本トピックでは、Cloud Firewall の有効化または無効化に関するよくある質問とその回答をまとめています。サービスへの影響およびルートやトラフィックに生じる変更についても説明します。
インターネット境界ファイアウォール
NAT ファイアウォール
VPC ファイアウォール
ファイアウォールを有効化した際の影響
ファイアウォールの種類 | 影響 |
インターネット境界ファイアウォール | ネットワークトポロジーを変更することなく、インターネット境界ファイアウォールを自由に作成・有効化・無効化できます。アセットの保護を数秒で追加または解除でき、サービスへの影響はありません。 |
NAT ファイアウォール |
|
Express Connect の VPC ファイアウォール Basic Edition トランジットルーター用の VPC ファイアウォール |
|
Enterprise Edition トランジットルーター用 VPC ファイアウォール | 自動転送
手動転送
|
Cloud Firewall を無効化する方法
ご利用のサービスで Cloud Firewall の保護が不要になった場合は、インスタンスのリリースにより、今後の課金を回避できます。
トラフィック超過時の対応
サービスのトラフィックが購入済みの帯域幅仕様を超えた場合、サービスレベル契約 (SLA) は保証されません。この超過により、サービス低下が発生する可能性があり、これにはアクセス制御、侵入防止 (IPS)、ログ監査などのセキュリティ機能の無効化、高トラフィックアセットに対するファイアウォールバイパス、レート制限によるパケット損失などが含まれます。
トラフィックが購入済みの上限を超えることが予想される場合は、サブスクリプション弾力的トラフィック従量課金 機能をご利用ください。
異常トラフィックのトラブルシューティング方法については、「インターネット境界における異常トラフィックのトラブルシューティング」をご参照ください。
帯域幅のアップグレード方法については、「更新」をご参照ください。
アカウントで Cloud Firewall を有効化できない理由
原因
Cloud Firewall コンソールにログインすると、「このアカウントは Cloud Firewall を起動できません」というメッセージが表示されます。これは以下のいずれかの理由により発生します:
Alibaba Cloud アカウントが、他の Alibaba Cloud アカウントによって管理されるメンバーアカウントである。
必要な権限を持たない RAM ユーザーとしてログインしている。
解決策
コンソール右上隅のプロフィール画像にカーソルを合わせることで、アカウントの種類を確認できます。
アカウントが Alibaba Cloud アカウントである場合:
このメンバーアカウントを中央管理する管理者アカウントを使用して、Cloud Firewall コンソールにログインし、サービスを有効化した後、メンバーアカウントのクラウドアセットに対する保護を有効化してください。詳細については、「Cloud Firewall の購入」をご参照ください。
アカウントが RAM ユーザー(サブアカウント)の場合:親の Alibaba Cloud アカウント(メインアカウント)から、RAM ユーザーに対して createSlr、AliyunYundunCloudFirewallReadOnlyAccess、および AliyunYundunCloudFirewallFullAccess の権限を付与する必要があります。「RAM ユーザーの権限管理」をご参照ください。
ここで、createSlr はカスタム権限ポリシーです。このポリシーを作成する必要があります。スクリプトは以下のとおりです。「カスタム権限ポリシーの作成」をご参照ください。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }説明Resourceパラメーターの形式はacs:ram:*:Alibaba Cloud アカウント ID:role/*であり、Alibaba Cloud アカウント IDは RAM ユーザーを所有するルートアカウントの ID です。
インターネット境界ファイアウォールの目的
インターネット境界ファイアウォールは、ECS インスタンス、SLB インスタンス、EIP のパブリック IP アドレスなど、さまざまなタイプのパブリックアセットを保護できます。インターネット境界ファイアウォールを有効化すると、これらのアセットのインターネット境界における出入りのトラフィックが Cloud Firewall に転送されます。Cloud Firewall はトラフィックを検査およびフィルター処理し、指定された条件を満たすトラフィックのみを通過させます。「インターネット境界ファイアウォール」をご参照ください。
インターネット境界ファイアウォールは IPv6 アセットを保護しますか?
はい。2025 年 1 月 8 日以降、Cloud Firewall は IPv6 アセットの保護を完全にサポートしています。
関連アナウンス:「[アナウンス] サブスクリプションおよび従量課金 Cloud Firewall におけるパブリック IPv6 の商用提供開始」
詳細な原理およびアセットの種類については、「インターネット境界ファイアウォールの仕組み」をご参照ください。
インターネット境界ファイアウォールが保護可能なアセットの範囲については、「保護範囲」をご参照ください。
インターネット境界ファイアウォールはネットワークトラフィックに影響を与えますか?
アクセス制御または侵入防止ポリシーを一切設定せずにインターネット境界ファイアウォールのみを有効化した場合、Cloud Firewall はトラフィックを検査してアラートを生成するのみであり、トラフィックをブロックしません。
Cloud Firewall を購入すると、すべてのアセットに対してインターネット境界ファイアウォールがデフォルトで有効化されます。
インターネット境界ファイアウォールを無効化した際の影響
インターネット境界ファイアウォールを無効化すると、すべてのトラフィックがこれをバイパスするため、以下の影響が生じます:
インターネット境界ファイアウォールの保護機能(インターネット境界におけるインバウンドおよびアウトバウンドトラフィックのアクセス制御ポリシー、侵入防止)が無効になります。
インターネット境界のトラフィック統計(ネットワークトラフィック分析レポートおよびログを含む)が生成されなくなります。
インターネット境界ファイアウォールを有効化した際の SLB ネットワーク制限エラー
原因
インターネット境界ファイアウォールを有効化すると、「この IP アドレスに対してファイアウォールを有効化できません。SLB インスタンスのネットワークはこの操作をサポートしていません。」というメッセージが表示されることがあります。これは、SLB アセットがプライベート IP アドレスのみを持つ場合に発生し、このようなアセットは Cloud Firewall の保護をサポートしません。
解決策
プライベート IP アドレスのみを持つアセットについては、EIP を関連付けることで Cloud Firewall の保護を有効化できます。これにより、トラフィックがファイアウォールに転送されます。「内部向け CLB インスタンスの EIP の関連付けおよび管理」をご参照ください。
無料版でアセットを同期した後にパブリック IP が表示されない理由
Cloud Firewall 無料版では、EIP アセットのみを同期できます。新規に追加されたアセットは、24 時間の遅延(T+1 日)後に Cloud Firewall に表示されます。ECS や SLB インスタンスのパブリック IP アドレスは同期できません。
インターネット境界ファイアウォールのアセットステータスが「保護異常」となる理由
原因
アセットがクラシックネットワークから VPC への移行の一部であった。
パブリック向けクラシックロードバランサー (CLB) インスタンスが解放された際に、そのパブリック IP アドレスが EIP に変換され、保持された。
解決策
保護を無効化 をクリックした後、保護を有効化 をクリックして、正常なステータスを復元します。
VPC ファイアウォールを有効化すると ECS セキュリティグループルールに影響がありますか?
いいえ。
VPC ファイアウォールを有効化すると、Cloud Firewall は自動的に「Cloud_Firewall_Security_Group」という名前のセキュリティグループと、VPC ファイアウォールを通過するトラフィックを許可する対応する許可ポリシーを作成します。このセキュリティグループは当該 VPC 内のトラフィックのみを管理します。既存の ECS セキュリティグループルールは引き続き有効です。
VPC ファイアウォールを作成すると「未承認のネットワークインスタンス」エラーが表示される理由
原因
CEN インスタンスに、別の Alibaba Cloud アカウントが所有する VPC が含まれており、そのアカウントが Cloud Firewall によるクラウドリソースへのアクセスを承認していません。
解決策
未承認の Alibaba Cloud アカウントで Cloud Firewall コンソール にログインし、画面上の指示に従って Cloud Firewall のサービスタイプロールを承認してください。「Cloud Firewall によるクラウドリソースへのアクセス権限の付与」をご参照ください。
Basic Edition トランジットルーターの拒否ルートポリシー
Basic Edition トランジットルーター経由で接続された VPC(例:VPC-test)に対して VPC ファイアウォールを有効化すると、Cloud Firewall は当該トランジットルーター下に「Cloud_Firewall_VPC」という新しい VPC を作成します。また、同じトランジットルーター下の他の保護されていない VPC からのトラフィックを Cloud Firewall にリダイレクトするための静的ルートを公開します。
同時に、Cloud Firewall は VPC-test 内にファイアウォールの ENI を指す静的ルートを追加し、VPC-test からのアウトバウンドトラフィックをファイアウォールにリダイレクトします。さらに、CEN インスタンスが公開するルートを VPC-test が学習しないようにするための拒否ルートポリシーを作成します。
上記のルートポリシーおよびルートテーブルを変更または削除しないでください。これにより Cloud Firewall のトラフィックリダイレクトが妨げられ、サービス中断が発生します。
NAT ファイアウォールがルートテーブルおよび 0.0.0.0/0 ルートを作成する理由
NAT ファイアウォールを有効化すると、Cloud Firewall は自動的に「Cloud_Firewall_ROUTE_TABLE」という名前のカスタムルートテーブルを作成し、NAT ゲートウェイを指す 0.0.0.0/0 ルートを追加します。また、システムルートテーブルの 0.0.0.0/0 ルートエントリを変更し、ネクストホップをファイアウォールの ENI に設定します。これにより、NAT ゲートウェイからのアウトバウンドトラフィックが Cloud Firewall にリダイレクトされます。
このルートテーブルおよびそのルートエントリを変更または削除しないでください。これにより Cloud Firewall のトラフィックリダイレクトが妨げられ、サービス中断が発生します。
複数のファイアウォールが有効な場合のアウトバウンドトラフィックのマッチング
ECS インスタンスがドメインに対してアウトバウンドリクエストを開始し、3 つのファイアウォールがすべて有効な場合、トラフィックは以下の順序でマッチングされます:
ECS インスタンスが DNS リクエストを送信し、DNS ファイアウォールを通過してそのアクセス制御ポリシーとマッチングされます。
ECS インスタンスからのプライベートネットワークトラフィックが NAT ファイアウォールを通過し、そのアクセス制御ポリシーとマッチングされます。
許可されたプライベートトラフィックが NAT ゲートウェイを通過し、プライベートの送信元 IP アドレスがパブリック IP アドレスに変換されます。
NAT ゲートウェイがパブリックトラフィックをインターネット境界ファイアウォールに送信し、インターネット境界ファイアウォールのアクセス制御ポリシーとマッチングされます。
その後、トラフィックは Cloud Firewall の脅威インテリジェンス、基本保護、インテリジェンス防御、仮想パッチのルールとマッチングされます。
このプロセス中に拒否ポリシーとマッチしなかった場合、トラフィックはドメインに到達します。いずれかの拒否ポリシーとマッチした場合、トラフィックはブロックされ、ドメインにアクセスできません。
NAT ファイアウォールポリシーを設定した後も telnet が動作する理由
EIP が SNAT エントリにバインドされ、NAT ファイアウォールが有効化され、ECS インスタンスが特定のドメインに HTTP または HTTPS を使用して TCP 経由でアクセスすることのみを許可するアクセス制御ポリシーが設定されていますが、ECS インスタンスは依然として telnet コマンドを使用して他のドメインにアクセスできます。
原因:telnet コマンドでテストを行うと、HTTP や HTTPS などのアプリケーション層プロトコル機能が欠如します。その結果、Cloud Firewall のディープパケットインスペクション (DPI) では特定のアプリケーションを識別できず、「Unknown」とラベル付けされます。このトラフィックは HTTP または HTTPS ポリシーとマッチしません。マッチングロジックが緩やかなモードの場合、アプリケーションまたはドメインポリシーのマッチング時に、識別できないアプリケーションまたはドメインのトラフィックはデフォルトで許可されます。このようなトラフィックを後続のポリシーとマッチさせるには、Strict モードを有効化する必要があります。
重要Strict モードはグローバル設定です。これを有効化すると、すべてのトラフィックのマッチングロジックに影響を与えます。ビジネス要件に基づいて慎重に実施してください。
解決策:telnet をテストに使用することは推奨しません。代わりに curl コマンドをご利用ください。
トランジットルーターの一部のトラフィックが NAT ファイアウォールをバイパスする理由
この問題は、通常、トランジットルーター (TR) の VPC 接続が NAT ファイアウォールによって自動的に作成された専用 vSwitch に関連付けられている場合に発生します。
動作の仕組み:
NAT ファイアウォールは、トラフィックを管理するために特定のルート構成に依存します。標準的な構成では、以下のプロセスが実行されます:
サービストラフィックのリダイレクト:VPC 内のサービス vSwitch のルートテーブルが、インターネット向けトラフィックを NAT ファイアウォールをネクストホップとして転送します。これにより、すべてのトラフィックが最初にセキュリティ検査を受けるようになります。
ファイアウォールトラフィックの転送:NAT ファイアウォールがトラフィックを検査した後、その専用 vSwitch のルートテーブルがトラフィックを NAT ゲートウェイをネクストホップとして転送し、その後インターネットに送信します。
誤った構成の影響
TR の接続ポイントを NAT ファイアウォールの専用 vSwitch に関連付けた場合、TR からのインターネット向けトラフィックはこの vSwitch に直接流入します。このトラフィックは、ネクストホップが NAT ゲートウェイであるルートエントリとマッチし、NAT ファイアウォールのセキュリティ検査をバイパスします。これにより、一部のトラフィックが監視されなくなります。
推奨される構成
すべてのインターネット向けトラフィックが NAT ファイアウォールによって処理されるようにするには、以下のベストプラクティスに従ってください:
vSwitch の隔離:NAT ファイアウォールの専用 vSwitch は、TR の接続ポイントなど、他の目的で使用してはなりません。
独立した計画:TR の VPC 接続用に、別途専用の vSwitch を割り当てます。
ルートの検証:TR 接続の vSwitch に関連付けられたルートテーブルを含む、関連するすべてのルートテーブルが、インターネット向けルートを NAT ファイアウォールをネクストホップとして正しく構成されていることを確認します。
Cloud Firewall インターネット境界アクセス制御ポリシーを効率的に有効化および構成する方法
クラウドコンピューティングがデジタルトランスフォーメーションに不可欠となるにつれ、ビジネスアーキテクチャは複雑化し、セキュリティ境界は曖昧になっています。企業は Cloud Firewall を活用してクラウドネットワークの境界を保護できますが、多数のパブリック IP アドレスがある場合、アクセス制御ポリシーの構成は複雑になる可能性があります。
Cloud Firewall は、過去 30 日間のトラフィックを自動的に分析するインテリジェントポリシーを提供します。これには、クラウド IP アセットおよびサービスへのアクセス方法、およびアウトバウンド接続の方法も含まれます。この分析に基づき、各宛先 IP アドレスまたはドメインに対してインターネット境界ファイアウォールの適切なアクセス制御ポリシーを提案します。これにより、インターネット攻撃対象領域を縮小し、悪意のある内部から外部への IP アドレスおよびドメインをブロックし、サービスへの侵入リスクを低減できます。
インターネット境界ファイアウォールのインテリジェントアクセス制御ポリシーの展開方法については、「インターネット境界ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
Enterprise TR 用 VPC ファイアウォール:バージョンの違い
Cloud Firewall は、Enterprise Edition トランジットルーター用 VPC ファイアウォールの一部の機能を調整しました。自動転送で作成されたファイアウォールの場合、ファイアウォール VPC の所有者はお客様のアカウントからマネージドサービスアカウントに変更されています。主な違いは以下のとおりです:
ファイアウォール VPC の所有者:新バージョンでは、ファイアウォール VPC はお客様のアカウントではなく Cloud Firewall のバックグラウンドアカウントが所有します。お客様はファイアウォール VPC のリソースおよび構成を表示または変更できません。また、この VPC はお客様のリージョン VPC クォータを消費しません。
課金:旧アーキテクチャでは、トランジットルーターとサービス VPC の間、およびトランジットルーターとファイアウォール VPC の間のトラフィック転送料金が課金されていました。新バージョンでは、ファイアウォール VPC が Cloud Firewall が所有するため、トランジットルーターとファイアウォール VPC の間のトラフィック転送料金も Cloud Firewall が負担します。
VPC ファイアウォールの有効化:VPC ファイアウォールを作成する際に、3 つの vSwitch CIDR ブロックを入力する必要はありません。ネットワークプランと競合しない /27 以上の 1 つの CIDR ブロックのみを入力します。この CIDR ブロックは、ファイアウォール作成時に必要な vSwitch を割り当てるために使用されます。Enterprise Edition トランジットルーター用 VPC ファイアウォールの構成については、「Enterprise Edition トランジットルーター用 VPC ファイアウォールの構成」をご参照ください。
新 Enterprise TR VPC ファイアウォールの有効化
要件:これは自動転送のみをサポートします。Cloud Firewall エディションは従量課金版、または弾力的トラフィック従量課金機能が有効化されたサブスクリプション版である必要があります。
VPC ファイアウォールを作成していない場合:まず、バースト可能保護トラフィック機能を有効化します(従量課金のお客様はこのステップをスキップできます)、その後、VPC ファイアウォールを作成します。
警告この順序を厳守する必要があります。
すでに VPC ファイアウォールを作成済みの場合:
トラフィックリダイレクトシナリオおよび既存の VPC ファイアウォールを削除します。
バースト可能保護トラフィック機能を有効化します(従量課金のお客様はこのステップをスキップできます)。
VPC ファイアウォールおよびトラフィックリダイレクトシナリオを再作成します。
バースト可能保護トラフィック機能の有効化手順については、「サブスクリプションでの弾力的トラフィック従量課金」をご参照ください。
VPC ファイアウォールにはレイテンシがありますか?
はい。
VPC ファイアウォールは、同一リージョン内の異なるゾーン間のトラフィックに 4~8 ms、同一ゾーン内のトラフィックに 2~3 ms のレイテンシを追加します。