さまざまなタイプのアドレス帳の作成と管理 - Cloud Firewall

アドレス帳は、IP アドレス (IPv4 および IPv6)、ポート、およびドメイン名を一元的に管理します。これらをアクセス制御ポリシーで参照することで、特定のオブジェクトグループのネットワークトラフィックを効率的に制御できます。アドレス帳を使用すると、複数のポリシーで同じターゲットを繰り返し設定する必要がなくなります。アドレス帳を更新すると、それを参照するすべてのポリシーが変更を自動的に同期します。このプロセスにより、手動での調整が不要になり、ポリシー応答性と管理効率が向上します。

アドレス帳のタイプ

Cloud Firewall は、多様なビジネスおよびセキュリティ要件に対応する柔軟な構成をサポートするために、次の 3 種類のアドレス帳を提供します。

1. IP Address Book
IP アドレスのグループを管理し、IPv4 と IPv6 の両方をサポートします。これには、次の 3 つのサブタイプが含まれます。

Custom IP Address Book: IP アドレスを手動で入力できます。1 つのアドレス帳には、最大 2,000 個の IPv4 または IPv6 アドレスを含めることができます。
Cloud Asset IP Address Book: 選択した アセットタイプに基づいて、Alibaba Cloud アカウント内の資産のパブリック IP アドレスを自動的に集約します。手動入力は不要です。
Cloud Service IP Address Book: このアドレス帳は、Security Center の脆弱性スキャナーや WAF インスタンスのソース URL など、内部 Alibaba Cloud サービスの back-to-origin IP アドレスで事前定義されています。このタイプのアドレス帳は読み取り専用であり、変更またはカスタマイズすることはできません。

2. ドメイン名アドレス帳
ドメイン名のグループを管理し、次の 2 つのサブタイプが含まれます。

Custom Domain Name Address Book: ドメイン名を手動で入力できます。1 つのアドレス帳には、最大 2,000 個のドメイン名を含めることができます。
Cloud Service Domain Address Book: このアドレス帳は、信頼できる Alibaba Cloud ドメインと一般的に使用される公開ドキュメントウェブサイトで事前定義されています。このタイプのアドレス帳は読み取り専用であり、変更またはカスタマイズすることはできません。

3. Port Address Book
ポートのグループを管理します。ポート範囲を手動で入力できます。1 つのポートアドレス帳には、最大 2,000 個のポート範囲を含めることができます。

アドレス帳の作成

Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、Prevention Configuration > アドレス帳 を選択します。
アドレス帳 ページで、作成するアドレス帳の種類に対応するタブをクリックします。

IP Address Book

Custom IP Address Book

IP Address Book > Custom IP Address Book タブで、Create Custom IP Address Book をクリックします。次のパラメーターを設定します。

設定項目	説明
Address Book Name と Address Book Description	カスタムアドレス帳の名前と説明を設定します。アドレス帳を正確かつ効率的に識別して適用するために、意味のある名前を使用し、適用可能なシナリオを記述することを推奨します。
IP Type	IPv4 または IPv6 を選択します。
Custom IP	IPv4 または IPv6 アドレス範囲を入力します。複数のアドレスはコンマ (,) または改行で区切ります。各アドレスの後にスペースを使用して説明を追加します (最大長: 64)。 IPv4 の例: `100.100.100.100/32`。 IPv6 の例: `2001:3ca1:10f::/56`。

Cloud Asset IP Address Book

IP Address Book > Cloud Asset IP Address Book タブで、Create Cloud Asset IP Address Book をクリックします。次のパラメーターを設定します。

Address Book Name と Address Book Description: アドレス帳の名前と説明を設定します。アドレス帳を識別して使用するのに役立つように、説明的な名前を使用し、適用可能なシナリオを指定することを推奨します。
アセットタイプ: 次の 3 つのカテゴリがサポートされています。
- Public Assets: お使いのアカウント内の関連するすべてのパブリック IP アドレスを、アセットの種類ごとに自動的に集計します。サポートされているアセットの種類には、Elastic IP Address (EIP)、ECS インスタンスのパブリック IP アドレス、Server Load Balancer のパブリック IP、および Bastionhost の IP アドレスが含まれます。マルチアカウント管理機能を有効にすると、メンバーアカウントのアセットも含まれます。
- ACK Asset: Container Service for Kubernetes (ACK) クラスターの IP アドレスを追加します。まず、ACK クラスタ同期ノードを作成する必要があります。
- ECS Tags: タグに基づいてパブリック IP を持つ ECS インスタンスをフィルタリングします。このオプションは、特定の ECS インスタンスのみを含めたい場合に適しています。
Public Assets
- Asset Accounts: ターゲットアセットが属する Alibaba Cloud アカウントを選択します。他のアカウントからのアセットを含めるには、まずマルチアカウント管理機能を設定する必要があります。
- IP Type: IPv4 または IPv6 を選択します。
- Public Assets: サポートされているアセットのリストから必要なアセットタイプを選択します。選択後、Preview Asset IPs をクリックして、含まれる IP アドレスのリストを表示できます。
説明
All Accounts を Asset Accounts で選択すると、システムは新しく追加されたメンバーアカウントからのパブリックアセットを自動的に同期します。
Public Assets アドレス帳の同期サイクルは、パブリックアセットの同期サイクルと同じです。パブリックアセットの変更は同期遅延を引き起こし、アクセス制御ポリシーのブロックをトリガーする可能性があります。
パブリックアセットを変更した後、Switch > インターネットボーダー境界ウォール に移動し、アセットリストの右上隅にある Synchronize Assets をクリックしてアドレス帳を更新します。
ACK Asset
- ACK クラスターの同期ノードインスタンス ID/ 名前: 既存の ACK クラスター同期ノードを選択します。
- ACK アドレス帳タイプ:
  - ACK クラスター名前空間: 選択した名前空間内のすべての Pod IP アドレスを同期します。複数の名前空間を選択できます。
  - ACK クラスターのコンテナーグループタグ: 選択したラベルを持つすべての Pod IP アドレスを同期します。複数のラベルを選択できます。
ECS Tags
- ECS Tag Filter: 指定されたタグに一致する新しい ECS インスタンスは、このアドレス帳に自動的に追加されます。この機能はデフォルトで有効になっており、無効にすることはできません。
- ECS Tags: ターゲット ECS インスタンスのタグとその値を選択します。異なるタグを持つ ECS インスタンスを含めるには、Add ECS Tag をクリックして複数のタグ条件を指定します。設定が完了すると、一致する ECS インスタンスの IP アドレスが以下の領域に表示されます。
説明
Cloud Firewall は、ECS タグベースアドレス帳を 100 分ごとに自動的に更新し、それらを参照するすべてのアクセス制御ポリシーに更新を同期します。

ドメイン名アドレス帳

［ドメイン名アドレス帳 > Custom Domain Name Address Book］タブで、Create Custom Domain Name Address Bookをクリックします。以下のパラメーターを設定します：

設定項目	説明
Address Book Name および Address Book Description	カスタムアドレス帳の名前と説明を設定します。意味のある名前を付けて、適用対象となるシナリオを明確に記述することで、アドレス帳の正確かつ効率的な識別・適用を支援します。
ドメイン名	ドメイン名またはワイルドカードドメイン名を入力します。複数のドメイン名はカンマ (,) または改行で区切ります。各ドメイン名の後に半角スペースを挟んで説明を追加できます（最大長：64 文字）。説明アクセス制御ポリシーにおける送信先タイプがワイルドカードドメイン名の場合、当該ポリシーは HTTP、HTTPS、SSL、SMTP、SMTPS のみをサポートします。 NAT 境界アクセス制御ポリシーでワイルドカードドメイン名アドレス帳を参照する場合、ドメイン名識別モードは FQDN ベース (メッセージが Host/SNI を抽出) のみをサポートします。

Port Address Book

Port Address Book タブで、Create Port Address Book をクリックします。以下のパラメーターを設定します。

設定項目

説明

Address Book NameおよびAddress Book Description

カスタムアドレス帳の名前と説明を設定します。アドレス帳を正確かつ効率的に識別し、適用できるよう、分かりやすい名前を使用し、その適用シナリオを説明に記述してください。

ポート

ポート範囲を入力します。ポート値の範囲は 0～65535 です。複数のポート範囲を指定する場合は、カンマ (,) または改行で区切ってください。各範囲の後ろにスペースを空けて説明を追加できます (最大 8 文字)。

ポートのフォーマットは 開始ポート/終了ポート です。例： 22/25 はポート 22、23、24、25 を表し、80/80 はポート 80 を表します。
0/0 はすべてのポートを表します。

アドレス帳を作成した後、その詳細の表示、変更、またはアドレス帳リストからの削除ができます。

説明

ポリシーで参照されているアドレス帳は削除できません。
ACK アドレス帳を作成した後は、関連付けられている ACK クラスターの同期ノードインスタンス ID/ 名前 または ACK アドレス帳タイプ を変更することはできません。変更するには、元のアドレス帳を削除し、新しいアドレス帳を作成する必要があります。

クラウドサービスアドレス帳の表示

Cloud Service IP Address Book と Cloud Service Domain Address Book は読み取り専用です。表示および参照のみ可能で、作成や変更はできません。

Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、Prevention Configuration > アドレス帳 を選択します。
目的のアドレス帳に移動します。
1. Cloud Service IP Address Book： IP Address Book > Cloud Service IP Address Book タブに移動します。
2. Cloud Service Domain Address Book： ドメイン名アドレス帳 > Cloud Service Domain Address Book タブに移動します。
目的のアドレス帳の [操作] 列で 表示する をクリックして、その詳細を確認します。