すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:インターネットに接続されたサーバーから特定のドメイン名へのトラフィックのみを許可するようにアクセス制御ポリシーを構成する

    ドキュメントセンター

    Cloud Firewall:インターネットに接続されたサーバーから特定のドメイン名へのトラフィックのみを許可するようにアクセス制御ポリシーを構成する

    最終更新日:Apr 17, 2025

    インターネットに接続されたアセットがインターネットに直接アクセスする場合、リスクが発生する可能性があります。たとえば、コアビジネスのデータが漏洩したり、業務システムが攻撃されたりする可能性があります。インターネットに接続されたアセットとインターネット間の不正アクセスを防ぐために、インターネットファイアウォールにアクセス制御ポリシーを構成できます。これは、潜在的なデータ漏洩とインターネット上のアセットの露出を防ぐのに役立ちます。このトピックでは、サーバーから特定の Web サイトへのトラフィックのみを許可するようにアクセス制御ポリシーを構成する方法について説明します。

    シナリオ例

    次の例では、アセットは Elastic Compute Service (ECS) インスタンスであり、エラスティック IP アドレス (EIP) 47.100.XX.XX が関連付けられています。 ECS インスタンスのセキュリティを確保するために、Web サイト www.aliyun.com へのトラフィックのみを許可するようにアクセス制御ポリシーを構成する必要があります。

    前提条件

    Cloud Firewall がアクティブ化され、インターネットファイアウォール機能が有効になっていること。詳細については、「Cloud Firewall を購入する」および「インターネットファイアウォール」をご参照ください。

    手順

    1. Cloud Firewall コンソール にログオンします。

    2. 左側のナビゲーションウィンドウで、[防御設定] > アクセス制御 > インターネットボーダー を選択します。

    3. アウトバウンド タブで、Create Policy をクリックします。アウトバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。

    4. ECS インスタンスから www.aliyun.com へのトラフィックを許可し、最優先されるアクセス制御ポリシーと、ECS インスタンスからすべてのパブリック IP アドレスへのトラフィックを拒否し、最低優先されるアクセス制御ポリシーを構成します。

      1. ECS インスタンスから www.aliyun.com へのトラフィックを許可するアクセス制御ポリシーを構成します。次の表でパラメーターについて説明します。

        パラメーター

        説明

        送信元タイプ

        ネットワークトラフィックの開始側。選択した送信元タイプに基づいて、送信元タイプと送信元アドレスを入力する必要があります。

        IP

        送信元

        47.100.XX.XX/32 (ECS インスタンスのパブリック IP アドレス)

        宛先タイプ

        ネットワークトラフィックの受信側。選択した宛先タイプに基づいて、ネットワークトラフィックの送信先の宛先タイプと宛先アドレスを入力する必要があります。

        ドメイン名

        宛先

        www.aliyun.com。これは、ECS インスタンスがアクセスすることを許可する Web サイトです。

        説明

        ドメイン名を IP アドレスに解決することもできます。

        プロトコルタイプ

        トランスポート層プロトコル。有効な値: TCPUDPICMPANY。プロトコルタイプがわからない場合は、ANY を選択します。

        TCP

        ポートタイプ

        宛先のポートタイプとポート番号。

        ポート

        ポート

        0/0 (すべてのポートを示します)

        アプリケーション

        トラフィックのアプリケーションタイプ。

        ANY

        アクション

        トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合のトラフィックに対するアクション。有効な値:

        • 許可: トラフィックが許可されます。

        • 拒否: トラフィックが拒否され、通知は送信されません。

        • 監視: トラフィックが記録され、許可されます。関連フィールドを指定することでトラフィックログをフィルタリングし、一定期間トラフィックを観測できます。その後、ビジネス要件に基づいて、ポリシーアクションを 許可 または 拒否 に変更します。

        許可

        説明

        アクセス制御ポリシーの説明。ポリシーの識別に役立つ説明を入力します。

        www.aliyun.com へのトラフィックを許可する

        優先度

        アクセス制御ポリシーの優先度。デフォルト値: 最低

        最高

        ポリシーの有効期間

        アクセス制御ポリシーの有効期間。ポリシーは、有効期間内のみトラフィックの照合に使用できます。有効な値:

        • 常時。

        • 単一の時間範囲: このオプションを選択した場合は、単一の時間範囲を指定します。

        • 繰り返しサイクル: このオプションを選択した場合、ポリシーを有効にする時間範囲と日付を指定します。

          説明

        常時

        有効化ステータス

        ポリシーを有効にするかどうかを指定します。アクセス制御ポリシーの作成時にステータスをオフにした場合、アクセス制御ポリシーのリストでポリシーを有効にできます。

        有効

      2. ECS インスタンスからすべてのパブリック IP アドレスへのトラフィックを拒否するようにアクセス制御ポリシーを構成します。次のリストでパラメーターについて説明します。

        • 送信元: 47.100.X.X/32 と入力します。

        • 宛先: 0.0.0.0/0 と入力します。これはすべてのサーバーの IP アドレスを示します。

        • プロトコルタイプ: ANY を選択します。

        • ポート: 0/0 と入力します。これはすべてのサーバーのポートを示します。

        • アプリケーション: ANY を選択します。

        • アクション: 拒否を選択します。

        • 優先度: 最低を選択します。

      アクセス制御ポリシーを作成した後、ECS インスタンスから Www.aliyun.com へのトラフィックを許可するポリシーの優先度が、ECS インスタンスからすべてのパブリック IP アドレスへのトラフィックを拒否するポリシーの優先度よりも高いことを確認します。

    アクセス制御ポリシーに関するヒットの詳細を表示する

    サービスが一定期間実行された後、アクセス制御ポリシーのリストの ヒットカウント直近のヒット時間 列で、アクセス制御ポリシーに関するヒットの詳細を表示できます。

    ヒット数をクリックして [ログ監査] ページに移動し、トラフィックログを表示できます。詳細については、「ログ監査」をご参照ください。

    image.png

    関連情報