護するためのアクセス制御ポリシーの作成

    パラメーター

    説明

    ソースタイプ

    ネットワークトラフィックの開始者。 ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックを開始するソースアドレスを入力する必要があります。

    • ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。

      一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。

    • ソースタイプをアドレス帳に設定した場合は、IPアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。

    • ソースタイプをリージョンに設定した場合、ソースのトラフィックソースの場所を1つ以上選択します。 中国内外の1つ以上の場所を選択できます。

    ソース

    宛先タイプ

    ネットワークトラフィックの受信者。 宛先タイプを選択し、選択した宛先タイプに基づいてネットワークトラフィックが送信される宛先アドレスを入力する必要があります。

    • ソースタイプをIPに設定する場合は、192.168.0.0/16など、1つ以上のCIDRブロックを指定します。 最大2,000個のCIDRブロックを指定できます。 カンマ (,) で複数の CIDR ブロックを区切ります。

      一度に複数のCIDRブロックを入力すると、Cloud Firewallは入力されたCIDRブロックを含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。

    • ソースタイプをアドレス帳に設定した場合は、IPアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。

    • 宛先タイプをドメイン名に設定した場合、ドメイン名識別モードを選択します。 有効な値:

      • FQDN ベース (メッセージが Host/SNI を抽出): HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理する場合は、このモードを選択することを推奨します。

      • DNS ベースの動的名前解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィック以外のトラフィックを管理する場合は、このモードを選択することを推奨します。

        重要

        このモードはワイルドカードドメイン名をサポートしていません。

      • FQDNおよびDNSベースの動的解決: HTTP、HTTPS、SMTP、SMTPS、およびSSLトラフィックを管理したいが、特定のまたはすべてのトラフィックにHOSTまたはSNIフィールドが含まれていない場合は、このモードを使用することを推奨します。

        重要

        このモードは、ACL エンジン管理モードがStrictの場合にのみ有効です。

    • 宛先タイプを [リージョン] に設定した場合、宛先に1つ以上のトラフィック宛先の場所を選択します。 中国内外の1つ以上の場所を選択できます。

    目的地

    プロトコルタイプ

    トランスポート層プロトコル。 有効な値: TCPUDPICMPANY。 プロトコルタイプがわからない場合は、ANYを選択します。

    ポートタイプ

    宛先のポートタイプとポート番号。

    • ポートタイプをポートに設定した場合は、ポート範囲を入力します。 ポート番号 /ポート番号の形式でポート範囲を指定します。 例: 22/22または80/88。 複数のポート範囲はコンマ (,) で区切ります。 最大2,000のポート範囲を入力できます。

      複数のポート範囲を入力すると、Cloud Firewallは入力されたポート範囲を含むアドレス帳を自動的に作成します。 アクセス制御ポリシーを保存すると、Cloud Firewallはこのアドレス帳の名前を指定するように求めます。

    • ポートタイプアドレス帳に設定した場合は、ポートアドレス帳が設定されていることを確認してください。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。

    ポート

    アプリケーション

    トラフィックのアプリケーションタイプ。

    • ドメイン名識別モードパラメーターをDNSベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。

    • ドメイン名識別モードパラメーターをFQDNベースの解決 (パケットのホストまたはSNIフィールドの抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLのみを選択できます。

    • ドメイン名識別モードパラメーターをFQDNおよびDNSベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、またはSSLを選択できます。

    • [プロトコルタイプ][TCP] に設定した場合、アプリケーション用にHTTPHTTPSSMTPSMTPSSSL、およびFTPを選択できます。

    • [プロトコルタイプ][UDP][ICMP] 、または [ANY] に設定した場合、[アプリケーション] には [ANY] のみを選択できます。

    説明

    Cloud Firewallは、ポート番号ではなくパケット特性に基づいてアプリケーションタイプを識別します。 Cloud Firewallがパケット内のアプリケーションタイプを識別できない場合、Cloud Firewallはパケットを許可します。 アプリケーションタイプが不明なトラフィックをブロックする場合は、インターネットファイアウォールのstrictモードを有効にすることを推奨します。 詳細については、「アクセス制御エンジンのモードの設定」をご参照ください。

    Action

    トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。 有効な値:

    • 許可: トラフィックは許可されています。

    • 拒否: トラフィックは拒否され、通知は送信されません。

    • Monitor: トラフィックが記録され、許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。

    説明

    アクセス制御ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。

    優先度

    アクセス制御ポリシーの優先度。 デフォルト値: Lowest 有効な値:

    • 最高: アクセス制御ポリシーの優先度が最も高い。

    • 最低: アクセス制御ポリシーの優先度が最も低い。

    ポリシー有効期間

    アクセス制御ポリシーの有効期間。 ポリシーは、有効期間内にのみトラフィックを照合するために使用できます。 有効な値:

    • 常に。

    • 単一の時間範囲: このオプションを選択する場合は、単一の時間範囲を指定します。

    • 繰り返しサイクル: このオプションを選択する場合は、ポリシーを有効にする時間範囲と日付を指定します。

      説明

    ステータス

    ポリシーを有効にするかどうかを指定します。 アクセス制御ポリシーの作成時にステータスをオフにすると、アクセス制御ポリシーのリストでポリシーを有効にできます。

推奨されるインテリジェントポリシーの適用

Cloud Firewallは、過去30日間のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。 推奨されるインテリジェントポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

推奨されるアウトバウンドとインバウンドの両方のインテリジェントポリシーを適用できます。

警告
  • 推奨ポリシーを適用する前に、その意味とサービスへの影響を理解していることを確認してください。

  • 推奨されるインテリジェントポリシーは無視できます。 推奨されるインテリジェントポリシーを無視すると、ポリシーは復元できません。 作業は慎重に行ってください。

推奨インテリジェントポリシーが存在するかどうかを確認

推奨されるインテリジェントポリシーがCloud Firewallによって生成されているかどうかは、インターネットボーダー ページで確認できます。

image.png

  1. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

  2. [推奨インテリジェントポリシー] ページに移動します。 次のいずれかの方法を使用できます。

    • ポリシーリストの右上隅にある [インテリジェントポリシー] をクリックします。 表示されるパネルで、[アウトバウンド] または [インバウンド] タブをクリックします。

      image.png

    • アウトバウンド または インバウンド タブで、Create Policy をクリックします。 表示されるパネルで、[推奨インテリジェントポリシー] タブをクリックします。

  3. 推奨されるインテリジェントポリシーを表示して適用します。 ポリシーを見つけて、[ポリシーの適用] をクリックします。 または、複数のポリシーを選択し、一括送信 をクリックします。

推奨される共通ポリシーの適用

推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

警告
  • 推奨ポリシーを適用する前に、その意味とサービスへの影響を理解していることを確認してください。

  • 推奨される共通ポリシーは無視できます。 推奨される共通ポリシーを無視すると、ポリシーは復元できません。 作業は慎重に行ってください。 推奨される共通ポリシーをすべて無視すると、[推奨共通ポリシー] タブは表示されなくなります。

  1. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > インターネットボーダー.

  2. アウトバウンド または インバウンド タブで、Create Policy をクリックします。 表示されるパネルで、[推奨共通ポリシー] タブをクリックします。

  3. 推奨される共通ポリシーを表示して適用します。 ポリシーを見つけて、Quick Apply をクリックします。

アクセス制御エンジンモードの設定

アクセス制御ポリシーが作成された後、インターネットファイアウォールのアクセス制御エンジンモードはデフォルトでルーズモードになります。 このモードでは、アプリケーションタイプまたはドメイン名が不明と識別されたトラフィックが自動的に許可され、ワークロードへの影響を回避できます。 ビジネス要件に基づいて、モードを [厳格モード] に変更できます。

  1. [防御設定] > [アクセス制御] > [インターネット境界線] ページで、アクセス制御ポリシーリストの右上隅にある [ACLエンジン管理] をクリックします。

  2. [Access Control Engine Management - Internet Border] パネルで、[Engine Mode] パラメーターを見つけ、[変更] をクリックします。

  3. [エンジンモードの変更] ダイアログボックスで、[エンジンモード] パラメーターを設定し、[OK] をクリックします。

    • 厳密モード: 厳密モードを有効にすると、アプリケーションタイプまたはドメイン名が不明であるトラフィックが、設定したすべてのポリシーと照合されます。 拒否ポリシーを設定した場合、このタイプのトラフィックは拒否されます。

    • ルーズモード: ルーズモードを有効にすると、アプリケーションタイプまたはドメイン名が不明であるトラフィックが許可されます。 これにより、通常のアクセスが保証されます。

アクセス制御ポリシーのヒット詳細の表示

サービスが一定期間実行されると、アクセス制御ポリシーのリストの ヒットカウント /直近のヒット時間 列で、アクセス制御ポリシーに関するヒットの詳細を表示できます。

ヒット数をクリックすると、[ログ監査] ページに移動してトラフィックログを表示できます。 詳細については、「ログ監査」をご参照ください。

image.png

次のステップ

カスタムポリシーを作成したら、カスタムポリシーのリストでポリシーを見つけ、[操作] 列の [編集] 、[削除] 、または [コピー] をクリックしてポリシーを管理します。 カスタムポリシーのリストをダウンロードし、一度に複数のポリシーを削除し、[移動] をクリックしてポリシーの優先順位を変更できます。

有効な優先度の値は、1から既存のポリシーの数までの範囲です。 数字が小さいほど、優先度が高くなります。 ポリシーの優先度を変更すると、優先度の低いポリシーの優先度が低下します。

重要

ポリシーを削除すると、Cloud Firewallはポリシーが元々有効なトラフィックを管理しなくなります。 作業は慎重に行ってください。

関連ドキュメント