デフォルトでは、ファイアウォールを有効にした後にアクセス制御ポリシーを設定しない場合、Cloud firewallはすべてのトラフィックを許可します。 ビジネス要件に基づいて、さまざまな種類のファイアウォールに対して許可または拒否ポリシーを設定して、アセットへの不正アクセスをより適切に制御できます。 このトピックでは、Cloud Firewallのアクセス制御ポリシーについて説明します。これには、アクセス制御ポリシーの仕組みと課金ルールが含まれます。
説明
Cloud Firewallを使用すると、インターネットファイアウォール、NATファイアウォール、仮想プライベートクラウド (VPC) ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを設定して、不正アクセスをブロックし、トラフィックの多方向分離および制御を実装できます。 このトピックで説明するアクセス制御ポリシーは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールにのみ適用されます。
内部ファイアウォールのアクセス制御ポリシーを構成する方法の詳細については、「内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
アクセス制御ポリシーの項目
アクセス制御ポリシーで異なる項目を指定して、関連するトラフィックを許可または拒否できます。
項目 | 説明 | 型 | ポリシーでサポートされるタイプ |
ソース | ネットワーク接続のイニシエータ。 |
|
|
目的地 | ネットワーク接続の受信者。 | IPアドレス、IPアドレス帳、ドメイン名、リージョン。
|
|
プロトコルの種類 | トランスポート層プロトコル。 | TCP、UDP、ICMP、およびANY。 ポリシーのプロトコルがわからない場合は、ANYを選択します。 値ANYは、すべてのプロトコルタイプを指定します。 | タイプは、ファイアウォールのすべてのアクセス制御ポリシーでサポートされています。 |
ポート | 宛先ポート。 | アクセス制御ポリシーは、特定のポートを通過するトラフィックを制御します。 タイプはポートとアドレス帳です。 | ファイアウォールのアクセス制御ポリシーでサポートされるタイプは、指定されたプロトコルタイプによって異なります。 |
アプリケーション | アプリケーション層プロトコル。 | タイプには、HTTP、HTTPS、SMTP、SMTPS、SSL、およびFTPが含まれます。 アプリケーションタイプがわからない場合は、ANYを選択します。 値ANYは、すべてのアプリケーションタイプを指定します。 説明 Cloud Firewallは、アプリケーションがポート443からSSLまたはTLSであるトラフィックのアプリケーションをHTTPSとして識別し、アプリケーションが他のポートからSSLまたはTLSであるトラフィックをSSLとして識別します。 | アクセス制御ポリシーでサポートされるタイプは、選択したプロトコルタイプによって異なります。 最大5つのプロトコルタイプを同時に選択できます。 |
実装
デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewallはアクセス制御ポリシーの照合プロセス中にすべてのトラフィックを許可します。
アクセス制御ポリシーを設定すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、ポリシーをエンジンに送信します。 トラフィックがCloud Firewallを通過すると、Cloud Firewallは設定されたアクセス制御ポリシーの優先順位に基づいてトラフィックパケットを順番に照合します。 トラフィックパケットがポリシーにヒットした場合、ポリシーで指定されたアクションが実行され、後続のポリシーは一致しません。 そうでない場合、システムは、ポリシーがヒットするか、またはすべての構成されたポリシーが一致するまで、より低い優先度を有するポリシーに対してトラフィックパケットを一致させ続ける。 デフォルトでは、設定されたすべてのポリシーが一致した後にトラフィックがポリシーにヒットしない場合、トラフィックは許可されます。
アクセス制御ポリシーを作成、変更、または削除した後、Cloud Firewallはポリシーをエンジンに送信するのに約3分かかります。
小さい優先度値は、より高い優先度を示す。 アクセス制御の機能を最大化できるように、頻繁に一致するポリシーと洗練されたポリシーに高い優先度を指定することを推奨します。
次の図は、アクセス制御ポリシーの仕組みを示しています。
ポリシーアクション
アクセス制御ポリシーでは、[許可] 、[監視] 、[拒否] の操作がサポートされています。 トラフィックパケットの要素がアクセス制御ポリシーと一致すると、Cloud Firewallはポリシーで指定されたアクションを実行します。
ポリシーのアクションが [監視] に設定されている場合、ポリシーがヒットしたときにトラフィックが許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
トラフィックログ ページでトラフィックデータを表示できます。 詳細については、「ログ監査」をご参照ください。
アクセス制御ポリシーによって消費されるクォータ
アクセス制御ポリシーを設定した後、Cloud Firewallは、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、アプリケーションなど、ポリシーで指定されている項目の数に基づいて、ポリシーによって消費されるクォータを計算します。
計算方法
アクセス制御ポリシーによって消費されるクォータは、次の式を使用して計算されます。
アクセス制御ポリシーによって消費されるクォータ=ソースアドレスの数 (CIDRブロックまたは領域の数) × 宛先アドレスの数 (CIDRブロック、領域、またはドメイン名の数) × ポート範囲の数 × アプリケーションの数。
重要インターネットファイアウォール、VPCファイアウォール、およびNATファイアウォールの宛先タイプがドメイン名であるアクセス制御ポリシーを設定できます。 ドメイン名識別モードがDNSベースの動的解決に設定されているか、またはFQDNおよびDNSベースの動的解決に設定されているようなアクセス制御ポリシーによって消費されるクォータは、各ファイアウォール境界の層ごとに計算されます。
ファイアウォールの境界でそのようなアクセス制御ポリシーによって消費される合計クォータが200以下の場合、実際に消費されるクォータは合計クォータです。 ファイアウォール境界でそのようなアクセス制御ポリシーによって消費される合計クォータが200を超える場合、実際の消費クォータは次の式に基づいて計算されます。実際の消費クォータ=200 + (超過クォータ × 10) 。
たとえば、インターネット境界でアクセス制御ポリシーを設定しました。 ポリシーの宛先アドレスがs aliyun.comされ、ポリシーのドメイン名識別モードはDNSベースの動的解決であり、ポリシーによって消費されるクォータは185です。 この場合、ドメイン名識別モードがDNSベースの動的解決であり、ポリシーによって消費されるクォータが16であるアクセス制御ポリシーを作成する場合、2つのポリシーによって消費される合計クォータは、200 + (185 + 16 - 200) × 10 = 210の式に基づいて計算されます。
アクセス制御ポリシーリストのポリシーの 占有仕様数 列で、アクセス制御ポリシーによって使用されたクォータを表示できます。
アクセス制御ポリシーによって消費された合計クォータ=送信アクセス制御ポリシーによって消費されたクォータ + 受信アクセス制御ポリシーによって消費されたクォータ。
ファイアウォールのページの上部で、あるタイプのファイアウォールのアクセス制御ポリシーによって消費された合計クォータを表示できます。 次の図は、インターネットファイアウォール用に作成されたアクセス制御ポリシーによって消費されるクォータを示しています。
課金
デフォルトでは、サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewallの基本価格は、アクセス制御ポリシーの特定のクォータをカバーします。 特定のクォータがビジネス要件を満たせない場合は、追加のクォータを購入できます。
アクセス制御ポリシーの追加クォータは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールのアクセス制御ポリシーに使用できます。 詳細については、「サブスクリプション」をご参照ください。
従量課金方式を使用するクラウドファイアウォールでは、インターネットファイアウォール用の最大2,000のアクセス制御ポリシー、NATファイアウォール用の2,000のアクセス制御ポリシー、およびVPCファイアウォール用の10,000のアクセス制御ポリシーを作成できます。 数を増やすことはできません。 詳細については、「従量課金」をご参照ください 。
アクセス制御ポリシーによって消費されるクォータを計算する方法の例
関連ドキュメント
インターネットに接続されたアセットとインターネット間のトラフィックを管理する方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
内部対応アセットからインターネットへのトラフィックを管理する方法の詳細については、「NATファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
VPC間およびVPCとデータセンター間のトラフィックを管理する方法の詳細については、「VPCファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
ECSインスタンス間のトラフィックを管理する方法の詳細については、「ECSインスタンス間の内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
アクセス制御ポリシーの設定方法とアクセス制御ポリシーの使用シナリオの詳細については、「アクセス制御ポリシーの設定」をご参照ください。
Cloud FirewallをBastionhostとともに展開する場合、BastionhostのトラフィックがCloud Firewallによってブロックされないようにアクセス制御ポリシーを設定する必要があります。 詳細については、「Cloud FirewallがBastionhostとともにデプロイされるシナリオでのアクセス制御ポリシーの設定」をご参照ください。