すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:アクセス制御ポリシーの概要

最終更新日:Dec 06, 2024

デフォルトでは、ファイアウォールを有効にした後にアクセス制御ポリシーを設定しない場合、Cloud firewallはすべてのトラフィックを許可します。 ビジネス要件に基づいて、さまざまな種類のファイアウォールに対して許可または拒否ポリシーを設定して、アセットへの不正アクセスをより適切に制御できます。 このトピックでは、Cloud Firewallのアクセス制御ポリシーについて説明します。これには、アクセス制御ポリシーの仕組みと課金ルールが含まれます。

説明

Cloud Firewallを使用すると、インターネットファイアウォール、NATファイアウォール、仮想プライベートクラウド (VPC) ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを設定して、不正アクセスをブロックし、トラフィックの多方向分離および制御を実装できます。 このトピックで説明するアクセス制御ポリシーは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールにのみ適用されます。

説明

内部ファイアウォールのアクセス制御ポリシーを構成する方法の詳細については、「内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

アクセス制御ポリシーの項目

アクセス制御ポリシーで異なる項目を指定して、関連するトラフィックを許可または拒否できます。

項目

説明

ポリシーでサポートされるタイプ

ソース

ネットワーク接続のイニシエータ。

  • IPアドレス: アクセス制御ポリシーは、特定のCIDRブロックへのトラフィックを制御します。

  • IPアドレス帳: アクセス制御ポリシーは、IPアドレス帳に追加される特定のCIDRブロックへのトラフィックを制御します。

  • リージョン: アクセス制御ポリシーは、特定の地理的位置へのトラフィックを制御します。

  • インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールのアクセス制御ポリシー: IPアドレスとIPアドレス帳。

  • 内部ファイアウォールのアクセス制御ポリシー: IPアドレス、IPアドレス帳、およびリージョン。

目的地

ネットワーク接続の受信者。

IPアドレス、IPアドレス帳、ドメイン名、リージョン。

  • IPアドレス: アクセス制御ポリシーは、特定のCIDRブロックからのトラフィックを制御します。

  • IPアドレス帳: アクセス制御ポリシーは、IPアドレス帳に追加される特定のCIDRブロックからのトラフィックを制御します。

  • ドメイン名: アクセス制御ポリシーは、特定のドメイン名からのトラフィックを制御します。

  • リージョン: アクセス制御ポリシーは、特定の地理的位置からのトラフィックを制御します。

  • インターネットファイアウォールおよびNATファイアウォールのアウトバウンドアクセス制御ポリシー: IPアドレス、IPアドレス帳、ドメイン名、およびリージョン。

  • VPCファイアウォールのアクセス制御ポリシー: IPアドレス、IPアドレス帳、ドメイン名。

  • インターネットファイアウォールのインバウンドアクセス制御ポリシー: IPアドレスとIPアドレス帳。

プロトコルの種類

トランスポート層プロトコル。

TCP、UDP、ICMP、およびANY。

ポリシーのプロトコルがわからない場合は、ANYを選択します。 値ANYは、すべてのプロトコルタイプを指定します。

タイプは、ファイアウォールのすべてのアクセス制御ポリシーでサポートされています。

ポート

宛先ポート。

アクセス制御ポリシーは、特定のポートを通過するトラフィックを制御します。 タイプはポートとアドレス帳です。

ファイアウォールのアクセス制御ポリシーでサポートされるタイプは、指定されたプロトコルタイプによって異なります。

アプリケーション

アプリケーション層プロトコル。

タイプには、HTTP、HTTPS、SMTP、SMTPS、SSL、およびFTPが含まれます。

アプリケーションタイプがわからない場合は、ANYを選択します。 値ANYは、すべてのアプリケーションタイプを指定します。

説明

Cloud Firewallは、アプリケーションがポート443からSSLまたはTLSであるトラフィックのアプリケーションをHTTPSとして識別し、アプリケーションが他のポートからSSLまたはTLSであるトラフィックをSSLとして識別します。

アクセス制御ポリシーでサポートされるタイプは、選択したプロトコルタイプによって異なります。 最大5つのプロトコルタイプを同時に選択できます。

実装

デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewallはアクセス制御ポリシーの照合プロセス中にすべてのトラフィックを許可します。

アクセス制御ポリシーを設定すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、ポリシーをエンジンに送信します。 トラフィックがCloud Firewallを通過すると、Cloud Firewallは設定されたアクセス制御ポリシーの優先順位に基づいてトラフィックパケットを順番に照合します。 トラフィックパケットがポリシーにヒットした場合、ポリシーで指定されたアクションが実行され、後続のポリシーは一致しません。 そうでない場合、システムは、ポリシーがヒットするか、またはすべての構成されたポリシーが一致するまで、より低い優先度を有するポリシーに対してトラフィックパケットを一致させ続ける。 デフォルトでは、設定されたすべてのポリシーが一致した後にトラフィックがポリシーにヒットしない場合、トラフィックは許可されます。

重要
  • アクセス制御ポリシーを作成、変更、または削除した後、Cloud Firewallはポリシーをエンジンに送信するのに約3分かかります。

  • 小さい優先度値は、より高い優先度を示す。 アクセス制御の機能を最大化できるように、頻繁に一致するポリシーと洗練されたポリシーに高い優先度を指定することを推奨します。

次の図は、アクセス制御ポリシーの仕組みを示しています。

image

ポリシーアクション

アクセス制御ポリシーでは、[許可][監視][拒否] の操作がサポートされています。 トラフィックパケットの要素がアクセス制御ポリシーと一致すると、Cloud Firewallはポリシーで指定されたアクションを実行します。

ポリシーのアクションが [監視] に設定されている場合、ポリシーがヒットしたときにトラフィックが許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。

説明

トラフィックログ ページでトラフィックデータを表示できます。 詳細については、「ログ監査」をご参照ください。

アクセス制御ポリシーによって消費されるクォータ

アクセス制御ポリシーを設定した後、Cloud Firewallは、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、アプリケーションなど、ポリシーで指定されている項目の数に基づいて、ポリシーによって消費されるクォータを計算します。

計算方法

アクセス制御ポリシーによって消費されるクォータは、次の式を使用して計算されます。

  • アクセス制御ポリシーによって消費されるクォータ=ソースアドレスの数 (CIDRブロックまたは領域の数) × 宛先アドレスの数 (CIDRブロック、領域、またはドメイン名の数) × ポート範囲の数 × アプリケーションの数。

    重要

    インターネットファイアウォール、VPCファイアウォール、およびNATファイアウォールの宛先タイプがドメイン名であるアクセス制御ポリシーを設定できます。 ドメイン名識別モードがDNSベースの動的解決に設定されているか、またはFQDNおよびDNSベースの動的解決に設定されているようなアクセス制御ポリシーによって消費されるクォータは、各ファイアウォール境界の層ごとに計算されます。

    ファイアウォールの境界でそのようなアクセス制御ポリシーによって消費される合計クォータが200以下の場合、実際に消費されるクォータは合計クォータです。 ファイアウォール境界でそのようなアクセス制御ポリシーによって消費される合計クォータが200を超える場合、実際の消費クォータは次の式に基づいて計算されます。実際の消費クォータ=200 + (超過クォータ × 10) 。

    たとえば、インターネット境界でアクセス制御ポリシーを設定しました。 ポリシーの宛先アドレスがs aliyun.comされ、ポリシーのドメイン名識別モードはDNSベースの動的解決であり、ポリシーによって消費されるクォータは185です。 この場合、ドメイン名識別モードがDNSベースの動的解決であり、ポリシーによって消費されるクォータが16であるアクセス制御ポリシーを作成する場合、2つのポリシーによって消費される合計クォータは、200 + (185 + 16 - 200) × 10 = 210の式に基づいて計算されます。

    アクセス制御ポリシーリストのポリシーの 占有仕様数 列で、アクセス制御ポリシーによって使用されたクォータを表示できます。

    image.png

  • アクセス制御ポリシーによって消費された合計クォータ=送信アクセス制御ポリシーによって消費されたクォータ + 受信アクセス制御ポリシーによって消費されたクォータ。

    ファイアウォールのページの上部で、あるタイプのファイアウォールのアクセス制御ポリシーによって消費された合計クォータを表示できます。 次の図は、インターネットファイアウォール用に作成されたアクセス制御ポリシーによって消費されるクォータを示しています。

    image.png

課金

  • デフォルトでは、サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewallの基本価格は、アクセス制御ポリシーの特定のクォータをカバーします。 特定のクォータがビジネス要件を満たせない場合は、追加のクォータを購入できます。

    アクセス制御ポリシーの追加クォータは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールのアクセス制御ポリシーに使用できます。 詳細については、「サブスクリプション」をご参照ください。

  • 従量課金方式を使用するクラウドファイアウォールでは、インターネットファイアウォール用の最大2,000のアクセス制御ポリシー、NATファイアウォール用の2,000のアクセス制御ポリシー、およびVPCファイアウォール用の10,000のアクセス制御ポリシーを作成できます。 数を増やすことはできません。 詳細については、「従量課金」をご参照ください 。

アクセス制御ポリシーによって消費されるクォータを計算する方法の例

ポリシー設定

ポリシーによって消費されるクォータ

例 1

  • 出典: 19.16.XX.XX/32、17.6.XX.XX/32

  • 目的地: www.aliyun.com

  • プロトコルタイプ: TCP

  • ポート: 80/88、443/443

  • アプリケーション: HTTP、HTTPS

ポリシーによって消費されるクォータは、次の式を使用して計算されます。ソースCIDRブロックの数 × 宛先ドメイン名の数 × ポート範囲の数 × アプリケーションの数=2 × 1 × 2 × 2 = 8。

例 2

  • 出典: 北京、浙江

  • 目的地: 19.18.XX.XX/32

  • プロトコルタイプ: TCP

  • ポート: 80/80

  • アプリケーション: HTTP

ポリシーによって消費されるクォータは、次の式を使用して計算される。ソース領域の数 × 宛先CIDRブロックの数 × ポート範囲の数 × アプリケーションの数=2 × 1 × 1 × 1 = 2。

関連ドキュメント