インターネット境界ファイアウォールを使用すると、ご利用のパブリックアセットとインターネット間のトラフィックに対して詳細な制御を適用できます。これにより、インターネット上の攻撃対象領域を縮小し、セキュリティリスクを軽減できます。ネットワークトポロジーを変更することなく、ワンクリックでインターネット境界ファイアウォールを有効化できます。保護は数秒で有効になり、即時のトラフィック可視化、攻撃防止、アクセス制御、およびログ監査を提供します。
特徴
仕組み
パブリックアセット に対してインターネット境界ファイアウォールを有効にすると、Cloud Firewall はすべてのインバウンドおよびアウトバウンドトラフィックをフィルターします。ディープパケットインスペクション (DPI)、侵入防止 (IPS) ルール、脅威インテリジェンス、仮想パッチ、およびアクセス制御ポリシーを使用して、トラフィックを許可するかどうかを判断します。これにより、不正なアクセスが効果的にブロックされ、パブリックアセットとインターネット間のトラフィックが保護されます。
保護対象となるパブリックアセット(インバウンドおよびアウトバウンド):ECS、EIP(L2 EIP を含む)、ロードバランサー、Bastionhost、NAT Gateway、HAVIP、GA EIP などの IPv4 および IPv6 アセットを含みます。
以下の図は、インターネット境界ファイアウォールの保護シナリオの一例を示しています。
サービスへの影響
インターネット境界ファイアウォールの作成、有効化、無効化には、現在のネットワークトポロジーの変更は不要であり、ご利用のサービスに影響を与えません。ワンクリックで数秒単位でリソースの保護を有効化または無効化できます。非ピーク時間帯にインターネット境界ファイアウォールを有効化することを推奨します。
保護仕様
2025 年 10 月 15 日より、Cloud Firewall では 課金方法 2.0 がリリースされます。新規のお客様はデフォルトで課金方法 2.0 をご利用いただきます。既存のお客様は、引き続き 課金方法 1.0 をご利用いただきます。インターネット境界ファイアウォールの保護仕様は、この 2 つの課金方法で異なります。
課金方法 2.0
保護仕様 | 説明 | Cloud Firewall サブスクリプション(Premium、Enterprise、Ultimate エディション) | Cloud Firewall 従量課金 |
ファイアウォールインスタンス数 | 保護可能なリージョン数。各保護対象リージョンは、1 つのインターネット境界ファイアウォールインスタンスに対応します。 | これは、ご購入いただいたインスタンス数および帯域幅に依存します。各エディションで提供されるインスタンス数および帯域幅については、「サブスクリプション 2.0」をご参照ください。クォータが不足している場合は、仕様をアップグレードしてください。「アセットの保護ステータスの確認」をご参照ください。 | 課金は、実際のファイアウォールインスタンス数および処理された総トラフィック量に基づきます。 最大対応ピーク帯域幅は 10 Gbps です。それ以上の仕様をご希望の場合は、営業担当者またはアーキテクトにお問い合わせください。「従量課金 2.0」をご参照ください。 |
パブリックトラフィック処理能力 | ファイアウォールが処理するインターネットトラフィックの合計ピーク値。課金は、アウトバウンドおよびインバウンドのインターネットトラフィック帯域幅の合計に基づきます。 |
課金方法 1.0
保護仕様 | 説明 | Cloud Firewall サブスクリプション(Premium、Enterprise、Ultimate エディション) | Cloud Firewall 従量課金 |
保護可能なパブリック IP アドレス数 | インターネット境界ファイアウォールを有効化できるパブリック IP アドレスの数。 | これは、ご購入いただいた保護可能なパブリック IP アドレス数および処理可能なトラフィックのピーク値に依存します。クォータが不足している場合は、仕様をアップグレードできます。 Cloud Firewall の各エディションで設定可能なパブリック IP アドレスのクォータは異なります。「サブスクリプション 1.0」をご参照ください。 説明 ご利用のサービストラフィックがご購入済みの Cloud Firewall トラフィック処理仕様を超える場合、プロダクトのサービスレベルアグリーメント (SLA) は保証されません。これにより、ACL、IPS、ログ監査などのセキュリティ機能の停止、クォータを超えた上位アセットに対するファイアウォールの無効化、レート制限、パケット損失などのスペックダウンが発生する可能性があります。 ご利用のサービストラフィックがクォータを超えるリスクがある場合は、「サブスクリプションインスタンス向け後払い型弾性帯域幅」をご参照ください。 | 課金は、実際に保護を有効化したパブリック IP アドレス数および処理されたトラフィックのピーク値に基づきます。クォータ制限はありません。「従量課金 1.0」をご参照ください。 |
パブリックトラフィック処理能力 | 処理されたインターネットトラフィックの合計ピーク値。課金は、アウトバウンドおよびインバウンドのインターネットトラフィック帯域幅のうち、高い方の値に基づきます。 |
アセットの保護ステータス
Cloud Firewall は、有効なインターネット境界ファイアウォールインスタンス数および未保護のパブリック IP アドレス数を追跡します。必要に応じて、ご利用のパブリックアセットの保護を有効化できます。
ご利用のサービストラフィックのセキュリティを確保するため、Alibaba Cloud アカウント内のすべてのパブリックアセットに対してインターネット境界ファイアウォールの保護を有効化することを推奨します。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、Firewall をクリックします。
インターネットボーダー タブで、Alibaba Cloud アカウント内のパブリックアセットの保護ステータスを確認します。
(任意)Available Quotas が不足している場合は、アップグレード をクリックして容量を増加させることができます。「サブスクリプション 2.0」をご参照ください。
インターネット境界ファイアウォールの有効化
アセットの保護を手動で有効化
Automatic Protection for New Assets が有効になっていない場合、パブリックアセットのインターネット境界ファイアウォール保護を手動で有効化できます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、Firewall をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックして、パブリックアセットの保護を手動で有効化します。
保護対象のアセットがパブリックアセット一覧にない場合は、一覧の右上隅にある Synchronize Assets をクリックします。これにより、現在の Alibaba Cloud アカウントおよびそのメンバーアカウントからアセット情報を同期します。アセットの同期には約 1~2 分かかります。
単一アセットの保護を有効化:一覧から保護対象のパブリックアセットを見つけ、Enable Protection を 操作する 列でクリックします。
複数アセットの保護を有効化:一覧から複数のパブリックアセットを選択し、一覧下部の Enable Protection をクリックします。
新規アセットの自動保護を有効化
Automatic Protection for New Assets を有効化すると、Cloud Firewall が現在の Alibaba Cloud アカウントおよびそのメンバーアカウントに追加された新規のパブリックアセットに対して、自動的にインターネット境界ファイアウォールの保護を有効化します。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、Firewall をクリックします。
有効化 Automatic Protection for New Assets: インターネットボーダー タブで、Automatic Protection for New Assets の右側にあるスイッチをオンにします。
自動保護対象のアセットタイプを選択:Automatic Protection for New Assets をクリックします。表示されるダイアログボックスで、アセットタイプおよびリージョンごとに自動保護対象の新規アセットを選択します。その後、Save をクリックします。
次のステップ
インターネット境界ファイアウォールを有効化した後、パブリックアセットのアクセス制御ポリシーを構成したり、アクセスログを確認したりすることで、パブリックアセットとインターネット間のトラフィックをより適切に管理できます。
アクセス制御ポリシーの構成
アクセス制御ポリシーを構成していない場合、Cloud Firewall はデフォルトでトラフィックを許可します。インターネット境界ファイアウォールに対してアクセス制御ポリシーを作成することで、パブリックアセットとインターネット間のトラフィックを詳細に制御できます。
ページで、対象のアセットを特定します。操作する 列で ポリシーの構成 をクリックし、パブリックアセットに対してアウトバウンドまたはインバウンドのアクセス制御ポリシーを構成します。「インターネット境界ファイアウォールのアクセス制御ポリシーの構成」をご参照ください。
監査ログの照会
ページの タブで、フィルター条件を設定して、パブリックアセットとインターネット間のトラフィックに関するアクセスログを確認できます。「ログ監査」をご参照ください。
トラフィック分析の表示
ページで、インターネットに積極的にアクセスするアセットのトラフィックデータを確認できます。これには、アウトバウンドの異常なトラフィックのトレース、送信先のインターネットアドレス、パブリックおよびプライベートアセットからのアウトバウンド接続が含まれます。これらの情報により、疑わしいアセットを特定し、サービスのセキュリティを確保できます。「アウトバウンド接続」をご参照ください。
ページで、サービスアセットへのインターネットアクセスに関するデータを確認できます。これには、インバウンドの異常なトラフィックのトレース、公開されているパブリック IP アドレス、オープンポート、オープンアプリケーション、およびクラウド製品のパブリック IP アドレス数が含まれます。これらの情報により、疑わしいアセットを特定し、サービスのセキュリティを確保できます。「インターネットへの露出」をご参照ください。
攻撃防止データの表示
ページで、対象のアセットを特定します。操作 列で 攻撃の表示 をクリックし、パブリックアセットのアウトバウンドまたはインバウンドトラフィックの攻撃防止データを表示します。「侵入防止」をご参照ください。
パブリックトラフィック処理ステータスの表示
左側のナビゲーションウィンドウで、概要 をクリックします。その後、概要 ページの Asset Protection エリアで、ファイアウォールインスタンス数、購入済みトラフィック、および最近のピーク帯域幅を確認できます。
その他の操作
セキュリティグループのデフォルト許可ポリシー
インターネット境界ファイアウォールは、インターネットとの間のトラフィックを保護します。保護対象のパブリックアセットがインターネットからのトラフィックを許可していることを確認してください。詳細については、対応するパブリックアセットの公式ドキュメントをご参照ください。
ECS アセット (ECS パブリック IP アドレスおよび ECS EIP を含む) を保護する場合、[Cloud Firewall コンソール]でワンクリックで、インターネットトラフィックに対するデフォルトの許可ポリシーを適用できます。これにより、[ECS コンソール]でセキュリティグループの構成を変更することなく、Cloud Firewall を通じてルールを一元管理できます。
仕組み
Cloud Firewall は、ECS アセットに関連付けられたセキュリティグループに、最低優先度(100)の 4 つのルールを適用し、当該アセットのインターネットアクセスを許可します。
複数のルールが同じ優先度を持つ場合、ECS セキュリティグループでは拒否ルールが最初に評価されます。したがって、すでに優先度 100 の拒否ルールを設定している場合、Cloud Firewall が適用する許可ポリシーは既存の拒否ルールをオーバーライドしません。
注意事項
デフォルト許可ポリシーは、セキュリティグループに関連付けられたすべてのリソースに影響します。これらのポリシーを適用する前に、関連するすべてのリソースに対して Cloud Firewall の保護を有効化し、適切なインバウンドアクセス制御ポリシーを構成してください。Cloud Firewall の保護が有効になっていないリソースにデフォルト許可ポリシーを適用すると、当該リソースがインターネットに公開される可能性があります。
Cloud Firewall の保護が有効になっていないリソースには、デフォルト許可ポリシーを適用しないでください。また、すでにデフォルト許可ポリシーが適用されているリソースの Cloud Firewall 保護を無効化しないでください。
Cloud Firewall サービスの有効期限が切れた後も、Cloud Firewall によって自動的に追加された 4 つの許可ポリシーはセキュリティグループ内で有効のままとなります。今後 Cloud Firewall サービスをご利用にならない場合は、Cloud Firewall によって追加された 4 つのデフォルト許可ポリシーを手動で削除することを推奨します。「セキュリティグループルールの削除」をご参照ください。
制限事項
この機能は、ECS のパブリック IP アドレスおよび ECS EIP に対するインバウンドルールのみをサポートします。
エンタープライズセキュリティグループでは、デフォルト許可ポリシーの適用はサポートされていません。
許可ポリシーの適用
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、Firewall をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックします。
パブリックアセット一覧で、デフォルトポリシーを適用する ECS アセットを見つけます。Default Allow Policies 列で、Apply をクリックします。
(任意)現在のセキュリティグループのルールと適用予定のルール間に競合がある場合は、まずポリシーを調整する必要があります。
調整可能な競合:セキュリティグループ内のルールが、適用予定のルールと同じ優先度を持ちますが、プロトコルタイプ、ポート範囲、または権限付与オブジェクトが異なります。
Default Allow Policies ダイアログボックスで、Quick Modify をクリックして、セキュリティグループ内の元のルールの優先度を上げることで競合を解決します。
調整不可能な競合:セキュリティグループ内のルールが、適用予定のルールと同一の優先度、プロトコルタイプ、ポート範囲、および権限付与オブジェクトを持っています。
推奨される手順として、[セキュリティグループ] ページに移動し、競合するルールの優先順位を表示および調整してください。この操作は、ECS コンソール で行います。詳細については、「セキュリティグループルールの変更」をご参照ください。また、サポートを受けるには、 を送信することもできます。
セキュリティグループの 操作 列で、Quick Apply をクリックします。適用される 4 つの許可ポリシーを確認し、OK をクリックします。
ECS インスタンスが複数のセキュリティグループに関連付けられている場合、当該 ECS インスタンスに対してポリシーを有効にするには、すべての関連セキュリティグループに許可ポリシーを適用する必要があります。
セキュリティグループの許可ポリシーを構成した後、 ページで、デフォルト許可ポリシーの適用ステータスを確認し、ポリシーが正常に適用されたことを確認および問題のトラブルシューティングを行えます。
セキュリティグループポリシーの適用ステータスには以下があります:
Applied:デフォルト許可ポリシーが、ECS アセットに関連付けられたすべてのセキュリティグループに適用されています。
Not Applied:デフォルト許可ポリシーが、ECS アセットに関連付けられたすべてまたは一部のセキュリティグループに適用されていないか、構成の競合が存在します。
-:このアセットタイプでは、デフォルト許可ポリシーのワンクリック適用はサポートされていません。
パブリックアセット一覧のダウンロード
パブリックアセット一覧のアセット情報を、CSV ファイル形式でローカルコンピューターにダウンロードできます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、Firewall をクリックします。
インターネットボーダー タブで、IPv4 または IPv6 タブをクリックします。
パブリックアセット一覧の右上隅にある
アイコンをクリックします。インターネットボーダー タブの右上隅で、ダウンロードタスクの管理 をクリックして、ダウンロードの進行状況を確認します。タスクが完了したら、操作 列の Download をクリックします。