アクセス制御ポリシーを設定して、アセットとインターネット間の相互トラフィックを制御します - Cloud Firewall

デフォルトでは、インターネットファイアウォールを有効にした後にアクセス制御ポリシーを作成しない場合、Cloud Firewall はアクセス制御ポリシーに基づくトラフィック一致フェーズのすべてのトラフィックを許可します。インターネットに接続されたアセットとインターネット間の不正アクセスを防ぐために、インターネットファイアウォール用のアウトバウンドおよびインバウンドアクセス制御ポリシーを作成できます。このトピックでは、インターネットファイアウォール用のインバウンドおよびアウトバウンドアクセス制御ポリシーを作成する方法について説明します。

前提条件

インターネットに接続されたアセットに対して [インターネットファイアウォール] が有効になっています。インターネットファイアウォールを有効にする方法の詳細については、「インターネットファイアウォールの有効化」をご参照ください。
Cloud Firewall で保護できるインターネットに接続されたアセットの詳細については、「保護範囲」をご参照ください。
アクセス制御ポリシーのクォータが十分です。[防御設定] > アクセス制御 > インターネットボーダー ページでクォータの使用状況を確認できます。クォータの使用量の計算方法の詳細については、「アクセス制御ポリシーの概要」をご参照ください。
残りのクォータが不十分な場合は、仕様のアップグレード をクリックして、[追加ポリシーのクォータ] の値を増やすことができます。詳細については、「Cloud Firewall の購入」をご参照ください。
複数のオブジェクトをアクセス元またはアクセス先として追加する場合は、オブジェクトを含むアドレス帳が作成されていることを確認してください。詳細については、「アドレス帳の管理」をご参照ください。

インターネットファイアウォール用のアクセス制御ポリシーの作成

Cloud Firewall では、カスタムポリシーを作成したり、適用できる推奨ポリシーが提供されています。

カスタムポリシーの作成：ビジネス要件に基づいてカスタムポリシーを作成できます。
推奨インテリジェントポリシーの適用：Cloud Firewall は過去 30 日以内のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。ポリシーを適用するかどうかを決定できます。
推奨共通ポリシーの適用：Cloud Firewall は共通ポリシーを推奨します。推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

重要

インターネットファイアウォール上のパブリック IP アドレスに対して、サービスが提供されているオープンポートへのアクセスを許可し、他のポートへのアクセスを拒否することをお勧めします。これにより、アセットのインターネットへの露出が軽減されます。
IP アドレスやドメイン名などの信頼できるソースからのアクセスを許可し、他のソースへのアクセスを拒否する場合は、最初に信頼できるソースからのアクセスを許可し、優先順位の高いポリシーを作成してから、すべてのソースからのトラフィックを拒否し、優先順位の低いポリシーを作成することをお勧めします。
推奨インテリジェントポリシーまたは推奨共通ポリシーを適用しない場合、ポリシーは有効になりません。

カスタムポリシーの作成

ビジネス要件に基づいて、インターネットファイアウォール用のカスタムアウトバウンドまたはインバウンドポリシーを作成できます。

Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、[防御設定] > アクセス制御 > インターネットボーダー を選択します。
アウトバウンド タブまたは インバウンド タブで、ドロップダウンリストから IPV4 または IPV6 を選択し、Create Policy をクリックします。デフォルトでは、IPv4 アドレスのアクセス制御ポリシーが作成されます。
アウトバウンドポリシーの作成 パネルまたは インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックします。

次の表に基づいてポリシーを設定し、[OK] をクリックします。

インターネット経由のアウトバウンドトラフィックを保護するためのアクセス制御ポリシーの作成

パラメーター	説明
ソースタイプ	ネットワークトラフィックの開始元。ソースタイプを選択し、選択したソースタイプに基づいてソースアドレスを入力する必要があります。ソースタイプを [IP] に設定する場合は、192.168.0.0/16 などの 1 つ以上の CIDR ブロックを指定します。最大 2,000 個の CIDR ブロックを指定できます。複数の CIDR ブロックはコンマ (,) で区切ります。一度に複数の CIDR ブロックを入力すると、Cloud Firewall は入力された CIDR ブロックを含むアドレス帳を自動的に作成します。アクセスコントロールポリシーを保存すると、Cloud Firewall はこのアドレス帳の名前を指定するように求めます。ソースタイプを [アドレス帳] に設定する場合は、IPv4 または IPv6 アドレス帳が構成されていることを確認します。アドレス帳の作成方法の詳細については、「アドレス帳を管理する」をご参照ください。
ソース
宛先タイプ	ネットワークトラフィックの受信者。選択した宛先タイプに基づいて、ネットワークトラフィックの送信先の宛先タイプを選択し、宛先アドレスを入力する必要があります。送信元タイプを [IP] に設定する場合は、192.168.0.0/16 などの 1 つ以上の CIDR ブロックを指定します。最大 2,000 個の CIDR ブロックを指定できます。複数の CIDR ブロックはコンマ (,) で区切ります。一度に複数の CIDR ブロックを入力すると、Cloud Firewall は入力された CIDR ブロックを含むアドレス帳を自動的に作成します。アクセス制御ポリシーを保存すると、Cloud Firewall はこのアドレス帳の名前を指定するように求めます。送信元タイプを [アドレス帳] に設定する場合は、IPv4 または IPv6 アドレス帳が構成されていることを確認してください。アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。宛先タイプを [ドメイン名] に設定する場合は、ドメイン名識別モードを選択します。有効な値： FQDN ベース (メッセージが Host/SNI を抽出): HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS トラフィックを管理する場合、このモードを選択することをお勧めします。 DNS ベースの動的名前解決: HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS 以外のトラフィックを管理する場合、このモードを選択することをお勧めします。重要このモードは、ワイルドカードドメイン名またはワイルドカードドメイン名のアドレス帳をサポートしていません。 [FQDN および DNS ベースの動的解決]: HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS トラフィックを管理する場合に、特定またはすべてのトラフィックに HOST または SNI フィールドが含まれていない場合は、このモードを選択することをお勧めします。重要このモードは、ACL エンジン管理モードが [厳格] の場合にのみ有効になります。このモードは、ワイルドカードドメイン名またはワイルドカードドメイン名のアドレス帳をサポートしていません。宛先タイプを [場所] に設定する場合は、宛先のトラフィック宛先の 1 つ以上の場所を選択します。中国国内または中国国外の 1 つ以上の場所を選択できます。
宛先
プロトコルタイプ	トランスポート層プロトコル。有効な値：[TCP]、[UDP]、[ICMP]、および [ANY]。プロトコルタイプが不明な場合は、[ANY] を選択します。
ポートの種類	宛先のポートの種類とポート番号。 [ポート] に設定した場合は、ポート範囲を入力します。「ポート番号/ポート番号」の形式でポート範囲を指定します。例：22/22 または 80/88。複数のポート範囲はカンマ (,) で区切ります。最大 2,000 個のポート範囲を入力できます。複数のポート範囲を入力すると、Cloud Firewall によって、入力したポート範囲を含むアドレス帳が自動的に作成されます。アクセス制御ポリシーを保存すると、Cloud Firewall によって、このアドレス帳の名前を指定するように求められます。 [ポートの種類] を [アドレス帳] に設定した場合は、ポートアドレス帳が設定されていることを確認します。アドレス帳の作成方法の詳細については、「アドレス帳を管理する」をご参照ください。
ポート
アプリケーション	トラフィックのアプリケーションタイプ。選択できるアプリケーションは、指定した宛先タイプとプロトコルによって異なります。 [プロトコルタイプ] を TCP に設定した場合: [宛先タイプ] が IP、IP [アドレス帳]、または [ロケーション] に設定されている場合: すべてのアプリケーションを選択できます。 [宛先タイプ] がドメイン名またはドメイン [アドレス帳] に設定されている場合: [ドメイン名識別モード] を FQDN ベースの解決 (パケット内のホストまたは SNI フィールドを抽出) に設定した場合、HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、または IMAPS のみを選択できます。 [ドメイン名識別モード] を DNS ベースの動的解決に設定した場合、すべてのアプリケーションを選択できます。 [ドメイン名識別モード] を FQDN および DNS ベースの動的解決に設定した場合、HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、または IMAPS のみを選択できます。 [プロトコルタイプ] を UDP に設定した場合、ANY または DNS を選択できます。 [プロトコルタイプ] を ICMP または ANY に設定した場合、ANY のみを選択できます。説明 Cloud Firewall は、ポート番号ではなくパケット特性に基づいてアプリケーションタイプを識別します。 Cloud Firewall がパケット内のアプリケーションタイプを識別できない場合、Cloud Firewall はパケットを許可します。アプリケーションタイプが不明なトラフィックをブロックする場合は、インターネットファイアウォールの厳格モードを有効にすることをお勧めします。詳細については、「概要」をご参照ください。
アクション	アクセス制御ポリシーに指定した上記の条件にトラフィックが一致した場合の、トラフィックに対するアクション。有効な値：許可: トラフィックが許可されます。拒否: トラフィックが拒否され、通知は送信されません。監視: トラフィックが記録され、許可されます。関連フィールドを指定してトラフィックログをフィルタリングし、一定期間トラフィックを観察できます。その後、ビジネス要件に基づいて、ポリシーアクションを許可または拒否に変更します。
説明	アクセス制御ポリシーの説明です。ポリシーを識別しやすい説明を入力してください。
優先度	アクセス制御ポリシーの優先度です。デフォルト値: [最低]。有効な値: [最高]: アクセス制御ポリシーは最高の優先度を持ちます。 [最低]: アクセス制御ポリシーは最低の優先度を持ちます。
ポリシーの有効期間	アクセスコントロールポリシーの有効期間。ポリシーは、有効期間内のみトラフィックの照合に使用できます。有効値：常に有効。単一の期間：このオプションを選択した場合は、単一の期間を指定します。繰り返し周期：このオプションを選択した場合は、ポリシーを有効にする期間と日付を指定します。説明開始日は終了日より前である必要があります。ポリシーが有効になるまで 3 ～ 5 分かかります。 [無期限に繰り返す] を選択すると、終了日は自動的に 2099 年 12 月 31 日に設定されます。よくある質問：繰り返しの期間に指定した期間が 2 つのカレンダー日にまたがる場合、アクセスコントロールポリシーは有効になりますか？
有効化ステータス	ポリシーを有効にするかどうかを指定します。アクセス制御ポリシーの作成時にステータスをオフにした場合、アクセス制御ポリシーのリストでポリシーを有効にできます。

インターネット経由のインバウンドトラフィックを保護するためのアクセス制御ポリシーを作成する

パラメータ	説明
ソースタイプ	ネットワークトラフィックの開始元。ソースの種類を選択し、選択したソースの種類に基づいてソースアドレスを入力する必要があります。 [ソースの種類] を [IP] に設定する場合は、192.168.0.0/16 などの 1 つ以上の CIDR ブロックを指定します。最大 2,000 個の CIDR ブロックを指定できます。複数の CIDR ブロックはコンマ (,) で区切ります。一度に複数の CIDR ブロックを入力すると、Cloud Firewall によって、入力された CIDR ブロックを含むアドレス帳が自動的に作成されます。アクセス制御ポリシーを保存すると、Cloud Firewall によって、このアドレス帳の名前を指定するように求められます。 [ソースの種類] を [アドレス帳] に設定する場合は、IP アドレス帳が設定されていることを確認します。アドレス帳の作成方法の詳細については、「アドレス帳を管理する」をご参照ください。 [ソースの種類] を [場所] に設定する場合は、場所にトラフィックソースの 1 つ以上の場所を選択します。中国国内または中国国外の 1 つ以上の場所を選択できます。
ソース
宛先の種類	ネットワークトラフィックの受信者。宛先の種類を選択し、選択した宛先の種類に基づいて、ネットワークトラフィックが送信される宛先アドレスを入力する必要があります。 [宛先の種類] を [IP] に設定する場合は、192.168.0.0/16 などの 1 つ以上の CIDR ブロックを指定します。最大 2,000 個の CIDR ブロックを指定できます。複数の CIDR ブロックはコンマ (,) で区切ります。一度に複数の CIDR ブロックを入力すると、Cloud Firewall によって、入力された CIDR ブロックを含むアドレス帳が自動的に作成されます。アクセス制御ポリシーを保存すると、Cloud Firewall によって、このアドレス帳の名前を指定するように求められます。 [宛先の種類] を [アドレス帳] に設定する場合は、IP アドレス帳が設定されていることを確認します。アドレス帳の作成方法の詳細については、「アドレス帳を管理する」をご参照ください。
宛先
プロトコルの種類	トランスポート層プロトコル。有効値: [TCP]、[UDP]、[ICMP]、[ANY]。プロトコルの種類が不明な場合は、[ANY] を選択します。
ポートの種類	宛先のポートの種類とポート番号。 [ポートの種類] を [ポート] に設定する場合は、ポート範囲を入力します。ポート番号/ポート番号の形式でポート範囲を指定します。例: 22/22 または 80/88。複数のポート範囲はコンマ (,) で区切ります。最大 2,000 個のポート範囲を入力できます。複数のポート範囲を入力すると、Cloud Firewall によって、入力されたポート範囲を含むアドレス帳が自動的に作成されます。アクセス制御ポリシーを保存すると、Cloud Firewall によって、このアドレス帳の名前を指定するように求められます。 [ポートの種類] を [アドレス帳] に設定する場合は、ポートアドレス帳が設定されていることを確認します。アドレス帳の作成方法の詳細については、「アドレス帳を管理する」をご参照ください。
ポート
アプリケーション	トラフィックのアプリケーションの種類。 [プロトコルの種類] を [TCP] に設定すると、[HTTP]、[HTTPS]、[SMTP]、[SMTPS]、[SSL]、[FTP] など、すべてのアプリケーションを選択できます。 [プロトコルの種類] を [UDP] に設定すると、[ANY] または [DNS] を選択できます。 [プロトコルの種類] を [ICMP] または [ANY] に設定すると、[ANY] のみを選択できます。説明 Cloud Firewall は、ポート番号ではなくパケット特性に基づいてアプリケーションの種類を識別します。Cloud Firewall がパケット内のアプリケーションの種類を識別できない場合、Cloud Firewall はパケットを許可します。アプリケーションの種類が不明なトラフィックをブロックする場合は、インターネットファイアウォールの厳格モードを有効にすることをお勧めします。詳細については、「概要」をご参照ください。
操作	トラフィックがアクセス制御ポリシーに指定した上記の条件を満たしている場合にトラフィックに対して実行される操作。有効値: [許可]: トラフィックが許可されます。 [拒否]: トラフィックが拒否され、通知は送信されません。 [監視]: トラフィックが記録され、許可されます。関連フィールドを指定することでトラフィックログをフィルタリングし、一定期間トラフィックを観察できます。その後、ビジネス要件に基づいて、ポリシー操作を [許可] または [拒否] に変更します。
説明	アクセス制御ポリシーの説明。ポリシーの識別に役立つ説明を入力します。
優先度	アクセス制御ポリシーの優先度。デフォルト値: [最低]。有効値: [最高]: アクセス制御ポリシーの優先度が最も高くなります。 [最低]: アクセス制御ポリシーの優先度が最も低くなります。
ポリシーの有効期間	アクセス制御ポリシーの有効期間。ポリシーは、有効期間内にのみトラフィックの照合に使用できます。有効値: 常に有効。単一の期間: このオプションを選択した場合は、単一の期間を指定します。繰り返し周期: このオプションを選択した場合は、ポリシーを有効にする期間と日付を指定します。説明開始日は終了日よりも前である必要があります。ポリシーが有効になるまで 3 ～ 5 分かかります。 [無期限に繰り返す] を選択すると、終了日は自動的に 2099 年 12 月 31 日に設定されます。よくある質問: 繰り返しの期間に指定した期間が 2 つの暦日にまたがる場合、アクセス制御ポリシーは有効になりますか。
有効化ステータス	ポリシーを有効にするかどうかを指定します。アクセス制御ポリシーの作成時に [ステータス] をオフにした場合は、アクセス制御ポリシーのリストでポリシーを有効にできます。

推奨されるインテリジェントポリシーを適用する

Cloud Firewall は、過去 30 日間のトラフィックを自動的に学習し、特定されたトラフィックリスクに基づいて複数のインテリジェントポリシーを推奨します。推奨されるインテリジェントポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

az mysql flexible-server firewall-rule create コマンドを使用して、Web アプリのパブリック IP アドレスの MySQL サーバーファイアウォールを構成します。Web アプリのパブリック IP アドレスは、az webapp show コマンドで取得できます。

警告

推奨ポリシーを適用する前に、その意味とサービスへの潜在的な影響を理解していることを確認してください。
推奨されるインテリジェントポリシーは無視できます。推奨されるインテリジェントポリシーを無視すると、ポリシーは復元できません。注意して進めてください。

推奨されるインテリジェントポリシーが存在するかどうかを確認する

Cloud Firewall によって推奨されるインテリジェントポリシーが生成されているかどうかは、インターネットボーダー ページで確認できます。

左側のナビゲーションウィンドウで、[防御設定] > アクセス制御 > インターネットボーダー を選択します。
[推奨インテリジェントポリシー] ページに移動します。次のいずれかの方法を使用できます。
- ポリシーリストの上にある右上隅で、[インテリジェントポリシー] をクリックします。表示されるパネルで、[送信] または [受信] タブをクリックします。
- アウトバウンド または インバウンド タブで、Create Policy をクリックします。表示されるパネルで、[推奨インテリジェントポリシー] タブをクリックします。
推奨インテリジェントポリシーを表示して適用します。ポリシーを見つけて [ポリシーの適用] をクリックします。または、複数のポリシーを選択して 一括送信 をクリックすることもできます。

推奨される共通ポリシーの適用

推奨される共通ポリシーがビジネス要件を満たしている場合は、ポリシーを適用できます。

警告

推奨ポリシーを適用する前に、その意味とサービスへの潜在的な影響を理解していることを確認してください。
推奨される共通ポリシーは無視できます。推奨される共通ポリシーを無視すると、ポリシーは復元できません。注意して進めてください。すべての推奨される共通ポリシーを無視すると、[推奨される共通ポリシー] タブは表示されなくなります。

左側のナビゲーションウィンドウで、[防御設定] > アクセス制御 > インターネットボーダー を選択します。
アウトバウンド タブまたは インバウンド タブで、Create Policy をクリックします。表示されるパネルで、[推奨される共通ポリシー] タブをクリックします。
推奨される共通ポリシーを表示して適用します。ポリシーを見つけて、Quick Apply をクリックします。

アクセス制御エンジンのモードを設定する

アクセス制御エンジンは、緩和モードと厳格モードをサポートしています。

緩和モード（デフォルト）: 緩和モードを有効にすると、アプリケーションの種類またはドメイン名が不明として識別されたトラフィックが許可されます。これにより、通常のアクセスが確保されます。
厳格モード: 厳格モードを有効にすると、アプリケーションの種類またはドメイン名が不明として識別されたトラフィックは、設定したすべてのポリシーと照合されます。拒否ポリシーを設定した場合、このタイプのトラフィックは拒否されます。

Cloud Firewall では、新しいアセットのデフォルトのアクセス制御エンジンのモードを設定、単一アセットのアクセス制御エンジンのモードを変更、および[防御の設定] > [アクセス制御] > [インターネット境界]複数のアセットのアクセス制御エンジンのモードを同時に変更できます。上記操作を実行するには、[ACL エンジンモード][アクセス制御エンジン管理 - インターネット境界] ページに移動します。インターネット境界ページで、アクセス制御ポリシーリストの右上隅にあるをクリックします。次に、パネルで必要な操作を実行します。

新しいアセットのデフォルトのアクセス制御エンジンのモードを設定する

[アクセス制御エンジン管理 - インターネット境界] パネルでは、[ACL エンジンモードの追加] に指定されたモードが [エンジン管理] セクションに表示されます。指定されたモードは、新しいアセットに自動的に適用されます。

モードを変更するには、変更をクリックします。

アセットのアクセス制御エンジンのモードを変更する

[アクセス制御エンジン管理 - インターネット境界] パネルでは、アセットのアクセス制御エンジンのモードが、アセットの ACL Engine Mode 列に表示されます。

モードを変更するには、[変更] をクリックします。

複数のアセットのアクセス制御エンジンのモードを同時に変更する

[アクセス制御エンジン管理 - インターネット境界] パネルで、複数のアセットを選択し、アセットリストの下にある Batch Modify をクリックして、アクセス制御ポリシーエンジンモードを変更します。

アクセス制御ポリシーのヒットの詳細を表示する

サービスが一定期間実行された後、アクセスコントロールポリシーに関するヒットの詳細を、アクセスコントロールポリシーのリストにある ヒットカウント直近のヒット時間 列で表示できます。

ヒット数をクリックすると、[ログ監査] ページに移動し、トラフィックログを表示できます。詳細については、「ログ監査」をご参照ください。

次の手順

カスタムポリシーを作成した後、カスタムポリシーのリストでポリシーを見つけ、[アクション] 列の [編集]、[削除]、または [コピー] をクリックしてポリシーを管理できます。カスタムポリシーのリストをダウンロードしたり、一度に複数のポリシーを削除したり、[移動] をクリックしてポリシーの優先順位を変更したりできます。

有効な優先順位の値の範囲は 1 から既存のポリシーの数までです。値が小さいほど、優先順位が高くなります。ポリシーの優先順位を変更すると、優先順位が低いポリシーの優先順位が下がります。

重要

ポリシーを削除すると、Cloud Firewall は、ポリシーが元々有効であったトラフィックを管理しなくなります。注意して進めてください。

参照資料

インターネットファイアウォールで、送信を拒否するアクセス制御ポリシーを設定し、送信元を 0.0.0.0/0 に設定しました。しかし、一部のトラフィックは、ポリシーにヒットしないため、依然として許可されています。なぜですか。
セカンダリドメイン名の指定されたサブドメイン名へのアクセスのみを許可するようにアクセス制御ポリシーを設定するにはどうすればよいですか。
インターネットに接続されたアセットから指定されたドメイン名へのトラフィックを管理する方法の詳細については、「インターネットに接続されたサーバーのみが指定されたドメイン名にアクセスできるようにポリシーを設定する」をご参照ください。
特定のリージョンでアクセス制御を実行する方法の詳細については、「中国以外のリージョンからのサーバー宛てのトラフィックを拒否するポリシーを設定する」をご参照ください。
アクセス制御ポリシーのしくみの詳細については、「アクセス制御ポリシーの概要」をご参照ください。
詳細については、「アクセス制御ポリシーを設定する」をご参照ください。
アクセス制御ポリシーの IP アドレス帳、ポートアドレス帳、およびドメインアドレス帳を表示および管理する方法の詳細については、「アドレス帳を管理する」をご参照ください。
アクセス制御ポリシーの設定方法と使用方法の詳細については、「アクセス制御ポリシーに関する FAQ」をご参照ください。