すべてのプロダクト
Search

このプロダクト

    :アクセス制御ポリシーの概要

    ドキュメントセンター

    :アクセス制御ポリシーの概要

    最終更新日:Aug 15, 2024

    デフォルトでは、ファイアウォールを有効にした後にアクセス制御ポリシーを設定しない場合、Cloud firewallはすべてのトラフィックを許可します。 ビジネス要件に基づいて、さまざまな種類のファイアウォールに対して許可または拒否ポリシーを設定して、アセットへの不正アクセスをより適切に制御できます。 このトピックでは、Cloud Firewallのアクセス制御ポリシーについて説明します。これには、アクセス制御ポリシーの仕組みと課金ルールが含まれます。

    説明

    Cloud Firewallを使用すると、インターネットファイアウォール、NATファイアウォール、仮想プライベートクラウド (VPC) ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを設定して、不正アクセスをブロックし、トラフィックの多方向分離および制御を実装できます。 このトピックで説明するアクセス制御ポリシーは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールにのみ適用されます。

    説明

    内部ファイアウォールのアクセス制御ポリシーを構成する方法の詳細については、「内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

    アクセス制御ポリシーの項目

    アクセス制御ポリシーで異なる項目を指定して、関連するトラフィックを許可または拒否できます。

    項目

    説明

    データ型

    ポリシーでサポートされるタイプ

    ソース

    ネットワーク接続のイニシエータ。

    • IPアドレス: アクセス制御ポリシーは、特定のCIDRブロックへのトラフィックを制御します。

    • IPアドレス帳: アクセス制御ポリシーは、IPアドレス帳に追加される特定のCIDRブロックへのトラフィックを制御します。

    • リージョン: アクセス制御ポリシーは、特定の地理的位置へのトラフィックを制御します。

    • インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールのアクセス制御ポリシー: IPアドレスとIPアドレス帳。

    • 内部ファイアウォールのアクセス制御ポリシー: IPアドレス、IPアドレス帳、およびリージョン。

    目的地

    ネットワーク接続の受信者。

    IPアドレス、IPアドレス帳、ドメイン名、リージョン。

    • IPアドレス: アクセス制御ポリシーは、特定のCIDRブロックからのトラフィックを制御します。

    • IPアドレス帳: アクセス制御ポリシーは、IPアドレス帳に追加される特定のCIDRブロックからのトラフィックを制御します。

    • ドメイン名: アクセス制御ポリシーは、特定のドメイン名からのトラフィックを制御します。

    • リージョン: アクセス制御ポリシーは、特定の地理的位置からのトラフィックを制御します。

    • インターネットファイアウォールおよびNATファイアウォールのアウトバウンドアクセス制御ポリシー: IPアドレス、IPアドレス帳、ドメイン名、およびリージョン。

    • VPCファイアウォールのアクセス制御ポリシー: IPアドレス、IPアドレス帳、ドメイン名。

    • インターネットファイアウォールのインバウンドアクセス制御ポリシー: IPアドレスとIPアドレス帳。

    プロトコルの種類

    トランスポート層プロトコル。

    TCP、UDP、ICMP、およびANY。

    ポリシーのプロトコルがわからない場合は、ANYを選択します。 値ANYは、すべてのプロトコルタイプを指定します。

    タイプは、ファイアウォールのすべてのアクセス制御ポリシーでサポートされています。

    ポート

    宛先ポート。

    アクセス制御ポリシーは、特定のポートを通過するトラフィックを制御します。 タイプはポートとアドレス帳です。

    ファイアウォールのアクセス制御ポリシーでサポートされるタイプは、指定されたプロトコルタイプによって異なります。

    アプリケーション

    アプリケーション層プロトコル。

    タイプには、HTTP、HTTPS、SMTP、SMTPS、SSL、およびFTPが含まれます。

    アプリケーションタイプがわからない場合は、ANYを選択します。 値ANYは、すべてのアプリケーションタイプを指定します。

    説明

    Cloud Firewallは、アプリケーションがポート443からSSLまたはTLSであるトラフィックのアプリケーションをHTTPSとして識別し、アプリケーションが他のポートからSSLまたはTLSであるトラフィックをSSLとして識別します。

    アクセス制御ポリシーでサポートされるタイプは、選択したプロトコルタイプによって異なります。 最大5つのプロトコルタイプを同時に選択できます。

    実装

    デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewallはアクセス制御ポリシーの照合プロセス中にすべてのトラフィックを許可します。

    アクセス制御ポリシーを設定すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、ポリシーをエンジンに送信します。 トラフィックがCloud Firewallを通過すると、Cloud Firewallは設定されたアクセス制御ポリシーの優先順位に基づいてトラフィックパケットを順番に照合します。 トラフィックパケットがポリシーにヒットした場合、ポリシーで指定されたアクションが実行され、後続のポリシーは一致しません。 そうでない場合、システムは、ポリシーがヒットするか、またはすべての構成されたポリシーが一致するまで、より低い優先度を有するポリシーに対してトラフィックパケットを一致させ続ける。 デフォルトでは、設定されたすべてのポリシーが一致した後にトラフィックがポリシーにヒットしない場合、トラフィックは許可されます。

    重要

    • アクセス制御ポリシーを作成、変更、または削除した後、Cloud Firewallはポリシーをエンジンに送信するのに約3分かかります。

    • 小さい優先度値は、より高い優先度を示す。 アクセス制御の機能を最大化できるように、頻繁に一致するポリシーと洗練されたポリシーに高い優先度を指定することを推奨します。

    次の図は、アクセス制御ポリシーの仕組みを示しています。

    image

    ドメイン名解決

    インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールは、トラフィック内のドメイン名情報に基づいてドメイン名のアクセス制御を実装します。 インターネットファイアウォールまたはNATファイアウォールに対して設定されているアウトバウンドアクセス制御ポリシーの宛先がドメイン名に設定されている場合、Cloud firewallはドメイン名をIPアドレスに解決し、IPアドレスに対するアクセス制御を実装します。 IPアドレスを表示することもできます。

    次のリストは、アクセス制御ポリシーが異なるアプリケーションタイプのドメイン名と一致することに基づくロジックを示しています。

    • ドメイン名識別モードFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定され、アプリケーションタイプがHTTP、HTTPS、SMTP、SMTPS、またはSSLの場合、クラウドファイアウォールはホストまたはSNIフィールドを使用してドメイン名のアクセス制御を実装します。

    • [ドメイン名識別モード][DNSベースの動的解決] に設定され、アプリケーションタイプがHTTP、HTTPS、SSL、SMTP、またはSMTPS以外である場合、Cloud Firewallはドメイン名を動的に解決し、アクセス制御を実装します。 ドメイン名が解決されたIPアドレスを表示できます。 ドメイン名は最大500個のIPアドレスに解決できます。

    ドメイン名ベースのアクセス制御ポリシー

    アクセス制御ポリシーを設定し、宛先をドメイン名に設定する場合は、次の項目に注意してください。

    • ドメインネームシステム (DNS) 解決は、次のシナリオではサポートされていません。

      • アクセス制御ポリシーは、インバウンドトラフィック用に設定されています。 DNS解決は、アウトバウンドアクセス制御ポリシーでのみサポートされます。

      • 宛先はワイルドカードドメイン名です。 例: * .example.com。 ワイルドカードドメイン名を特定のIPアドレスに解決することはできません。

      • ドメインアドレス帳は、宛先タイプに対して選択される。

    • NATファイアウォール用に作成されたアクセス制御ポリシーによって消費されるクォータは200を超えることはできません。 クォータが200を超えると、アクセス制御ポリシーを作成し、宛先をドメイン名に設定すると、エラーが報告されます。

      たとえば、s aliyun.comの宛先アドレスとアプリケーションタイプがANYで、ポリシーによって消費されるクォータが185であるアクセス制御ポリシーを設定したとします。 この場合、アクセス制御ポリシーを作成し、宛先をドメイン名に設定する必要があり、ポリシーによって消費されるクォータが15を超えると、ポリシーの作成に失敗します。

    • インターネット用に作成されたアクセス制御ポリシーによって消費されるクォータは、200を超えることはできません。 クォータが200を超える場合、超過クォータの数は10回計算されます。

      たとえば、s aliyun.comした宛先アドレスとアプリケーションタイプがANYで、ポリシーによって消費されるクォータが185であるアクセス制御ポリシーを設定したとします。 この場合、アクセス制御ポリシーを作成して宛先をドメイン名に設定し、ポリシーによって消費されるクォータが16である場合、2つのポリシーによって消費されるクォータの合計は、(185 + 16 - 200) × 10 + 200 = 210の式に基づいて計算されます。

      説明

      アクセス制御ポリシーによって消費されるクォータを計算する方法の詳細については、「アクセス制御ポリシーによって消費されるクォータ」をご参照ください。

    • Elastic Compute Service (ECS) インスタンスから外部ドメインたてがみに対してリクエストが開始された場合、ドメイン名解決にはECSインスタンスのデフォルトDNSサーバーのみがサポートされます。 DNSサーバのIPアドレスは100.100.2.136または100.100.2.138です。 ECSインスタンスのDNSサーバーのアドレスを変更すると、ECSインスタンスのアウトバウンドアクセス制御ポリシーが無効になります。

    • 複数のドメイン名が同じIPアドレスに解決されると、アクセス制御のパフォーマンスが影響を受ける可能性があります。

      たとえば、アクセス制御ポリシーを構成して、ドメインnam e example1.aliyun.com宛てのFTPトラフィックを許可します。 ドメインnam e example1.aliyun.comのAレコードが1.1.XX.XXの場合、1.1.XX.XX宛てのFTPトラフィックが許可されます。 ドメイン名e example2.aliyun.comのAレコードも1.1.XX.XXの場合、r example2.aliyun.com宛てのFTPトラフィックも許可されます。

    • ドメイン名が解決されるIPアドレスが変更された場合、Cloud Firewallは新しいIPアドレスを使用してアクセス制御ポリシーを自動的に更新します。 Cloud Firewallは、インターネットファイアウォールに対して作成されたアクセス制御ポリシーを5分ごとに、NATファイアウォールに対して作成されたアクセス制御ポリシーを60分ごとに自動的に更新します。

      ドメイン名のe example1.aliyun.comが解決されたIPアドレスが1.1.XX.XXから2.2.XX.XXに変更された場合、Cloud Firewallはアクセス制御ポリシーを自動的に更新します。 その後、ポリシーはIPアドレス2.2.XX.XXに有効になります。 このように、アクセス制御ポリシーは、ドメイン名が動的に解決されるIPアドレスに対して常に有効になります。

      説明

      動的DNS解決結果に基づいてアクセス制御ポリシーを更新する場合は、ポリシー編集ページで DNS Resolution をクリックして、DNS解決を手動でトリガーし、更新されたIPアドレスを取得します。 次に、[OK] をクリックしてポリシーの更新を保存します。

    ポリシーアクション

    アクセス制御ポリシーでは、[許可][監視][拒否] の操作がサポートされています。 トラフィックパケットの要素がアクセス制御ポリシーと一致すると、Cloud Firewallはポリシーで指定されたアクションを実行します。

    ポリシーのアクションが [監視] に設定されている場合、ポリシーがヒットしたときにトラフィックが許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。

    説明

    トラフィックログ ページでトラフィックデータを表示できます。 詳細については、「ログ監査」をご参照ください。

    アクセス制御ポリシーによって消費されるクォータ

    アクセス制御ポリシーを設定した後、Cloud Firewallは、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、アプリケーションなど、ポリシーで指定されている項目の数に基づいて、ポリシーによって消費されるクォータを計算します。

    計算方法

    アクセス制御ポリシーによって消費されるクォータは、次の式を使用して計算されます。

    • アクセス制御ポリシーによって消費されるクォータ=ソースアドレスの数 (CIDRブロックまたは領域の数) × 宛先アドレスの数 (CIDRブロック、領域、またはドメイン名の数) × ポート範囲の数 × アプリケーションの数。

      重要

      宛先がドメイン名であるアクセス制御ポリシーを設定した場合、消費される合計クォータは200を超えることはできません。 合計クォータが200を超える場合、超過クォータの数は10回計算されます。

      アクセス制御ポリシーリストのポリシーの 占有仕様数 列で、アクセス制御ポリシーによって使用されたクォータを表示できます。

      image.png

    • アクセス制御ポリシーによって消費された合計クォータ=送信アクセス制御ポリシーによって消費されたクォータ + 受信アクセス制御ポリシーによって消費されたクォータ。

      ファイアウォールのページの上部で、あるタイプのファイアウォールのアクセス制御ポリシーによって消費された合計クォータを表示できます。 次の図は、インターネットファイアウォール用に作成されたアクセス制御ポリシーによって消費されるクォータを示しています。

      image.png

    課金

    • デフォルトでは、サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewallの基本価格は、アクセス制御ポリシーの特定のクォータをカバーします。 特定のクォータがビジネス要件を満たせない場合は、追加のクォータを購入できます。

      アクセス制御ポリシーの追加クォータは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールのアクセス制御ポリシーに使用できます。 詳細については、「サブスクリプション」をご参照ください。

    • 従量課金方式を使用するクラウドファイアウォールでは、インターネットファイアウォール用の最大2,000のアクセス制御ポリシー、NATファイアウォール用の2,000のアクセス制御ポリシー、およびVPCファイアウォール用の10,000のアクセス制御ポリシーを作成できます。 数を増やすことはできません。 詳細については、「従量課金」をご参照ください。

    アクセス制御ポリシーによって消費されるクォータを計算する方法の例

    ポリシー設定

    ポリシーによって消費されるクォータ

    例 1

    • 出典: 19.16.XX.XX/32、17.6.XX.XX/32

    • 目的地: www.aliyun.com

    • プロトコルタイプ: TCP

    • ポート: 80/88、443/443

    • アプリケーション: HTTP、HTTPS

    ポリシーによって消費されるクォータは、次の式を使用して計算されます。ソースCIDRブロックの数 × 宛先ドメイン名の数 × ポート範囲の数 × アプリケーションの数=2 × 1 × 2 × 2 = 8。

    例 2

    • 出典: 北京、浙江

    • 目的地: 19.18.XX.XX/32

    • プロトコルタイプ: TCP

    • ポート: 80/80

    • アプリケーション: HTTP

    ポリシーによって消費されるクォータは、次の式を使用して計算される。ソース領域の数 × 宛先CIDRブロックの数 × ポート範囲の数 × アプリケーションの数=2 × 1 × 1 × 1 = 2。

    関連ドキュメント