デフォルトでは、ファイアウォールを有効にした後にアクセス制御ポリシーを設定しない場合、Cloud firewallはすべてのトラフィックを許可します。 ビジネス要件に基づいて、さまざまな種類のファイアウォールに対して許可または拒否ポリシーを設定して、アセットへの不正アクセスをより適切に制御できます。 このトピックでは、Cloud Firewallのアクセス制御ポリシーについて説明します。これには、アクセス制御ポリシーの仕組みと課金ルールが含まれます。
説明
Cloud Firewallを使用すると、インターネットファイアウォール、NATファイアウォール、仮想プライベートクラウド (VPC) ファイアウォール、および内部ファイアウォールのアクセス制御ポリシーを設定して、不正アクセスをブロックし、トラフィックの多方向分離および制御を実装できます。 このトピックで説明するアクセス制御ポリシーは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールにのみ適用されます。
内部ファイアウォールのアクセス制御ポリシーを構成する方法の詳細については、「内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
アクセス制御ポリシーの項目
アクセス制御ポリシーで異なる項目を指定して、関連するトラフィックを許可または拒否できます。
項目 | 説明 | データ型 | ポリシーでサポートされるタイプ |
ソース | ネットワーク接続のイニシエータ。 |
|
|
目的地 | ネットワーク接続の受信者。 | IPアドレス、IPアドレス帳、ドメイン名、リージョン。
|
|
プロトコルの種類 | トランスポート層プロトコル。 | TCP、UDP、ICMP、およびANY。 ポリシーのプロトコルがわからない場合は、ANYを選択します。 値ANYは、すべてのプロトコルタイプを指定します。 | タイプは、ファイアウォールのすべてのアクセス制御ポリシーでサポートされています。 |
ポート | 宛先ポート。 | アクセス制御ポリシーは、特定のポートを通過するトラフィックを制御します。 タイプはポートとアドレス帳です。 | ファイアウォールのアクセス制御ポリシーでサポートされるタイプは、指定されたプロトコルタイプによって異なります。 |
アプリケーション | アプリケーション層プロトコル。 | タイプには、HTTP、HTTPS、SMTP、SMTPS、SSL、およびFTPが含まれます。 アプリケーションタイプがわからない場合は、ANYを選択します。 値ANYは、すべてのアプリケーションタイプを指定します。 説明 Cloud Firewallは、アプリケーションがポート443からSSLまたはTLSであるトラフィックのアプリケーションをHTTPSとして識別し、アプリケーションが他のポートからSSLまたはTLSであるトラフィックをSSLとして識別します。 | アクセス制御ポリシーでサポートされるタイプは、選択したプロトコルタイプによって異なります。 最大5つのプロトコルタイプを同時に選択できます。 |
実装
デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewallはアクセス制御ポリシーの照合プロセス中にすべてのトラフィックを許可します。
アクセス制御ポリシーを設定すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、ポリシーをエンジンに送信します。 トラフィックがCloud Firewallを通過すると、Cloud Firewallは設定されたアクセス制御ポリシーの優先順位に基づいてトラフィックパケットを順番に照合します。 トラフィックパケットがポリシーにヒットした場合、ポリシーで指定されたアクションが実行され、後続のポリシーは一致しません。 そうでない場合、システムは、ポリシーがヒットするか、またはすべての構成されたポリシーが一致するまで、より低い優先度を有するポリシーに対してトラフィックパケットを一致させ続ける。 デフォルトでは、設定されたすべてのポリシーが一致した後にトラフィックがポリシーにヒットしない場合、トラフィックは許可されます。
アクセス制御ポリシーを作成、変更、または削除した後、Cloud Firewallはポリシーをエンジンに送信するのに約3分かかります。
小さい優先度値は、より高い優先度を示す。 アクセス制御の機能を最大化できるように、頻繁に一致するポリシーと洗練されたポリシーに高い優先度を指定することを推奨します。
次の図は、アクセス制御ポリシーの仕組みを示しています。
ドメイン名解決
インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールは、トラフィック内のドメイン名情報に基づいてドメイン名のアクセス制御を実装します。 インターネットファイアウォールまたはNATファイアウォールに対して設定されているアウトバウンドアクセス制御ポリシーの宛先がドメイン名に設定されている場合、Cloud firewallはドメイン名をIPアドレスに解決し、IPアドレスに対するアクセス制御を実装します。 IPアドレスを表示することもできます。
次のリストは、アクセス制御ポリシーが異なるアプリケーションタイプのドメイン名と一致することに基づくロジックを示しています。
ドメイン名識別モードがFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定され、アプリケーションタイプがHTTP、HTTPS、SMTP、SMTPS、またはSSLの場合、クラウドファイアウォールはホストまたはSNIフィールドを使用してドメイン名のアクセス制御を実装します。
[ドメイン名識別モード] が [DNSベースの動的解決] に設定され、アプリケーションタイプがHTTP、HTTPS、SSL、SMTP、またはSMTPS以外である場合、Cloud Firewallはドメイン名を動的に解決し、アクセス制御を実装します。 ドメイン名が解決されたIPアドレスを表示できます。 ドメイン名は最大500個のIPアドレスに解決できます。
ドメイン名ベースのアクセス制御ポリシー
アクセス制御ポリシーを設定し、宛先をドメイン名に設定する場合は、次の項目に注意してください。
ドメインネームシステム (DNS) 解決は、次のシナリオではサポートされていません。
アクセス制御ポリシーは、インバウンドトラフィック用に設定されています。 DNS解決は、アウトバウンドアクセス制御ポリシーでのみサポートされます。
宛先はワイルドカードドメイン名です。 例: * .example.com。 ワイルドカードドメイン名を特定のIPアドレスに解決することはできません。
ドメインアドレス帳は、宛先タイプに対して選択される。
NATファイアウォール用に作成されたアクセス制御ポリシーによって消費されるクォータは200を超えることはできません。 クォータが200を超えると、アクセス制御ポリシーを作成し、宛先をドメイン名に設定すると、エラーが報告されます。
たとえば、s aliyun.comの宛先アドレスとアプリケーションタイプがANYで、ポリシーによって消費されるクォータが185であるアクセス制御ポリシーを設定したとします。 この場合、アクセス制御ポリシーを作成し、宛先をドメイン名に設定する必要があり、ポリシーによって消費されるクォータが15を超えると、ポリシーの作成に失敗します。
インターネット用に作成されたアクセス制御ポリシーによって消費されるクォータは、200を超えることはできません。 クォータが200を超える場合、超過クォータの数は10回計算されます。
たとえば、s aliyun.comした宛先アドレスとアプリケーションタイプがANYで、ポリシーによって消費されるクォータが185であるアクセス制御ポリシーを設定したとします。 この場合、アクセス制御ポリシーを作成して宛先をドメイン名に設定し、ポリシーによって消費されるクォータが16である場合、2つのポリシーによって消費されるクォータの合計は、(185 + 16 - 200) × 10 + 200 = 210の式に基づいて計算されます。
説明アクセス制御ポリシーによって消費されるクォータを計算する方法の詳細については、「アクセス制御ポリシーによって消費されるクォータ」をご参照ください。
Elastic Compute Service (ECS) インスタンスから外部ドメインたてがみに対してリクエストが開始された場合、ドメイン名解決にはECSインスタンスのデフォルトDNSサーバーのみがサポートされます。 DNSサーバのIPアドレスは100.100.2.136または100.100.2.138です。 ECSインスタンスのDNSサーバーのアドレスを変更すると、ECSインスタンスのアウトバウンドアクセス制御ポリシーが無効になります。
複数のドメイン名が同じIPアドレスに解決されると、アクセス制御のパフォーマンスが影響を受ける可能性があります。
たとえば、アクセス制御ポリシーを構成して、ドメインnam e example1.aliyun.com宛てのFTPトラフィックを許可します。 ドメインnam e example1.aliyun.comのAレコードが1.1.XX.XXの場合、1.1.XX.XX宛てのFTPトラフィックが許可されます。 ドメイン名e example2.aliyun.comのAレコードも1.1.XX.XXの場合、r example2.aliyun.com宛てのFTPトラフィックも許可されます。
ドメイン名が解決されるIPアドレスが変更された場合、Cloud Firewallは新しいIPアドレスを使用してアクセス制御ポリシーを自動的に更新します。 Cloud Firewallは、インターネットファイアウォールに対して作成されたアクセス制御ポリシーを5分ごとに、NATファイアウォールに対して作成されたアクセス制御ポリシーを60分ごとに自動的に更新します。
ドメイン名のe example1.aliyun.comが解決されたIPアドレスが1.1.XX.XXから2.2.XX.XXに変更された場合、Cloud Firewallはアクセス制御ポリシーを自動的に更新します。 その後、ポリシーはIPアドレス2.2.XX.XXに有効になります。 このように、アクセス制御ポリシーは、ドメイン名が動的に解決されるIPアドレスに対して常に有効になります。
説明動的DNS解決結果に基づいてアクセス制御ポリシーを更新する場合は、ポリシー編集ページで DNS Resolution をクリックして、DNS解決を手動でトリガーし、更新されたIPアドレスを取得します。 次に、[OK] をクリックしてポリシーの更新を保存します。
ポリシーアクション
アクセス制御ポリシーでは、[許可] 、[監視] 、[拒否] の操作がサポートされています。 トラフィックパケットの要素がアクセス制御ポリシーと一致すると、Cloud Firewallはポリシーで指定されたアクションを実行します。
ポリシーのアクションが [監視] に設定されている場合、ポリシーがヒットしたときにトラフィックが許可されます。 一定期間トラフィックを監視し、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
トラフィックログ ページでトラフィックデータを表示できます。 詳細については、「ログ監査」をご参照ください。
アクセス制御ポリシーによって消費されるクォータ
アクセス制御ポリシーを設定した後、Cloud Firewallは、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、アプリケーションなど、ポリシーで指定されている項目の数に基づいて、ポリシーによって消費されるクォータを計算します。
計算方法
アクセス制御ポリシーによって消費されるクォータは、次の式を使用して計算されます。
アクセス制御ポリシーによって消費されるクォータ=ソースアドレスの数 (CIDRブロックまたは領域の数) × 宛先アドレスの数 (CIDRブロック、領域、またはドメイン名の数) × ポート範囲の数 × アプリケーションの数。
重要宛先がドメイン名であるアクセス制御ポリシーを設定した場合、消費される合計クォータは200を超えることはできません。 合計クォータが200を超える場合、超過クォータの数は10回計算されます。
アクセス制御ポリシーリストのポリシーの 占有仕様数 列で、アクセス制御ポリシーによって使用されたクォータを表示できます。
アクセス制御ポリシーによって消費された合計クォータ=送信アクセス制御ポリシーによって消費されたクォータ + 受信アクセス制御ポリシーによって消費されたクォータ。
ファイアウォールのページの上部で、あるタイプのファイアウォールのアクセス制御ポリシーによって消費された合計クォータを表示できます。 次の図は、インターネットファイアウォール用に作成されたアクセス制御ポリシーによって消費されるクォータを示しています。
課金
デフォルトでは、サブスクリプション課金方法を使用するPremium Edition、Enterprise Edition、およびUltimate Edition of Cloud Firewallの基本価格は、アクセス制御ポリシーの特定のクォータをカバーします。 特定のクォータがビジネス要件を満たせない場合は、追加のクォータを購入できます。
アクセス制御ポリシーの追加クォータは、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォールのアクセス制御ポリシーに使用できます。 詳細については、「サブスクリプション」をご参照ください。
従量課金方式を使用するクラウドファイアウォールでは、インターネットファイアウォール用の最大2,000のアクセス制御ポリシー、NATファイアウォール用の2,000のアクセス制御ポリシー、およびVPCファイアウォール用の10,000のアクセス制御ポリシーを作成できます。 数を増やすことはできません。 詳細については、「従量課金」をご参照ください。
アクセス制御ポリシーによって消費されるクォータを計算する方法の例
関連ドキュメント
インターネットに接続されたアセットとインターネット間のトラフィックを管理する方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
内部対応アセットからインターネットへのトラフィックを管理する方法の詳細については、「NATファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
VPC間およびVPCとデータセンター間のトラフィックを管理する方法の詳細については、「VPCファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
ECSインスタンス間のトラフィックを管理する方法の詳細については、「ECSインスタンス間の内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
アクセス制御ポリシーの設定方法とアクセス制御ポリシーの使用シナリオの詳細については、「アクセス制御ポリシーの設定」をご参照ください。
Cloud FirewallをBastionhostとともに展開する場合、BastionhostのトラフィックがCloud Firewallによってブロックされないようにアクセス制御ポリシーを設定する必要があります。 詳細については、「Cloud FirewallがBastionhostとともにデプロイされるシナリオでのアクセス制御ポリシーの設定」をご参照ください。