このトピックでは、Cloud Firewallでのファイアウォールの有効化と無効化に関するよくある質問に対する回答を提供します。
ファイアウォールを有効にすることの影響は何ですか?
防火壁のタイプ | 影響 |
インターネットファイアウォール | インターネットファイアウォールを作成、有効化、または無効化すると、現在のネットワークトポロジを変更することなく、数秒以内に保護のためにインターネットファイアウォールにリソースを追加したり、インターネットファイアウォールからリソースを削除したりできます。 ワークロードは影響を受けません。 |
NATファイアウォール |
|
Express Connect回路用に作成されたVPCファイアウォール Basic Editionトランジットルーター用に作成されたVPCファイアウォール |
|
Enterprise Editionトランジットルーター用に作成されたVPCファイアウォール | 自動トラフィックリダイレクト
手動トラフィックのリダイレクト
|
アカウントでCloud Firewallを有効化できないのはなぜですか?
発生原因
Cloud Firewallコンソールにログインすると、このアカウントは Cloud Firewall を起動できません が表示されます。 この問題は、次のシナリオで発生する可能性があります。
アカウントは、集中管理のために別のAlibaba Cloudアカウントによってメンバーとして追加されたAlibaba Cloudアカウントです。
アカウントはResource Access Management (RAM) ユーザーであり、必要な権限がありません。
ソリューション
Cloud Firewallコンソールの右上隅にあるプロファイル画像の上にポインターを移動して、アカウントIDの値を表示できます。
アカウントIDの値が1で始まる数字の文字列である場合、アカウントはAlibaba Cloudアカウントです。
アカウントが管理アカウントのメンバーである場合、管理アカウントを使用してCloud Firewallコンソールにログインする必要があります。 次に、メンバーのCloud Firewallを有効化し、メンバーに属するクラウドアセットの保護を有効にします。 詳細については、「Cloud Firewallの購入」をご参照ください。
アカウントIDの値が2で始まる数字の文字列である場合、アカウントはResource Access Management (RAM) ユーザーです。 アカウントがRAMユーザーの場合、RAMユーザーが属するAlibaba Cloudアカウントを使用して、RAMユーザーにcreateSlr、AliyunYundunCloudFirewallReadOnlyAccess、およびAliyunYundunCloudFirewallFullAccessのポリシーをアタッチする必要があります。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
createSlrは、作成する必要があるカスタムポリシーです。 次のコードは、ポリシーのコンテンツの例を示しています。 詳細については、「カスタムポリシーの作成」をご参照ください。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }
説明Resourceパラメーターの値は、次の形式で指定する必要があります。
acs:ram:*: Alibaba CloudアカウントのID :role/*
。 IDは、RAMユーザーが属するAlibaba CloudアカウントのIDです。
インターネットファイアウォールの目的は何ですか?
Elastic Compute Service (ECS) インスタンスのパブリックIPアドレス、Server Load Balancer (SLB) インスタンスのパブリックIPアドレス、elastic IPアドレス (EIP) など、複数の種類のインターネット対応アセットを保護するためにインターネットファイアウォールに追加できます。 インターネットファイアウォールを有効にすると、システムはインターネット境界線のインバウンドおよびアウトバウンドトラフィックをCloud firewallに転送します。 次に、Cloud Firewallはトラフィックをフィルタリングし、指定された条件を満たすトラフィックのみを許可します。 詳細については、「Internet Firewall」をご参照ください。
インターネットファイアウォールはIPv6アドレスを保護できますか?
いいえ、インターネットファイアウォールはIPv6アドレスを保護できません。 インターネットファイアウォールで保護できるクラウドアセットの詳細については、「保護範囲」をご参照ください。
インターネットファイアウォールを有効にした後、ネットワークトラフィックは影響を受けますか?
インターネットファイアウォールを有効にしても、侵入防止システム (IPS) のアクセス制御ポリシーまたはポリシーを設定しない場合、Cloud firewallはトラフィックを監視し、不審なトラフィックのアラートを生成しますが、不審なトラフィックはブロックしません。
デフォルトでは、Cloud firewallを有効化すると、インターネットファイアウォールが有効になります。
インターネットファイアウォールを有効にすることの影響は何ですか?
インターネットファイアウォールを無効にすると、ネットワークトラフィックがCloud firewallを通過せず、次の問題が発生する可能性があります。
インターネットファイアウォールの保護機能が無効になります。 たとえば、作成したアクセス制御ポリシーが無効になり、侵入防止が無効になります。
ネットワークトラフィック分析レポートやトラフィックログなど、インターネット境界でのトラフィックの統計は更新されません。
インターネットファイアウォールを有効にすると、SLBインスタンス関連のネットワーク制限プロンプトが表示されます。 これはなぜですか。
原因
インターネットファイアウォールを有効にすると、「SLBインスタンスのネットワークがこの操作をサポートしていないため、IPアドレスに対してファイアウォールを有効にすることはできません。」というメッセージが表示されます。 原因は、SLBインスタンスがプライベートIPアドレスのみを持ち、SLBインスタンスがCloud Firewallをサポートしていないことです。
解決策
アセットが内部対応のSLBインスタンスの場合、EIPをインスタンスに関連付けて、トラフィックをCloud Firewallにリダイレクトすることを推奨します。 詳細については、「EIPの関連付けと管理」をご参照ください。
Cloud Firewall Free Editionでアセット同期を実行した後、パブリックIPアドレスが表示されないのはなぜですか。
Cloud Firewall Free EditionはEIPに関する情報のみを同期し、ECSインスタンスまたはSLBインスタンスのパブリックIPアドレスに関する情報は同期しません。
VPCファイアウォールを有効にした後、ECSのセキュリティグループルールは影響を受けますか。
いいえ、ネットワークトラフィックとセキュリティグループルールは影響を受けません。
VPCファイアウォールを有効にすると、Cloud_Firewall_Security_Groupという名前のセキュリティグループとアクセス制御ポリシーが自動的に作成され、VPCファイアウォールへのトラフィックが許可されます。 セキュリティグループは、VPC間のトラフィックのみを制御します。 既存のセキュリティグループルールは影響を受けません。 ECSでセキュリティグループルールを移行または変更する必要はありません。
VPCファイアウォールを作成するときに、不正なネットワークインスタンスが存在するように促されるのはなぜですか。
原因
Cloud Enterprise Network (CEN) インスタンスは、別のAlibaba Cloudアカウントに属するVPCに関連付けられており、Cloud Firewallは、VPCのAlibaba cloudアカウントに属するクラウドリソースにアクセスする権限がありません。
解決策
Alibaba CloudアカウントでCloud Firewallコンソールにログインし、プロンプトに従ってサービスにリンクされたロールを使用して、アカウント内のクラウドリソースにアクセスする権限をCloud Firewallに付与します。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
Basic EditionトランジットルーターのVPCファイアウォールを有効にしました。 routing policy ActionがDenyに設定されているルーティングポリシーがトランジットルーターのルートテーブルに追加されるのはなぜですか。
VPCテストという名前のVPCのVPCファイアウォールを作成して有効にすると、VPCファイアウォール機能はCloud_Firewall_VPCという名前のVPCを作成し、静的ルートをアドバタイズして、トランジットルーターに接続され、ファイアウォールで保護されていない他のVPCのトラフィックをCloudFirewallにリダイレクトします。
Cloud Firewallは、Cloud_Firewall_VPC用に作成されたENIをネクストホップが指す静的ルートもCloud_Firewall_VPCのルートテーブルに追加し、ルーティングポリシーアクションが [拒否] に設定されているルーティングポリシーを作成します。 このように、VPCテストはCENによってアドバタイズされるルートを学習しません。 VPCテストのアウトバウンドトラフィックは、静的ルートに基づいてCloud Firewallにリダイレクトされます。
ルーティングポリシーまたはルートテーブルを変更または削除しないでください。 そうしないと、Cloud Firewallのトラフィックリダイレクト機能が影響を受け、ワークロードが中断されます。
NATファイアウォールを有効にした後、Cloud Firewallがルートテーブルを作成し、静的ルート0.0.0.0/0をルートテーブルに追加するのはなぜですか。
NATファイアウォールを有効にすると、Cloud firewallは自動的にカスタムルートテーブルCloud_Firewall_ROUTE_TABLEを作成し、Cloud Firewallによって保護されている関連するNATゲートウェイを指す静的ルート0.0.0.0/0をカスタムルートテーブルに追加します。 さらに、Cloud Firewallは、システムルートテーブルの静的ルート0.0.0.0/0のネクストホップをNATファイアウォールのENIに変更します。 これにより、NATゲートウェイのアウトバウンドトラフィックがCloud Firewallにリダイレクトされます。
ルートテーブルを変更または削除しないでください。 そうしないと、Cloud Firewallのトラフィックリダイレクト機能が影響を受け、ワークロードが中断されます。
クラウドファイアウォールは、アウトバウンドトラフィックをインターネットファイアウォール、NATファイアウォール、およびドメインネームシステム (DNS) ファイアウォールのアクセス制御ポリシーとどのように一致させますか。
インターネットファイアウォール、NATファイアウォール、およびDNSファイアウォールを有効にしている場合、ECSインスタンスがドメイン名にアクセスすると、クラウドファイアウォールは次の順序に基づいてアウトバウンドトラフィックをアクセス制御ポリシーと照合します。
ECSインスタンスがDNSリクエストを開始します。 DNS要求はDNSファイアウォールを通過し、DNSファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
ECSインスタンスから発生するプライベートネットワークトラフィックはNATファイアウォールを通過し、NATファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
許可されたプライベートネットワークトラフィックはNATゲートウェイを通過し、プライベートトラフィックの送信元IPアドレスはNATゲートウェイのパブリックIPアドレスに変換されます。
NATゲートウェイは、インターネットファイアウォールに対して作成されたアクセス制御ポリシーと一致するように、インターネットトラフィックをインターネットファイアウォールに送信します。
トラフィックは、Cloud Firewallの脅威インテリジェンスルール、基本保護ポリシー、インテリジェンス防御ルール、および仮想パッチ適用ルールと順番に照合されます。
上記の手順でトラフィックが [拒否] ポリシーにヒットしなかった場合、トラフィックはドメイン名にアクセスします。 トラフィックが拒否ポリシーにヒットした場合、トラフィックは拒否され、ドメイン名にアクセスできません。
インターネットファイアウォールのアクセス制御ポリシーを効率的に有効化および構成するにはどうすればよいですか?
クラウドコンピューティングは、企業のデジタル変革にとって避けられない選択となっています。 幅広いクラウドテクノロジーソリューションがより複雑なビジネスアーキテクチャを構成し、セキュリティ境界がより不明瞭になります。 企業はクラウドファイアウォールを使用して、クラウドネットワークの境界で保護を提供できます。 ただし、多数のパブリックIPアドレスを使用すると、アクセス制御ポリシーの設定が複雑になります。
Cloud Firewallはインテリジェントなポリシーを提供します。これにより、過去30日間のトラフィック特性、クラウドサービスとIPアドレスのアクセスおよびアウトバウンド接続を自動的に学習し、宛先IPアドレスまたはドメイン名ごとに適切なアクセス制御ポリシーを自動的に推奨できます。 これにより、インターネットの露出と侵入のリスクが軽減され、悪意のあるアウトバウンドIPアドレスとドメイン名がブロックされます。
インターネットファイアウォールにインテリジェントアクセス制御ポリシーを適用する方法の詳細については、「インターネットファイアウォールのインバウンドおよびアウトバウンドアクセス制御ポリシーの作成」をご参照ください。