インターネットファイアウォールを使用すると、インターネットに接続されたアセットとインターネット間のインバウンド トラフィックとアウトバウンド トラフィックをきめ細かく管理できます。 これにより、インターネットに接続されたアセットのインターネット上での露出と、ビジネストラフィックのセキュリティリスクを軽減できます。 インターネットファイアウォールを有効にしても、現在のネットワークトポロジを変更する必要はありません。 インターネットファイアウォールにリソースを数秒で追加して、インバウンドおよびアウトバウンドのインターネットトラフィックの可視化分析、攻撃防御、アクセスの制御、ログ監査を実装できます。
ビデオチュートリアルを表示して、保護対象アセットを追加する方法を簡単に学習できます。
機能の説明
実装
インターネットに接続されたアセットに対してインターネットファイアウォールを有効にすると、Cloud Firewall は、トラフィック分析ポリシー、侵入防御ポリシー、脅威インテリジェンスルール、仮想パッチポリシー、およびアクセス制御ポリシーに基づいて、インバウンド トラフィックとアウトバウンド トラフィックをフィルタリングします。 次に、インターネットファイアウォールは、インバウンド トラフィックとアウトバウンド トラフィックが指定された条件に一致するかどうかを確認し、承認されていないトラフィックをブロックします。 これにより、インターネットに接続されたアセットとインターネット間のトラフィックのセキュリティが確保されます。
次のインターネット接続アセットのインバウンド トラフィックとアウトバウンド トラフィックを保護できます。Elastic Compute Service (ECS) インスタンス、ロードバランサアセット、堡塁ホストなどのアセットの IPv4 および IPv6 アドレス、Elastic IP アドレス (EIP)、NAT ゲートウェイの EIP、Global Accelerator (GA) インスタンスの EIP、および高可用性仮想 IP アドレス (HAVIP) に関連付けられた EIP。
次の図は例を示しています。
影響
インターネットファイアウォールを作成、有効化、または無効化すると、現在のネットワークトポロジを変更することなく、数秒で保護対象リソースをインターネットファイアウォールに追加したり、インターネットファイアウォールからリソースを削除したりできます。 ワークロードは影響を受けません。 インターネットファイアウォールは、オフピーク時に有効にすることをお勧めします。
仕様
インターネットファイアウォールの仕様には、「保護されたパブリック IP アドレス」と「保護されたインターネットトラフィック」が含まれます。
仕様 | 説明 | サブスクリプション課金方法を使用する Cloud Firewall の Premium Edition、Enterprise Edition、および Ultimate Edition | 従量課金制の Cloud Firewall |
保護されたパブリック IP アドレス | インターネットファイアウォールで保護できるパブリック IP アドレスの数。 | 保護機能は、購入した仕様によって異なります。 クォータが不足している場合は、仕様をアップグレードできます。 詳細については、「アセットの保護ステータスを表示する」をご参照ください。 「保護されたパブリック IP アドレス」の最大値は、Cloud Firewall のエディションによって異なります。 詳細については、「サブスクリプション」をご参照ください。 | 保護されているパブリック IP アドレスの実際の数と保護されているインターネットトラフィックの合計ピークに基づいて課金されます。 仕様の値は無制限です。 詳細については、「従量課金」をご参照ください。 |
保護されたインターネットトラフィック | 保護できるインターネットトラフィックの合計ピーク。 計測メトリックは、インバウンドまたはアウトバウンドのインターネットトラフィックのピークのいずれか高い方です。 |
アセットの保護ステータスを表示する
Cloud Firewall は、保護されているパブリック IP アドレスの数、保護されていないパブリック IP アドレスの数、さまざまなリージョンにおけるパブリック IP アドレスの保護ステータスなどの統計情報を収集します。 ビジネス要件に基づいて、パブリック IP アドレスに対してインターネットファイアウォールを有効にできます。
ビジネストラフィックのセキュリティを確保するために、Alibaba Cloud アカウント内のすべてのパブリック IP アドレスに対してインターネットファイアウォールを有効にすることをお勧めします。
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、現在の Alibaba Cloud アカウント内のパブリック IP アドレスの保護ステータスを表示します。
オプション。Available Quota が不足している場合は、仕様のアップグレード をクリックして Cloud Firewall エディションをアップグレードするか、ビジネス要件に基づいて 保護可能なパブリック IP 数 パラメーターと インターネットトラフィック処理能力 パラメーターの値を増やします。 詳細については、「サブスクリプション」をご参照ください。
インターネットファイアウォールを有効にする
数回クリックするだけでパブリック IP アドレスに対してインターネットファイアウォールを有効にする
Automatic Protection for New Assets をオンにしていない場合は、パブリック IP アドレスに対してインターネットファイアウォールを手動で有効にできます。
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックし、パブリック IP アドレスに対してインターネットファイアウォールを有効にします。
必要なパブリック IP アドレスがパブリック IP アドレスリストに表示されない場合は、IP アドレスリストの右上隅にある Synchronize Assets をクリックして、現在の Alibaba Cloud アカウント内のパブリック IP アドレスと、アカウントによって管理されているメンバーに関する情報を同期できます。 アセット情報の同期には 1 ~ 2 分かかります。
単一のパブリック IP アドレスに対してインターネットファイアウォールを有効にする
パブリック IP アドレスリストで、インターネットファイアウォールを有効にするパブリック IP アドレスを見つけ、[操作] 列の Enable Protection をクリックします。
複数のパブリック IP アドレスに対してインターネットファイアウォールを一度に有効にする
パブリック IP アドレスリストで、インターネットファイアウォールを有効にするパブリック IP アドレスを選択し、リストの下にある Enable Protection をクリックします。
または、統計セクションの Enable Protection をクリックして、パブリック IP アドレス、リージョン、またはアセットタイプに基づいて、すべてのパブリック IP アドレスに対してインターネットファイアウォールを有効にします。
新しいアセットの自動保護をオンにする
Automatic Protection for New Assets をオンにすると、Cloud Firewall は、現在の Alibaba Cloud アカウントと、アカウントによって管理されているメンバーに新しく追加されたパブリック IP アドレスに対して、インターネットファイアウォールを自動的に有効にします。
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、Automatic Protection for New Assets をオンにします。
次の手順
インターネットファイアウォールを作成したら、インターネットに接続されたアセットとインターネット間のトラフィックをより効率的に管理できます。 たとえば、インターネットファイアウォールのアクセス制御ポリシーを設定したり、インターネットに接続されたアセットのアクセスログを表示したりできます。
アクセス制御ポリシーを設定する
アクセス制御ポリシーを設定しない場合、Cloud Firewall はすべてのトラフィックを自動的に許可します。 インターネットファイアウォールのアクセス制御ポリシーを設定して、インターネットに接続されたアセットとインターネット間のトラフィックをきめ細かく管理できます。 アクセス制御ポリシーを設定するには、次の操作を実行します。
インターネットファイアウォール ページの [ポリシーの構成]操作するインターネット ファイアウォールへのアクセス制御ポリシーを作成する タブで、管理するインターネット接続アセットを見つけ、 列の をクリックし、[インバウンド] または [アウトバウンド] を選択します。 詳細については、「」をご参照ください。
監査ログをクエリする
ページで、[トラフィックログ] タブをクリックし、[インターネット境界] タブをクリックし、クエリ条件を指定して、インターネットに接続されたアセットとインターネットのアクセスログを表示します。 詳細については、「ログ監査」をご参照ください。
トラフィック分析結果を表示する
ページで、アセットからインターネットへのアウトバウンド接続に関する情報を表示します。 情報には、アウトバウンドトラフィックのトレース情報、インターネット上でアクセスできる宛先アドレス、インターネット接続アセットと内部接続アセットのアウトバウンド接続が含まれます。 これにより、不審なアセットを特定し、ビジネスセキュリティを確保できます。 詳細については、「アウトバウンド接続」をご参照ください。
ページで、インターネットからアセットへのトラフィックに関する情報を表示します。 情報には、異常なインバウンドトラフィックのトレース情報、オープン パブリック IP アドレスの数、オープンポートの数、オープン アプリケーションの数、クラウド サービスのパブリック IP アドレスの数が含まれます。 これにより、不審なアセットを特定し、ビジネスセキュリティを確保できます。 詳細については、「インターネット露出」をご参照ください。
攻撃防御データを表示する
インターネットファイアウォール ページの [攻撃を表示]侵入防御 タブで、管理するインターネット接続アセットを見つけ、[操作] 列の をクリックし、[インバウンド] または [アウトバウンド] をクリックします。 詳細については、「」をご参照ください。
インターネットファイアウォールの仕様の使用状況を表示する
左側のナビゲーションウィンドウで、概要 をクリックします。 概要 ページの右上隅にある [購入した仕様の使用状況] をクリックして、インターネットファイアウォールの仕様の使用状況を表示します。 仕様は、「保護されたインターネットトラフィック」、「最近のピークトラフィック」、および「保護されたパブリック IP アドレス」です。
その他の操作
デフォルトの許可ポリシーを適用する
インターネットファイアウォールは、インターネットトラフィックを保護します。 保護されたインターネット接続アセットとインターネット間のトラフィックが許可されていることを確認してください。 詳細については、インターネット接続アセットの公式ドキュメントをご参照ください。
ECS インスタンスのパブリック IP アドレスまたは EIP を保護する場合、Cloud Firewall コンソール で数回クリックするだけで、セキュリティグループにデフォルトの許可ポリシーを適用できます。 ECS コンソール でセキュリティグループルールを変更する必要はありません。
仕組み
Cloud Firewall は、パブリック IP アドレスを持つ ECS インスタンスのセキュリティグループに、優先順位が最も低い 4 つのアクセス制御ポリシーを適用します。 ポリシーは、インターネットからパブリック IP アドレスへのトラフィックを許可します。 アクセス制御ポリシーは、セキュリティグループルールと見なされます。 最も低い優先順位は 100 です。
同じ優先順位のルールの場合、ECS セキュリティグループは、優先的に拒否ルールを使用してトラフィックを照合します。 優先順位が 100 の拒否ルールを設定した場合、Cloud Firewall によって追加されたデフォルトの許可ポリシーは、拒否ルールに影響を与えません。
注意事項
適用されるデフォルトの許可ポリシーは、セキュリティグループに追加されるすべてのリソースに有効です。 デフォルトの許可ポリシーを適用する前に、セキュリティグループに追加されるすべてのリソースに対してファイアウォールを有効にし、インターネットファイアウォールのインバウンドアクセス制御ポリシーを適切に設定することをお勧めします。 そうしないと、アセットがインターネット上に公開される可能性があります。
ファイアウォールが無効になっているリソースにはデフォルトの許可ポリシーを適用せず、デフォルトの許可ポリシーが適用されているリソースのファイアウォールを無効にしないことをお勧めします。
Cloud Firewall の有効期限が切れても、Cloud Firewall によって追加された 4 つのデフォルトの許可ポリシーはセキュリティグループに保持され、有効です。 Cloud Firewall を使用しなくなった場合は、Cloud Firewall によって追加された 4 つのデフォルトの許可ポリシーを手動で削除することをお勧めします。 詳細については、「セキュリティグループルールを削除する」をご参照ください。
制限
セキュリティグループのデフォルトの許可ポリシーは、ECS インスタンスのパブリック IP アドレスと EIP へのインバウンドトラフィックのみを許可します。
高度なセキュリティグループは、デフォルトの許可ポリシーをサポートしていません。
手順
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。
パブリック IP アドレスリストで、デフォルトの許可ポリシーを適用する ECS インスタンスの IP アドレスを見つけ、Default Allow Policies 列の Apply をクリックします。
オプション。 セキュリティグループの既存のルールがデフォルトの許可ポリシーと競合する場合は、ルールを調整します。
競合は解決できます。既存のルールの優先順位はデフォルトの許可ポリシーの優先順位と同じで、プロトコルタイプ、ポート範囲、および権限付与オブジェクトが異なります。
既存のルールの優先順位を上げるには、Default Allow Policies ダイアログボックスで Quick Modify をクリックし、[OK] をクリックするだけです。
競合は解決できません。既存のルールの優先順位、プロトコルタイプ、ポート範囲、および権限付与オブジェクトは、デフォルトの許可ポリシーと同じです。
セキュリティ グループECS コンソール の [セキュリティグループ] ページに移動して、既存のルールの優先順位を表示および調整することをお勧めします。 詳細については、「セキュリティグループルールを変更する」をご参照ください。 また、チケット を送信してテクニカルサポートを受けることもできます。
セキュリティグループの 操作 列で、Quick Apply をクリックして 4 つのデフォルトの許可ポリシーを表示し、OK をクリックします。
ECS インスタンスが複数のセキュリティグループに追加されている場合は、ポリシーを有効にする前に、すべてのセキュリティグループにデフォルトの許可ポリシーを適用する必要があります。
デフォルトの許可ポリシーを適用した後、 タブに移動して、ポリシーが ECS インスタンスのセキュリティグループに適用されているかどうかを確認できます。 ポリシーが適用に失敗した場合は、できるだけ早く障害のトラブルシューティングを行ってください。
デフォルトの許可ポリシーは、次のいずれかの状態になります。
Applied: ポリシーは、ECS インスタンスのすべてのセキュリティグループに適用されます。
Not Applied: ポリシーは、ECS インスタンスの特定のセキュリティグループにのみ適用されます。ポリシーは、ECS インスタンスのセキュリティグループに適用されていないか、セキュリティグループルール間に競合が存在します。
-: このタイプのアセットは、デフォルトの許可ポリシーをサポートしていません。
パブリック IP アドレスのリストをダウンロードする
パブリック IP アドレスに関する情報を CSV ファイルとしてコンピューターにダウンロードできます。
Cloud Firewall コンソール にログオンします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、[IPV4] または [IPV6] タブをクリックします。
パブリック IP アドレスリストの右上隅にある
アイコンをクリックします。インターネットボーダー タブの右上隅にある ダウンロードタスクの管理 をクリックして、ダウンロード タスクの進捗状況を表示します。ダウンロード タスクが完了したら、[アクション] 列の Download をクリックします。