インターネットファイアウォールは、パブリックアセットのインバウンドおよびアウトバウンドのインターネットトラフィックを詳細に制御します。これにより、パブリックアセットのインターネットへの公開が減り、サービストラフィックへのセキュリティリスクが低減されます。現在のネットワークトポロジーを変更することなくインターネットファイアウォールを有効にでき、ワンクリックで数秒のうちにリソースを保護できます。これにより、インバウンドおよびアウトバウンドのインターネットトラフィックに対する視覚的な分析、攻撃防御、アクセスの制御、ログ監査などの機能を迅速に実装できます。
特徴
仕組み
パブリックアセット に対してインターネットファイアウォールを有効にすると、Cloud Firewall はディープパケットインスペクション (DPI) トラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、およびアクセス制御ポリシーに基づいてインバウンドおよびアウトバウンドトラフィックをフィルタリングします。ファイアウォールは、トラフィックが許可基準を満たしているかどうかを判断し、不正なアクセス試行を効果的にブロックします。これにより、パブリックアセットとインターネット間のトラフィックのセキュリティが確保されます。
保護対象のパブリックアセットの範囲 (アウトバウンドおよびインバウンド): これには、ECS、EIP (レイヤー 2 EIP を含む)、Server Load Balancer (SLB)、Bastionhost、NAT Gateway、HAVIP、GA EIP などのパブリック IPv4 および IPv6 アセットが含まれます。
以下の図は、インターネットファイアウォールの保護シナリオの例を示しています。
サービスへの影響
ネットワークトポロジーを変更することなく、インターネットファイアウォールを作成、有効化、または無効化できます。ワンクリックで数秒のうちにリソースを保護または保護解除でき、サービスに影響はありません。オフピーク時間にインターネットファイアウォールを有効にすることをお勧めします。
保護仕様
2025 年 10 月 15 日から、Cloud Firewall は 課金方法 2.0 をリリースします。新規ユーザーはデフォルトで課金方法 2.0 を使用し、既存ユーザーは引き続き 課金方法 1.0 を使用します。インターネットファイアウォールの仕様は、2 つの課金方法で異なります。
課金方法 2.0
保護仕様 | 説明 | Cloud Firewall サブスクリプション (プレミアム、エンタープライズ、アルティメットエディション) | Cloud Firewall 従量課金 |
ファイアウォールインスタンスの数 | 保護できるリージョンの数。保護された各リージョンは、1 つのインターネットファイアウォールインスタンスに対応します。 | 購入したインスタンスと帯域幅の数によって異なります。さまざまなエディションで提供されるインスタンスと帯域幅の数の詳細については、「サブスクリプション 2.0」をご参照ください。クォータが不十分な場合は、仕様をスペックアップできます。詳細については、「アセットの保護ステータスを表示する」をご参照ください。 | 課金は、ファイアウォールインスタンスの実際の数と処理された合計トラフィックに基づきます。 サポートされる最大ピーク帯域幅は 10 Gbps です。より高い仕様が必要な場合は、ビジネス担当者またはアーキテクトにお問い合わせください。課金の詳細については、「従量課金 2.0」をご参照ください。 |
保護されたインターネットトラフィック | ファイアウォールによって処理される合計インターネットトラフィックのピーク。課金対象の帯域幅は、インバウンドとアウトバウンドのインターネットトラフィック帯域幅の合計です。 |
課金方法 1.0
保護仕様 | 説明 | Cloud Firewall サブスクリプション (プレミアム、エンタープライズ、アルティメットエディション) | Cloud Firewall 従量課金 |
保護可能なパブリック IP アドレスの数 | インターネットファイアウォールを有効にできるパブリック IP アドレスの数。 | クォータは、購入した保護可能なパブリック IP アドレスの数とピーク合計トラフィックによって異なります。クォータが不十分な場合は、仕様をスペックアップできます。 Cloud Firewall のエディションによって、パブリック IP アドレスのクォータが異なります。詳細については、「サブスクリプション 1.0」をご参照ください。 説明 サービストラフィックが購入した Cloud Firewall のトラフィック処理能力を超えた場合、プロダクトのサービスレベルアグリーメント (SLA) は保証されません。これにより、セキュリティ機能 (ACL、IPS、ログ監査) の無効化、トラフィック制限を超えたアセットのファイアウォールのシャットダウン、レート制限によるパケット損失などの保護措置がトリガーされる可能性があります。 サービストラフィックが制限を超えるリスクがある場合は、「サブスクリプションの弾性トラフィックに対する従量課金」をご参照ください。 | 課金は、保護が有効になっているパブリック IP アドレスの実際の数と、処理された合計トラフィックのピークに基づきます。クォータ制限はありません。課金の詳細については、「従量課金 1.0」をご参照ください。 |
保護されたインターネットトラフィック | 処理された合計インターネットトラフィックのピーク。課金対象の帯域幅は、インバウンドまたはアウトバウンドのインターネットトラフィック帯域幅のいずれか高い方です。 |
アセットの保護ステータスを表示する
Cloud Firewall は、現在のインターネットファイアウォールインスタンスの数と保護されていないパブリック IP アドレスの数に関する統計を収集します。必要に応じて、パブリックアセットの保護を有効にできます。
サービストラフィックのセキュリティを確保するために、Alibaba Cloud アカウント内のすべてのパブリックアセットに対してインターネットファイアウォール保護を有効にすることをお勧めします。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、Alibaba Cloud アカウント内のパブリックアセットの保護ステータスを表示します。
(オプション) Available Quotas の数が不十分な場合は、アップグレード をクリックして仕様をスペックアップします。詳細については、「サブスクリプション 2.0」をご参照ください。
ファイアウォールを有効にする
ワンクリックでアセットの保護を有効にする
Automatic Protection for New Assets が無効になっている場合、パブリックアセットのインターネットファイアウォール保護を手動で有効にできます。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックして、パブリックアセットの保護を手動で有効にします。
保護したいアセットがパブリックアセットリストにない場合は、リストの右上隅にある Synchronize Assets をクリックします。この操作により、Alibaba Cloud アカウントとそのメンバーアカウントのアセット情報が同期されます。アセットの同期には 1〜2 分かかります。
単一アセットの保護を有効にする
パブリックアセットリストで、保護したいパブリックアセットを見つけます。[操作] 列で、Enable Protection をクリックします。
複数のアセットの保護をバッチで有効にする
パブリックアセットリストで、保護したいパブリックアセットを選択します。リストの下で、Enable Protection をクリックします。
また、データ統計エリアで Enable Protection をクリックして、パブリック IP アドレス、リージョン、アセットタイプなどのディメンションに基づいて、すべてのパブリックアセットのインターネットファイアウォール保護を有効にすることもできます。
新しいアセットの自動保護を有効にする
Automatic Protection for New Assets を有効にすると、Cloud Firewall は、Alibaba Cloud アカウントとそのメンバーアカウントに追加された新しいパブリックアセットに対してインターネットファイアウォール保護を自動的に有効にします。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、Automatic Protection for New Assets をクリックし、この機能を適用したいパブリックアセットを選択します。
次のステップ
インターネットファイアウォールを作成した後、パブリックアセットのアクセス制御ポリシーを構成し、アクセスログを表示できます。これにより、パブリックアセットとインターネット間のトラフィックをより適切に制御できます。
アクセス制御ポリシーの構成
アクセス制御ポリシーを構成しない場合、Cloud Firewall はデフォルトですべてのトラフィックを許可します。インターネットファイアウォールのアクセス制御ポリシーを作成して、パブリックアセットとインターネット間のトラフィックを詳細に制御できます。
ページで、ターゲットのインターネットファイアウォールを見つけます。操作する 列で、[ポリシーの構成] をクリックします。次に、パブリックアセットに対してアウトバウンドまたはインバウンドのアクセス制御ポリシーを構成するかどうかを選択します。詳細については、「インターネットファイアウォールのアクセス制御ポリシーを構成する」をご参照ください。
監査ログのクエリ
ページの タブに移動します。フィルター条件を設定して、パブリックアセットとインターネット間のアクセスログを表示できます。詳細については、「ログ監査」をご参照ください。
ネットワークトラフィック分析の表示
ページでは、サービスアセットからインターネットへのアウトバウンド接続に関するデータを表示できます。これには、アウトバウンドの異常トラフィックの追跡、アセットがアクセスした宛先インターネットアドレス、パブリックアセットからのアウトバウンド接続、プライベートネットワークアセットからのアウトバウンド接続のデータが含まれます。これにより、不審なアセットを特定し、サービスのセキュリティを確保できます。詳細については、「アウトバウンド接続」をご参照ください。
ページでは、サービスアセットへのインターネットアクセスに関するデータを表示できます。これには、インバウンドの異常トラフィックの追跡、サービスアセットのオープンなパブリック IP アドレス、オープンポート、オープン系アプリケーション、およびクラウドプロダクトのパブリック IP アドレスの数が含まれます。これにより、不審なアセットを特定し、サービスのセキュリティを確保できます。詳細については、「インターネット公開」をご参照ください。
攻撃防御データの表示
ページで、ターゲットのインターネットファイアウォールを見つけます。[操作] 列で、[攻撃の表示] をクリックします。次に、パブリックアセットのアウトバウンドまたはインバウンドの攻撃防御データを表示するかどうかを選択します。詳細については、「侵入防止」をご参照ください。
インターネットトラフィック処理ステータスの表示
左側のナビゲーションウィンドウで、概要 をクリックします。概要 ページの Asset Protection セクションで、ファイアウォールインスタンスの数、購入した帯域幅、および最近のピーク帯域幅を表示できます。
その他の操作
セキュリティグループのデフォルトの許可ポリシーをデプロイする
インターネットファイアウォールは、インターネットとの間のトラフィックを保護します。保護対象のパブリックアセットに対して、インターネットとの間のトラフィックが許可されていることを確認する必要があります。詳細については、対応するパブリックアセットの公式ドキュメントをご参照ください。
ECS インスタンスのパブリック IP アドレスや ECS EIP などの ECS アセットを保護する場合、Cloud Firewall コンソール でワンクリックでインターネットからのトラフィックに対するデフォルトの許可ポリシーをデプロイできます。これにより、ECS コンソール に移動してセキュリティグループの構成を変更することなく、Cloud Firewall でルールを一元管理できます。
仕組み
Cloud Firewall は、ECS アセットに関連付けられたセキュリティグループに、最も低い優先度 (100) の 4 つのルールを追加します。これらのルールは、インターネットから ECS アセットへのアクセスを許可します。
同じ優先度のルールの場合、ECS セキュリティグループは最初に拒否ルールを照合します。したがって、優先度 100 の拒否ルールをすでに構成している場合、Cloud Firewall によってデプロイされた許可ポリシーは既存の拒否ルールをオーバーライドしません。
注意事項
ワンクリックでデプロイされたデフォルトの許可ポリシーは、セキュリティグループに関連付けられているすべてのリソースに対して有効になります。ポリシーをデプロイする前に、セキュリティグループに関連付けられているすべてのリソースに対して Cloud Firewall 保護を有効にし、インターネットファイアウォールのインバウンドアクセス制御ポリシーを適切に構成してください。そうしないと、アセットがインターネットに公開される可能性があります。
Cloud Firewall が無効になっているリソースには、デフォルトの許可ポリシーをデプロイしないでください。また、トラフィックがすでに許可されているリソースの Cloud Firewall 保護を無効にしないでください。
Cloud Firewall サービスが有効期限切れになった後、Cloud Firewall によって自動的に追加された 4 つの許可ポリシーはセキュリティグループに保持され、有効なままです。Cloud Firewall サービスを今後使用しない場合は、Cloud Firewall によってデプロイされた 4 つのデフォルトの許可ポリシーを手動で削除する必要があります。詳細については、「セキュリティグループルールを削除する」をご参照ください。
制限事項
セキュリティグループのデフォルトの許可ポリシーをデプロイする機能は、ECS インスタンスのパブリック IP アドレスと ECS EIP のインバウンドルールのみをサポートします。
エンタープライズセキュリティグループは、デフォルトの許可ポリシーのデプロイをサポートしていません。
許可ポリシーのデプロイ
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックします。
パブリックアセットリストで、デフォルトポリシーをデプロイしたい ECS アセットを見つけます。Default Allow Policies 列で、Apply をクリックします。
(オプション) 現在のセキュリティグループのルールがデプロイするルールと競合する場合は、まずポリシーを調整する必要があります。
調整可能な構成の競合: セキュリティグループ内のルールは、デプロイするルールと同じ優先度を持ちますが、プロトコルタイプ、ポート範囲、または権限付与オブジェクトが異なります。
Default Allow Policies ダイアログボックスで、Quick Modify をクリックして、セキュリティグループ内の元のルールの優先度を上げることで競合を解決します。
調整不可能な構成の競合: セキュリティグループ内のルールは、デプロイするルールと同じ優先度、プロトコルタイプ、ポート範囲、および権限付与オブジェクトを持ちます。
ECS コンソールの[セキュリティグループ] ページに移動して、競合するルールの優先度を確認および調整することをお勧めします。詳細については、「セキュリティグループルールを変更する」をご参照ください。または、チケットを送信して、プロダクトの技術専門家にお問い合わせください。
セキュリティグループの [操作] 列で、Quick Apply をクリックします。デプロイする 4 つの許可ポリシーを確認し、OK をクリックします。
ECS インスタンスが複数のセキュリティグループに関連付けられている場合、ECS インスタンスのデフォルトの許可ポリシーを有効にするには、関連付けられているすべてのセキュリティグループに許可ポリシーをデプロイする必要があります。
セキュリティグループの許可ポリシーが構成された後、 ページに移動して、セキュリティグループのデフォルトの許可ポリシーのデプロイステータスを表示できます。これにより、ポリシーが正常にデプロイされたかどうかを確認し、デプロイの失敗を迅速にトラブルシューティングできます。
セキュリティグループポリシーのデプロイステータスには、次のものがあります。
Applied: ECS アセットに関連付けられているすべてのセキュリティグループにデフォルトの許可ポリシーがデプロイされました。
Not Applied: ECS アセットに関連付けられているすべてのまたは一部のセキュリティグループにデフォルトの許可ポリシーがデプロイされていないか、構成の競合があります。
-: このアセットタイプでは、デフォルトの許可ポリシーのワンクリックデプロイはサポートされていません。
パブリックアセットリストのダウンロード
パブリックアセットリストからアセット情報を CSV ファイルとしてコンピュータにダウンロードできます。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックします。
パブリックアセットリストの右上隅にある
アイコンをクリックします。インターネットボーダー タブの右上隅にある ダウンロードタスクの管理 をクリックして、ダウンロードの進行状況を表示します。タスクが完了したら、[操作] 列の Download をクリックします。