すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:インスタンスが特定のドメイン名にアクセスすることを許可する

    ドキュメントセンター

    Cloud Firewall:インスタンスが特定のドメイン名にアクセスすることを許可する

    最終更新日:Apr 01, 2026

    公開アセットへの無制限のインターネットアクセスは、コアビジネスデータの漏洩や業務システムへのサイバー攻撃などのリスクにつながる可能性があります。これらのリスクを軽減するために、インターネット境界ファイアウォールアクセス制御ポリシーを構成して、公開アセットとインターネット間の不正アクセスを管理できます。これにより、データ流出のリスクを軽減し、アセットのインターネットに公開された攻撃対象領域を最小限に抑えることができます。このトピックでは、インスタンスが特定のドメイン名のみにアクセスすることを許可するアクセス制御ポリシーを構成する方法について説明します。

    例のシナリオ

    このシナリオでは、Elastic IPアドレス (EIP) 47.100.XX.XX に関連付けられている ECS インスタンスがあります。セキュリティ上の理由から、このインスタンスが www.aliyun.com ドメイン名のみにアクセスすることを許可するポリシーを構成する必要があります。

    前提条件

    Cloud Firewall を購入し、インターネット境界ファイアウォールの保護を有効にしました。詳細については、「Cloud Firewall の購入」および「インターネット境界ファイアウォール」をご参照ください。

    操作手順

    1. Cloud Firewall コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[保護設定] > アクセス制御 > インターネットボーダー を選択します。

    3. アウトバウンド タブで、Create Policy をクリックします。アウトバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。

    4. www.aliyun.com へのアクセスを許可する高優先度ポリシーと、他のすべてのアウトバウンドトラフィックを拒否する低優先度ポリシーを構成します。

      1. インスタンスが www.aliyun.com にアクセスすることを許可するポリシーを構成します。主な設定は次のとおりです。

        パラメーター

        説明

        例の値

        ソースタイプ

        ネットワークトラフィックのソース。ソースタイプを選択し、対応するアドレスを入力します。

        IP

        アクセスソース

        ECS インスタンスのパブリック IP アドレスを入力します。この例では、IP アドレスは 47.100.XX.XX/32 です。

        Destination Type

        ネットワークトラフィックの送信先。送信先タイプを選択し、対応するアドレスを入力します。

        ドメイン名

        宛先

        インスタンスがアクセスを許可されているドメイン名である www.aliyun.com を入力します。

        説明

        ドメインネームシステム (DNS) ルックアップを実行して、解決された IP アドレスを使用することもできます。

        プロトコルタイプ

        トランスポート層プロトコル。有効な値は [TCP][UDP][ICMP]、および [ANY] です。プロトコルが不明な場合は、[ANY] を選択します。

        TCP

        Port Type

        送信先ポートタイプと送信先ポート。

        ポート

        Port

        すべてのポートを指定するには、0/0 を入力します。

        アプリケーション

        トラフィックのアプリケーションタイプ。

        ANY

        アクション

        ポリシーに一致するトラフィックに対して実行するアクション。

        • 許可: トラフィックを許可します。

        • 拒否: トラフィックをブロックし、通知を送信しません。

        • モニター: このモードでは、トラフィックはデフォルトで許可されます。トラフィックログ内の関連フィールドを使用して、このトラフィックをフィルターし、観測できます。観測期間の後、必要に応じてアクションを[許可]または[拒否]に変更できます。

        許可

        記述

        ポリシーの目的を識別しやすくするために、説明を入力します。

        www.aliyun.com の許可ポリシー

        優先度

        ポリシーの優先度を指定します。デフォルトは[最低]です。

        最高

        ポリシー有効期間

        ポリシーの有効期間を設定します。ポリシーは、有効期間内でのみトラフィックに一致します。

        • 常に

        • 1回限り: 単一の期間を選択します。

        • 定期的: 定期的な期間と有効日を選択します。

          説明

        常に

        有効化ステータス

        ポリシーを有効にするかどうかを指定します。ポリシー作成時に有効にしない場合でも、後でポリシーリストから有効にできます。

        有効

      2. インスタンスがすべてのパブリック IP アドレスにアクセスすることをブロックする拒否ポリシーを構成します。主な設定は次のとおりです。

        • アクセスソース: 47.100.XX.XX/32

        • 宛先: 0.0.0.0/0 は、すべての IP アドレスを意味します。

        • プロトコルタイプ: ANY

        • Port: 0/0、すべてのポートを示します。

        • アプリケーション: ANY

        • アクション:拒否

        • 優先度: 最低

      ポリシーを設定した後は、[www.aliyun.com の許可ポリシー][その他のすべてのトラフィックの拒否ポリシー] よりも高い優先度を持つことを確認してください。

    ポリシーヒットの表示

    サービスが一定期間実行された後、アクセス制御ポリシーのリストの ヒットカウント / 直近のヒット時間 列で、アクセス制御ポリシーのヒット数と最終ヒット時刻を表示できます。

    ヒット数をクリックすると、[トラフィックログ] ページでトラフィックログを表示できます。詳細については、「ログ監査」をご参照ください。

    image.png

    関連ドキュメント