すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:インターネットファイアウォール

    ドキュメントセンター

    Cloud Firewall:インターネットファイアウォール

    最終更新日:Aug 15, 2024

    インターネットファイアウォールを使用すると、インターネットに接続されているアセットとインターネット間の受信および送信トラフィックをきめ細かく管理できます。 これは、インターネット上のインターネットに面した資産のエクスポージャーとビジネストラフィックのセキュリティリスクを減らすのに役立ちます。 インターネットファイアウォールを有効にする場合、現在のネットワークトポロジを変更する必要はありません。 数秒以内にリソースをインターネットファイアウォールに追加して、インバウンドおよびアウトバウンドインターネットトラフィックの視覚化された分析、攻撃防止、アクセス制御、およびログ監査を実装できます。

    機能の説明

    実装

    インターネット向けアセットに対してインターネットファイアウォールを有効にすると、Cloud firewallは、トラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチ適用ポリシー、およびアクセス制御ポリシーに基づいて、インバウンドおよびアウトバウンドトラフィックをフィルタリングします。 次に、インターネットファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックが指定された条件に一致するかどうかをチェックし、不正トラフィックをブロックします。 これにより、インターネット接続資産とインターネット間のトラフィックのセキュリティが確保されます。

    Elastic Compute Service (ECS) インスタンスのパブリックIPアドレス、ECSインスタンスのelastic IPアドレス (EIP) 、 Classic Load Balancer (CLB) インスタンスのパブリックIPアドレス、CLBインスタンスのEIP、Application Load Balancer (ALB) インスタンスのEIP、Network Load Balancer (NLB) インスタンスのEIP、 EIP (レイヤ2 EIPを含む) 、elastic network Interface (ENI) のEIP、NAT GatewayのEIP、高可用性仮想IPアドレス (HAVIP) 、および要塞ホストのIPアドレス。

    次の図に例を示します。

    image

    影響

    インターネットファイアウォールを作成、有効化、または無効化すると、現在のネットワークトポロジを変更することなく、数秒以内に保護のためにインターネットファイアウォールにリソースを追加したり、インターネットファイアウォールからリソースを削除したりできます。 ワークロードは影響を受けません。 オフピーク時には、インターネットファイアウォールを有効にすることを推奨します。

    仕様

    インターネットファイアウォールの仕様には、保護されたパブリックIPアドレスと保護されたインターネットトラフィックが含まれます。

    仕様

    説明

    サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewall

    従量課金方式を使用するクラウドファイアウォール

    保護されたパブリックIPアドレス

    インターネットファイアウォールで保護できるパブリックIPアドレスの数。

    保護機能は、購入した仕様によって異なります。 クォータが不十分な場合は、仕様をアップグレードできます。 詳細については、「アセットの保護ステータスの表示」をご参照ください。

    保護されたパブリックIPアドレスの最大値は、Cloud Firewallエディションによって異なります。 詳細については、「サブスクリプション」をご参照ください。

    保護されたパブリックIPアドレスの実際の数と、保護されたピークインターネットトラフィックの合計に基づいて課金されます。 仕様の値は無制限です。 詳細については、「従量課金」をご参照ください。

    保護されたインターネットトラフィック

    保護できるピークインターネットトラフィックの合計。 メータリングメトリックは、アウトバウンドまたはインバウンドのインターネットトラフィックのピークのいずれか高い方です。

    アセットの保護ステータスの表示

    Cloud Firewallは、保護されているパブリックIPアドレスの数、保護されていないパブリックIPアドレスの数、さまざまなリージョンのパブリックIPアドレスの保護ステータスなどの統計を収集します。 ビジネス要件に基づいて、パブリックIPアドレスのインターネットファイアウォールを有効にできます。

    説明

    ビジネストラフィックのセキュリティを確保するために、Alibaba Cloudアカウント内のすべてのパブリックIPアドレスに対してインターネットファイアウォールを有効にすることを推奨します。

    1. Cloud Firewallコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ファイアウォールスイッチをクリックします。

    3. インターネットボーダー タブで、現在のAlibaba Cloudアカウント内のパブリックIPアドレスの保護ステータスを表示します。

      image..png

    4. オプションです。 Available Quota が不十分な場合は、仕様のアップグレード をクリックしてCloud Firewallエディションをアップグレードするか、ビジネス要件に基づいて 保護可能なパブリック IP 数 および インターネットトラフィック処理能力 パラメーターの値を増やします。 詳細については、「サブスクリプション」をご参照ください。

    インターネットファイアウォールを有効にする

    数回のクリックでパブリックIPアドレスのインターネットファイアウォールを有効にする

    Automatic Protection for New Assets をオンにしない場合は、パブリックIPアドレスのインターネットファイアウォールを手動で有効にすることができます。

    1. Cloud Firewallコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ファイアウォールスイッチをクリックします。

    3. インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックし、パブリックIPアドレスのインターネットファイアウォールを有効にします。

      必要なパブリックIPアドレスがパブリックIPアドレスリストに表示されていない場合、IPアドレスリストの右上隅にある Synchronize Assets をクリックして、現在のAlibaba Cloudアカウント内のパブリックIPアドレスとそのアカウントで管理されているメンバーに関する情報を同期できます。 システムは、資産情報を同期するのに1〜2分を要する。

      • 単一のパブリックIPアドレスに対してインターネットファイアウォールを有効にする

        パブリックIPアドレスリストで、インターネットファイアウォールを有効にするパブリックIPアドレスを見つけ、Actions 列の Enable Protection をクリックします。

        image.png

      • 一度に複数のパブリックIPアドレスに対してインターネットファイアウォールを有効にする

        パブリックIPアドレスリストで、インターネットファイアウォールを有効にするパブリックIPアドレスを選択し、リストの下にある Enable Protection をクリックします。

        または、統計セクションの Enable Protection をクリックして、パブリックIPアドレス、リージョン、またはアセットタイプに基づいて、すべてのパブリックIPアドレスに対してインターネットファイアウォールを有効にします。

    新しい資産の自動保護を有効にする

    Automatic Protection for New Assets をオンにすると、現在のAlibaba Cloudアカウントに新しく追加されたパブリックIPアドレスとそのアカウントで管理されているメンバーのインターネットファイアウォールが自動的に有効になります。

    1. Cloud Firewallコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ファイアウォールスイッチをクリックします。

    3. インターネットボーダー タブで、Automatic Protection for New Assets をオンにします。

      image.png

    次に何をすべきか

    インターネットファイアウォールのアクセス制御ポリシーを作成しない場合、クラウドファイアウォールはインターネットファイアウォールを通過するすべてのトラフィックを自動的に許可します。 アクセス制御 > インターネットボーダー ページでアクセス制御ポリシーを作成できます。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

    その他操作

    既定の許可ポリシーの適用

    説明

    インターネットファイアウォールは、インターネットトラフィックを保護します。 保護されたインターネット接続資産とインターネット間のトラフィックが許可されていることを確認します。 詳細については、インターネット向け資産の公式ドキュメントを参照してください。

    ECSインスタンスのパブリックIPアドレスまたはEIPを保護する場合、Cloud Firewallコンソールで数回クリックするだけで、デフォルトの許可ポリシーをセキュリティグループに適用できます。 ECSコンソールでセキュリティグループルールを変更する必要はありません。

    仕組み

    Cloud Firewallは、パブリックIPアドレスを持つECSインスタンスのセキュリティグループに、最も優先度の低い4つのアクセス制御ポリシーを適用します。 このポリシーでは、インターネットからパブリックIPアドレスへのトラフィックが許可されます。 アクセス制御ポリシーは、セキュリティグループルールと見なされます。 最も低い優先度は100である。

    同じ優先度を持つルールの場合、ECSセキュリティグループは優先的に拒否ルールを使用してトラフィックを照合します。 優先度が100の拒否ルールを設定した場合、Cloud Firewallによって追加されたデフォルトの許可ポリシーは拒否ルールに影響しません。

    注意事項

    • 適用された既定の許可ポリシーは、セキュリティグループに追加されたすべてのリソースに有効になります。 既定の [許可] ポリシーを適用する前に、セキュリティグループに追加されたすべてのリソースに対してファイアウォールを有効にし、インターネットファイアウォールの受信アクセス制御ポリシーを適切に構成することを推奨します。 そうしないと、資産がインターネットに公開される可能性があります。

      ファイアウォールが無効になっているリソースにはデフォルトの許可ポリシーを適用せず、デフォルトの許可ポリシーが適用されているリソースにはファイアウォールを無効にしないことをお勧めします。

    • Cloud Firewallの有効期限が切れると、Cloud Firewallによって追加された4つのデフォルトの許可ポリシーがセキュリティグループに保持され、有効になります。 Cloud Firewallを使用しなくなった場合は、Cloud Firewallによって追加された4つのデフォルトの許可ポリシーを手動で削除することを推奨します。 詳細については、「セキュリティグループルールの削除」をご参照ください。

    制限事項

    • セキュリティグループのデフォルトの許可ポリシーでは、ECSインスタンスのパブリックIPアドレスとEIPへのインバウンドトラフィックのみが許可されます。

    • 高度なセキュリティグループは、既定の許可ポリシーをサポートしていません。

    手順

    1. Cloud Firewallコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ファイアウォールスイッチをクリックします。

    3. インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。

    4. パブリックIPアドレスリストで、デフォルトの許可ポリシーを適用するECSインスタンスのIPアドレスを見つけ、Default Allow Policies 列の Apply をクリックします。

    5. オプションです。 セキュリティグループの既存のルールが既定の許可ポリシーと競合する場合は、ルールを調整します。

      • 競合を解決できます。既存のルールの優先度はデフォルトのAllowポリシーの優先度と同じで、プロトコルタイプ、ポート範囲、および承認オブジェクトは異なります。

        既存のルールの優先順位を上げるには、Quick Modify をクリックし、Default Allow Policies ダイアログボックスで [OK] をクリックするだけです。

      • 競合を解決できません: 既存のルールの優先度、プロトコルタイプ、ポート範囲、および承認オブジェクトは、デフォルトの許可ポリシーのものと同じです。

        ECSコンソール[セキュリティグループ] ページに移動して、既存のルールの優先順位を表示および調整することを推奨します。 詳細については、「セキュリティグループルールの変更」をご参照ください。 を送信することもできます。テクニカルサポートを得る切符

    6. セキュリティグループの [操作] 列で、Quick Apply をクリックして4つのデフォルトの許可ポリシーを表示し、OK をクリックします。

      ECSインスタンスが複数のセキュリティグループに追加されている場合、ポリシーが有効になる前に、デフォルトの許可ポリシーをすべてのセキュリティグループに適用する必要があります。

      image.png

    次のステップ

    デフォルトの許可ポリシーを適用した後、ファイアウォールスイッチ > インターネットボーダー タブに移動して、ポリシーがECSインスタンスのセキュリティグループに適用されているかどうかを確認できます。 ポリシーの適用に失敗した場合は、できるだけ早い機会に障害のトラブルシューティングを行います。

    デフォルトの許可ポリシーは、次のいずれかの状態になります。

    • Applied: ポリシーは、ECSインスタンスのすべてのセキュリティグループに適用されます。

    • Not Applied: ポリシーはECSインスタンスの特定のセキュリティグループにのみ適用されます。ポリシーはECSインスタンスのセキュリティグループには適用されません。

    • -: このタイプのアセットは、デフォルトの許可ポリシーをサポートしていません。

    パブリックIPアドレス一覧のダウンロード

    パブリックIPアドレスに関する情報をCSVファイルとしてコンピューターにダウンロードできます。

    1. Cloud Firewallコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ファイアウォールスイッチをクリックします。

    3. インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。

    4. パブリックIPアドレスリストの右上隅にあるアイコンをクリックしimage.pngます。

    5. インターネットボーダー タブの右上隅にある ダウンロードタスクの管理 をクリックして、ダウンロードタスクの進行状況を表示します。 ダウンロードタスクが完了したら、[操作] 列の Download をクリックします。

    パブリックIPアドレスのインターネットファイアウォールを無効にする

    警告

    パブリックIPアドレスのインターネットファイアウォールを無効にすると、Cloud firewallはパブリックIPアドレスのトラフィックを管理できなくなり、攻撃やデータ漏洩などのリスクが発生する可能性があります。 作業は慎重に行ってください。

    1. Cloud Firewallコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ファイアウォールスイッチをクリックします。

    3. インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。 インターネットファイアウォールを無効にするパブリックIPアドレスを見つけて、Actions 列の Disable Protection をクリックします。