すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:インターネット境界における異常トラフィックのトラブルシューティング

最終更新日:Jun 26, 2026

インターネット境界の総トラフィックが購入した保護帯域幅を超えた場合、または急激な増加、減少、その他の異常が観測された場合に、特定のビジネス資産を迅速に特定する方法を説明します。これにより、ビジネス資産をより細かい粒度で管理できます。

Cloud Firewall によるインターネット境界トラフィックの計算方法

Cloud Firewall は、インターネット境界のトラフィックを、インバウンドトラフィックとアウトバウンドトラフィックそれぞれの合計ピーク帯域幅のうち、大きい方として測定します。インバウンド方向とアウトバウンド方向の合計帯域幅は、次のように計算されます。

  • インバウンド帯域幅 = インターネット露出リクエストの帯域幅 + インターネット露出レスポンスの帯域幅

  • アウトバウンド帯域幅 = アウトバウンド接続リクエストの帯域幅 + アウトバウンド接続レスポンスの帯域幅

Cloud Firewall のピーク帯域幅は、時間経過とともに集計されたデータから計算されます。これは、任意の時点における合計帯域幅が、その時点でのリクエスト帯域幅とレスポンス帯域幅の合計であることを意味します。ただし、報告されるリクエストとレスポンスそれぞれのピーク帯域幅は、集計期間内の任意の時点で記録された最高値です。これらのピークは同時に発生するとは限りません。したがって、特定の時点における合計ピーク帯域幅は、常にピークリクエスト帯域幅とピークレスポンス帯域幅の合計以下になります。

異常トラフィックをトラブルシューティングするタイミング

異常なピークや低下がみられた場合は、トラブルシューティングを行い、関連する特定の資産 IP を特定してトラフィックパターンの詳細を把握します。たとえば、購入した保護帯域幅を超過する原因となっている特定の資産 IP を特定します。

操作手順

ステップ 1: 異常トラフィックの方向を特定する

  1. Cloud Firewall コンソールにログインします。 左側のナビゲーションペインで、概要 をクリックします。

  2. 概要 ページで、トラフィックトレンドチャートを調べ、インバウンド方向またはアウトバウンド方向のいずれかで異常なピークが発生した時間を見つけます。

    次の図は、10 月 10 日の 15:00 にインバウンドトラフィックとアウトバウンドトラフィックの両方が購入帯域幅を超えた例を示しています。

    説明

    トラフィックが購入した保護帯域幅を超えた場合、トレンドグラフには購入した保護帯域幅を示す線が表示されます。これにより、トラフィックが制限をどの程度超えているかを確認できます。

    image.png

ステップ 2: 異常な資産 IP を特定する

以下の手順では、インバウンドトラフィックを例に説明します。アウトバウンドトラフィックのトラブルシューティングの手順は同様です。唯一の違いは、トラフィック傾向グラフの場所です。インバウンドトラフィックの場合は、トラフィック分析 > パブリックネットワークの公開 > 可視化分析 タブに移動します。アウトバウンドトラフィックの場合は、トラフィック分析 > アクティブなアウトバウンド接続 > 可視化分析 タブに移動します。

  1. 概要 ページの トラフィック推移 セクションで、インバウンドピーク値をクリックすると、トラフィック分析 > パブリックネットワークの公開 > 可視化分析 タブに移動します。 ここで、10 月 10 日 15:00 のインバウンドピーク帯域幅を表示できます。

  2. タイムライン上の 15:00 のタイムスタンプをクリックします。パブリック IP アドレスリストには、その時点でのすべてのビジネス資産の総トラフィックがランキング形式で表示されます。このランキングを使用して、異常トラフィックが発生している資産を特定します。

    この例では、資産 IP 182.92.XX.XX が異常トラフィックの発生源です。この IP の総トラフィックが他の資産よりも大幅に高いためです。

  3. 資産 IP のトラフィックデータを詳しく調べるには、その IP アドレスをクリックします。右側のトレンドグラフに、その特定の資産のリクエストおよびレスポンス (インバウンドおよびアウトバウンド) トラフィックデータが表示されます。

    資産 IP をクリックすると、ECS Public IP address: xxx などのフィルタータグがページ上部のフィルターエリアに表示されます。左側のリストには各パブリック IP アドレスのインバウンドトラフィックランキングが表示されるため、これを使用して異常トラフィックが発生している IP を特定します。

ステップ 3: トラフィックログを分析する

  1. パブリック IP アドレスのリストで、調査している IP アドレスを見つけ、詳細 > ログの表示 を選択します。 このアクションにより、レスポンス検出 > ログ監査 > トラフィックログ > インターネット境界 タブにリダイレクトされます。 インバウンドトラフィックのトラブルシューティングを行っているため、10 月 10 日 15:00 の宛先 IP 182.92.XX.XX のトラフィックログを照会します。

  2. クエリ結果の ソース IP送信元ポート、および 宛先ポート を確認し、トラフィックが正規のものかどうかを判断します。

    [Internet Border] タブで、destination IPtime range などのフィルター条件を設定し、[Search] をクリックします。結果テーブルには、[Application] (例: SMTP または SMTPS)、protocol[Direction][Action] などの情報も表示されます。

  3. ビジネスニーズに基づき、必要な対応を行ってください。

    • Cloud Firewall の帯域幅をアップグレードする

      詳細については、「更新」をご参照ください。

    • サービスデプロイメントを最適化する

      たとえば、お使いのサービスが Alibaba Cloud OSS または SLS にアクセスする必要がある場合は、内部エンドポイントを使用すると、パブリック帯域幅のコストを節約できます。

    • 選択した IP に対して Cloud Firewall を無効にする

      詳細については、「インターネット境界ファイアウォールを無効化する」をご参照ください。

SQL による異常トラフィックのクエリ

異常なアクティビティがあるアセットに関連するすべてのトラフィックをすばやくクエリするには、レスポンス検出 > ログ分析 > ログクエリ ページで SQL クエリを実行します。

  • 異常な資産 IP からのアウトバウンド接続について、すべての宛先 IP アドレスとポートをクエリし、トラフィック量の降順で結果をソートします。

    log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc

    このクエリでは、182.92.XX.XX が資産 IP です。

  • インターネット露出を通じて資産 IP にアクセスするすべての送信元 IP アドレスとポートをクエリし、トラフィック量の降順で結果をソートします。

    log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc

    このクエリでは、182.92.XX.XX が資産 IP です。

関連ドキュメント

  • ビジネス資産の全体的なトラフィック傾向を表示し、購入済みの保護範囲を超えているかどうかを確認するには、「概要」をご参照ください。

  • ビジネス資産がどのようにインターネットにアクセスするか (異常なアウトバウンドトラフィックの追跡、資産がアクセスしたインターネットの宛先、インターネットに公開されている資産からのアウトバウンド接続、内部資産からのアウトバウンド接続など) を確認するには、「アウトバウンド接続」をご参照ください。

  • 異常なインバウンドトラフィックの追跡、ビジネス資産によって公開されているパブリック IP アドレス、公開ポート、公開アプリケーション、クラウドサービスのパブリック IP アドレス数など、インターネットによるビジネス資産へのアクセス方法の詳細については、「インターネット露出」をご参照ください。

  • 送信元 IP、宛先ポート、プロトコル、アクション、フローバイト、フローパケットといったインターネット境界トラフィックに関する情報を表示するには、ログ監査をご参照ください。

  • SQL クエリを使用してインターネット境界からの生のトラフィックログを分析するには、「ログのクエリと分析」をご参照ください。