インターネット境界ファイアウォールは、パブリックアセットとインターネット間のトラフィックに対して詳細な制御を提供し、パブリックアセットの公開範囲を縮小し、セキュリティリスクを軽減します。インターネット境界ファイアウォールを有効にするために、ネットワークトポロジーを変更する必要はありません。ワンクリックでリソースを保護でき、保護は数秒で有効になります。これにより、インターネットとの間のトラフィックに対するトラフィック可視化、攻撃防止、アクセス制御、ログ監査を迅速に実装できます。
特徴
仕組み
パブリックアセット に対してインターネット境界ファイアウォールを有効にすると、Cloud Firewall はすべてのインバウンドおよびアウトバウンドトラフィックをフィルタリングします。ディープパケットインスペクション (DPI) によるトラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーを使用して、トラフィックを許可するかブロックするかを判断し、パブリックアセットとインターネット間の接続を保護します。
インターネット境界ファイアウォールは、Elastic Compute Service (ECS)、Elastic IP Address (EIP) (レイヤー 2 EIP を含む)、Server Load Balancer (SLB)、Bastionhost、NAT Gateway、HaVip、および Global Accelerator (GA) の EIP といったアセットの IPv4 と IPv6 の両方におけるインバウンドおよびアウトバウンドトラフィックを保護します。
サービスへの影響
インターネット境界ファイアウォールの作成、有効化、または無効化は、ネットワークトポロジーを変更したり、サービスを中断させたりすることはありません。ワンクリックで数秒のうちにリソースを保護または保護解除できます。オフピーク時にインターネット境界ファイアウォールを有効にすることを推奨します。
保護仕様
2025 年 10 月 15 日より、Cloud Firewall は課金方法 2.0 を導入します。新規ユーザーはデフォルトで課金方法 2.0 を使用し、既存ユーザーは引き続き課金方法 1.0 を使用します。インターネット境界ファイアウォールの保護仕様は、2 つの課金方法で異なります。
課金方法 2.0
|
仕様 |
説明 |
サブスクリプション版 |
従量課金版 |
|
ファイアウォールインスタンス数 |
保護できるリージョンの数。保護対象の各リージョンは、1 つのファイアウォールインスタンスを使用します。 |
購入したインスタンス数と帯域幅によって異なります。各エディションで提供されるインスタンスと帯域幅の詳細については、「サブスクリプション 2.0」をご参照ください。クォータが不足している場合は、仕様をアップグレードできます。詳細については、「アセットの保護ステータスの確認」をご参照ください。 |
実際のファイアウォールインスタンス数と処理された総トラフィック量に基づいて課金されます。 サポートされる最大ピーク帯域幅は 10 Gbps です。より高い仕様については、ビジネス担当者またはアーキテクトにお問い合わせください。詳細な請求情報については、「従量課金 2.0」をご参照ください。 |
|
パブリックトラフィック処理能力 |
ファイアウォールによって処理されるインターネットトラフィックの最大合計量。インバウンドおよびアウトバウンドトラフィックの帯域幅の合計に基づいて課金されます。 |
課金方法 1.0
|
仕様 |
説明 |
サブスクリプション版 |
従量課金版 |
|
保護可能なパブリック IP アドレス数 |
インターネット境界ファイアウォールで保護できるパブリック IP アドレスの数。 |
購入した保護可能なパブリック IP アドレスの数と、処理された総トラフィックのピークによって異なります。クォータが不足している場合は、仕様をアップグレードできます。 Cloud Firewall のエディションによって、パブリック IP のクォータ制限が異なります。詳細については、「サブスクリプション 1.0」をご参照ください。 説明
トラフィックが購入容量を超えた場合、サービスレベルアグリーメント (SLA) は保証されません。これにより、セキュリティ機能 (ACL、IPS、ログ監査) の無効化、高トラフィックアセットのファイアウォールシャットダウン、レート制限やパケット損失の適用などのサービス低下が引き起こされる可能性があります。 トラフィックが制限を超える可能性がある場合は、サブスクリプションインスタンス向けの後払い弾性トラフィック機能を使用することを推奨します。詳細については、「サブスクリプションの従量課金制弾性トラフィック」をご参照ください。 |
実際に保護されたパブリック IP アドレスの数と、処理された総トラフィックのピークに基づいて課金されます。クォータ制限は適用されません。詳細な請求情報については、「従量課金 1.0」をご参照ください。 |
|
パブリックトラフィック処理能力 |
処理されるインターネットトラフィックの最大合計量。インバウンドまたはアウトバウンドトラフィックの帯域幅のうち、高い方に基づいて課金されます。 |
アセットの保護ステータス
インターネット境界ファイアウォールの有効化
手動保護
Automatic Protection for New Assets が無効になっている場合、パブリックアセットを手動で保護できます。
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションウィンドウで、スイッチ をクリックします。
-
インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックして、パブリックアセットの保護を手動で有効にします。
目的のアセットがリストにない場合は、リストの右上隅にある Synchronize Assets をクリックします。この操作により、ご利用の Alibaba Cloud アカウントとそのメンバーアカウントからアセット情報が同期されます。同期には 1〜2 分かかる場合があります。
-
単一アセットの保護を有効にする:リストでアセットを見つけ、操作する 列の Enable Protection をクリックします。
-
複数アセットの保護を有効にする:保護したいアセットのチェックボックスを選択し、リストの下にある Enable Protection をクリックします。
-
自動保護
Automatic Protection for New Assets を有効にすると、Cloud Firewall はご利用の Alibaba Cloud アカウントまたはそのメンバーアカウントに追加された新しいパブリックアセットを自動的に保護します。
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションウィンドウで、スイッチ をクリックします。
-
Automatic Protection for New Assets 機能を有効にする:インターネットボーダー タブで、Automatic Protection for New Assets の横にあるスイッチをオンにします。
-
自動保護対象のアセットタイプを選択する:Automatic Protection for New Assets をクリックします。表示される設定パネルで、自動保護の対象となるアセットタイプとリージョンを選択します。設定後、設定の保存 をクリックして変更を適用します。
[Internet Firewall] タブでは、[Automatic Protection for New Assets] と [Synchronize Assets] オプションがアセットリストの右上にあります。最新のアセット情報を手動で同期するには、[Synchronize Assets] をクリックします。
次のステップ
インターネット境界ファイアウォールを作成した後、アクセス制御ポリシーを設定したり、パブリックアセットのログを表示したり、その他の操作を実行して、パブリックアセットとインターネット間のトラフィックをより適切に管理できます。
アクセス制御ポリシーの設定
デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewall はすべてのトラフィックを許可します。インターネット境界ファイアウォールにアクセス制御ポリシーを作成して、パブリックアセットとインターネット間のトラフィックを詳細に制御できます。
ページで、対象のインターネット境界ファイアウォールを見つけ、操作する 列の [ポリシーの設定] をクリックして、パブリックアセットのアウトバウンドまたはインバウンドのアクセス制御ポリシーを設定します。詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーを設定する」をご参照ください。
監査ログのクエリ
ページの タブで、フィルター条件を設定して、パブリックアセットとインターネット間のアクセスログを表示します。 詳細については、「ログ監査」をご参照ください。
トラフィック分析の表示
-
ページで、ビジネスアセットからインターネットへのアウトバウンド接続のトラフィックデータを表示します。データには、異常なアウトバウンドトラフィックのソース、アセットがアクセスする宛先インターネットアドレス、パブリックアセットからのアウトバウンド接続、プライベートアセットからのアウトバウンド接続が含まれます。これにより、疑わしいアセットを調査し、ビジネスのセキュリティを確保できます。詳細については、「アウトバウンド接続」をご参照ください。
-
ページでは、ビジネスアセットがインターネットにどのように公開されているかを表示できます。このページには、異常なインバウンドトラフィックのソース、公開されているパブリック IP アドレス、オープンポート、公開されているアプリケーション、クラウド製品のパブリック IP アドレス数などのデータが表示されます。この情報は、疑わしいアセットを調査し、ビジネスのセキュリティを確保するのに役立ちます。詳細については、「インターネットへの露出」をご参照ください。
攻撃防御データの表示
ページで、対象のインターネット境界ファイアウォールの「操作」列にある [攻撃の表示] をクリックして、パブリックアセットのアウトバウンドまたはインバウンドトラフィックの攻撃防御データを表示します。詳細については、「侵入防御」をご参照ください。
パブリックトラフィック処理ステータスの表示
左側のナビゲーションウィンドウで、概要 をクリックします。概要 ページの アセットの保護状況 セクションで、ファイアウォールインスタンスの数、購入したトラフィック、および最近のピーク帯域幅を表示できます。