インターネットファイアウォールを使用すると、インターネットに接続されているアセットとインターネット間の受信および送信トラフィックをきめ細かく管理できます。 これは、インターネット上のインターネットに面した資産のエクスポージャーとビジネストラフィックのセキュリティリスクを減らすのに役立ちます。 インターネットファイアウォールを有効にする場合、現在のネットワークトポロジを変更する必要はありません。 数秒以内にリソースをインターネットファイアウォールに追加して、インバウンドおよびアウトバウンドインターネットトラフィックの視覚化された分析、攻撃防止、アクセス制御、およびログ監査を実装できます。
ビデオチュートリアルを表示して、保護のためにアセットを追加する方法についてすばやく学ぶことができます。
機能の説明
実装
インターネット向けアセットに対してインターネットファイアウォールを有効にすると、Cloud firewallは、トラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチ適用ポリシー、およびアクセス制御ポリシーに基づいて、インバウンドおよびアウトバウンドトラフィックをフィルタリングします。 次に、インターネットファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックが指定された条件に一致するかどうかをチェックし、不正トラフィックをブロックします。 これにより、インターネット接続資産とインターネット間のトラフィックのセキュリティが確保されます。
Elastic Compute Service (ECS) インスタンスのパブリックIPアドレス、ECSインスタンスのelastic IPアドレス (EIP) 、 Classic Load Balancer (CLB) インスタンスのパブリックIPアドレス、CLBインスタンスのEIP、Application Load Balancer (ALB) インスタンスのEIP、Network Load Balancer (NLB) インスタンスのEIP、 EIP (レイヤ2 EIPを含む) 、elastic network Interface (ENI) のEIP、NAT GatewayのEIP、高可用性仮想IPアドレス (HAVIP) 、および要塞ホストのIPアドレス。
次の図に例を示します。
影響
インターネットファイアウォールを作成、有効化、または無効化すると、現在のネットワークトポロジを変更することなく、数秒以内に保護のためにインターネットファイアウォールにリソースを追加したり、インターネットファイアウォールからリソースを削除したりできます。 ワークロードは影響を受けません。 オフピーク時には、インターネットファイアウォールを有効にすることを推奨します。
仕様
インターネットファイアウォールの仕様には、保護されたパブリックIPアドレスと保護されたインターネットトラフィックが含まれます。
仕様 | 説明 | サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewall | 従量課金方式を使用する Cloud Firewall |
保護されたパブリック IP アドレス | インターネットファイアウォールで保護可能なパブリック IP アドレスの数。 | 保護機能は、購入した仕様によって異なります。 クォータが不十分な場合は、仕様をアップグレードできます。 詳細については、「アセットの保護ステータスの表示」をご参照ください。 保護されたパブリックIPアドレスの最大値は、Cloud Firewallエディションによって異なります。 詳細については、「サブスクリプション」をご参照ください。 | 保護されたパブリックIPアドレスの実際の数と、保護されたピークインターネットトラフィックの合計に基づいて課金されます。 仕様の値は無制限です。 詳細については、「従量課金」をご参照ください。 |
保護されたインターネットトラフィック | 保護できるピークインターネットトラフィックの合計。 メータリングメトリックは、インバウンドまたはアウトバウンドのインターネットトラフィックのピークのいずれか高い方です。 |
アセットの保護ステータスの表示
Cloud Firewallは、保護されているパブリックIPアドレスの数、保護されていないパブリックIPアドレスの数、さまざまなリージョンのパブリックIPアドレスの保護ステータスなどの統計を収集します。 ビジネス要件に基づいて、パブリックIPアドレスのインターネットファイアウォールを有効にできます。
ビジネストラフィックのセキュリティを確保するために、Alibaba Cloudアカウント内のすべてのパブリックIPアドレスに対してインターネットファイアウォールを有効にすることを推奨します。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、現在のAlibaba Cloudアカウント内のパブリックIPアドレスの保護ステータスを表示します。
オプションです。 Available Quota が不十分な場合は、仕様のアップグレード をクリックしてCloud Firewallエディションをアップグレードするか、ビジネス要件に基づいて 保護可能なパブリック IP 数 および インターネットトラフィック処理能力 パラメーターの値を増やします。 詳細については、「サブスクリプション」をご参照ください。
インターネットファイアウォールを有効にする
数回のクリックでパブリックIPアドレスのインターネットファイアウォールを有効にする
Automatic Protection for New Assets をオンにしない場合は、パブリックIPアドレスのインターネットファイアウォールを手動で有効にすることができます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックし、パブリックIPアドレスのインターネットファイアウォールを有効にします。
必要なパブリックIPアドレスがパブリックIPアドレスリストに表示されていない場合、IPアドレスリストの右上隅にある Synchronize Assets をクリックして、現在のAlibaba Cloudアカウント内のパブリックIPアドレスとそのアカウントで管理されているメンバーに関する情報を同期できます。 システムは、資産情報を同期するのに1分から2分を要する。
単一のパブリックIPアドレスに対してインターネットファイアウォールを有効にする
パブリックIPアドレスリストで、インターネットファイアウォールを有効にするパブリックIPアドレスを見つけ、[操作] 列の Enable Protection をクリックします。
一度に複数のパブリックIPアドレスに対してインターネットファイアウォールを有効にする
パブリックIPアドレスリストで、インターネットファイアウォールを有効にするパブリックIPアドレスを選択し、リストの下にある Enable Protection をクリックします。
または、統計セクションの Enable Protection をクリックして、パブリックIPアドレス、リージョン、またはアセットタイプに基づいて、すべてのパブリックIPアドレスに対してインターネットファイアウォールを有効にします。
新しい資産の自動保護を有効にする
Automatic Protection for New Assets をオンにすると、現在のAlibaba Cloudアカウントに新しく追加されたパブリックIPアドレスとそのアカウントで管理されているメンバーのインターネットファイアウォールが自動的に有効になります。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、Automatic Protection for New Assets をオンにします。
次に何をすべきか
インターネットファイアウォールを作成すると、インターネットに接続しているアセットとインターネット間のトラフィックをより効率的に管理できます。 たとえば、インターネットファイアウォールのアクセス制御ポリシーを設定し、インターネットに対応するアセットのアクセスログを表示できます。
アクセス制御ポリシーの設定
アクセス制御ポリシーを設定しない場合、Cloud Firewallは自動的にすべてのトラフィックを許可します。 インターネットファイアウォールのアクセス制御ポリシーを設定して、インターネットに対応するアセットとインターネット間のトラフィックをきめ細かく管理できます。 アクセス制御ポリシーを設定するには、次の操作を実行します。
ページの [インターネットファイアウォール] タブで、管理するインターネット向けアセットを見つけ、操作する 列の [ポリシーの設定] をクリックし、[インバウンド] または [アウトバウンド] を選択します。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
監査ログの照会
ページで、 タブをクリックして、クエリ条件を指定し、インターネットに接続されたアセットとインターネットのアクセスログを表示します。 詳細については、「ログ監査」をご参照ください。
トラフィック分析結果の表示
ページで、アセットからインターネットへのアウトバウンド接続に関する情報を表示します。 この情報には、アウトバウンドトラフィックに関するトレース情報、インターネット上でアクセスできる宛先アドレス、およびインターネットと内部のアセットのアウトバウンド接続が含まれます。 これにより、疑わしい資産を特定し、ビジネスセキュリティを確保できます。 詳細については、「アウトバウンド接続」をご参照ください。
ページで、インターネットからアセットへのトラフィックに関する情報を表示します。 この情報には、異常なインバウンドトラフィックに関するトレース情報と、クラウドサービスの公開パブリックIPアドレス、公開ポート、公開アプリケーション、およびパブリックIPアドレスの数が含まれます。 これにより、疑わしい資産を特定し、ビジネスセキュリティを確保できます。 詳細については、「インターネット公開」をご参照ください。
攻撃防止データの表示
ページの [インターネットファイアウォール] タブで、管理するインターネット向けアセットを見つけ、[操作] 列の [攻撃の表示] をクリックし、[インバウンド] または [アウトバウンド] をクリックします。 詳細については、「侵入防止」をご参照ください。
インターネットファイアウォールの仕様使用状況の表示
左側のナビゲーションペインから 概要 をクリックします。 概要 ページで、右上隅にある [購入した仕様の使用状況] をクリックして、インターネットファイアウォールの仕様の使用状況を表示します。 仕様は、保護されたインターネットトラフィック、最近のピークトラフィック、および保護されたパブリックIPアドレスです。
その他操作
既定の許可ポリシーの適用
インターネットファイアウォールは、インターネットトラフィックを保護します。 保護されたインターネット接続資産とインターネット間のトラフィックが許可されていることを確認します。 詳細については、インターネット向け資産の公式ドキュメントを参照してください。
ECSインスタンスのパブリックIPアドレスまたはEIPを保護する場合、Cloud Firewallコンソールで数回クリックするだけで、デフォルトの許可ポリシーをセキュリティグループに適用できます。 ECSコンソールでセキュリティグループルールを変更する必要はありません。
仕組み
Cloud Firewallは、パブリックIPアドレスを持つECSインスタンスのセキュリティグループに、最も優先度の低い4つのアクセス制御ポリシーを適用します。 このポリシーでは、インターネットからパブリックIPアドレスへのトラフィックが許可されます。 アクセス制御ポリシーは、セキュリティグループルールと見なされます。 最も低い優先度は100である。
同じ優先度を持つルールの場合、ECSセキュリティグループは優先的に拒否ルールを使用してトラフィックを照合します。 優先度が100の拒否ルールを設定した場合、Cloud Firewallによって追加されたデフォルトの許可ポリシーは拒否ルールに影響しません。
注意事項
適用された既定の許可ポリシーは、セキュリティグループに追加されたすべてのリソースに有効になります。 既定の [許可] ポリシーを適用する前に、セキュリティグループに追加されたすべてのリソースに対してファイアウォールを有効にし、インターネットファイアウォールの受信アクセス制御ポリシーを適切に構成することを推奨します。 そうしないと、資産がインターネットに公開される可能性があります。
ファイアウォールが無効になっているリソースにはデフォルトの許可ポリシーを適用せず、デフォルトの許可ポリシーが適用されているリソースにはファイアウォールを無効にしないことをお勧めします。
Cloud Firewallの有効期限が切れると、Cloud Firewallによって追加された4つのデフォルトの許可ポリシーがセキュリティグループに保持され、有効になります。 Cloud Firewallを使用しなくなった場合は、Cloud Firewallによって追加された4つのデフォルトの許可ポリシーを手動で削除することを推奨します。 詳細については、「セキュリティグループルールの削除」をご参照ください。
制限事項
セキュリティグループのデフォルトの許可ポリシーでは、ECSインスタンスのパブリックIPアドレスとEIPへのインバウンドトラフィックのみが許可されます。
高度なセキュリティグループは、既定の許可ポリシーをサポートしていません。
手順
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。
パブリックIPアドレスリストで、デフォルトの許可ポリシーを適用するECSインスタンスのIPアドレスを見つけ、Default Allow Policies 列の Apply をクリックします。
オプションです。 セキュリティグループの既存のルールが既定の許可ポリシーと競合する場合は、ルールを調整します。
競合を解決できます。既存のルールの優先度はデフォルトのAllowポリシーの優先度と同じで、プロトコルタイプ、ポート範囲、および承認オブジェクトは異なります。
既存のルールの優先順位を上げるには、Quick Modify をクリックし、Default Allow Policies ダイアログボックスで [OK] をクリックするだけです。
競合を解決できません: 既存のルールの優先度、プロトコルタイプ、ポート範囲、および承認オブジェクトは、デフォルトの許可ポリシーのものと同じです。
ECSコンソールの [セキュリティグループ] ページに移動して、既存のルールの優先順位を表示および調整することを推奨します。 詳細については、「セキュリティグループルールの変更」をご参照ください。 を送信することもできます。テクニカルサポートを得る切符。
セキュリティグループの [操作] 列で、Quick Apply をクリックして4つのデフォルトの許可ポリシーを表示し、OK をクリックします。
ECSインスタンスが複数のセキュリティグループに追加されている場合、ポリシーが有効になる前に、デフォルトの許可ポリシーをすべてのセキュリティグループに適用する必要があります。
デフォルトの許可ポリシーを適用した後、 タブに移動して、ポリシーがECSインスタンスのセキュリティグループに適用されているかどうかを確認できます。 ポリシーの適用に失敗した場合は、できるだけ早い機会に障害のトラブルシューティングを行います。
デフォルトの許可ポリシーは、次のいずれかの状態になります。
Applied: ポリシーは、ECSインスタンスのすべてのセキュリティグループに適用されます。
Not Applied: ポリシーはECSインスタンスの特定のセキュリティグループにのみ適用されます。ポリシーはECSインスタンスのセキュリティグループには適用されません。
-: このタイプのアセットは、デフォルトの許可ポリシーをサポートしていません。
パブリックIPアドレス一覧のダウンロード
パブリックIPアドレスに関する情報をCSVファイルとしてコンピューターにダウンロードできます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ.
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。
パブリックIPアドレスリストの右上隅にあるアイコンをクリックし
ます。 インターネットボーダー タブの右上隅にある ダウンロードタスクの管理 をクリックして、ダウンロードタスクの進行状況を表示します。 ダウンロードタスクが完了したら、[操作] 列の Download をクリックします。