このトピックでは、Cloud Firewall でのファイアウォールの有効化と無効化に関するよくある質問への回答、ファイアウォールの有効化による影響、ファイアウォールの有効化後のルートとトラフィックの変更などについて説明します。
インターネットファイアウォール
NAT ファイアウォール
VPC ファイアウォール
ファイアウォールを有効化するとどのような影響がありますか?
ファイアウォールタイプ | 影響 |
インターネットファイアウォール | インターネットファイアウォールを作成、有効化、または無効化すると、数秒以内に保護のためにインターネットファイアウォールにリソースを追加したり、インターネットファイアウォールからリソースを削除したりできます。現在のネットワークトポロジを変更する必要はありません。ワークロードは影響を受けません。 |
NAT ファイアウォール |
|
Express Connect 回線用に作成された仮想プライベートクラウド (VPC) ファイアウォール Basic Edition 転送ルータ用に作成された VPC ファイアウォール |
|
Enterprise Edition 転送ルータ用に作成された VPC ファイアウォール | 自動トラフィックリダイレクト
手動トラフィックリダイレクト
|
Cloud Firewall をリリースするにはどうすればよいですか?
Cloud Firewall が不要になった場合は、Cloud Firewall のリリースを参照してリリースし、不要な料金が発生しないようにすることができます。
アカウントで Cloud Firewall をアクティブ化できないのはなぜですか?
原因
Cloud Firewall コンソールにログインすると、このアカウントは Cloud Firewall を起動できません というメッセージが表示されます。この問題は、次のシナリオで発生する可能性があります。
アカウントが Alibaba Cloud アカウントであり、一元管理のメンバーとして追加されている。
アカウントが Resource Access Management (RAM) ユーザーであり、必要な権限を持っていない。
ソリューション
Cloud Firewall コンソールの右上隅にあるプロファイル画像にポインタを移動すると、アカウントのタイプを表示できます。
アカウントが Alibaba Cloud アカウントの場合は、そのアカウントを使用して Cloud Firewall コンソールにログインし、Cloud Firewall をアクティブ化する必要があります。次に、アカウントに属するクラウドアセットの保護を有効にします。詳細については、「Cloud Firewall の購入」をご参照ください。
アカウントが RAM ユーザーの場合は、RAM ユーザーが属する Alibaba Cloud アカウントを使用して、[createSlr]、[AliyunYundunCloudFirewallReadOnlyAccess]、[AliyunYundunCloudFirewallFullAccess] のポリシーを RAM ユーザーにアタッチする必要があります。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
[createSlr] は、作成する必要があるカスタムポリシーです。次のサンプルコードは、ポリシーの内容の例を示しています。詳細については、「カスタムポリシーを作成する」をご参照ください。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" // サービスリンクロールを作成 ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }説明Resource パラメータの値は、
acs:ram:*:Alibaba Cloud アカウントの ID:role/*の形式で指定する必要があります。ID は、RAM ユーザーが属する Alibaba Cloud アカウントの ID です。
インターネットファイアウォールの目的は何ですか?
インターネットに接続する複数タイプのアセット (Elastic Compute Service (ECS) インスタンスのパブリック IP アドレス、SLB インスタンスのパブリック IP アドレス、EIP など) をインターネットファイアウォールに追加して保護できます。インターネットファイアウォールを有効にすると、システムはインターネット境界でのインバウンドトラフィックとアウトバウンドトラフィックを Cloud Firewall に転送します。次に、Cloud Firewall はトラフィックをフィルタリングし、指定された条件を満たすトラフィックのみを許可します。詳細については、「インターネットファイアウォール」をご参照ください。
インターネットファイアウォールは IPv6 アドレスを保護できますか?
はい、Cloud Firewall は 2025 年 1 月 8 日から IPv6 アドレスの完全な保護をサポートしています。
詳細については、以下のトピックをご参照ください。
インターネットファイアウォールで保護できるクラウドアセットの詳細については、「保護範囲」をご参照ください。
インターネットファイアウォールを有効にした後、ネットワークトラフィックは影響を受けますか?
インターネットファイアウォールを有効にしても、アクセス制御ポリシーまたは侵入防止システム (IPS) のポリシーを構成しない場合、Cloud Firewall はトラフィックを監視し、疑わしいトラフィックのアラートを生成しますが、疑わしいトラフィックをブロックしません。
デフォルトでは、Cloud Firewall をアクティブ化すると、インターネットファイアウォールが有効になります。
インターネットファイアウォールを無効化するとどのような影響がありますか?
インターネットファイアウォールを無効にすると、ネットワークトラフィックはファイアウォールを通過せず、次の問題が発生する可能性があります。
インターネットファイアウォールの保護機能が無効になります。たとえば、作成したアクセス制御ポリシーが無効になり、侵入防止が無効になります。
インターネット境界でのトラフィックの統計 (ネットワークトラフィック分析レポートやトラフィックログなど) は更新されません。
インターネットファイアウォールを有効にすると、SLB インスタンス関連のネットワーク制限が表示されます。なぜですか?
原因
インターネットファイアウォールを有効にすると、「SLB インスタンスのネットワークがこの操作をサポートしていないため、IP アドレスのファイアウォールを有効にできません」 というメッセージが表示されます。原因は、SLB インスタンスにプライベート IP アドレスのみがあり、Cloud Firewall をサポートしていない可能性があります。
解決策
アセットがイントラネット SLB インスタンスの場合は、インスタンスに EIP を関連付けてトラフィックを Cloud Firewall にリダイレクトすることをお勧めします。詳細については、「イントラネット CLB インスタンスに EIP を関連付ける」をご参照ください。
Cloud Firewall Free Edition でアセット同期を実行した後、パブリック IP アドレスが表示されないのはなぜですか?
Cloud Firewall Free Edition は EIP のみを同期できます。新しく追加された EIP に関する情報は、1 日後に Cloud Firewall に表示されます。Cloud Firewall Free Edition は、ECS インスタンスまたは SLB インスタンスのパブリック IP アドレスを同期できません。
VPC ファイアウォールを有効にした後、ECS のセキュリティグループルールは影響を受けますか?
いいえ、セキュリティグループルールは影響を受けません。
VPC ファイアウォールを有効にすると、Cloud_Firewall_Security_Group という名前のセキュリティグループとアクセス制御ポリシーが自動的に作成され、VPC ファイアウォールへのトラフィックが許可されます。セキュリティグループは、VPC 間のトラフィックのみを制御します。既存のセキュリティグループルールは影響を受けません。ECS のセキュリティグループルールを移行または変更する必要はありません。
VPC ファイアウォールを作成すると、承認されていないネットワークインスタンスが存在するというメッセージが表示されるのはなぜですか?
原因
CEN インスタンスは別の Alibaba Cloud アカウントに属する VPC に関連付けられており、Cloud Firewall は VPC の Alibaba Cloud アカウントに属するクラウドリソースにアクセスする権限がありません。
解決策
Alibaba Cloud アカウントで Cloud Firewall コンソールにログインし、メッセージが表示されたらサービスロールを使用して、アカウント内のクラウドリソースにアクセスする権限を Cloud Firewall に付与します。詳細については、「Cloud Firewall に他のクラウドリソースへのアクセスを承認する」をご参照ください。
Basic Edition 転送ルータの VPC ファイアウォールを有効にしました。ルーティングポリシーのアクションが拒否に設定されているルーティングポリシーが転送ルータのルートテーブルに追加されるのはなぜですか?
VPC-test という名前で Basic Edition 転送ルータに接続されている VPC の VPC ファイアウォールを作成して有効にすると、VPC ファイアウォール機能は Cloud_Firewall_VPC という名前の VPC を作成し、転送ルータに接続されていてファイアウォールで保護されていない他の VPC のトラフィックを Cloud Firewall にリダイレクトする静的ルートをアドバタイズします。
また、Cloud Firewall は、Cloud_Firewall_VPC 用に作成された ENI を指すネクストホップを持つ静的ルート 0.0.0.0/0 を Cloud_Firewall_VPC のルートテーブルに追加し、ルーティングポリシーのアクションが拒否に設定されているルーティングポリシーを作成します。これにより、VPC-test は CEN によってアドバタイズされたルートを学習しません。VPC-test のアウトバウンドトラフィックは、静的ルートに基づいて Cloud Firewall にリダイレクトされます。
ルーティングポリシーまたはルートテーブルを変更または削除しないでください。変更または削除すると、Cloud Firewall のトラフィックリダイレクト機能が影響を受け、ワークロードが中断されます。
NAT ファイアウォールを有効にした後、Cloud Firewall がルートテーブルを作成し、静的ルート 0.0.0.0/0 をルートテーブルに追加するのはなぜですか?
NAT ファイアウォールを有効にすると、Cloud Firewall は自動的にカスタムルートテーブル Cloud_Firewall_ROUTE_TABLE を作成し、Cloud Firewall によって保護されている関連する NAT ゲートウェイを指す静的ルート 0.0.0.0/0 をカスタムルートテーブルに追加します。さらに、Cloud Firewall は、システムルートテーブル内の静的ルート 0.0.0.0/0 のネクストホップを NAT ファイアウォールの ENI に変更します。これにより、NAT ゲートウェイのアウトバウンドトラフィックが Cloud Firewall にリダイレクトされます。
ルートテーブルを変更または削除しないでください。変更または削除すると、Cloud Firewall のトラフィックリダイレクト機能が影響を受け、ワークロードが中断されます。
Cloud Firewall は、インターネットファイアウォール、NAT ファイアウォール、および DNS ファイアウォールのアクセス制御ポリシーとアウトバウンドトラフィックをどのように照合しますか?
ECS インスタンスがドメイン名にアクセスする場合、インターネットファイアウォール、NAT ファイアウォール、およびドメインネームシステム (DNS) ファイアウォールが有効になっていると、トラフィックは次の手順で照合されます。
ECS インスタンスは DNS リクエストを開始します。DNS リクエストは DNS ファイアウォールを通過し、DNS ファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
ECS インスタンスから発信されたプライベートネットワークトラフィックは NAT ファイアウォールを通過し、NAT ファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
許可されたプライベートネットワークトラフィックは NAT ゲートウェイを通過し、プライベートトラフィックの送信元 IP アドレスは NAT ゲートウェイのパブリック IP アドレスに変換されます。
インターネットトラフィックは NAT ゲートウェイによってインターネットファイアウォールに転送され、インターネットファイアウォール用に作成されたアクセス制御ポリシーと照合されます。
トラフィックは、Cloud Firewall の脅威インテリジェンスルール、基本保護ポリシー、インテリジェンス防御ルール、仮想パッチルールと順番に照合されます。
トラフィックが上記の手順で拒否ポリシーにヒットしない場合、トラフィックはドメイン名に到達します。トラフィックが拒否ポリシーにヒットした場合、トラフィックは拒否され、ドメイン名に到達できません。
NAT ファイアウォールのアクセス制御ポリシーを構成した後も、関連する ECS インスタンスは引き続き telnet コマンドを実行して他のドメイン名にアクセスできます。なぜですか?
EIP は SNAT エントリに関連付けられており、EIP に NAT ファイアウォールが有効になっており、関連する ECS インスタンスが HTTP または HTTPS アプリケーションを使用して TCP 経由で特定のドメイン名にアクセスすることを許可するアクセス制御ポリシーが構成されています。ただし、ECS インスタンスは引き続き telnet コマンドを実行して他のドメイン名にアクセスできます。
原因: telnet コマンドを実行してテストを実行する場合、telnet コマンドには HTTP や HTTPS などのアプリケーションの機能がないため、Cloud Firewall はディープパケットインスペクション (DPI) を使用してトラフィックのアプリケーションを識別できません。この場合、トラフィックのアプリケーションタイプは不明であり、トラフィックは HTTP または HTTPS ポリシーにヒットしません。緩和モードでは、Cloud Firewall がアプリケーションベースまたはドメインベースのアクセス制御ポリシーとトラフィックを照合するときにトラフィックのドメイン名またはアプリケーションタイプが識別されない場合、Cloud Firewall は自動的にトラフィックを許可します。後続のポリシーと照合する場合は、厳格モードを有効にします。
重要厳格モードはグローバルに構成されます。厳格モードを有効にすると、すべてのトラフィックの照合ロジックが影響を受けます。注意して進めてください。
解決策: telnet コマンドではなく、curl コマンドを実行してテストすることをお勧めします。
インターネットファイアウォールのアクセス制御ポリシーを効率的に有効化および構成するにはどうすればよいですか?
クラウドコンピューティングは、企業のデジタルトランスフォーメーションにとって避けられない選択肢となっています。より広範なクラウドベースのソリューションは、より複雑なビジネスアーキテクチャを構成し、セキュリティ境界はより不明瞭になります。企業は Cloud Firewall を使用して、クラウドネットワーク境界で保護を提供できます。ただし、多数のパブリック IP アドレスが使用されている場合、アクセス制御ポリシーの構成は複雑になります。
Cloud Firewall はインテリジェントポリシーを提供します。Cloud Firewall は、過去 30 日間のトラフィック特性と、クラウドサービスおよび IP アドレスのアクセスとアウトバウンド接続を自動的に学習し、各宛先 IP アドレスまたはドメイン名に適切なアクセス制御ポリシーを自動的に推奨します。これにより、インターネットの露出と侵入のリスクが軽減され、悪意のあるアウトバウンド IP アドレスとドメイン名がブロックされます。
インターネットファイアウォールにインテリジェントアクセス制御ポリシーを適用する方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。
Enterprise Edition 転送ルータ用に作成できる VPC ファイアウォールの新旧バージョンの違いは何ですか?
Cloud Firewall は、Enterprise Edition 転送ルータ用に作成できる VPC ファイアウォールの特定の機能を調整しました。VPC ファイアウォールが作成されると、ファイアウォール VPC が自動的に作成されます。VPC ファイアウォールが自動トラフィックリダイレクトモードで作成された場合、VPC の所有者はユーザーアカウントからサービスアカウントに変更されます。次のリストは、具体的な違いを示しています。
ファイアウォール VPC の所有者: 新バージョンでは、ファイアウォール VPC はユーザーアカウントに属さなくなりました。ファイアウォール VPC は Cloud Firewall のサービスアカウントに属します。ファイアウォール VPC のリソースと構成を表示または変更することはできず、ファイアウォール VPC はリージョン内の VPC クォータを占有しません。
課金方法: 旧バージョンでは、トラフィックリダイレクト中に転送ルータとサービス VPC 間、および転送ルータとファイアウォール VPC 間のトラフィック転送に対して課金されます。新バージョンでは、ファイアウォール VPC は Cloud Firewall に属します。したがって、転送ルータとファイアウォール VPC 間のトラフィック転送の料金は Cloud Firewall の請求書に含まれています。料金を支払う必要はありません。
VPC ファイアウォールの有効化: VPC ファイアウォールを作成するときに、vSwitch に 3 つの CIDR ブロックを指定する必要はありません。少なくとも 27 ビットの長さで、ネットワークプランと競合しない CIDR ブロックを 1 つだけ指定する必要があります。サブネットは、VPC ファイアウォールを作成するために必要な vSwitch に自動的に割り当てられます。Enterprise Edition 転送ルータの VPC ファイアウォールを構成する方法の詳細については、「Enterprise Edition 転送ルータの VPC ファイアウォールを構成する」をご参照ください。
Enterprise Edition 転送ルータの新バージョンの VPC ファイアウォールを有効にする
重要自動トラフィックリダイレクトモードのみがサポートされています。Cloud Firewall が従量課金方式を使用していることを確認してください。Cloud Firewall がサブスクリプション課金方式を使用している場合は、バースト対応保護トラフィック機能が有効になっていることを確認してください。
VPC ファイアウォールが作成されていない場合は、次の手順を実行します。バースト対応保護トラフィック機能を有効にしてから、VPC ファイアウォールを作成します。Cloud Firewall が従量課金方式を使用している場合は、この機能を有効にする必要はありません。
警告上記の手順はこの順序で厳密に実行する必要があります。
VPC ファイアウォールが作成されている場合は、次の手順を実行します。
VPC ファイアウォール用に作成されたトラフィックリダイレクトシナリオを削除してから、VPC ファイアウォールを削除します。
バースト対応保護トラフィック機能を有効にします。
VPC ファイアウォールとトラフィックリダイレクトシナリオを作成します。
バースト対応保護トラフィック機能を有効にする方法の詳細については、「バースト対応保護トラフィック」をご参照ください。
アセットを VPC ファイアウォールに追加するときにレイテンシは発生しますか?
はい、アセットを VPC ファイアウォールに追加するときにレイテンシが発生します。
アセットと VPC ファイアウォールが同じリージョンの異なるゾーンにある場合、4 ~ 8 ミリ秒のレイテンシが発生します。アセットと VPC ファイアウォールが同じゾーンにある場合、2 ~ 3 ミリ秒のレイテンシが発生します。