このトピックでは、Cloud Firewallでのファイアウォールの有効化と無効化に関するよくある質問に対する回答を提供します。
ファイアウォールを有効にすることの影響は何ですか?
ファイアウォールのタイプ | 影響 |
インターネットファイアウォール | インターネットファイアウォールを作成、有効化、または無効化すると、数秒以内に保護のためにインターネットファイアウォールにリソースを追加したり、インターネットファイアウォールからリソースを削除したりできます。 現在のネットワークトポロジーを変更する必要はありません。 ワークロードは影響を受けません。 |
NATファイアウォール |
|
Express Connect回路用に作成された仮想プライベートクラウド (VPC) ファイアウォール Basic Editionトランジットルーター用に作成されたVPCファイアウォール |
|
Enterprise Editionトランジットルーター用に作成されたVPCファイアウォール | 自動トラフィックリダイレクト
手動トラフィックのリダイレクト
|
アカウントでCloud Firewallを有効化できないのはなぜですか?
発生原因
Cloud Firewallコンソールにログインすると、このアカウントは Cloud Firewall を起動できません が表示されます。 この問題は、次のシナリオで発生する可能性があります。
アカウントはAlibaba Cloudアカウントであり、一元管理のメンバーとして追加されます。
アカウントはResource Access Management (RAM) ユーザーであり、必要な権限がありません。
ソリューション
Cloud Firewallコンソールの右上隅にあるプロファイル画像の上にポインターを移動して、アカウントIDの値を表示できます。
アカウントIDの値が1で始まる数字の文字列である場合、アカウントはAlibaba Cloudアカウントです。
アカウントがメンバーの場合、メンバーの管理アカウントを使用してCloud Firewallコンソールにログインし、Cloud Firewallを有効化する必要があります。 次に、メンバーに属するクラウドアセットの保護を有効にします。 詳細については、「Cloud Firewallの購入」をご参照ください。
アカウントIDの値が2で始まる数字の文字列である場合、アカウントはRAMユーザーです。 アカウントがRAMユーザーの場合、RAMユーザーが属するAlibaba Cloudアカウントを使用して、RAMユーザーにcreateSlr、AliyunYundunCloudFirewallReadOnlyAccess、およびAliyunYundunCloudFirewallFullAccessのポリシーをアタッチする必要があります。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
createSlrは、作成する必要があるカスタムポリシーです。 次のコードは、ポリシーのコンテンツの例を示しています。 詳細については、「カスタムポリシーの作成」をご参照ください。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }
説明Resourceパラメーターの値は、次の形式で指定する必要があります。
acs:ram:*: Alibaba CloudアカウントのID :role/*
。 IDは、RAMユーザーが属するAlibaba CloudアカウントのIDです。
インターネットファイアウォールの目的は何ですか?
Elastic Compute Service (ECS) インスタンスのパブリックIPアドレス、Server Load Balancer (SLB) インスタンスのパブリックIPアドレス、elastic IPアドレス (EIP) など、複数の種類のインターネット対応アセットを保護するためにインターネットファイアウォールに追加できます。 インターネットファイアウォールを有効にすると、システムはインターネット境界線のインバウンドおよびアウトバウンドトラフィックをCloud firewallに転送します。 次に、Cloud Firewallはトラフィックをフィルタリングし、指定された条件を満たすトラフィックのみを許可します。 詳細については、「Internet Firewall」をご参照ください。
インターネットファイアウォールはIPv6アドレスを保護できますか?
いいえ、インターネットファイアウォールはIPv6アドレスを保護できません。 インターネットファイアウォールで保護できるクラウドアセットの詳細については、「保護範囲」をご参照ください。
インターネットファイアウォールを有効にした後、ネットワークトラフィックは影響を受けますか?
インターネットファイアウォールを有効にしても、侵入防止システム (IPS) のアクセス制御ポリシーまたはポリシーを設定しない場合、Cloud firewallはトラフィックを監視し、不審なトラフィックのアラートを生成しますが、不審なトラフィックはブロックしません。
デフォルトでは、Cloud firewallを有効化すると、インターネットファイアウォールが有効になります。
インターネットファイアウォールを無効にすることの影響は何ですか?
インターネットファイアウォールを無効にすると、ネットワークトラフィックがファイアウォールを通過せず、次の問題が発生する可能性があります。
インターネットファイアウォールの保護機能が無効になります。 たとえば、作成したアクセス制御ポリシーが無効になり、侵入防止が無効になります。
ネットワークトラフィック分析レポートやトラフィックログなど、インターネット境界でのトラフィックの統計は更新されません。
インターネットファイアウォールを有効にすると、SLBインスタンス関連のネットワーク制限が表示されます。 これはなぜですか。
原因
インターネットファイアウォールを有効にすると、「SLBインスタンスのネットワークがこの操作をサポートしていないため、IPアドレスに対してファイアウォールを有効にすることはできません」というメッセージが表示されます。 原因は、SLBインスタンスがプライベートIPアドレスのみを持ち、Cloud Firewallをサポートしていないことです。
解決策
アセットが内部対応のSLBインスタンスの場合、EIPをインスタンスに関連付けて、トラフィックをCloud Firewallにリダイレクトすることを推奨します。 詳細については、「EIPと内部対応のCLBインスタンスの関連付け」をご参照ください。
Cloud Firewall Free Editionでアセット同期を実行した後、パブリックIPアドレスが表示されないのはなぜですか。
Cloud Firewall Free EditionはEIPのみを同期できます。 新しく追加されたEIPに関する情報は、1日後にCloud Firewallに表示されます。 Cloud Firewall Free Editionは、ECSインスタンスまたはSLBインスタンスのパブリックIPアドレスを同期できません。
VPCファイアウォールを有効にした後、ECSのセキュリティグループルールは影響を受けますか。
いいえ、セキュリティグループルールは影響を受けません。
VPCファイアウォールを有効にすると、Cloud_Firewall_Security_Groupという名前のセキュリティグループとアクセス制御ポリシーが自動的に作成され、VPCファイアウォールへのトラフィックが許可されます。 セキュリティグループは、VPC間のトラフィックのみを制御します。 既存のセキュリティグループルールは影響を受けません。 ECSでセキュリティグループルールを移行または変更する必要はありません。
VPCファイアウォールを作成するときに、不正なネットワークインスタンスが存在するように促されるのはなぜですか。
原因
Cloud Enterprise Network (CEN) インスタンスは、別のAlibaba Cloudアカウントに属するVPCに関連付けられており、Cloud Firewallは、VPCのAlibaba cloudアカウントに属するクラウドリソースにアクセスする権限がありません。
解決策
Alibaba CloudアカウントでCloud Firewallコンソールにログインし、プロンプトに従ってサービスにリンクされたロールを使用して、アカウント内のクラウドリソースにアクセスする権限をCloud Firewallに付与します。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
Basic EditionトランジットルーターのVPCファイアウォールを有効にしました。 routing policy ActionがDenyに設定されているルーティングポリシーがトランジットルーターのルートテーブルに追加されるのはなぜですか。
VPCテストという名前のVPCに対してVPCファイアウォールを作成して有効にすると、VPCファイアウォール機能はCloud_Firewall_VPCという名前のVPCを作成し、静的ルートをアドバタイズして、トランジットルーターに接続されていてファイアウォールで保護されていない他のVPCのトラフィックをCloud firewallにリダイレクトします。
Cloud Firewallは、Cloud_Firewall_VPC用に作成されたENIをネクストホップが指す静的ルートもCloud_Firewall_VPCのルートテーブルに追加し、ルーティングポリシーアクションが [拒否] に設定されているルーティングポリシーを作成します。 このように、VPCテストはCENによってアドバタイズされるルートを学習しません。 VPCテストのアウトバウンドトラフィックは、静的ルートに基づいてCloud Firewallにリダイレクトされます。
ルーティングポリシーまたはルートテーブルを変更または削除しないでください。 そうしないと、Cloud Firewallのトラフィックリダイレクト機能が影響を受け、ワークロードが中断されます。
NATファイアウォールを有効にした後、Cloud Firewallがルートテーブルを作成し、静的ルート0.0.0.0/0をルートテーブルに追加するのはなぜですか。
NATファイアウォールを有効にすると、Cloud firewallは自動的にカスタムルートテーブルCloud_Firewall_ROUTE_TABLEを作成し、Cloud Firewallによって保護されている関連するNATゲートウェイを指す静的ルート0.0.0.0/0をカスタムルートテーブルに追加します。 さらに、Cloud Firewallは、システムルートテーブルの静的ルート0.0.0.0/0のネクストホップをNATファイアウォールのENIに変更します。 これにより、NATゲートウェイのアウトバウンドトラフィックがCloud Firewallにリダイレクトされます。
ルートテーブルを変更または削除しないでください。 そうしないと、Cloud Firewallのトラフィックリダイレクト機能が影響を受け、ワークロードが中断されます。
クラウドファイアウォールは、アウトバウンドトラフィックをインターネットファイアウォール、NATファイアウォール、およびDNSファイアウォールのアクセス制御ポリシーとどのように一致させますか。
ECSインスタンスがドメイン名にアクセスすると、インターネットファイアウォール、NATファイアウォール、およびドメインネームシステム (DNS) ファイアウォールが有効になっている場合、次の手順でトラフィックが照合されます。
ECSインスタンスがDNSリクエストを開始します。 DNS要求はDNSファイアウォールを通過し、DNSファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
ECSインスタンスから発生するプライベートネットワークトラフィックはNATファイアウォールを通過し、NATファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
許可されたプライベートネットワークトラフィックはNATゲートウェイを通過し、プライベートトラフィックの送信元IPアドレスはNATゲートウェイのパブリックIPアドレスに変換されます。
インターネットトラフィックは、NATゲートウェイによってインターネットファイアウォールに転送され、インターネットファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
トラフィックは、Cloud Firewallの脅威インテリジェンスルール、基本保護ポリシー、インテリジェンス防御ルール、および仮想パッチ適用ルールと順番に照合されます。
上記の手順でトラフィックが [拒否] ポリシーにヒットしなかった場合、トラフィックはドメイン名に達します。 トラフィックが拒否ポリシーにヒットした場合、トラフィックは拒否され、ドメイン名に到達できません。
インターネットファイアウォールのアクセス制御ポリシーを効率的に有効化および構成するにはどうすればよいですか?
クラウドコンピューティングは、企業のデジタル変革にとって避けられない選択となっています。 幅広いクラウドベースのソリューションがより複雑なビジネスアーキテクチャを構成し、セキュリティ境界がより不明瞭になります。 企業はクラウドファイアウォールを使用して、クラウドネットワークの境界で保護を提供できます。 ただし、多数のパブリックIPアドレスを使用すると、アクセス制御ポリシーの設定が複雑になります。
Cloud Firewallはインテリジェントなポリシーを提供します。 Cloud Firewallは、過去30日間のトラフィック特性、クラウドサービスおよびIPアドレスのアクセスおよびアウトバウンド接続を自動的に学習し、宛先IPアドレスまたはドメイン名ごとに適切なアクセス制御ポリシーを自動的に推奨します。 これにより、インターネットの露出と侵入のリスクが軽減され、悪意のあるアウトバウンドIPアドレスとドメイン名がブロックされます。
インテリジェントアクセス制御ポリシーをインターネットファイアウォールに適用する方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。