プライベートアセットからインターネットへのトラフィックに対して詳細な制御が必要な場合は、nat firewall アクセス制御ポリシーを設定できます。これらのポリシーは、プライベートアセットからインターネットへの不正アクセスをブロックし、コアビジネスデータの漏洩などのリスクを軽減します。このチュートリアルでは、プライベートインスタンスが特定のドメイン名のみにアクセスすることを許可するアクセス制御ポリシーの設定方法を説明します。
シナリオ
このチュートリアルでは、次のシナリオを使用します。プライベート IP アドレスが 10.10.XX.XX の Elastic Compute Service (ECS) `インスタンス` が `NAT Gateway` を介して `インターネット` にアクセスします。セキュリティのため、この `インスタンス` が www.aliyun.com ウェブサイトにのみアクセスできるようにするポリシーを設定します。
操作手順
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
NAT 境界 ページで、設定する NAT Gateway を選択し、Create Policy をクリックします。
Cloud Firewall は、ご利用の Alibaba Cloud アカウントに関連付けられている NAT Gateway を自動的に同期します。ドロップダウンリストをクリックして、設定する NAT Gateway を選択できます。

ポリシーの作成 - NAT 境界 パネルで、2 つのポリシーを作成します。1 つはインスタンスが www.aliyun.com にアクセスすることを許可する高優先度のポリシー、もう 1 つはインスタンスが他のすべてのインターネット宛先にアクセスすることを拒否する低優先度のポリシーです。
インスタンスが www.aliyun.com にアクセスすることを許可するポリシーを作成します。次の主要な設定を使用します。
アクセスソース:10.10.XX.XX/32
Destination Type:ドメイン名
宛先:www.aliyun.com
ドメイン名確認モード:FQDN ベースの解決 (パケット内のホストまたは SNI フィールドを抽出)
プロトコルの種類: TCP
[ポート]:443/443
アプリケーション: HTTPS
アクション:許可
優先度:最高
インスタンスがすべてのパブリック IP アドレスにアクセスすることを拒否するポリシーを作成します。次の主要な設定を使用します。
アクセスソース: 10.10.XX.XX/32
宛先:0.0.0.0/0 (すべての IP アドレスを表します)
プロトコルタイプ: ANY
[ポート]:0/0 (すべてのポートを表します)
アプリケーション: ANY
アクション:拒否
優先度:最低
ポリシーを設定した後、www.aliyun.com へのアクセスを許可するポリシーがすべてのインターネット宛先へのアクセスを拒否するポリシーよりも高い優先度を持つことを確認してください。
次のステップ
サービスが一定期間実行された後、アクセス制御ポリシーリストの ヒットカウント / 直近のヒット時間 列で、アクセス制御ポリシーのヒット数と最終ヒット時刻を表示できます。
ヒット数をクリックすると、[トラフィックログ] ページでトラフィックログを表示できます。詳細については、「ログ監査」をご参照ください。

関連ドキュメント
NATファイアウォールの
アクセス制御ポリシーの設定に関する詳細な手順については、「NAT境界アクセス制御ポリシーを構成する」をご参照ください。アクセス制御ポリシーの設定に関するその他の原則と例については、「アクセス制御ポリシー設定の例」をご参照ください。
「
アクセス制御ポリシー」の設定および使用方法について詳しくは、「アクセス制御ポリシーに関するよくある質問」をご参照ください。