Cloud Firewallを使用すると、Elastic Compute Service (ECS) インスタンス間の東西トラフィックと、インターネットとECSインスタンス間の南北トラフィックを一元管理して、ECSインスタンスへの不正アクセスを防止できます。 Cloud firewallの内部ファイアウォールに対して設定および公開するアクセス制御ポリシーは、ECSセキュリティグループに同期されます。 このトピックでは、Cloud firewallコンソールで内部ファイアウォールのアクセス制御ポリシーを設定する方法について説明します。
前提条件
Alibaba Cloud アカウントが作成済みであること。 Alibaba Cloudアカウントを作成するには、[Alibaba Cloudにサインアップ] ページに移動します。
Cloud Firewallはクラウドリソースへのアクセスを許可されています。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
Cloud Firewall Enterprise EditionまたはUltimate Editionが使用されます。 詳細については、「サブスクリプション」をご参照ください。
背景情報
Cloud Firewallには、ファイアウォールをすばやく有効化または無効化できるスイッチ、侵入検知、アウトバウンド接続ブロック、トラフィック分析、ロギングなどのさまざまな機能があります。 Cloud Firewallは、内部ファイアウォール、インターネットファイアウォール、仮想プライベートクラウド (VPC) ファイアウォールなど、ファイアウォールをサービスとして提供します。 詳細については、次をご参照ください: クラウドファイアウォールと利用規約。
内部ファイアウォールは、ECSインスタンス間の東西トラフィックを制御し、基盤となるレイヤーでECSセキュリティグループ機能を使用するために使用されます。 ECSインスタンス間の東西トラフィックを制御するには、Cloud Firewallコンソールで内部ファイアウォールのポリシーグループを作成するか、ECSコンソールでセキュリティグループにセキュリティグループルールを設定します。 Cloud FirewallとECSセキュリティグループの設定は自動的に同期されます。 ECSインスタンス間のアクセス関係を表示するようにアプリケーショングループを設定し、アクセスステータスに基づいてインスタンス間のネットワーク通信を制御するポリシーを最適化することもできます。
インターネットファイアウォールは、インターネットとECSインスタンス間の南北トラフィックを制御するために使用されます。 ビジネス要件に基づいてインターネットファイアウォールのインバウンドまたはアウトバウンドのアクセス制御ポリシーを作成し、侵入防止に加えてセキュリティ体制を向上させることができます。 詳細については、「送信接続」および「アクセス制御ポリシーの概要」をご参照ください。
次のシナリオでは、Cloud Firewallを使用することを推奨します。
ドメイン名ベースのアクセス制御
アプリケーションベースのアクセス制御
被害者ホストによって開始されたアウトバウンド接続の自動インターセプト
マルチレベル保護スキーム (MLPS) の要件に基づいて、過去6か月以内のアクセスログが必要なシナリオ
内部ファイアウォールの設定
セキュリティグループは、ECSが提供する分散型の仮想内部ファイアウォールであり、ポートステータスの監視、パケットのフィルタリング、ECSインスタンス間のネットワークアクセスの制御を可能にします。 セキュリティグループには、同じリージョンに存在し、同じセキュリティ要件を持ち、相互に信頼できるECSインスタンスが含まれています。 ECSインスタンスを作成するときは、インスタンスのセキュリティグループを指定する必要があります。 各ECSインスタンスは、少なくとも1つのセキュリティグループに追加する必要があります。
内部ファイアウォールは、下のレイヤーでセキュリティグループ機能を使用します。 Cloudファイアウォールコンソールの防御設定> アクセス制御 > 内部境界ページでポリシーを設定するか、またはECSコンソールでセキュリティグループを設定できます。 コンソールの設定は自動的に同期されます。
内部ファイアウォールを設定するには、次の手順を実行します。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ポリシーグループを作成します。
[内部境界] ページで、[ポリシーグループの作成] をクリックします。
[ポリシーグループの作成] ダイアログボックスで、パラメーターを設定します。 下表に、各パラメーターを説明します。
パラメーター
説明
Policy Group Type
ポリシーグループのタイプを選択します。 有効な値:
Common Policy Group
Enterprise Policy Group
Policy Group Name
ポリシーグループの名前を入力します。
簡単に識別できるように、有益な名前を入力することをお勧めします。
VPC
[VPC] ドロップダウンリストから、ポリシーグループを適用するVPCを選択します。 ポリシーグループは1つのVPCにのみ適用できます。
Instance ID
Instance ID ドロップダウンリストから、ポリシーグループを適用する1つ以上のECSインスタンスを選択します。
説明[インスタンスID] ドロップダウンリストには、選択したVPC内のECSインスタンスのみが含まれます。
Description
ポリシーグループの説明を入力します。
Template
Template ドロップダウンリストから、使用するテンプレートを選択します。
default-accept-login: TCPポート22と3389を宛先とするインバウンドトラフィックとすべてのアウトバウンドトラフィックを許可します。
default-accept-all: すべてのインバウンドトラフィックとアウトバウンドトラフィックを許可します。
default-drop-all: すべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。
説明エンタープライズポリシーグループは、default-drop-allテンプレートをサポートしていません。
ポリシーグループにポリシーを作成します。
[内部境界] ページで、管理するポリシーグループを見つけます。 [操作] 列で、[ポリシーの設定] をクリックします。
[インバウンド] または [アウトバウンド] タブで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ダイアログボックスで、パラメーターを設定します。 次の表にパラメーターを示します。
パラメーター
説明
NIC タイプ
デフォルト値はイントラネットです。 この値は、ポリシーがECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御することを指定します。
ポリシー方向性
ポリシーを適用するトラフィックの方向。 有効な値:
Inbound: 他のECSインスタンスからポリシーグループで指定されたECSインスタンスへのトラフィック。
Outbound: ポリシーグループで指定されたECSインスタンスから他のECSインスタンスへのトラフィック。
Policy Type
ポリシーのタイプです。 有効な値:
Allow: ポリシーにヒットするトラフィックを許可します。
Deny: ポリシーにヒットするトラフィックを拒否します。 トラフィックが拒否された場合、データパケットは応答なしで破棄されます。 2つのポリシーの構成が同じで、ポリシータイプが異なる場合、タイプがDenyのポリシーが有効になります。
説明エンタープライズポリシーグループは、Deny ポリシータイプをサポートしていません。
プロトコルタイプ
ポリシーを適用するトラフィックのプロトコルタイプ。
ANYを選択した場合、ポリシーはすべてのトラフィックに適用されます。 プロトコルタイプがわからない場合は、ANYを選択します。
ポート範囲
ポリシーを適用するトラフィックの宛先ポート範囲。
ポート範囲を入力すると、ポリシーはポート範囲内のすべてのポートで有効になります。 たとえば、1/200を入力すると、ポリシーはポート1〜200で有効になります。 ポートを入力すると、ポリシーはそのポートでのみ有効になります。 たとえば、80/80を入力すると、ポリシーはポート80で有効になります。
優先度
ポリシーの優先順位。 優先度は1から100の範囲内の整数でなければなりません。 数字が小さいほど、優先度が高くなります。
異なるポリシーは、同じ優先度を有することができる。 許可ポリシーと拒否ポリシーの優先度が同じ場合、Denyポリシーが優先されます。
ソースタイプとソースオブジェクト
トラフィックのソース。 DirectionをInboundに設定した場合、これらのパラメーターを設定する必要があります。 ソースタイプの値に基づいてソースを設定できます。 有効なソースタイプ:
CIDR Block
このタイプを選択した場合、ソースオブジェクトにソースCIDRブロックを入力する必要があります。 入力できるCIDRブロックは1つだけです。
Policy Group
このタイプを選択した場合、ソースオブジェクト ドロップダウンリストからポリシーグループをトラフィックソースとして選択する必要があります。 ポリシーグループ内のすべてのECSインスタンスからのトラフィックが管理されます。
説明エンタープライズポリシーグループは、Policy Groupタイプをサポートしていません。
プレフィックスリスト
このタイプを選択する場合は、ソースオブジェクト ドロップダウンリストからプレフィックスリストを選択する必要があります。 その後、Cloud Firewallは、プレフィックスリストが関連付けられているセキュリティグループ内のすべてのECSインスタンスのトラフィックを制御します。 プレフィックスリストの詳細については、「プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する」をご参照ください。
ターゲット選択
トラフィックの宛先。 DirectionをInboundに設定した場合、このパラメーターを設定する必要があります。 有効な値:
All ECS Instances: 現在のポリシーグループで指定されているすべてのECSインスタンス。
CIDR Block: このオプションを選択した場合、CIDRブロックを入力する必要があります。 CIDRブロックに対応するECSインスタンスがトラフィックの宛先です。 Cloud Firewallは、CIDRブロックに対応するECSインスタンスのインバウンドトラフィックのみを制御します。
ソース選択
トラフィックソースのタイプ。 DirectionをOutboundに設定した場合、このパラメーターを設定する必要があります。 有効な値:
All ECS Instances: 現在のポリシーグループで指定されているすべてのECSインスタンス。
CIDR Block: このオプションを選択した場合、送信元IPアドレスまたはCIDRブロックを入力する必要があります。 IPアドレスまたはCIDRブロックに対応するECSインスタンスがトラフィックの送信元です。
ターゲットタイプとターゲットオブジェクト
トラフィックの宛先と宛先アドレスのタイプ。 DirectionをOutboundに設定した場合、これらのパラメーターを設定する必要があります。
有効な宛先タイプ:
CIDR Block
このタイプを選択する場合は、宛先CIDRブロックを入力する必要があります。 入力できるCIDRブロックは1つだけです。
Policy Group
このタイプを選択する場合は、ポリシーグループを選択する必要があります。 ポリシーグループ内のすべてのECSインスタンス宛てのトラフィックが管理されます。
説明エンタープライズポリシーグループは、Policy Groupタイプをサポートしていません。
プレフィックスリスト
このタイプを選択する場合は、[ソース] ドロップダウンリストからプレフィックスリストを選択する必要があります。 プレフィックスリストが関連付けられているセキュリティグループ内のすべてのECSインスタンスのトラフィックが管理されます。 プレフィックスリストの詳細については、「プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する」をご参照ください。
記述
ポリシーの説明です。
[送信] をクリックします。
ポリシーが作成されるまで待ちます。 次に、内部ファイアウォールのポリシーリストでポリシーを表示できます。
ポリシーを公開します。
[内部境界] ページで、公開するポリシーのコントロールグループを見つけます。 [操作] 列で、[公開] をクリックします。
[ポリシーの発行] ダイアログボックスで、[コメントの更新] を設定し、[ポリシーの変更] を確認し、[OK] をクリックします。
ポリシーはECSセキュリティグループに同期され、ポリシーを公開した後にのみ有効になります。 ECSコンソールにログインし、 を選択して、Cloud Firewallコンソールで公開したポリシーを表示します。 ECSコンソールでCloud Firewallによって作成されたポリシーグループのデフォルト名はCloud_Firewall_Security_groupです。
内部ファイアウォールを設定すると、ファイアウォールはECSインスタンス間のアクセスを制御します。