インターネットファイアウォールを使用して、パブリックアセットとインターネット間のトラフィックをきめ細かく制御します。これにより、パブリックアセットのインターネットへの露出が減り、サービストラフィックのセキュリティリスクが低減します。インターネットファイアウォールを有効にする際、現在のネットワークトポロジーを変更する必要はありません。ワンクリックで数秒で適用できる保護機能により、リソースを保護できます。これにより、インバウンドおよびアウトバウンドのインターネットトラフィックに対する視覚的な分析、攻撃防御、アクセス制御、ログ監査などの機能を迅速に実装できます。
特徴
仕組み
パブリックアセット のインターネットファイアウォールを有効にすると、Cloud Firewall は、ディープパケットインスペクション (DPI) トラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーなどのテクノロジーを使用して、アウトバウンドおよびインバウンドトラフィックをフィルターします。このプロセスでは、トラフィックを許可するかどうかを決定し、悪意のあるアクセスを効果的にブロックし、パブリックアセットとインターネット間のトラフィックのセキュリティを確保します。
保護対象のパブリックアセット (アウトバウンドおよびインバウンド):Elastic Compute Service (ECS)、Elastic IP Address (EIP) (L2 EIP を含む)、ロードバランシング、Bastionhost、NAT Gateway、HaVip、Global Accelerator (GA) EIP などのアセットで、IPv4 と IPv6 の両方をサポートします。
以下の図は、インターネットファイアウォールの保護シナリオの例を示しています。
サービスへの影響
インターネットファイアウォールの作成、有効化、または無効化は、ネットワークトポロジーの変更を必要としません。ワンクリックで数秒でリソースの保護を有効または無効にでき、サービスに影響はありません。オフピーク時にインターネットファイアウォールを有効にすることを推奨します。
保護仕様
2025年10月15日より、Cloud Firewall は 課金方法 2.0 をリリースします。新規ユーザーはデフォルトで課金方法 2.0 を使用します。既存ユーザーは引き続き 課金方法 1.0 を使用します。インターネットファイアウォールの保護仕様は、2つの課金方法で異なります。
課金方法 2.0
保護仕様 | 説明 | Cloud Firewall サブスクリプション (Premium、Enterprise、Ultimate Edition) | Cloud Firewall 従量課金 |
ファイアウォールインスタンス数 | 保護可能なリージョンの数。各保護対象リージョンは、1つのインターネットファイアウォールインスタンスに対応します。 | 購入したインスタンス数と帯域幅に依存します。各エディションで提供されるインスタンス数と帯域幅については、「サブスクリプション 2.0」をご参照ください。クォータが不足している場合は、仕様をアップグレードできます。詳細については、「アセットの保護ステータスの表示」をご参照ください。 | 実際のファイアウォールインスタンス数と処理された合計トラフィックに基づいて課金されます。 サポートされる最大ピーク帯域幅は 10 Gbps です。より高い仕様をリクエストするには、アカウントマネージャーまたはアーキテクトにお問い合わせください。課金の詳細については、「従量課金 2.0」をご参照ください。 |
保護対象のインターネットトラフィック | ファイアウォールによって処理される合計インターネットトラフィックのピーク。課金は、インバウンドとアウトバウンドのインターネットトラフィック帯域幅の合計に基づきます。 |
課金方法 1.0
保護仕様 | 説明 | Cloud Firewall サブスクリプション (Premium、Enterprise、Ultimate Edition) | Cloud Firewall 従量課金 |
保護可能なパブリック IP アドレス数 | インターネットファイアウォールを有効にできるパブリック IP アドレスの数。 | 購入した保護可能なパブリック IP アドレスの数と、処理可能な合計トラフィックのピークに依存します。クォータが不足している場合は、仕様をアップグレードできます。 Cloud Firewall のエディションによって、パブリック IP アドレスのクォータ制限は異なります。詳細については、「サブスクリプション 1.0」をご参照ください。 説明 サービストラフィックが購入した Cloud Firewall の処理能力を超えた場合、Service Level Agreement (SLA) は保証されません。これにより、アクセス制御リスト (ACL)、IPS、ログ監査などのセキュリティ機能の無効化、トラフィックが過剰なアセットに対するファイアウォールのシャットダウン、またはレート制限やパケット損失などのスペックダウンルールがトリガーされる可能性があります。 サービストラフィックが制限を超えるリスクがある場合は、「サブスクリプションの弾性トラフィックに対する従量課金」をご参照ください。 | 保護対象の実際のパブリック IP アドレス数と処理された合計トラフィックのピークに基づいて課金されます。クォータ制限はありません。課金の詳細については、「従量課金 1.0」をご参照ください。 |
保護対象のインターネットトラフィック | 処理される合計インターネットトラフィックのピーク。課金は、インバウンドとアウトバウンドのインターネットトラフィック帯域幅のうち、高い方の値に基づきます。 |
アセットの保護ステータスの表示
Cloud Firewall は、現在のインターネットファイアウォールインスタンス数と保護されていないパブリック IP アドレス数を統計します。必要に応じてパブリックアセットの保護を有効にできます。
サービストラフィックのセキュリティを確保するため、Alibaba Cloud アカウント配下のすべてのパブリックアセットに対してインターネットファイアウォール保護を有効にしてください。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、Alibaba Cloud アカウント配下のパブリックアセットの保護ステータスを表示します。
(任意) Available Quotas が不足している場合は、アップグレード をクリックして仕様をアップグレードします。詳細については、「サブスクリプション 2.0」をご参照ください。
ファイアウォールの有効化
アセットの保護を手動で有効化
Automatic Protection for New Assets 機能を有効にしていない場合、パブリックアセットのインターネット境界保護を手動で有効にできます。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックして、パブリックアセットの保護を手動で有効にします。
保護したいアセットがパブリックアセットリストにない場合は、リストの右上隅にある Synchronize Assets をクリックします。これにより、Alibaba Cloud アカウントとそのメンバーアカウントからアセット情報が同期されます。同期プロセスには1〜2分かかります。
単一アセットの保護を有効化:パブリックアセットリストで、保護したいパブリックアセットを見つけます。操作する 列で、Enable Protection をクリックします。
複数アセットの保護をバッチで有効化:パブリックアセットリストで、保護したいパブリックアセットを選択します。リストの下で、Enable Protection をクリックします。
新しいアセットの自動保護を有効化
Automatic Protection for New Assets を有効にすると、現在の Alibaba Cloud アカウントまたはそのメンバーアカウントに新しいパブリックアセットが追加された場合、Cloud Firewall は新しいアセットのインターネット境界保護を自動的に有効にします。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
Automatic Protection for New Assets機能を有効にする:インターネットボーダー タブで、Automatic Protection for New Assets の横にあるスイッチをオンにします。
自動的に保護する新しいアセットのタイプを選択する:Automatic Protection for New Assets をクリックします。表示される設定パネルで、アセットタイプとリージョンに基づいて保護する新しいアセットを選択します。設定が完了したら、Save をクリックします。
次のステップ
インターネットファイアウォールを作成した後、パブリックアセットのアクセス制御ポリシーを設定し、アクセスログを表示して、パブリックアセットとインターネット間のトラフィックをより適切に管理できます。
アクセス制御ポリシーの設定
アクセス制御ポリシーを設定しない場合、Cloud Firewall はデフォルトですべてのトラフィックを許可します。インターネットファイアウォールのアクセス制御ポリシーを作成して、パブリックアセットとインターネット間のトラフィックをきめ細かく制御できます。
ページで、対象のインターネットファイアウォールを見つけます。操作する 列で、[ポリシーの設定] をクリックし、パブリックアセットのアウトバウンドまたはインバウンドのアクセス制御ポリシーを設定するかどうかを選択します。詳細については、「インターネットファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
監査ログの照会
ページの タブで、フィルター条件を設定して、パブリックアセットとインターネット間のトラフィックのアクセスログを表示できます。詳細については、「ログ監査」をご参照ください。
トラフィック分析の表示
ページでは、インターネットにアクティブにアクセスするアセットのトラフィックデータを表示できます。これには、アウトバウンドの異常トラフィック追跡、アセットがアクセスしたインターネットの宛先、パブリックアセットからのアウトバウンド接続、プライベートネットワークアセットからのアウトバウンド接続のデータが含まれます。これにより、疑わしいアセットを特定し、サービスを保護できます。詳細については、「アウトバウンド接続」をご参照ください。
ページでは、サービス資産へのインターネットアクセスに関するデータを表示できます。これには、インバウンドの異常トラフィックの追跡、パブリック IP アドレス、オープンポート、オープン系アプリケーション、およびクラウドプロダクトのパブリック IP アドレス数に関するデータが含まれます。これにより、不審な資産を特定し、サービスを保護できます。詳細については、「インターネット露出」をご参照ください。
攻撃防御データの表示
ページで、対象のインターネットファイアウォールを見つけます。[操作] 列で、[攻撃の表示] をクリックし、パブリックアセットのアウトバウンドまたはインバウンドの攻撃防御データを表示するか選択します。詳細については、「侵入防止」をご参照ください。
インターネットトラフィック処理ステータスの表示
左側のナビゲーションウィンドウで、概要 をクリックします。次に、概要 ページの Asset Protection セクションで、ファイアウォールインスタンス数、購入済みトラフィック、および最近のピーク帯域幅を表示できます。
その他の操作
セキュリティグループのデフォルト許可ポリシーの適用
インターネットファイアウォールは、インターネットとの間のトラフィックを保護します。したがって、保護対象のパブリックアセットがインターネットトラフィックを許可するように設定されていることを確認する必要があります。詳細については、対応するパブリックアセットの公式ドキュメントをご参照ください。
ECS パブリック IP アドレスや ECS EIP を含む ECS アセットを保護する場合、Cloud Firewall コンソールでワンクリックでインターネットトラフィックのデフォルト許可ポリシーを適用できます。これにより、ECS コンソールに移動してセキュリティグループの設定を変更することなく、ルールを一元管理できます。
仕組み
Cloud Firewall は、ECS アセットに関連付けられたセキュリティグループに、最も低い優先度 (優先度 100) の4つのルールを適用します。これらのルールは、ECS アセットのインターネットアクセスを許可します。
同じ優先度のルールの場合、ECS セキュリティグループは最初に拒否ルールを照合します。したがって、優先度 100 の拒否ルールがある場合、Cloud Firewall によって適用される許可ポリシーは、既存の拒否ルールを上書きしません。
注意事項
セキュリティグループに対するワンクリックのデフォルト許可ポリシーは、セキュリティグループに関連付けられているすべてのリソースに影響します。ポリシーを適用する前に、関連するすべてのリソースに対して Cloud Firewall 保護を有効にし、インターネットファイアウォールのインバウンドアクセス制御ポリシーを適切に設定してください。そうしないと、インターネットへの露出のリスクがあります。
Cloud Firewall が有効になっていないリソースには、デフォルトの許可ポリシーを適用しないでください。すでに許可ポリシーが設定されているリソースについては、Cloud Firewall 保護を無効にしないでください。
Cloud Firewall サービスが期限切れになった後も、Cloud Firewall によって自動的に追加された4つの許可ポリシーはセキュリティグループに残り、引き続き有効です。Cloud Firewall サービスを今後使用しない場合は、Cloud Firewall によって適用された4つのデフォルト許可ポリシーを手動で削除する必要があります。詳細については、「セキュリティグループルールの削除」をご参照ください。
制限事項
セキュリティグループのデフォルト許可ポリシーを適用する機能は、ECS パブリック IP アドレスと ECS EIP のインバウンドルールのみをサポートします。
エンタープライズセキュリティグループには、デフォルトの許可ポリシーを適用できません。
許可ポリシーの適用
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックします。
パブリックアセットリストで、デフォルトポリシーを適用したい ECS アセットを見つけます。Default Allow Policies 列で、Apply をクリックします。
(任意) 現在のセキュリティグループのルールが適用されるルールと競合する場合は、まずポリシーを調整します。
調整可能なポリシーの競合:セキュリティグループ内のルールが適用されるルールと同じ優先度を持つが、プロトコルタイプ、ポート範囲、または権限付与オブジェクトが異なる場合。
Default Allow Policies ダイアログボックスで、Quick Modify をクリックして、セキュリティグループ内の元のルールの優先度を上げることで競合を解決します。
調整不可能なポリシーの競合:セキュリティグループ内のルールが、適用されるルールと同じ優先度、プロトコルタイプ、ポート範囲、および権限付与オブジェクトを持つ場合。
ECS コンソールの [セキュリティグループ] ページに移動し、競合するルール優先度を確認および調整することをお勧めします。 詳細については、「セキュリティグループルールを変更する」をご参照ください。 または、チケットを起票して、プロダクトの技術専門家に相談することもできます。
セキュリティグループの [操作] 列で、Quick Apply をクリックします。適用される4つの許可ポリシーを表示し、OK をクリックします。
ECS インスタンスが複数のセキュリティグループに関連付けられている場合、ECS インスタンスのデフォルト許可ポリシーを有効にするには、関連するすべてのセキュリティグループに許可ポリシーを適用する必要があります。
セキュリティグループが設定された後、 ページでデフォルト許可ポリシーのステータスを表示できます。これにより、ポリシーが正常に適用されたかどうかを確認し、問題を迅速にトラブルシューティングできます。
セキュリティグループポリシーの適用ステータスには、以下が含まれます:
Applied:ECS アセットに関連付けられたすべてのセキュリティグループにデフォルトの許可ポリシーが適用されています。
Not Applied:ECS アセットに関連付けられた一部またはすべてのセキュリティグループにデフォルトの許可ポリシーが適用されていないか、設定の競合があります。
-:このアセットタイプでは、デフォルト許可ポリシーのワンクリック適用はサポートされていません。
パブリックアセットリストのダウンロード
パブリックアセットリストからアセット情報を CSV ファイルとしてコンピュータにダウンロードできます。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックします。
パブリックアセットリストの右上隅にある
アイコンをクリックします。インターネットボーダー タブの右上隅で、ダウンロードタスクの管理 をクリックしてダウンロードの進行状況を表示します。タスクが完了したら、[操作] 列の Download をクリックします。