すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:特定のドメイン名へのアクセスの設定

最終更新日:Apr 01, 2026

プライベートアセットからインターネットへのトラフィックに対して詳細な制御が必要な場合は、nat firewall アクセス制御ポリシーを設定できます。これらのポリシーは、プライベートアセットからインターネットへの不正アクセスをブロックし、コアビジネスデータの漏洩などのリスクを軽減します。このチュートリアルでは、プライベートインスタンスが特定のドメイン名のみにアクセスすることを許可するアクセス制御ポリシーの設定方法を説明します。

シナリオ

このチュートリアルでは、次のシナリオを使用します。プライベート IP アドレスが 10.10.XX.XX の Elastic Compute Service (ECS) `インスタンス` が `NAT Gateway` を介して `インターネット` にアクセスします。セキュリティのため、この `インスタンス` が www.aliyun.com ウェブサイトにのみアクセスできるようにするポリシーを設定します。

操作手順

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[保護設定] > アクセス制御 > NAT 境界 を選択します。

  3. NAT 境界 ページで、設定する NAT Gateway を選択し、Create Policy をクリックします。

    Cloud Firewall は、ご利用の Alibaba Cloud アカウントに関連付けられている NAT Gateway を自動的に同期します。ドロップダウンリストをクリックして、設定する NAT Gateway を選択できます。

    image..png

  4. ポリシーの作成 - NAT 境界 パネルで、2 つのポリシーを作成します。1 つはインスタンスが www.aliyun.com にアクセスすることを許可する高優先度のポリシーもう 1 つはインスタンスが他のすべてのインターネット宛先にアクセスすることを拒否する低優先度のポリシーです。

    1. インスタンスが www.aliyun.com にアクセスすることを許可するポリシーを作成します。次の主要な設定を使用します。

      • アクセスソース:10.10.XX.XX/32

      • Destination Type:ドメイン名

      • 宛先:www.aliyun.com

      • ドメイン名確認モード:FQDN ベースの解決 (パケット内のホストまたは SNI フィールドを抽出)

      • プロトコルの種類: TCP

      • [ポート]:443/443

      • アプリケーション: HTTPS

      • アクション:許可

      • 優先度:最高

    2. インスタンスがすべてのパブリック IP アドレスにアクセスすることを拒否するポリシーを作成します。次の主要な設定を使用します。

      • アクセスソース: 10.10.XX.XX/32

      • 宛先:0.0.0.0/0 (すべての IP アドレスを表します)

      • プロトコルタイプ: ANY

      • [ポート]:0/0 (すべてのポートを表します)

      • アプリケーション: ANY

      • アクション:拒否

      • 優先度:最低

    ポリシーを設定した後、www.aliyun.com へのアクセスを許可するポリシーすべてのインターネット宛先へのアクセスを拒否するポリシーよりも高い優先度を持つことを確認してください。

次のステップ

サービスが一定期間実行された後、アクセス制御ポリシーリストの ヒットカウント / 直近のヒット時間 列で、アクセス制御ポリシーのヒット数と最終ヒット時刻を表示できます。

ヒット数をクリックすると、[トラフィックログ] ページでトラフィックログを表示できます。詳細については、「ログ監査」をご参照ください。

image.png

関連ドキュメント