インターネットファイアウォールを使用すると、インターネットに接続されているアセットとインターネット間の受信および送信トラフィックをきめ細かく管理できます。 これは、インターネット上のインターネットに面した資産のエクスポージャーとビジネストラフィックのセキュリティリスクを減らすのに役立ちます。 インターネットファイアウォールを有効にする場合、現在のネットワークトポロジを変更する必要はありません。 数秒以内にリソースをインターネットファイアウォールに追加して、インバウンドおよびアウトバウンドインターネットトラフィックの視覚化された分析、攻撃防止、アクセス制御、およびログ監査を実装できます。
ビデオチュートリアルを表示して、保護のためにアセットを追加する方法についてすばやく学ぶことができます。
機能の説明
実装
インターネット向けアセットに対してインターネットファイアウォールを有効にすると、Cloud firewallは、トラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチ適用ポリシー、およびアクセス制御ポリシーに基づいて、インバウンドおよびアウトバウンドトラフィックをフィルタリングします。 次に、インターネットファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックが指定された条件に一致するかどうかをチェックし、不正トラフィックをブロックします。 これにより、インターネット接続資産とインターネット間のトラフィックのセキュリティが確保されます。
次のインターネット向けアセットのインバウンドトラフィックとアウトバウンドトラフィックを保護できます。ECS (Elastic Compute Service) インスタンスのパブリックIPアドレス、ECSインスタンスのelastic IPアドレス (EIP) 、
Classic Load Balancer (CLB) インスタンスのパブリックIPアドレス、CLBインスタンスのEIP、Application Load Balancer (ALB) インスタンスのEIP、Network Load Balancer (NLB) インスタンスのEIP、 EIP (レイヤ2 EIPを含む) 、elastic network Interface (ENI) のEIP、NAT GatewayのEIP、高可用性仮想IPアドレス (HAVIP) に関連付けられているEIP、Global Accelerator (GA) インスタンスのEIP、およびbastionホストのIPアドレス。
GAインスタンスのEIPには次の制限があります。
高速化IPアドレスが属するGAインスタンスは、標準のGAインスタンスである必要があります。
高速IPアドレスはEIPタイプである必要があります。
高速化IPアドレスが属する高速化リージョンは、Alibaba Cloudポイントオブプレゼンス (POP) にすることはできません。
アクセラレーションリージョンがAlibaba CloudのPOPであるかどうかを確認するには、ListAvailableBusiRegions操作を呼び出します。
次の図に例を示します。
影響
インターネットファイアウォールを作成、有効化、または無効化すると、現在のネットワークトポロジを変更することなく、数秒以内に保護のためにインターネットファイアウォールにリソースを追加したり、インターネットファイアウォールからリソースを削除したりできます。 ワークロードは影響を受けません。 オフピーク時には、インターネットファイアウォールを有効にすることを推奨します。
仕様
インターネットファイアウォールの仕様には、保護されたパブリックIPアドレスと保護されたインターネットトラフィックが含まれます。
仕様 | 説明 | サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewall | 従量課金方式を使用する Cloud Firewall |
保護されたパブリック IP アドレス | インターネットファイアウォールで保護可能なパブリック IP アドレスの数。 | 保護機能は、購入した仕様によって異なります。 クォータが不十分な場合は、仕様をアップグレードできます。 詳細については、「アセットの保護ステータスの表示」をご参照ください。 保護されたパブリックIPアドレスの最大値は、Cloud Firewallエディションによって異なります。 詳細については、「サブスクリプション」をご参照ください。 | 保護されたパブリックIPアドレスの実際の数と、保護されたピークインターネットトラフィックの合計に基づいて課金されます。 仕様の値は無制限です。 詳細については、「従量課金」をご参照ください。 |
保護されたインターネットトラフィック | 保護できるピークインターネットトラフィックの合計。 メータリングメトリックは、インバウンドまたはアウトバウンドのインターネットトラフィックのピークのいずれか高い方です。 |
アセットの保護ステータスの表示
インターネットファイアウォールを有効にする
数回のクリックでパブリックIPアドレスのインターネットファイアウォールを有効にする
Automatic Protection for New Assets をオンにしない場合は、パブリックIPアドレスのインターネットファイアウォールを手動で有効にすることができます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックし、パブリックIPアドレスのインターネットファイアウォールを有効にします。
必要なパブリックIPアドレスがパブリックIPアドレスリストに表示されていない場合、IPアドレスリストの右上隅にある Synchronize Assets をクリックして、現在のAlibaba Cloudアカウント内のパブリックIPアドレスとそのアカウントで管理されているメンバーに関する情報を同期できます。 システムは、資産情報を同期するのに1分から2分を要する。
単一のパブリックIPアドレスに対してインターネットファイアウォールを有効にする
パブリックIPアドレスリストで、インターネットファイアウォールを有効にするパブリックIPアドレスを見つけ、[操作] 列の Enable Protection をクリックします。
一度に複数のパブリックIPアドレスに対してインターネットファイアウォールを有効にする
パブリックIPアドレスリストで、インターネットファイアウォールを有効にするパブリックIPアドレスを選択し、リストの下にある Enable Protection をクリックします。
または、統計セクションの Enable Protection をクリックして、パブリックIPアドレス、リージョン、またはアセットタイプに基づいて、すべてのパブリックIPアドレスに対してインターネットファイアウォールを有効にします。
新しい資産の自動保護を有効にする
Automatic Protection for New Assets をオンにすると、現在のAlibaba Cloudアカウントに新しく追加されたパブリックIPアドレスとそのアカウントで管理されているメンバーのインターネットファイアウォールが自動的に有効になります。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、Automatic Protection for New Assets をオンにします。
次に何をすべきか
インターネットファイアウォールを作成すると、インターネットに接続しているアセットとインターネット間のトラフィックをより効率的に管理できます。 たとえば、インターネットファイアウォールのアクセス制御ポリシーを設定し、インターネットに対応するアセットのアクセスログを表示できます。
アクセス制御ポリシーの設定
アクセス制御ポリシーを設定しない場合、Cloud Firewallは自動的にすべてのトラフィックを許可します。 インターネットファイアウォールのアクセス制御ポリシーを設定して、インターネットに対応するアセットとインターネット間のトラフィックをきめ細かく管理できます。 アクセス制御ポリシーを設定するには、次の操作を実行します。
インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
ページの [インターネットファイアウォール] タブで、管理するインターネット向けアセットを見つけ、操作する 列の [ポリシーの設定] をクリックし、[インバウンド] または [アウトバウンド] を選択します。 詳細については、「監査ログの照会
ログ監査」をご参照ください。
ページで、[トラフィックログ] タブをクリックし、[インターネット境界線] タブをクリックして、クエリ条件を指定し、インターネットに接続されたアセットとインターネットのアクセスログを表示します。 詳細については、「トラフィック分析結果の表示
アウトバウンド接続」をご参照ください。
ページで、アセットからインターネットへのアウトバウンド接続に関する情報を表示します。 この情報には、アウトバウンドトラフィックに関するトレース情報、インターネット上でアクセスできる宛先アドレス、およびインターネットと内部のアセットのアウトバウンド接続が含まれます。 これにより、疑わしい資産を特定し、ビジネスセキュリティを確保できます。 詳細については、「インターネット公開」をご参照ください。
ページで、インターネットからアセットへのトラフィックに関する情報を表示します。 この情報には、異常なインバウンドトラフィックに関するトレース情報と、クラウドサービスの公開パブリックIPアドレス、公開ポート、公開アプリケーション、およびパブリックIPアドレスの数が含まれます。 これにより、疑わしい資産を特定し、ビジネスセキュリティを確保できます。 詳細については、「
攻撃防止データの表示
侵入防止」をご参照ください。
ページの [インターネットファイアウォール] タブで、管理するインターネット向けアセットを見つけ、[操作] 列の [攻撃の表示] をクリックし、[インバウンド] または [アウトバウンド] をクリックします。 詳細については、「インターネットファイアウォールの仕様使用状況の表示
左側のナビゲーションペインから 概要 をクリックします。 概要 ページで、右上隅にある [購入した仕様の使用状況] をクリックして、インターネットファイアウォールの仕様の使用状況を表示します。 仕様は、保護されたインターネットトラフィック、最近のピークトラフィック、および保護されたパブリックIPアドレスです。