すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:インターネット境界ファイアウォール

最終更新日:Jun 23, 2026

インターネット境界ファイアウォールは、パブリックアセットとインターネット間のトラフィックに対して詳細な制御を提供し、パブリックアセットの公開範囲を縮小し、セキュリティリスクを軽減します。インターネット境界ファイアウォールを有効にするために、ネットワークトポロジーを変更する必要はありません。ワンクリックでリソースを保護でき、保護は数秒で有効になります。これにより、インターネットとの間のトラフィックに対するトラフィック可視化、攻撃防止、アクセス制御、ログ監査を迅速に実装できます。

特徴

仕組み

パブリックアセット に対してインターネット境界ファイアウォールを有効にすると、Cloud Firewall はすべてのインバウンドおよびアウトバウンドトラフィックをフィルタリングします。ディープパケットインスペクション (DPI) によるトラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーを使用して、トラフィックを許可するかブロックするかを判断し、パブリックアセットとインターネット間の接続を保護します。

インターネット境界ファイアウォールは、Elastic Compute Service (ECS)、Elastic IP Address (EIP) (レイヤー 2 EIP を含む)、Server Load Balancer (SLB)、Bastionhost、NAT Gateway、HaVip、および Global Accelerator (GA) の EIP といったアセットの IPv4IPv6 の両方におけるインバウンドおよびアウトバウンドトラフィックを保護します。

サポートされているアセットタイプの全リストを表示するにはクリックしてください

IPv4

IPv6

  • ALB EIP

  • Bastionhost アウトバウンド IP アドレス

  • Bastionhost IP アドレス

  • Bastionhost インバウンド IP アドレス

  • EIP

  • ECS EIP

  • ECS パブリック IP アドレス

  • ENI EIP

  • GA EIP

    説明
    • アクセラレーション IP が属する GA インスタンスは、標準インスタンス である必要があります。

    • アクセラレーション IP のタイプは Elastic IP Address である必要があります。

    • アクセラレーション IP の加速リージョンは、Alibaba Cloud のエッジノード (POP) であってはなりません。

      加速リージョンが Alibaba Cloud POP であるかどうかを確認するには、「ListAvailableBusiRegions」をご参照ください。

  • HaVip

  • NAT EIP

  • NAT パブリック IP アドレス

  • NLB EIP

  • SLB EIP

  • SLB パブリック IP アドレス

  • AI ゲートウェイパブリック IP アドレス

  • API ゲートウェイパブリック IP アドレス

  • Simple Application Server パブリック IP アドレス

  • Wuying Workspace (Enterprise Edition) パブリック IP アドレス

  • ALB IPv6

  • ECS IPv6

  • ENI EIP IPv6

  • GA EIP IPv6

    説明
    • アクセラレーション IP が属する GA インスタンスは、標準インスタンス である必要があります。

    • アクセラレーション IP のタイプは Elastic IP Address である必要があります。

    • アクセラレーション IP の加速リージョンは、Alibaba Cloud のエッジノード (POP) であってはなりません。

      加速リージョンが Alibaba Cloud POP であるかどうかを確認するには、「ListAvailableBusiRegions」をご参照ください。

  • NLB IPv6

  • SLB IPv6

  • AI ゲートウェイパブリック IPv6 アドレス

  • API ゲートウェイパブリック IPv6 アドレス

サービスへの影響

インターネット境界ファイアウォールの作成、有効化、または無効化は、ネットワークトポロジーを変更したり、サービスを中断させたりすることはありません。ワンクリックで数秒のうちにリソースを保護または保護解除できます。オフピーク時にインターネット境界ファイアウォールを有効にすることを推奨します。

保護仕様

2025 年 10 月 15 日より、Cloud Firewall は課金方法 2.0 を導入します。新規ユーザーはデフォルトで課金方法 2.0 を使用し、既存ユーザーは引き続き課金方法 1.0 を使用します。インターネット境界ファイアウォールの保護仕様は、2 つの課金方法で異なります。

課金方法 2.0

仕様

説明

サブスクリプション版

従量課金版

ファイアウォールインスタンス数

保護できるリージョンの数。保護対象の各リージョンは、1 つのファイアウォールインスタンスを使用します。

購入したインスタンス数と帯域幅によって異なります。各エディションで提供されるインスタンスと帯域幅の詳細については、「サブスクリプション 2.0」をご参照ください。クォータが不足している場合は、仕様をアップグレードできます。詳細については、「アセットの保護ステータスの確認」をご参照ください。

実際のファイアウォールインスタンス数と処理された総トラフィック量に基づいて課金されます。

サポートされる最大ピーク帯域幅は 10 Gbps です。より高い仕様については、ビジネス担当者またはアーキテクトにお問い合わせください。詳細な請求情報については、「従量課金 2.0」をご参照ください。

パブリックトラフィック処理能力

ファイアウォールによって処理されるインターネットトラフィックの最大合計量。インバウンドおよびアウトバウンドトラフィックの帯域幅の合計に基づいて課金されます。

課金方法 1.0

仕様

説明

サブスクリプション版

従量課金版

保護可能なパブリック IP アドレス数

インターネット境界ファイアウォールで保護できるパブリック IP アドレスの数。

購入した保護可能なパブリック IP アドレスの数と、処理された総トラフィックのピークによって異なります。クォータが不足している場合は、仕様をアップグレードできます。

Cloud Firewall のエディションによって、パブリック IP のクォータ制限が異なります。詳細については、「サブスクリプション 1.0」をご参照ください。

説明

トラフィックが購入容量を超えた場合、サービスレベルアグリーメント (SLA) は保証されません。これにより、セキュリティ機能 (ACL、IPS、ログ監査) の無効化、高トラフィックアセットのファイアウォールシャットダウン、レート制限やパケット損失の適用などのサービス低下が引き起こされる可能性があります。

トラフィックが制限を超える可能性がある場合は、サブスクリプションインスタンス向けの後払い弾性トラフィック機能を使用することを推奨します。詳細については、「サブスクリプションの従量課金制弾性トラフィック」をご参照ください。

実際に保護されたパブリック IP アドレスの数と、処理された総トラフィックのピークに基づいて課金されます。クォータ制限は適用されません。詳細な請求情報については、「従量課金 1.0」をご参照ください。

パブリックトラフィック処理能力

処理されるインターネットトラフィックの最大合計量。インバウンドまたはアウトバウンドトラフィックの帯域幅のうち、高い方に基づいて課金されます。

アセットの保護ステータス

Cloud Firewall は、現在のファイアウォールインスタンス数と未保護のパブリック IP アドレス数を追跡します。必要に応じてパブリックアセットを保護できます。

説明

最大限のセキュリティを確保するため、ご利用の Alibaba Cloud アカウント内のすべてのパブリックアセットをインターネット境界ファイアウォールで保護することを推奨します。

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、スイッチ をクリックします。

  3. インターネットボーダー タブで、パブリックアセットの保護ステータスを表示します。

    左側の [Firewall Overview] セクションには [Total Instances][Available Quotas] が表示されます。右側の [Internet Border] セクションには、[internet firewall instances][Protected public IP addresses] の数が表示されます。[Enable All] をクリックしてすべてのアセットの保護を有効にするか、[View Protection Details] をクリックして特定のアセットの保護情報を確認できます。

  4. (任意) ご利用の 利用可能なインスタンスライセンス数 が不足している場合は、アップグレード をクリックして容量を増やします詳細については、「サブスクリプション 2.0」をご参照ください。

インターネット境界ファイアウォールの有効化

手動保護

Automatic Protection for New Assets が無効になっている場合、パブリックアセットを手動で保護できます。

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、スイッチ をクリックします。

  3. インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックして、パブリックアセットの保護を手動で有効にします。

    目的のアセットがリストにない場合は、リストの右上隅にある Synchronize Assets をクリックします。この操作により、ご利用の Alibaba Cloud アカウントとそのメンバーアカウントからアセット情報が同期されます。同期には 1〜2 分かかる場合があります。

    • 単一アセットの保護を有効にする:リストでアセットを見つけ、操作する 列の Enable Protection をクリックします。

    • 複数アセットの保護を有効にする:保護したいアセットのチェックボックスを選択し、リストの下にある Enable Protection をクリックします。

自動保護

Automatic Protection for New Assets を有効にすると、Cloud Firewall はご利用の Alibaba Cloud アカウントまたはそのメンバーアカウントに追加された新しいパブリックアセットを自動的に保護します。

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、スイッチ をクリックします。

  3. Automatic Protection for New Assets 機能を有効にするインターネットボーダー タブで、Automatic Protection for New Assets の横にあるスイッチをオンにします。

  4. 自動保護対象のアセットタイプを選択するAutomatic Protection for New Assets をクリックします。表示される設定パネルで、自動保護の対象となるアセットタイプとリージョンを選択します。設定後、設定の保存 をクリックして変更を適用します。

    [Internet Firewall] タブでは、[Automatic Protection for New Assets][Synchronize Assets] オプションがアセットリストの右上にあります。最新のアセット情報を手動で同期するには、[Synchronize Assets] をクリックします。

次のステップ

インターネット境界ファイアウォールを作成した後、アクセス制御ポリシーを設定したり、パブリックアセットのログを表示したり、その他の操作を実行して、パブリックアセットとインターネット間のトラフィックをより適切に管理できます。

アクセス制御ポリシーの設定

デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewall はすべてのトラフィックを許可します。インターネット境界ファイアウォールにアクセス制御ポリシーを作成して、パブリックアセットとインターネット間のトラフィックを詳細に制御できます。

スイッチ > インターネットボーダー境界ウォール ページで、対象のインターネット境界ファイアウォールを見つけ、操作する 列の [ポリシーの設定] をクリックして、パブリックアセットのアウトバウンドまたはインバウンドのアクセス制御ポリシーを設定します。詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーを設定する」をご参照ください。

監査ログのクエリ

レスポンス検出 > [ログ監査] ページの [トラフィックログ] > [インターネット境界] タブで、フィルター条件を設定して、パブリックアセットとインターネット間のアクセスログを表示します。 詳細については、「ログ監査」をご参照ください。

トラフィック分析の表示

  • [Traffic Analysis] > [Outbound Connection] ページで、ビジネスアセットからインターネットへのアウトバウンド接続のトラフィックデータを表示します。データには、異常なアウトバウンドトラフィックのソース、アセットがアクセスする宛先インターネットアドレス、パブリックアセットからのアウトバウンド接続、プライベートアセットからのアウトバウンド接続が含まれます。これにより、疑わしいアセットを調査し、ビジネスのセキュリティを確保できます。詳細については、「アウトバウンド接続」をご参照ください。

  • [Traffic Analysis] > [Internet Exposure] ページでは、ビジネスアセットがインターネットにどのように公開されているかを表示できます。このページには、異常なインバウンドトラフィックのソース、公開されているパブリック IP アドレス、オープンポート、公開されているアプリケーション、クラウド製品のパブリック IP アドレス数などのデータが表示されます。この情報は、疑わしいアセットを調査し、ビジネスのセキュリティを確保するのに役立ちます。詳細については、「インターネットへの露出」をご参照ください。

攻撃防御データの表示

スイッチ > [インターネット境界ファイアウォール] ページで、対象のインターネット境界ファイアウォールの「操作」列にある [攻撃の表示] をクリックして、パブリックアセットのアウトバウンドまたはインバウンドトラフィックの攻撃防御データを表示します。詳細については、「侵入防御」をご参照ください。

パブリックトラフィック処理ステータスの表示

左側のナビゲーションウィンドウで、概要 をクリックします。概要 ページの アセットの保護状況 セクションで、ファイアウォールインスタンスの数、購入したトラフィック、および最近のピーク帯域幅を表示できます。

その他の操作

デフォルトのセキュリティグループポリシー

説明

インターネット境界ファイアウォールは、インターネットとの間のトラフィックを保護します。保護対象のパブリックアセットがインターネットトラフィックを許可するように設定されていることを確認する必要があります。詳細については、対応するパブリックアセットの公式ドキュメントをご参照ください。

ECS アセット (ECS パブリック IP アドレスおよび ECS EIP を含む) を保護する場合、Cloud Firewall コンソールでワンクリックでインターネットトラフィックに対するデフォルトの許可ポリシーを適用できます。これにより、ECS コンソールでセキュリティグループの設定を変更することなく、Cloud Firewall を通じてルールを一元管理できます。

仕組み

Cloud Firewall は、ECS アセットに関連付けられたセキュリティグループに、最も低い優先度 (100) の 4 つのルールを追加します。これらのルールは、ECS アセットのインターネットアクセスを許可します。

同じ優先度のルールの場合、ECS セキュリティグループはまず拒否ルールを照合します。したがって、優先度 100 の既存の拒否ルールがある場合、Cloud Firewall によって適用される許可ポリシーはそれらをオーバーライドしません。

注意事項

  • これらのワンクリックポリシーは、関連付けられたセキュリティグループ内のすべてのリソースに影響します。適用する前に、Cloud Firewall 保護を有効にし、関連するすべてのリソースに対して適切なインバウンドアクセス制御ポリシーを設定してください。そうしないと、リソースがインターネットに公開される可能性があります。

    保護されていないリソースにこれらのポリシーを適用することはお勧めしません。同様に、これらのポリシーがすでに適用されているリソースに対して Cloud Firewall 保護を無効にすることもお勧めしません。

  • Cloud Firewall サービスが有効期限切れになると、Cloud Firewall によって追加された 4 つの許可ポリシーはセキュリティグループ内でアクティブなままです。Cloud Firewall サービスを今後使用しない場合は、これら 4 つのデフォルトの許可ポリシーを手動で削除することを推奨します。手順については、「セキュリティグループルールの削除」をご参照ください。

制限事項

  • セキュリティグループにデフォルトの許可ポリシーを適用する機能は、ECS パブリック IP アドレスと ECS EIP のインバウンドルールのみをサポートします。

  • エンタープライズセキュリティグループでは、デフォルトの許可ポリシーの適用はサポートされていません。

許可ポリシーの適用

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、スイッチ をクリックします。

  3. インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックします。

  4. パブリックアセットリストで、デフォルトポリシーを適用したい ECS アセットを見つけ、Default Allow Policies 列の Apply をクリックします。

  5. (任意) 現在のセキュリティグループのルールが適用されるルールと競合する場合、まずポリシーを調整する必要があります。

    • 調整可能な競合:セキュリティグループのルールが適用されるルールと同じ優先度を持つが、プロトコルタイプ、ポート範囲、または権限付与オブジェクトが異なる場合。

      Default Allow Policies ダイアログボックスで、Quick Modify をクリックして、既存のセキュリティグループルールの優先度を上げることで競合を解決します。

    • 調整不可能な競合:セキュリティグループのルールが、適用されるルールと同じ優先度、プロトコルタイプ、ポート範囲、および権限付与オブジェクトを持つ場合。

      ECS コンソール[セキュリティグループ] ページに移動して、競合するルールの優先度を表示および調整することをお勧めします。詳細については、「セキュリティグループルールを変更する」をご参照ください。または、チケットを起票して技術専門家にご相談いただくこともできます。

  6. セキュリティグループの [Actions] 列で、Quick Apply をクリックします。適用される 4 つの許可ポリシーを確認し、OK をクリックします。

    ECS インスタンスが複数のセキュリティグループを使用している場合、変更を有効にするには、それらすべてにポリシーを適用する必要があります。

    適用される 4 つのポリシーはすべて優先度 100 で、プライベートネットワークインターフェースに適用され、ALL プロトコルを使用します。ポリシーは、ソースアドレス 192.168.0.0/16172.16.0.0/1210.0.0.0/8 に対する 3 つの拒否ルールと、ソースアドレス 0.0.0.0/0 に対する 1 つの許可ルールで構成されます。

セキュリティグループの許可ルールを設定した後、スイッチ > インターネットボーダー ページでデフォルトのセキュリティグループ許可ポリシーのデプロイメントステータスを確認し、ポリシーが正常にデプロイされたかどうかを判断し、デプロイメントの失敗を迅速にトラブルシューティングできます。

考えられる適用ステータスは次のとおりです:

  • Applied:デフォルトの許可ポリシーが、ECS アセットに関連付けられたすべてのセキュリティグループに適用されました。

  • Not Applied:デフォルトの許可ポリシーが、関連付けられたセキュリティグループの 1 つ以上に適用されていないか、設定の競合が存在します。

  • -:このアセットタイプでは、デフォルトの許可ポリシーのワンクリック適用はサポートされていません。

パブリックアセットリスト

パブリックアセットリストを CSV ファイルとしてダウンロードできます。

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、スイッチ をクリックします。

  3. インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックします。

  4. パブリックアセットリストの右上隅にある image.png アイコンをクリックします。

  5. インターネットボーダー タブの右上隅にある ダウンロードタスクの管理 をクリックして、ダウンロードの進捗を確認します。タスクが完了したら、[Actions] 列の Download をクリックします。

インターネット境界ファイアウォールの保護

警告

インターネット境界ファイアウォールの保護を無効にすると、Cloud Firewall はアセットのトラフィックを管理しなくなり、悪意のある攻撃やデータ侵害などのリスクにさらされる可能性があります。注意して進めてください。

  1. Cloud Firewall コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、スイッチ をクリックします。

  3. インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックします。パブリックアセットリストで、保護を解除したいアセットを見つけ、[Actions] 列の Disable Protection をクリックします。