Cloud Firewall のネットワークトラフィック分析に関するよくある質問とソリューション - Cloud Firewall

このトピックでは、Cloud Firewall のネットワークトラフィック分析に関する一般的な問題とその解決策について説明します。

ネットワークトラフィック分析で「不明」なアプリケーションのトラフィックの割合が高いのはなぜですか？
トラフィックソースの上位に多くの不明な ISP が表示されるのはなぜですか？
「アウトバウンド接続」ページにあるインテリジェンスタグの意味は何ですか？
トラフィックの接続に関する問題のトラブルシューティング方法は？
Cloud Firewall におけるトラフィック保護のルール評価順序は？
インターネットへの露出の検出はどのように機能しますか？

帯域幅制限を超過するトラフィックに関連する問題：

サービストラフィックが Cloud Firewall の帯域幅仕様を超えた場合はどうすればよいですか？
帯域幅制限を超過したトラフィックの通知を設定する方法は？
トラフィックの超過にタイムリーに対応できない場合はどうすればよいですか？
Elastic Traffic の最大帯域幅は？

不明なアプリケーションのトラフィックが多い理由

トラフィックが [不明] に分類される理由は次のとおりです：

インターネットからの大量のインバウンドトラフィックが標準プロトコルを使用していない可能性があります。その結果、Cloud Firewall はアプリケーションの種類を識別できません。
宛先サーバーがネットワークトラフィックをブロックし、多数の RST パケットを送信する場合があります。これらのパケットはインバウンドまたはアウトバウンドトラフィックとして記録されます。これらのパケットの量が多い場合、[不明] なトラフィックの割合が増加します。

説明

[ログ監査] ページに移動し、イベントログ または トラフィックログ タブで不明なトラフィックのソースと宛先を確認できます。この情報は、異常なトラフィックを特定するのに役立ちます。

トラフィック上位に不明な ISP が表示される理由

中国本土以外のリージョン (香港 (中国)、マカオ (中国)、台湾 (中国) など) からのインバウンドトラフィックの場合、ファイアウォールは国またはリージョン名のみを表示します。その結果、インターネットサービスプロバイダーは不明と表示されます。

[ログ監査] ページの トラフィックログ タブに移動して、IP アドレスに関連付けられている特定のリージョンとインターネットサービスプロバイダーを表示できます。

インテリジェンスタグ

インテリジェンスタグは、Cloud Firewall が公開情報に基づいてアウトバウンドドメインまたは宛先 IP アドレスに自動的に割り当てる属性です。例として、[悪意のあるダウンロード]、[マイニングプール]、脅威情報、初回、[エポック]、[人気のあるウェブサイト]、[DDoS 攻撃型トロイの木馬] などがあります。インテリジェンスタグの詳細については、[アウトバウンド接続] ページをご参照ください。

[悪意のあるダウンロード]、[マイニングプール]、および 脅威情報 は、Cloud Firewall がアウトバウンド接続に関連する脅威を検出したことを示します。
説明
これらのタグが付いたアウトバウンドアクティビティを速やかに調査し、誤検知がないか確認する必要があります。アクティビティが悪意のあるものであると確認した場合は、アクセス制御ポリシーを設定して管理します。詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
初回：Cloud Firewall がこのアウトバウンド接続を初めて検出したことを示します。
[エポック]：ご利用のアセットが指定されたドメインまたは宛先 IP アドレスに定期的に接続することを示します。
[人気のあるウェブサイト]：ご利用のサーバーまたはサービスが頻繁にアクセスするドメインを示します。
[DDoS 攻撃型トロイの木馬]：Cloud Firewall が DDoS 攻撃の脅威に関連するアウトバウンド接続を検出したことを示します。

トラフィック接続問題のトラブルシューティング

トラフィックが Cloud Firewall を通過する際に、次の問題が発生することがあります：

サーバーにログインできない。
サーバーで実行中のサービスにアクセスできない。
サーバーがインターネットにアクセスできない。

これらの問題を解決するには、インターネット境界ファイアウォールと内部ファイアウォールの両方を調査します。

インターネット境界ファイアウォール

ご利用のアセットでインターネット境界ファイアウォールが有効になっていることを確認します。
トラフィックは、インターネット境界ファイアウォールが有効になった後にのみ Cloud Firewall を通過します。ファイアウォールを有効にする方法の詳細については、「インターネット境界ファイアウォール」をご参照ください。
説明
ご利用のアセットでインターネット境界ファイアウォールが有効になっていない場合、トラフィックは Cloud Firewall を通過しません。この場合、ネットワーク接続の問題など、他の問題を確認する必要があります。
トラフィックログ タブで対応するトラフィックレコードを確認します。
- トラフィックログが見つからない場合、トラフィックはファイアウォールに到達する前にドロップされました。
- トラフィックログが存在し、アクションが Discard の場合、トラフィックはインターネット境界ファイアウォールによってドロップされました。この場合、イベントログ リストで対応するトラフィックを見つけ、ソースの判定 列を確認して、トラフィックをブロックしたモジュールを特定します。
  - ソースが アクセス制御 の場合、トラフィックはアクセス制御ポリシーのいずれかによってブロックされました。ポリシー設定を確認し、変更してください。
  - ソースが 基本的な保護、仮想パッチ、または 脅威情報 の場合、トラフィックは侵入防止ポリシーによってブロックされました。該当するポリシーを無効化するには、Protect > IPS の設定 ページに移動します。
- トラフィックログが存在し、アクションが リリース または [監視] の場合、トラフィックはインターネット境界ファイアウォールによってドロップされていません。この場合、内部ファイアウォール (セキュリティグループ) ポリシーのトラブルシューティングを続行する必要があります。

内部ファイアウォール (セキュリティグループ)

ECS コンソールにログインします。
左側のナビゲーションウィンドウで、[インスタンスとイメージ] > インスタンス を選択します。
接続に問題がある ECS インスタンスを見つけます。Security Group タブで、[セキュリティグループリスト] タブに移動し、セキュリティグループルールがトラフィックを許可していることを確認します。許可ポリシー は許可に設定されている必要があります。

ルール評価順序

Cloud Firewall では、ネットワークトラフィックは次の順序でルールに照らして評価されます：

アクセス制御ポリシー (ACL)
アクセス制御ポリシーを有効にすると、システムはまずトラフィックをポリシーのルールと照合します：
- トラフィックが [拒否] アクションのルールに一致する場合、即座にブロックされ、それ以上の評価は行われません。
- トラフィックが [許可] または [監視] アクションのルールに一致する場合、またはどの ACL ルールにも一致しない場合、評価は次の段階に進みます。
Threat Intelligence (TI)
その後、システムは脅威インテリジェンスデータベースとトラフィックを照合します:
- トラフィックが脅威に一致し、アクションが [ブロック] の場合、評価は停止します。
- それ以外の場合、評価は次の段階に進みます。
侵入防止システム (IPS) モジュール
侵入防止システム (IPS) モジュールは、基本的な保護、インテリジェント防御、および 仮想パッチ のルールセットに対してトラフィックを評価します。これら 3 つのルールセットには特定の優先順位はなく、システムはすべてのルールセットとトラフィックを照合します。いずれかのルールが [ブロック] アクションをトリガーした場合、トラフィックはドロップされます。それ以外の場合、すべてのチェックが完了した後にトラフィックは許可されます。

説明

ACL、TI、および IPS モジュールは独立しており、順次評価されます。評価プロセスは、モジュールがトラフィックをブロックした場合にのみ停止します。それ以外の場合、評価は後続のすべてのモジュールを通じて続行されます。

インターネットへの露出の検出

Cloud Firewall はインバウンドトラフィックデータを分析して、公開されているパブリック IP アドレス、オープンポート、公開アプリケーション、クラウドサービスのパブリック IP などの異常を検出します。インターネットへの露出の詳細を表示する方法については、「インターネットへの露出」をご参照ください。

帯域幅制限を超過するトラフィック

帯域幅超過への対応

サービストラフィックが購入した帯域幅仕様を超えると、サービスレベルアグリーメント (SLA) は保証されません。この超過は、アクセス制御、IPS、ログ監査などのセキュリティ機能の無効化、高トラフィックアセットのファイアウォールバイパス、レート制限によるパケット損失などを含むがこれらに限定されないサービス低下を引き起こす可能性があります。

トラフィックが購入した制限を超えると予想される場合は、サブスクリプションの Elastic Traffic (従量課金) 機能を使用してください。
異常トラフィックのトラブルシューティング方法については、「インターネット境界での異常トラフィックのトラブルシューティング」をご参照ください。
帯域幅をアップグレードする方法については、「更新」をご参照ください。

帯域幅超過通知の設定

帯域幅超過の通知には、帯域幅超過通知と帯域幅超過警告の 2 種類があります。

帯域幅超過通知：いずれかの境界 (インターネット境界、VPC 境界、または NAT 境界) のトラフィックが制限を超えた場合に、当日のリアルタイム統計を提供します。
- トリガーロジック：制限を超過してから 10 分の遅延で通知が送信されます。アラートは 24 時間 365 日送信されます。
- 送信ロジック：通知は 1 日に 1 回のみ送信されます。
  - 注：サブスクリプションの Elastic Traffic (従量課金) 機能を使用している場合、帯域幅超過通知は受信されなくなります。
  - 超過から 10 分以内に帯域幅をアップグレードした場合、アラートはトリガーされません。
トラフィック超過警告: トラフィックが事前定義されたしきい値を超えた場合に、リアルタイムの統計 (10 分の遅延あり) を提供します。現在、トラフィック超過警告はインターネット境界でのみサポートされています。この機能は NAT 境界では利用できません。
- トリガーロジック：現在のトラフィックが設定された警告しきい値を超えています。
- 警告内容のロジック：通知には、過去 24 時間のピーク帯域幅と警告しきい値を超えた回数が含まれます。30 分間隔内のいずれかの時点でしきい値を超えた場合、イベントとしてカウントされます。
- 送信ロジック：警告は 1 日に 1 回のみ送信されます。その日に帯域幅超過通知がすでに送信されている場合、警告は送信されません。
  - Elastic Traffic 処理機能を有効にしている場合、警告は送信されません。
  - 警告は 24 時間送信されます。
- サポートされている通知の種類と設定方法については、「アラート」をご参照ください。

予期せぬトラフィック超過の対応

タイムリーに管理できない短期的なトラフィックバーストが予想される場合は、Cloud Firewall のサブスクリプションの Elastic Traffic (従量課金) 機能を使用してください。

サブスクリプションの Elastic Traffic (従量課金) 機能は、サブスクリプションプランに含まれるクォータを超えるトラフィックに対する後払いモデルです。このモデルでは、既存のサブスクリプションの課金方法を変更することなく、実際の使用量に基づいて超過トラフィックの料金を支払うことができます。詳細については、「サブスクリプションの Elastic Traffic (従量課金)」をご参照ください。

このシナリオは、すべてのトラフィックが後払いで請求されるため、従量課金版には適用されません。

Elastic Traffic の最大帯域幅

デフォルトの 1 日あたりの処理上限は 1,000,000 GB です。注：Cloud Firewall の制限はトラフィック帯域幅に基づいており、秒間クエリ数 (QPS) や接続数などの概念は含まれません。詳細については、「サブスクリプションの Elastic Traffic (従量課金) - 課金」をご参照ください。