ご利用のアセットと特定の地理的リージョン間のトラフィックを制御する必要がある場合、インターネット境界ファイアウォールのアクセス制御ポリシーを設定し、ソースまたは送信先のタイプとしてリージョンを指定できます。たとえば、特定のリージョンからのアクセスのみを許可したり、別のリージョンからのアクセスをブロックしたりできます。このトピックでは、中国本土のユーザーにのみサービスを提供するビジネス向けに、海外リージョンからのすべてのトラフィックをブロックするポリシーを設定する方法を説明します。
シナリオ
次の図に示すシナリオでは、EIP が 47.100.XX.XX の Elastic Compute Service (ECS) インスタンスがあるとします。ビジネスが中国本土のユーザーにのみサービスを提供しているため、海外リージョンからのすべてのトラフィックをブロックするポリシーを設定する必要があります。
前提条件
Cloud Firewall を購入し、インターネット境界ファイアウォールを有効化済みであること。詳細については、「Cloud Firewall の購入」および「インターネット境界ファイアウォール」をご参照ください。
操作手順
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
インバウンド タブで、Create Policy をクリックします。インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックし、次のパラメーターを使用してポリシーを設定します。
パラメーター
説明
設定例
ソースタイプ
ネットワークトラフィックのソースです。ソースタイプを選択し、そのアドレスを入力します。
ロケーション
アクセスソース
すべての国際リージョン
Destination Type
ネットワークトラフィックの送信先です。送信先タイプを選択し、そのアドレスを入力します。
IP
宛先
ECS インスタンスのパブリック IP アドレスである
47.100.XX.XX/32を入力します。プロトコルタイプ
トランスポート層プロトコルです。有効な値は TCP、UDP、ICMP、ANY です。使用するプロトコルが不明な場合は、ANY を選択します。
ANY
Port Type
宛先ポートのタイプと番号です。
Port
Port
0/0を入力して、ポリシーをすべてのポートに適用します。アプリケーション
トラフィックに関連付けられているアプリケーションタイプです。
ANY
アクション
一致したトラフィックに適用する操作です。
許可:トラフィックを許可します。
拒否:トラフィックをブロックし、通知を送信しません。
監視:このモードでは、トラフィックはデフォルトで許可されます。トラフィックログの関連フィールドを使用して、このトラフィックをフィルタリングおよび監視できます。一定期間の監視の後、必要に応じて操作を 許可 または 拒否 に変更できます。
拒否
優先度
ポリシーの優先度です。デフォルトは 最低 です。
Highest
ポリシー有効期間
ポリシーの有効期間を設定します。ポリシーは有効期間内にのみトラフィックに一致します。
定常的
有効化ステータス
作成時にポリシーを有効にするかどうかを指定します。無効にしたポリシーは、後でポリシーリストから有効にできます。
有効化
次のステップ
サービスが一定期間実行された後、アクセス制御ポリシーリストの ヒットカウント / 直近のヒット時間 列で、アクセス制御ポリシーのヒット数と最終ヒット時刻を確認できます。
ヒット数をクリックすると、トラフィックログ ページでトラフィックログを表示できます。詳細については、「ログ監査」をご参照ください。
関連ドキュメント
インターネット境界ファイアウォールのアクセス制御ポリシーを設定する方法の詳細な手順については、「インターネット境界ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
アクセス制御ポリシーの設定原則の詳細については、「アクセス制御ポリシーの設定例」をご参照ください。
アクセス制御ポリシーに関するよくある質問への回答については、「アクセス制御ポリシーに関するよくある質問」をご参照ください。