すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:VPC 境界アクセス制御ポリシーの構成

最終更新日:Jun 04, 2026

VPC ファイアウォールを使用すると、Cloud Enterprise Network (CEN) または Express Connect を通じて接続されたネットワークインスタンス間のトラフィックを検査および制御できます。デフォルトでは、すべてのトラフィックが許可されています。信頼できないトラフィックをブロックし、信頼できるトラフィックを許可するためのアクセス制御ポリシーを作成してください。

前提条件

VPC 境界アクセス制御ポリシーの構成

2 つの VPC 間のトラフィックを管理する際には、信頼できないまたは不要なトラフィックに対して拒否ポリシーを構成し、他のトラフィックを許可するブラックリストモード、または信頼できるまたは必要なトラフィックに対して許可ポリシーを構成し、他のトラフィックを拒否するホワイトリストモードのいずれかを選択できます。VPC ファイアウォールのアクセス制御ポリシーの構成例については、「アクセス制御ポリシー構成の例」をご参照ください。

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、Prevention Configuration > アクセス制御 > Policy Configuration > VPC Border を選択します。

  3. VPC Border ページで、ポリシーを構成するビジネスインスタンスに切り替えます。

    image

  4. Create Policy をクリックし、次の表を参照してポリシーの詳細を構成し、OK をクリックします。

    構成項目

    説明

    ソースタイプ

    ネットワーク接続の送信元です。アクセス送信元タイプを選択し、そのタイプに基づいて送信元アドレスを入力する必要があります。

    • IP タイプを選択し、IP アドレス範囲を入力します。アドレス範囲は標準的な CIDR 形式(例:192.168.0.0/16)を使用する必要があります。カンマ (,) で区切って最大 2,000 個のアドレス範囲を入力できます。

      複数の IP アドレス範囲を入力した場合、Cloud Firewall は自動的にそれらのアドレス範囲のアドレス帳を作成し、ポリシー構成を保存する際にアドレス帳名の設定を促します。

    • アドレス帳 タイプを選択し、Custom IP Address Book または Cloud Asset IP Address Book を参照します。詳細については、「アドレス帳の管理」をご参照ください。

    Destination Type

    ネットワークトラフィックの送信先です。送信先タイプを選択し、そのタイプに基づいてアドレスを入力する必要があります。

    • IP タイプを選択し、IP アドレス範囲を入力します。アドレス範囲は標準的な CIDR 形式(例:192.168.0.0/16)を使用する必要があります。カンマ (,) で区切って最大 2,000 個のアドレス範囲を入力できます。

      複数の IP アドレス範囲を入力した場合、Cloud Firewall は自動的にアドレス帳を作成し、ポリシーを保存する際に名前の設定を促します。

    • アドレス帳 タイプを選択し、IP Address Book および ドメイン名アドレス帳 を参照します。詳細については、「アドレス帳の管理」をご参照ください。

    • ドメイン名 タイプを選択した場合、ドメイン名認識モードを選択する必要があります。以下の 3 種類のドメイン名認識モードがあります。

      • FQDN ベース (メッセージが Host/SNI を抽出):HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS の 7 つのプロトコルのトラフィックを管理する場合に推奨されます。

      • Dynamic DNS ベース:上記 7 つのプロトコル以外のトラフィックを管理する場合に推奨されます。

        重要

        このモードは、ワイルドカードドメインおよびワイルドカードアドレス帳をサポートしていません。

      • FQDN と DNS 動的解決の同時使用:上記 7 つのプロトコルのトラフィックを管理するが、一部またはすべてのトラフィックに HOST/SNI フィールドが含まれていない場合に推奨されます。

        重要

        このモードは、ACL エンジン管理 の厳格モードが有効になっている場合にのみ有効となり、ワイルドカードドメインおよびワイルドカードアドレス帳はサポートしていません。

    Protocol

    トランスポート層のプロトコルタイプです。設定可能な値:TCPUDPICMPANY。具体的なプロトコルが不明な場合は、ANY を選択できます。

    Port Type

    宛先ポートタイプおよび宛先ポートを設定します。

    • Port タイプを選択し、ポート範囲を入力します。ポート範囲はスラッシュ (/) で区切ります(例:22/22、80/88)。カンマ (,) で区切って最大 2,000 個のポート範囲を追加できます。

      複数のポート範囲を入力した場合、Cloud Firewall は自動的にポートアドレス帳を作成し、ポリシーを保存する際に名前の設定を促します。

    • Port Address Book タイプを選択した場合、事前にポートアドレス帳を作成しておく必要があります。詳細については、「アドレス帳の管理」をご参照ください。

    アプリケーション

    アクセストラフィックのアプリケーションタイプを設定します。複数のアプリケーションタイプを選択できます。

    • ProtocolTCP を選択した場合:

      • Destination TypeIP または IPアドレス帳 を選択した場合:すべてのアプリケーションを選択できます。

      • Destination Typeドメイン名 またはドメイン名 アドレス帳 を選択した場合:

        • ドメイン名確認モードFQDN ベース (メッセージが Host/SNI を抽出) を選択した場合:HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS などのアプリケーションのみ選択できます。

        • ドメイン名確認モードDynamic DNS ベース を選択した場合:すべてのアプリケーションを選択できます。

    • ProtocolUDP を選択した場合、アプリケーションタイプは ANY および DNS をサポートします。

    • ProtocolICMP または ANY を選択した場合、アプリケーションタイプは ANY のみとなります。

    説明

    アプリケーション識別はパケットの特徴に基づきます(プロトコル識別はポートに依存しません)。アプリケーション識別に失敗した場合、セッショントラフィックは許可されます。不明なアプリケーションタイプのトラフィックをブロックするには、インターネット境界ファイアウォールの厳格モードを有効にすることを推奨します。詳細については、「アクセス制御エンジンのモードの概要」をご参照ください。

    アクション

    このポリシーで一致したトラフィックに対して実行するアクションを指定します。

    • リリース:トラフィックを許可します。

    • Drop:通知なしでトラフィックをブロックします。

    • 観察:このモードでは、トラフィックはデフォルトで許可されます。トラフィックログの関連フィールドを使用して、このトラフィックをフィルターおよび観測できます。一定期間観測した後、リリース または 拒否 に調整してください。

    Policy Priority

    ポリシーの優先度です。デフォルト値:Lowest(最も低い優先度を示します)。

    • Highest:アクセス制御ポリシーが最も高い優先度で適用されます。

    • Lowest:アクセス制御ポリシーが最も低い優先度で適用されます。

    • カスタム:優先度をカスタマイズします。最小値:1、最大値:50。数値が小さいほど優先度が高くなります。

    ポリシー有効期間

    ポリシーの有効期間を設定します。ポリシーは有効期間内でのみトラフィックに一致します。

    • 定常的

    • 単一時間帯:一度限りの時間範囲を選択します。

    • 繰り返し周期:繰り返し時間範囲および有効日付を選択します。

      説明

    有効化ステータス

    ポリシーを有効にするかどうかを指定します。有効化されたポリシーのみが適用されます。

    記述

    ポリシーの目的を識別しやすくするために、説明を入力します。

ポリシーヒット統計の表示

ビジネスが一定期間実行された後、アクセス制御ポリシー一覧の ヒットカウント/直近のヒット時間 列で、アクセス制御ポリシーのヒット回数を確認できます。

ヒット数をクリックすると、トラフィックログ ページに移動し、トラフィックログを表示できます。トラフィックログの表示方法については、「トラフィックログ」をご参照ください。

image.png

関連操作

ポリシー一覧でポリシーを編集、削除、コピー、または移動できます。ポリシーを移動すると、その優先度が変更されます。

ポリシーの優先度は 1 から N(N はポリシーの総数)の範囲です。数値が小さいほど優先度が高くなります。ポリシーの優先度を変更すると、他のポリシーの優先度もそれに応じて調整されます。

重要

ポリシーの削除は取り消せません。削除されたポリシーによってこれまで管理されていたトラフィックは、もはや制御されなくなります。

関連ドキュメント