このトピックでは、Cloud Firewall スイッチの有効化または無効化に関するよくある質問に回答します。ファイアウォールを有効にした後のサービスへの影響、ルートやトラフィックの変更点について説明します。
インターネットファイアウォール
NAT ファイアウォール
VPC ファイアウォール
ファイアウォールスイッチを有効にするとサービスにどのような影響がありますか?
ファイアウォールタイプ | サービスへの影響 |
インターネットファイアウォール | インターネットファイアウォールを作成、有効化、または無効化する際に、ネットワークトポロジーを変更する必要はありません。ワンクリックで数秒以内にリソースの保護を有効化または無効化できます。サービスへの影響はありません。 |
NAT ファイアウォール |
|
Express Connect 向け VPC ファイアウォール Basic Edition トランジットルーター向け VPC ファイアウォール |
|
Enterprise Edition トランジットルーター向け VPC ファイアウォール | 自動トラフィックリダイレクト
手動トラフィックリダイレクト
|
Cloud Firewall を無効にするにはどうすればよいですか?
ご利用のサービスに Cloud Firewall の保護が不要であると判断した場合は、インスタンスをリリースして、それ以上の課金を回避できます。
サービストラフィックが Cloud Firewall でサポートされている帯域幅仕様を超えた場合はどうすればよいですか?
サービストラフィックが購入した Cloud Firewall のトラフィック処理仕様を超えた場合、Service Level Agreement (SLA) は保証されません。これにより、セキュリティ機能の障害 (ACL、IPS、ログ監査)、過負荷が最も大きいアセットのファイアウォールシャットダウン、パケット損失を伴うレート制限など、機能低下のルールがトリガーされる可能性があります。
サービストラフィックが制限を超えるリスクがある場合は、「サブスクリプションのエラスティックトラフィックの従量課金」をご参照ください。
異常トラフィックのトラブルシューティング方法については、「インターネット境界での異常トラフィックのトラブルシューティングガイド」をご参照ください。
保護帯域幅の拡張方法については、「更新ポリシー」をご参照ください。
現在のアカウントで Cloud Firewall を有効にできないのはなぜですか?
考えられる原因
Cloud Firewall コンソールにログインすると、「このアカウントは Cloud Firewall を起動できません」というメッセージが表示されます。考えられる原因は次のとおりです:
現在のアカウントが、別の Alibaba Cloud アカウントによってメンバーアカウントとして管理されている Alibaba Cloud アカウントである。
現在のアカウントが、必要な権限を付与されていない Resource Access Management (RAM) ユーザーである。
解決策
コンソールの右上隅にあるプロフィール画像にポインターを合わせ、アカウントタイプを確認します。
アカウントが Alibaba Cloud アカウントの場合:
このアカウントを管理する管理者アカウントを使用してCloud Firewall コンソールにログインします。Cloud Firewall を購入し、メンバーアカウントのクラウドリソースの保護を有効にします。詳細については、「Cloud Firewall の購入」をご参照ください。
アカウントが RAM ユーザーの場合、RAM ユーザーが属する Alibaba Cloud アカウントを使用して、createSlr、AliyunYundunCloudFirewallReadOnlyAccess、および AliyunYundunCloudFirewallFullAccess の権限を RAM ユーザーに付与します。詳細については、「RAM ユーザー権限の管理」をご参照ください。
createSlr 権限はカスタムポリシーです。次のスクリプトを使用してカスタムポリシーを作成する必要があります。詳細については、「カスタムポリシーの作成」をご参照ください。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }説明Resource パラメーターの形式は
acs:ram:*:Alibaba Cloud アカウント ID:role/*です。Alibaba Cloud アカウント ID を、RAM ユーザーが属する Alibaba Cloud アカウントの ID に置き換えてください。
インターネットファイアウォールは何をしますか?
インターネットファイアウォールは、Elastic Compute Service (ECS) インスタンスのパブリック IP アドレス、SLB インスタンスのパブリック IP アドレス、EIP など、さまざまなパブリックアセットを保護します。インターネットファイアウォールを有効にすると、インターネット境界でのアセットとの間のトラフィックが Cloud Firewall に転送されます。Cloud Firewall はトラフィックを検査およびフィルタリングし、指定された条件を満たすトラフィックのみを通過させます。詳細については、「インターネットファイアウォール」をご参照ください。
インターネットファイアウォールは IPv6 アセットを保護しますか?
はい。2025 年 1 月 8 日より、Cloud Firewall は IPv6 アドレスの保護を完全にサポートします。
インターネットファイアウォールが保護できるアセットの詳細については、「保護範囲」をご参照ください。
インターネットファイアウォールはネットワークトラフィックに影響しますか?
アクセス制御ポリシーや侵入防御ポリシーを設定せずにインターネットファイアウォールを有効にした場合、Cloud Firewall はトラフィックを検査してアラートを生成するだけで、トラフィックをブロックしません。
Cloud Firewall を購入すると、デフォルトですべてのアセットに対してインターネットファイアウォールが有効になります。
インターネットファイアウォールを無効にするとどのような影響がありますか?
インターネットファイアウォールを無効にすると、トラフィックはファイアウォールを通過しなくなります。これには次の影響があります:
インターネットファイアウォールの保護機能が無効になります。これには、インターネット境界でのインバウンドおよびアウトバウンドトラフィックに対するアクセス制御ポリシーと侵入防御が含まれます。
インターネット境界のトラフィック統計が更新されなくなります。これには、ネットワークトラフィック分析レポートとトラフィックログが含まれます。
インターネットファイアウォールを有効にするときに SLB ネットワーク制限メッセージが表示されるのはなぜですか?
考えられる原因
インターネットファイアウォールを有効にすると、コンソールに「SLB ネットワークの制限により、この IP があるネットワークのファイアウォール保護を有効にできません」というメッセージが表示されます。これは、SLB アセットがプライベート IP アドレスしか持っておらず、Cloud Firewall の保護をサポートしていないためである可能性があります。
解決策
プライベート IP アドレスのみを持つアセットの場合、EIP をアタッチしてトラフィックを Cloud Firewall にリダイレクトして保護することができます。詳細については、「プライベート向け CLB インスタンスの EIP の関連付けと管理」をご参照ください。
無料版でアセットを同期した後、一部のパブリック IP アセットが表示されないのはなぜですか?
Cloud Firewall の無料版は EIP アセットのみを同期します。新しいアセットは翌日 (T+1) に Cloud Firewall に同期されます。ECS インスタンスや SLB インスタンスのパブリック IP アドレスは同期できません。
VPC ファイアウォールを有効にすると ECS セキュリティグループルールに影響しますか?
いいえ、影響しません。
VPC ファイアウォールを有効にすると、Cloud Firewall は自動的に `Cloud_Firewall_Security_Group` という名前のセキュリティグループと、トラフィックが VPC ファイアウォールを通過することを許可する対応する許可ポリシーを作成します。`Cloud_Firewall_Security_Group` セキュリティグループは、その VPC 内のトラフィックのみを制御します。以前に作成した ECS セキュリティグループルールは有効なままで、影響を受けません。したがって、ECS セキュリティグループルールを移行または変更する必要はありません。
VPC ファイアウォールを作成するときに、未承認のネットワークインスタンスに関するメッセージが表示されるのはなぜですか?
考えられる原因
CEN インスタンスに、別の Alibaba Cloud アカウントに属する VPC が含まれており、そのアカウントが Cloud Firewall にクラウドリソースへのアクセスに必要な権限を付与していないためです。
解決策
未承認の Alibaba Cloud アカウントでCloud Firewall コンソールにログインし、プロンプトに従って Cloud Firewall サービスロールに必要な権限を付与します。詳細については、「Cloud Firewall への権限付与」をご参照ください。
Basic Edition トランジットルーターの VPC ファイアウォールを有効にした後、拒否ルーティングポリシーが追加されるのはなぜですか?
Basic Edition トランジットルーターを介して接続された VPC (例:`VPC-test`) の VPC ファイアウォールを有効にすると、Cloud Firewall はそのトランジットルーターの下に `Cloud_Firewall_VPC` という名前の VPC を作成します。また、同じトランジットルーターの下にある他の VPC (ファイアウォールが有効になっていない) からのトラフィックを Cloud Firewall にリダイレクトするための静的ルートを広報します。
同時に、Cloud Firewall は `VPC-test` に Cloud Firewall ENI を指す静的ルートを追加して、`VPC-test` からのアウトバウンドトラフィックを Cloud Firewall にリダイレクトします。また、`VPC-test` が CEN インスタンスによって広報されたルートを学習しないように、拒否ルーティングポリシーを作成します。
ルーティングポリシーとルートテーブルを変更または削除しないでください。変更または削除すると、Cloud Firewall のトラフィックリダイレクトに影響し、サービストラフィックが中断される原因となります。
NAT ファイアウォールがルートテーブルを作成し、0.0.0.0/0 の静的ルートを追加する必要があるのはなぜですか?
NAT ファイアウォールを有効にすると、Cloud Firewall は自動的に `Cloud_Firewall_ROUTE_TABLE` という名前のカスタムルートテーブルを作成し、NAT Gateway を指す `0.0.0.0/0` ルートを追加します。また、システムルートテーブルの `0.0.0.0/0` ルートエントリを変更して、そのネクストホップを Cloud Firewall ENI に設定します。これにより、NAT Gateway からのアウトバウンドトラフィックが Cloud Firewall にリダイレクトされます。
ルートテーブルとルートエントリを変更または削除しないでください。変更または削除すると、Cloud Firewall のトラフィックリダイレクトに影響し、サービストラフィックが中断される原因となります。
インターネット、NAT、DNS ファイアウォールを同時に有効にした場合、アウトバウンドトラフィックはどのように照合されますか?
インターネット、NAT、DNS ファイアウォールを同時に有効にした場合、ECS インスタンスがドメイン名アクセスリクエスト (アウトバウンドトラフィック) を開始すると、トラフィックは次のように照合されます:
ECS インスタンスが DNS 解決リクエストを開始します。リクエストは DNS ファイアウォールを通過し、DNS ファイアウォールのアクセス制御ポリシーと照合されます。
ECS インスタンスによって開始されたプライベートネットワークトラフィックは、NAT ファイアウォールを通過し、NAT ファイアウォールのアクセス制御ポリシーと照合されます。
許可されたプライベートネットワークトラフィックは NAT Gateway を通過し、プライベートソース IP アドレスを NAT Gateway のパブリック IP アドレスに変換します。
NAT Gateway はパブリックネットワークトラフィックをインターネットファイアウォールに送信し、そこでインターネットファイアウォールのアクセス制御ポリシーと照合されます。
トラフィックは、Cloud Firewall の脅威インテリジェンス、基本防御、インテリジェント防御、仮想パッチルールと照合されます。
このプロセス中にトラフィックがいずれの拒否ポリシーにもヒットしない場合、ドメイン名へのアクセスは成功します。いずれかの拒否ポリシーにヒットした場合、トラフィックは拒否され、ドメイン名にアクセスできなくなります。
NAT ファイアウォールのアクセス制御ポリシーを設定した後も telnet コマンドでリソースにアクセスできるのはなぜですか?
EIP が SNAT エントリにバインドされ、NAT ファイアウォールが有効になっています。ECS インスタンスが HTTP または HTTPS を使用して TCP プロトコル経由でのみ特定のドメイン名にアクセスできるようにアクセス制御ポリシーが設定されています。しかし、ECS インスタンスは依然として telnet コマンドを使用して他のドメイン名にアクセスできます。
原因:telnet コマンドをテストに使用すると、HTTP や HTTPS などのアプリケーション層プロトコルの特徴が欠けています。Cloud Firewall はディープパケットインスペクション (DPI) を通じて特定のアプリケーションタイプを識別できません。この場合、アプリケーションは `Unknown` と表示され、HTTP または HTTPS ポリシーと一致しません。緩やかなモードでは、アプリケーションまたはドメイン名ポリシーを照合する際、ドメイン名またはアプリケーションが認識されない場合、Cloud Firewall はデフォルトで未識別のトラフィックを許可します。後続のポリシーと照合するには、厳格モードを有効にする必要があります。
重要厳格モードはグローバル設定です。有効にすると、すべてのトラフィックの照合ロジックに影響します。サービス要件に基づいて慎重に進めてください。
解決策:テストに telnet を使用しないでください。代わりに curl コマンドを使用してください。
トランジットルーター (TR) からの一部のトラフィックが NAT ファイアウォールをバイパスするのはなぜですか?
この問題は通常、TR の VPC 接続を、NAT ファイアウォールによって自動的に作成された専用の vSwitch に関連付けた場合に発生します。
仕組み:
NAT ファイアウォールは、トラフィックを制御するために特定のルート設定に依存しています。標準的な設定では、プロセスは次のようになります:
サービストラフィックのリダイレクト:VPC 内のサービス vSwitch のルートテーブルは、インターネットへのルートのネクストホップを NAT ファイアウォールに設定します。これにより、トラフィックが最初にセキュリティ検査を受けることが保証されます。
ファイアウォールトラフィックの転送:NAT ファイアウォールが検査を完了した後、ファイアウォールが配置されている専用 vSwitch のルートテーブルは、ネクストホップを NAT Gateway に設定してインターネットにアクセスします。
誤った構成による影響
TR 接続ポイントを NAT ファイアウォールの専用 vSwitch にアタッチすると、TR からのパブリックトラフィックはこの vSwitch に直接入ります。そのトラフィックは、ネクストホップが NAT Gateway に設定されているルートエントリに一致し、NAT ファイアウォールのセキュリティ検査をバイパスします。その結果、一部のトラフィックはコントロールされなくなります。
推奨構成
すべてのパブリックトラフィックが NAT ファイアウォールによって処理されるようにするには、以下のベストプラクティスに従ってください。
vSwitch の分離:NAT ファイアウォールの専用 vSwitch を、TR の接続ポイントとしてなど、他の目的で使用しないでください。
独立した計画:TR の VPC 接続用に別の vSwitch を割り当ててください。
ルートの検証:TR 接続で使用される vSwitch に関連付けられたルートテーブルを含む、すべての関連ルートテーブルが正しく設定されていることを確認してください。制御対象のパブリックルートのネクストホップは、NAT ファイアウォールを指している必要があります。
Cloud Firewall インターネット境界のアクセス制御ポリシーを効率的に有効化し、設定する方法
クラウドコンピューティングは、多くの企業にとってデジタルトランスフォーメーションの不可欠な部分です。クラウド技術ソリューションの範囲が広がるにつれて、サービスアーキテクチャはより複雑になり、セキュリティ境界が曖昧になります。Cloud Firewall を使用して、クラウド上にネットワーク境界保護機能を構築できます。ただし、多数のパブリック IP アドレスがある場合、アクセス制御ポリシーの設定は複雑になる可能性があります。
Cloud Firewall は、AI を活用したインテリジェントポリシーを提供します。これらのポリシーは、過去 30 日間のトラフィックパターンを自動的に学習します。これには、クラウド IP アセットやサービスへのアクセス方法、およびアウトバウンド接続の作成方法が含まれます。その後、Cloud Firewall は、各宛先 IP アドレスまたはドメイン名に対して、インターネット境界に適したアクセス制御ポリシーを提案します。これにより、インターネット上でのアセットの露出を減らし、アウトバウンドトラフィックの悪意のある IP アドレスやドメイン名をブロックし、サービス侵入のリスクを低減します。
インターネットファイアウォールのインテリジェントなアクセス制御ポリシーの適用方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
Enterprise Edition TR の自動トラフィックリダイレクトで作成された VPC ファイアウォールの新旧バージョンの違いは何ですか?
Cloud Firewall は、Enterprise Edition の Cloud Enterprise Network (CEN) トランジットルーター (TR) 向けの VPC ファイアウォールの一部の機能を調整しました。自動トラフィックリダイレクトで作成されたファイアウォールでは、ファイアウォール VPC の所有権がユーザーのアカウントからマネージドクラウドサービスアカウントに変更されました。主な違いは次のとおりです:
ファイアウォール VPC の所有権:新バージョンでは、ファイアウォール VPC はお客様のアカウントに属さず、Cloud Firewall のバックエンドアカウントに属します。ファイアウォール VPC のリソースや設定を表示または変更することはできません。また、お客様の VPC リージョンクォータを占有しません。
課金方法:旧 VPC ファイアウォールアーキテクチャでは、トランジットルーターとサービス VPC 間のデータ転送料金に加えて、トランジットルーターとファイアウォール VPC 間のデータ転送料金も発生し、この料金はユーザーが支払っていました。新バージョンでは、ファイアウォール VPC は Cloud Firewall に属し、トランジットルーターとファイアウォール VPC 間のデータ転送料金は Cloud Firewall が支払います。お客様はこの料金を支払う必要はなくなりました。
VPC ファイアウォールの有効化:VPC ファイアウォールを作成する際、3 つの vSwitch CIDR ブロックを入力する必要はなくなりました。ネットワーク計画と競合しない、少なくとも /27 の CIDR ブロックを 1 つ入力するだけで済みます。この CIDR ブロックは、ファイアウォール作成プロセス中に必要な vSwitch に割り当てられます。Enterprise Edition VPC ファイアウォールの設定方法の詳細については、「Enterprise Edition トランジットルーター向け VPC ファイアウォールの設定」をご参照ください。
Enterprise Edition TR 向けの新バージョン VPC ファイアウォールを有効にする手順
要件:自動トラフィックリダイレクトのみがサポートされています。Cloud Firewall インスタンスは、従量課金であるか、従量課金のエラスティックトラフィック機能が有効になっているサブスクリプションインスタンスである必要があります。
VPC ファイアウォールを作成していない場合:まず、従量課金のエラスティックトラフィックを有効にし (従量課金のお客様はこの手順をスキップできます)、次に VPC ファイアウォールを作成します。
警告この順序を厳密に守る必要があります。
仮想プライベートクラウド (VPC) ファイアウォールが作成されます:
トラフィックリダイレクトシナリオと既存の VPC ファイアウォールを削除します。
従量課金のエラスティックトラフィックを有効にします (従量課金のお客様はこの手順をスキップできます)。
VPC ファイアウォールとトラフィックリダイレクトシナリオを再作成します。
従量課金のエラスティックトラフィックを有効にする方法の詳細については、「サブスクリプションインスタンスの従量課金のエラスティックトラフィック」をご参照ください。
VPC ファイアウォールを使用するとレイテンシーが増加しますか?
はい、そうです。
同じリージョン内の異なるアベイラビリティゾーン (AZ) 間のトラフィックでは、レイテンシーが 4 ms から 8 ms 増加します。同じ AZ 内のトラフィックでは、レイテンシーが 2 ms から 3 ms 増加します。