アクセス制御ポリシーが不適切に設定されている場合、トラフィックが誤って許可または拒否される可能性があります。 これにより、データリーク、インターネットの公開、サービスの中断などのリスクが発生する可能性があります。 アクセス制御ポリシーを設定する前に、ビジネス要件を評価することを推奨します。 これにより、正確なトラフィック管理が保証されます。 このトピックでは、アクセス制御ポリシーの仕組みについて説明します。
背景情報
デフォルトでは、アクセス制御ポリシーが設定されていない場合、Cloud Firewallはアクセス制御ポリシーの照合プロセス中にすべてのトラフィックを許可します。 アクセス制御ポリシーを設定すると、Cloud Firewallはトラフィックをフィルタリングし、特定の要件を満たすトラフィックのみを許可します。
条件
次の表に、アクセス制御ポリシーに関連する主要な用語を示します。これは、アクセス制御ポリシーの仕組みを理解するのに役立ちます。
期間 | 説明 |
マッチングアイテム | アクセス制御ポリシーには、ソースタイプ、ソースアドレス、および宛先タイプを含む複数の項目が含まれます。 トラフィックがクラウドファイアウォールを通過すると、クラウドファイアウォールはトラフィックパケットをアクセス制御ポリシーの特定の項目と順番に照合します。 項目は、ソースアドレス、宛先アドレス、宛先ポート、プロトコルタイプ、アプリケーション、およびドメイン名です。 |
宛先タイプ | アクセス制御ポリシーの宛先アドレスのタイプ。 サポートされる宛先タイプには、IPアドレス、アドレス帳、およびドメイン名が含まれます。 説明 サポートされる宛先タイプは、ファイアウォールのタイプによって異なります。 Cloud Firewallコンソールに表示されるサポートされている宛先タイプが優先されます。 |
4タプル | このトピックでは、4タプルは、送信元IPアドレス、宛先IPアドレス、宛先ポート、およびプロトコルタイプで構成されます。 |
申請 | アプリケーション層プロトコル。 Cloud Firewallは、HTTP、HTTPS、SMTP (Simple Mail Transfer Protocol) 、SMTPS (Simple Mail Transfer Protocol Secure) 、SSL、FTPなどのさまざまなタイプのアプリケーションをサポートします。 アクセス制御ポリシーには、最大5種類のアプリケーションを選択できます。 値ANYは、すべてのアプリケーションタイプを指定します。 説明 Cloud Firewallは、ポート443を介したSSLおよびTLSトラフィックのアプリケーションをHTTPSとして識別し、他のポートを介したSSLおよびTLSトラフィックのアプリケーションをSSLとして識別します。 |
分割ロジック | アクセス制御ポリシーを設定するときに、異なる一致するアイテムに対して複数の制御オブジェクトを指定できます。 各マッチングアイテムの値は、独立した制御オブジェクトとすることができる。 たとえば、CIDRブロック192.0.2.0/24、ポート範囲80/88、およびポート22/22を制御オブジェクトとして指定できます。 アクセス制御ポリシーを設定すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、一致するルールをエンジンに送信します。 マッチングルールの各マッチングアイテムには、1つのコントロールオブジェクトのみを含めることができます。 |
マッチングロジック | Cloud Firewallが、分割一致ルールに基づいてネットワークトラフィックが条件を満たすかどうかを評価し、一致した結果に基づいて関連するアクセス制御ポリシーで指定されたアクションを実行するプロセス。 |
アクセス制御ポリシーの宛先タイプがドメイン名またはドメインアドレス帳の場合、次のドメイン名識別モードに注意してください。
FQDNベースの動的解決 (ホストおよびSNIフィールドの抽出): ポリシーの適用がHTTP、HTTPS、SMTP、SMTPS、またはSSLに設定されている場合、クラウドファイアウォールはホストまたはSNIフィールドを優先的に使用してドメイン名のアクセス制御を実行します。
DNSベースの動的解決: ポリシーの適用がHTTP、HTTPS、SSL、SMTP、またはSMTPS以外の値に設定されている場合、クラウドファイアウォールはドメイン名に対してドメインネームシステム (DNS) ベースの動的解決を実行します。 Cloud Firewallは、解決されたドメイン名のIPアドレスに対してアクセス制御を実行できます。 ドメイン名は最大500個のIPアドレスに解決できます。
ワークフロー
次の図は、アクセス制御ポリシーのワークフローを示しています。
アクセス制御ポリシーを作成すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、一致するルールをエンジンに送信します。 詳細については、「1」をご参照ください。 アクセス制御ポリシーの分割ロジック。
トラフィックがクラウドファイアウォールを通過すると、クラウドファイアウォールはポリシーの優先順位に基づいてトラフィックパケットをアクセス制御ポリシーと照合し、照合結果に基づいてトラフィックパケットを許可または拒否します。 詳細については、「2」をご参照ください。 アクセス制御ポリシーの一致ロジック。
トラフィックパケットがポリシーにヒットした場合、Cloud Firewallはポリシーで指定されたアクションを実行し、後続のポリシーは一致しません。 それ以外の場合、Cloud Firewallは、ポリシーがヒットするか、すべての設定済みポリシーが一致するまで、優先度の低いポリシーに対してトラフィックパケットを照合し続けます。 デフォルトでは、設定されたすべてのポリシーが一致した後にトラフィックがポリシーにヒットしない場合、トラフィックは許可されます。
1. アクセス制御ポリシーの分割ロジック
アクセス制御ポリシーを作成すると、Cloud Firewallは特定のロジックに基づいてポリシーを1つ以上の一致するルールに分割し、一致するルールをエンジンに送信します。 インターネットファイアウォール、NATファイアウォール、および仮想プライベートクラウド (VPC) ファイアウォールは、トラフィック内のドメイン名情報に基づいてドメイン名のアクセス制御を実装します。 ファイアウォール用に作成されたアクセス制御ポリシーの分割ロジックは、Cloud Firewallがドメイン名に対してDNS解決を実行するかどうかによって異なります。
アクセス制御ポリシーを作成、変更、または削除した後、Cloud Firewallは一致するルールをエンジンに送信するのに約3分かかります。
Cloud Firewallがアクセス制御ポリシーを複数の一致するルールに分割した後、Cloud Firewallがトラフィックをアクセス制御ポリシーと一致させると、Cloud Firewallはトラフィックを一致するルールと順番に一致させます。 トラフィックがアクセス制御ポリシーの一致ルールにヒットした場合、トラフィックはアクセス制御ポリシーにヒットします。
DNS解決の詳細については、「DNS解決」をご参照ください。
インターネット国境
インターネットファイアウォールのアクセス制御ポリシーを作成した後、Cloud firewallは、ポリシーに指定された宛先タイプとアプリケーションに基づいてポリシーを一致するルールに分割します。 次の図は、インターネットファイアウォール用に作成されたアクセス制御ポリシーの分割ロジックと一致ロジックを示しています。
宛先タイプはIPまたはIPアドレス帳
ポリシーの宛先タイプがIPまたはIPアドレス帳に設定されている場合、クラウドファイアウォールは、一致する各項目に指定された制御オブジェクトの数に基づいて、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
ポリシーの宛先タイプはドメイン名です
ポリシーの [宛先タイプ] が [ドメイン名] に設定されている場合、Cloud Firewallはポリシーで指定されたアプリケーションを識別し、アプリケーションに基づいてポリシーを一致するルールに分割し、一致するルールをエンジンに送信します。
アプリケーションがHTTP、HTTPS、SMTP、SMTPS、SSL、または値の組み合わせに設定され、ドメイン名識別モードがFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定されている場合、クラウドファイアウォールはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
アプリケーションがHTTP、HTTPS、SMTP、SMTPS、SSL、またはANY以外の値に設定され、ドメイン名識別モードがDNSベースの動的解決に設定されている場合、クラウドファイアウォールはドメイン名をIPアドレスに解決し、宛先アドレスを解決済みのIPアドレスに設定し、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、と、各一致するアイテムに指定されたコントロールオブジェクトの数に基づいて適用します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
アプリケーションがANY、またはHTTP、HTTPS、SMTP、SMTPS、またはSSLと別のアプリケーションの組み合わせに設定されている場合、Cloud Firewallはポリシーを2種類の一致ルールに分割します。 たとえば、ポリシーの適用はHTTPとMySQLに設定されます。
アプリケーションがHTTP、HTTPS、SMTP、SMTPS、またはSSLに設定され、ドメイン名識別モードがFQDNベースの動的解決 (ホストの抽出およびSNIフィールド) に設定されている場合、クラウドファイアウォールはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
アプリケーションがANYに設定され、ドメイン名識別モードがDNSベースの動的解決に設定されている場合、クラウドファイアウォールはドメイン名をIPアドレスに解決し、宛先アドレスを解決済みのIPアドレスに設定し、一致する各項目に指定された制御オブジェクトの数に基づいて送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
ポリシーの宛先タイプはドメインアドレス帳です
ポリシーの宛先タイプがドメインアドレス帳に設定され、ドメイン名識別モードがFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定されている場合、アプリケーションはHTTP、HTTPS、SMTP、SMTPS、またはSSLにのみ設定できます。 宛先タイプがドメインアドレス帳の場合、宛先アドレスは複数のドメイン名です。 この場合、Cloud Firewallはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
NATボーダー
NATファイアウォールのアクセス制御ポリシーを設定するときに、ドメイン名ベースのアクセス制御ポリシーを設定する場合は、ドメイン名識別モードパラメーターを設定できます。 Cloud Firewallは、パラメーターの値に基づいて、ドメイン名に対してDNS解決を実行するかどうかを決定します。 次の図は、NATファイアウォール用に作成されたアクセス制御ポリシーの分割ロジックと一致ロジックを示しています。
宛先タイプはIPまたはIPアドレス帳
ポリシーの宛先タイプがIPまたはIPアドレス帳に設定されている場合、クラウドファイアウォールは、一致する各項目に指定された制御オブジェクトの数に基づいて、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
ポリシーの宛先タイプはドメイン名です
ポリシーの [宛先タイプ] が [ドメイン名] に設定されている場合、クラウドファイアウォールはドメイン名識別モードに基づいてポリシーを分割します。
ドメイン名識別モードがFQDNベースの動的解決 (ホストおよびSNIフィールドの抽出) に設定されている場合、アプリケーションはHTTP、HTTPS、SMTP、SMTPS、SSL、または値の組み合わせにのみ設定できます。 このモードでは、Cloud Firewallはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
ドメイン名識別モードがDNSベースの動的解決に設定されている場合、クラウドファイアウォールはアプリケーションに基づいてポリシーを分割します。
ApplicationがHTTP、HTTPS、SMTP、SMTPS、SSL、または値の組み合わせに設定されている場合、Cloud Firewallはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
ポリシーのアプリケーションがHTTP、HTTPS、SMTP、SMTPS、およびSSL以外の値に設定されている場合、Cloud Firewallはドメイン名をIPアドレスに解決し、一致するルールの宛先アドレスを解決されたIPアドレスに設定し、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、と、各一致するアイテムに指定されたコントロールオブジェクトの数に基づいて適用します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
アプリケーションがANY、またはHTTP、HTTPS、SMTP、SMTPS、またはSSLと別のアプリケーションの組み合わせに設定されている場合、Cloud Firewallはポリシーを2種類の一致ルールに分割します。 たとえば、ApplicationはHTTPとMySQLに設定されます。
Cloud Firewallがトラフィックをこのポリシーと照合すると、Cloud Firewallは一致するルールに基づいてトラフィックを分類し、トラフィックを4タプル、アプリケーション、ドメイン名、および4タプルとアプリケーションで個別に照合します。 詳細については、「4タプルおよびアプリケーションによるトラフィックの連続一致」および「4タプル、アプリケーション、ドメイン名によるトラフィックの連続一致」をご参照ください。
Domain Dame Identification ModeがFQDNおよびDNSベースの動的解決に設定されている場合、アプリケーションはHTTP、HTTPS、SMTP、SMTPS、SSL、またはANYにのみ設定できます。 このモードでは、Cloud Firewallはアプリケーションに基づいてポリシーを分割します。
ApplicationがHTTP、HTTPS、SMTP、SMTPS、SSL、または値の組み合わせに設定されている場合、Cloud Firewallはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
アプリケーションがANYに設定されている場合、Cloud Firewallはポリシーを2種類の一致するルールに分割します。
アプリケーションがHTTP、HTTPS、SMTP、SMTPS、またはSSLに設定されている場合、クラウドファイアウォールはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
アプリケーションがANYに設定されている場合、Cloud Firewallはドメイン名をIPアドレスに解決し、宛先アドレスを解決されたIPアドレスに設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
ポリシーの宛先タイプはドメインアドレス帳です
ポリシーの宛先タイプがドメインアドレス帳に設定されている場合、ドメイン名識別モードはFQDNベースの動的解決 (ホスト抽出およびSNIフィールド) にのみ設定でき、アプリケーションはHTTP、HTTPS、SMTP、SMTPS、またはSSLにのみ設定できます。 この場合、Cloud Firewallはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
VPCボーダー
VPCファイアウォール用に作成されたアクセス制御ポリシーは、DNS解決をサポートしていません。 VPCファイアウォールのアクセス制御ポリシーを設定すると、Cloud firewallはポリシーの宛先タイプを識別し、宛先タイプに基づいてポリシーを分割します。 次の図は、VPCファイアウォール用に作成されたアクセス制御ポリシーの分割ロジックとマッチングロジックを示しています。
宛先タイプはIPまたはIPアドレス帳
ポリシーの宛先タイプがIPまたはIPアドレス帳に設定されている場合、クラウドファイアウォールは、一致する各項目に指定された制御オブジェクトの数に基づいて、送信元アドレス、宛先アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプルとアプリケーションによってこのポリシーに対してトラフィックを順番に照合します。 詳細については、「4タプルとアプリケーションによるトラフィックの一致」をご参照ください。
宛先タイプはドメイン名またはドメインアドレス帳
ポリシーの [宛先タイプ] が [ドメイン名] または [ドメインアドレス帳] に設定されている場合、[アプリケーション] はHTTP、HTTPS、SMTP、SMTPS、SSL、または値の組み合わせにのみ設定できます。 このモードでは、Cloud Firewallはドメイン名をIPアドレスに解決しません。 Cloud Firewallは、一致するルールの宛先アドレスを0.0.0.0/0に設定し、一致する各項目に指定された制御オブジェクトの数に基づいて、ドメイン名、送信元アドレス、プロトコルタイプ、ポート、およびアプリケーションを分割します。
Cloud Firewallは、4タプル、アプリケーション、ドメイン名の順にトラフィックをこのポリシーと照合します。 詳細については、「4タプル、アプリケーション、ドメイン名によるトラフィックの順序の一致」をご参照ください。
2. アクセス制御ポリシーのマッチングロジック
トラフィックがクラウドファイアウォールを通過すると、クラウドファイアウォールはトラフィックパケットをアクセス制御ポリシー、脅威インテリジェンスルール、基本保護ルール、インテリジェント防御ルール、仮想パッチルールと照合し、照合結果に基づいてアクションを実行します。 このセクションでは、アクセス制御ポリシーのマッチングロジックについて説明します。 異なるトラフィック一致フェーズでの一致順序の詳細については、「トラフィック分析に関するよくある質問」をご参照ください。
Cloud Firewallは、トラフィックを4タプルとアプリケーションで順番に、または4タプル、アプリケーション、ドメイン名で順番に照合します。
4タプルとアプリケーションによるトラフィックの一致
特定のシナリオでは、トラフィックがCloud Firewallを通過すると、Cloud Firewallはトラフィックの4タプルとアプリケーションをアクセス制御ポリシーの4タプルとアプリケーションと照合します。 トラフィックが4タプルとアプリケーションの両方に一致する場合、トラフィックはアクセス制御ポリシーにヒットします。
次のリストは、シナリオを説明しています。
アクセス制御ポリシーの宛先タイプは、IPまたはIPアドレス帳に設定されます。
アクセス制御ポリシーの宛先タイプは [ドメイン名] に設定され、アプリケーションは任意のアプリケーション (HTTP、HTTPS、SMTP、SMTPS、SSLを除く) に設定されます。
アクセス制御ポリシーの宛先タイプは [ドメイン名] に設定され、アプリケーションは [ANY] に設定され、分割一致ルールのアプリケーションは [HTTP、HTTPS、SMTP、SMTPS、またはSSL以外] に設定されます。
次のフローチャートは、Cloud Firewallがトラフィックを4タプルとアプリケーションで順番に一致させる方法を示しています。
トラフィックがCloud Firewallを通過すると、Cloud Firewallはトラフィックをアクセス制御ポリシーの4タプルと照合します。
トラフィックがアクセス制御ポリシーの4タプルにヒットした場合、Cloud Firewallは引き続きトラフィックのアプリケーションをポリシーのアプリケーションと照合し、ステップ2を実行します。
トラフィックがアクセス制御ポリシーの4タプルにヒットしない場合、Cloud Firewallはこのアクセス制御ポリシーに対してトラフィックを一致させなくなり、優先度の低いアクセス制御ポリシーが存在するかどうかを判断します。
「はい」の場合、Cloud Firewallは、トラフィックがポリシーに一致するまで、トラフィックの4タプルを優先度の低いポリシーの4タプルと照合します。 次に、Cloud Firewallは、トラフィックのアプリケーションを優先度の低いポリシーのアプリケーションと照合し、ステップ2を実行します。
すべてのポリシーが一致した後にトラフィックがアクセス制御ポリシーにヒットしない場合、アクセス制御ポリシーの一致プロセスは終了します。
いいえの場合、アクセス制御ポリシーのマッチングプロセスは終了します。
Cloud Firewallは、トラフィックのアプリケーションをアクセス制御ポリシーのアプリケーションと照合します。
Cloud Firewallがトラフィックのアプリケーションを識別し、トラフィックのアプリケーションがアクセス制御ポリシーのアプリケーションにヒットした場合、Cloud Firewallはポリシーで指定されたアクションを実行します。 アクションは許可または拒否できます。
Cloud Firewallがトラフィックのアプリケーションを識別し、トラフィックのアプリケーションがアクセス制御ポリシーのアプリケーションにヒットしない場合、Cloud Firewallは別のアクセス制御ポリシーが存在するかどうかを判断します。
「はい」の場合、システムは、トラフィックが4タプルにヒットし、アクセス制御ポリシーが適用されるまで、トラフィックの4タプルを、より低い優先度を有するアクセス制御ポリシーの4タプルと照合し続ける。
すべてのポリシーが一致した後にトラフィックがアクセス制御ポリシーにヒットしない場合、アクセス制御ポリシーの一致プロセスは終了します。
いいえの場合、アクセス制御ポリシーのマッチングプロセスは終了します。
Cloud Firewallがトラフィックの適用を識別できない場合、Cloud Firewallはドメイン名識別モードが厳格か緩いかを判断します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可し、ビジネスに影響を与えないようにします。
Strictモードでは、Cloud Firewallはトラフィックパケットを直接許可しませんが、アクセス制御ポリシーがヒットするまでトラフィックパケットを優先度の低いアクセス制御ポリシーと照合し続け、ポリシーで指定されたアクションを実行します。 アクションは許可または拒否できます。
すべてのアクセス制御ポリシーが一致した後にアクセス制御ポリシーがヒットしない場合、Cloud Firewallは自動的にトラフィックを許可します。
トラフィックを4タプル、アプリケーション、ドメイン名で順番に一致させる
特定のシナリオでは、トラフィックがCloud Firewallを通過すると、Cloud Firewallはトラフィックの4タプルとアプリケーションをアクセス制御ポリシーの4タプルとアプリケーションと照合します。 トラフィックが4タプルとアプリケーションの両方に一致する場合、トラフィックはアクセス制御ポリシーにヒットします。
次のリストは、シナリオを説明しています。
アクセス制御ポリシーの宛先タイプは [ドメイン名] に設定され、ポリシーの適用はHTTP、HTTPS、SMTP、SMTPS、およびSSLに設定されます。
アクセス制御ポリシーの宛先タイプは [ドメイン名] 、ポリシーの適用は [ANY] 、分割一致ルールの適用はHTTP、HTTPS、SMTP、SMTPS、SSLです。
アクセス制御ポリシーの宛先タイプはドメインアドレス帳です。
次の手順は、Cloud Firewallがトラフィックを4タプル、アプリケーション、ドメイン名で順番に一致させる方法を示しています。
トラフィックがCloud Firewallを通過すると、Cloud Firewallはトラフィックをアクセス制御ポリシーの4タプルと照合します。
トラフィックがアクセス制御ポリシーの4タプルにヒットした場合、Cloud Firewallは引き続きトラフィックのアプリケーションをポリシーのアプリケーションと照合し、ステップ2を実行します。
トラフィックがアクセス制御ポリシーの4タプルにヒットしない場合、Cloud Firewallはこのアクセス制御ポリシーに対してトラフィックを一致させなくなり、優先度の低いアクセス制御ポリシーが存在するかどうかを判断します。
「はい」の場合、Cloud Firewallは、トラフィックがポリシーに一致するまで、トラフィックの4タプルを優先度の低いポリシーの4タプルと照合します。 次に、Cloud Firewallは、トラフィックのアプリケーションを優先度の低いポリシーのアプリケーションと照合し、ステップ2を実行します。
すべてのポリシーが一致した後にトラフィックがアクセス制御ポリシーにヒットしない場合、アクセス制御ポリシーの一致プロセスは終了します。
いいえの場合、アクセス制御ポリシーのマッチングプロセスは終了します。
Cloud Firewallは、トラフィックのアプリケーションをアクセス制御ポリシーのアプリケーションと照合します。
Cloud Firewallがトラフィックのアプリケーションを識別し、トラフィックがアクセス制御ポリシーのアプリケーションにヒットした場合、Cloud Firewallは引き続きトラフィックのドメイン名をアクセス制御ポリシーのドメイン名と照合し、ステップ3を実行します。
Cloud Firewallがトラフィックのアプリケーションを識別したが、トラフィックがアクセス制御ポリシーのアプリケーションにヒットしなかった場合、Cloud Firewallは別のアクセス制御ポリシーが存在するかどうかを判断します。
「はい」の場合、Cloud Firewallは、優先度の低いアクセス制御ポリシーの4タプルおよびアプリケーションに対してトラフィックを照合し続け、優先度の低いアクセス制御ポリシーに対してアプリケーションおよびドメイン名に対してトラフィックを照合し、ステップ3を実行します。
すべてのポリシーが一致した後にトラフィックがアクセス制御ポリシーにヒットしない場合、アクセス制御ポリシーの一致プロセスは終了します。
いいえの場合、アクセス制御ポリシーのマッチングプロセスは終了します。
Cloud Firewallがトラフィックの適用を識別できない場合、Cloud Firewallはドメイン名識別モードが厳格か緩いかを判断します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可し、ビジネスに影響を与えないようにします。
Strictモードでは、Cloud Firewallはトラフィックパケットを直接許可しませんが、アクセス制御ポリシーがヒットするまでトラフィックパケットを優先度の低いアクセス制御ポリシーと照合し続け、ポリシーで指定されたアクションを実行します。 アクションは許可または拒否できます。
すべてのアクセス制御ポリシーが一致した後にアクセス制御ポリシーがヒットしない場合、Cloud Firewallは自動的にトラフィックを許可します。
Cloud Firewallは、トラフィックのドメイン名をアクセス制御ポリシーのドメイン名と照合します。
Cloud Firewallがトラフィックのドメイン名を識別し、トラフィックのドメイン名がアクセス制御ポリシーのドメイン名にヒットした場合、Cloud Firewallはアクセス制御ポリシーで指定されたアクションを実行します。 アクションは許可または拒否できます。
Cloud Firewallがトラフィックのドメイン名を識別し、トラフィックのドメイン名がアクセス制御ポリシーのドメイン名にヒットしない場合、Cloud Firewallは別のアクセス制御ポリシーが存在するかどうかを判断します。
「はい」の場合、Cloud Firewallは、トラフィックの4タプルを、優先度の低いアクセス制御ポリシーの4タプルと照合し続けます。
いいえの場合、アクセス制御ポリシーのマッチングプロセスは終了します。
Cloud Firewallがトラフィックのドメイン名を識別できない場合、Cloud Firewallはドメイン名識別モードがStrictかLooseかを判断します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可し、ビジネスに影響を与えないようにします。
Strictモードでは、Cloud Firewallはトラフィックパケットを直接許可しませんが、アクセス制御ポリシーがヒットするまでトラフィックパケットを優先度の低いアクセス制御ポリシーと照合し続け、ポリシーで指定されたアクションを実行します。 アクションは許可または拒否できます。
すべてのアクセス制御ポリシーが一致した後にアクセス制御ポリシーがヒットしない場合、Cloud Firewallは自動的にトラフィックを許可します。
例
次のセクションでは、さまざまなシナリオでインターネットファイアウォール用に作成されたアクセス制御ポリシーの一致ロジックについて説明します。
シナリオ1: アクセス制御ポリシーの宛先タイプがIPアドレス帳
Cloud Firewallコンソールで2つのアクセス制御ポリシーを作成しました。
アクセス制御ポリシーA
アクセス制御ポリシーB
ソース: 192.0.2.0/24
目的地: 198.51.100.0/24
プロトコル: TCP
ポート: 80/88
アプリケーション: HTTP
アクション: 許可
優先度: 1
出典: 0.0.0.0/0
宛先: 0.0.0.0/0
プロトコル: 任意
ポート: 0/0
アプリケーション: ANY
アクション: 拒否
優先度: 2
Cloud Firewallは、分割ロジックに基づいてアクセス制御ポリシーを複数の一致するルールに分割し、一致するルールをエンジンに送信します。
トラフィックがクラウドファイアウォールを通過すると、クラウドファイアウォールは、ポリシーの優先順位に基づいて、トラフィックパケットをアクセス制御ポリシーと照合します。
例
トラフィックパケット
マッチング結果
例 1
(一致しました。)
出典: 192.0.2.1
目的地: 198.51.100.1
プロトコル: TCP
ポート: 80
アプリケーション: HTTP
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーAのアプリケーションに対してトラフィックパケットを一致させます。→ ヒット
アクセス制御ポリシーA: [トラフィックパケットを許可] で指定されたアクションを実行します。
例 2
(送信元IPアドレスが一致しません。)
出典: 203.0.113.1
目的地: 198.51.100.1
プロトコル: TCP
ポート: 80
アプリケーション: HTTP
トラフィックパケットをアクセス制御ポリシーAの4タプルと一致させます。→ Miss
アクセス制御ポリシーBの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーBで指定されたアクションを実行します。トラフィックパケットを拒否します。
例 3
(アプリケーションは特定されません。)
出典: 192.0.2.4
目的地: 198.51.100.1
プロトコル: TCP
ポート: 80
アプリケーションUnknown
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
トラフィックパケットをアクセス制御ポリシーAのアプリケーションと一致させます。→ トラフィックパケットのアプリケーションを特定できません。
ドメイン名の識別モードを決定します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可します。
厳密モードでは、クラウドファイアウォールは引き続きトラフィックパケットをアクセス制御ポリシーBと照合します。
アクセス制御ポリシーBの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーBで指定されたアクションを実行します。トラフィックパケットを拒否します。
シナリオ2: アクセス制御ポリシーの宛先タイプがドメイン名
Cloud Firewallコンソールで複数のアクセス制御ポリシーを作成しました。
アクセス制御ポリシーA
アクセス制御ポリシーB
アクセス制御ポリシーC
アクセス制御ポリシーD
ソース: 192.0.2.0/24
目的地: www.aliyun.com
プロトコル: TCP
ポート: 0/0
アプリケーションHTTP, HTTPS
アクション: 許可
優先度: 1
説明Cloud Firewallは、ホストまたはSNIフィールドに基づいて、トラフィックパケットの宛先ドメイン名をこのポリシーと照合します。
出典: 198.51.100.0/24
目的地: www.aliyun.com
プロトコル: TCP
ポート: 0/0
アプリケーションSSH
アクション: 許可
優先度: 2
説明Cloud Firewallは、ドメイン名の解決済みIPアドレスに基づいて、トラフィックパケットの宛先ドメイン名をこのポリシーと照合します。
出典: 203.0.113.0/24
目的地: www.aliyun.com
プロトコル: TCP
ポート: 0/0
アプリケーションSMTP
アクション: 許可
優先度: 3
出典: 0.0.0.0/0
宛先: 0.0.0.0/0
プロトコル: 任意
ポート: 0/0
アプリケーション: ANY
アクション: 拒否
優先度: 4
Cloud Firewallは、分割ロジックに基づいてアクセス制御ポリシーを複数の一致するルールに分割し、一致するルールをエンジンに送信します。
保護されたアセットのトラフィックがCloud Firewallを通過すると、Cloud Firewallはポリシーの優先順位に基づいてトラフィックパケットをポリシーと照合します。
説明t www.aliyun.comが106.XX. XX.5に解決されると仮定する。
例
トラフィックパケット
マッチング結果
例 1
出典: 192.0.2.1
目的地: 106.XX. XX.5
プロトコル: TCP
ポート: 80
アプリケーション: HTTP
ドメイン名: www.aliyun.com
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーAのアプリケーションに対してトラフィックパケットを一致させます。→ ヒット
トラフィックパケットをアクセス制御ポリシーAのドメイン名と一致させます。→ Hit
アクセス制御ポリシーA: [トラフィックパケットを許可] で指定されたアクションを実行します。
例 2
出典: 203.0.113.3
目的地: 106.XX. XX.5
プロトコル: TCP
ポート: 443
アプリケーション: HTTPS
ドメイン名: www.aliyun.com
トラフィックパケットをアクセス制御ポリシーAの4タプルと一致させます。→ Miss
トラフィックパケットをアクセス制御ポリシーBの4タプルと一致させます。→ Miss
アクセス制御ポリシーCの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーCのアプリケーションに対してトラフィックパケットを一致させます。→ ミス
アクセス制御ポリシーDの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーD: [トラフィックパケットを拒否] で指定されたアクションを実行します。
例 3
出典: 198.51.100.1
目的地: 106.XX. XX.5
プロトコル: 任意
ポート: 22
アプリケーションSSH
ドメイン名: www.aliyun.com
トラフィックパケットをアクセス制御ポリシーAの4タプルと一致させます。→ Miss
アクセス制御ポリシーBの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーBのアプリケーションに対してトラフィックパケットを一致させます。→ ヒット
アクセス制御ポリシーB: [トラフィックパケットを許可] で指定されたアクションを実行します。
例 4
出典: 192.0.2.2
目的地: 106.XX. XX.5
プロトコル: TCP
ポート: 80
アプリケーションUnknown
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
トラフィックパケットをアクセス制御ポリシーAのアプリケーションと一致させます。→ トラフィックパケットのアプリケーションを特定できません。
ドメイン名の識別モードを決定します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可します。
厳密モードでは、クラウドファイアウォールは引き続きトラフィックパケットをアクセス制御ポリシーBと照合します。
トラフィックパケットをアクセス制御ポリシーBの4タプルと一致させます。→ Miss
トラフィックパケットをアクセス制御ポリシーCの4タプルと一致させます。→ Miss
アクセス制御ポリシーDの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーD: [トラフィックパケットを拒否] で指定されたアクションを実行します。
例 5
出典: 192.0.2.3
目的地: 106.XX. XX.5
プロトコル: TCP
ポート: 80
アプリケーション: HTTP
ドメイン名: 不明
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーAのアプリケーションに対してトラフィックパケットを一致させます。→ ヒット
トラフィックパケットをアクセス制御ポリシーAのドメイン名と照合します。→ トラフィックパケットのドメイン名を特定できません。
ドメイン名の識別モードを決定します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可します。
Strictモードでは、Cloud Firewallは引き続きトラフィックパケットをアクセス制御ポリシーBと照合します。
トラフィックパケットをアクセス制御ポリシーBの4タプルと一致させます。→ Miss
トラフィックパケットをアクセス制御ポリシーCの4タプルと一致させます。→ Miss
アクセス制御ポリシーDの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーD: [トラフィックパケットを拒否] で指定されたアクションを実行します。
シナリオ3: アクセス制御ポリシーの宛先タイプがドメインアドレス帳
Cloud Firewallコンソールで2つのアクセス制御ポリシーを作成しました。
アクセス制御ポリシーA
アクセス制御ポリシーB
ソース: 192.0.2.0/24
目的地: www.aliyun.com、www.example.com
プロトコル: TCP
ポート: 0/0
アプリケーション: HTTP、HTTPS
アクション: 許可
優先度: 1
出典: 0.0.0.0/0
宛先: 0.0.0.0/0
プロトコル: 任意
ポート: 0/0
アプリケーション: ANY
アクション: 拒否
優先度: 2
Cloud Firewallはアクセス制御ポリシーを分析し、アクセス制御ポリシーAを複数の一致するルールに分割します。
トラフィックがクラウドファイアウォールを通過すると、クラウドファイアウォールは、ポリシーの優先順位に基づいて、トラフィックパケットをアクセス制御ポリシーと照合します。
説明t www.aliyun.comが106.XX. XX.5に解決され、d www.example.comが107.XX. XX.7に解決されると仮定する。
例
トラフィックパケット
マッチング結果
例 1
出典: 192.0.2.1
目的地: 106.XX. XX.5
プロトコル: TCP
ポート: 80
アプリケーション: HTTP
ドメイン名: www.aliyun.com
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーAのアプリケーションに対してトラフィックパケットを一致させます。→ ヒット
トラフィックパケットをアクセス制御ポリシーAのドメイン名と一致させます。→ Hit
アクセス制御ポリシーA: [トラフィックパケットを許可] で指定されたアクションを実行します。
例 2
出典: 192.0.2.2
目的地: 107.XX. XX.7
プロトコル: TCP
ポート: 22
アプリケーションSSH
ドメイン名: www.example.com
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーAのアプリケーションに対してトラフィックパケットを一致させます。→ ミス
アクセス制御ポリシーBの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーBで指定されたアクションを実行します。トラフィックパケットを拒否します。
例 3
出典: 192.0.2.3
目的地: 107.XX. XX.7
プロトコル: TCP
ポート: 22
アプリケーションUnknown
ドメイン名: www.example.com
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
トラフィックパケットをアクセス制御ポリシーAのアプリケーションと一致させます。→ トラフィックパケットのアプリケーションを特定できません。
ドメイン名の識別モードを決定します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可します。
厳密モードでは、クラウドファイアウォールは引き続きトラフィックパケットをアクセス制御ポリシーBと照合します。
アクセス制御ポリシーBの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーBで指定されたアクションを実行します。トラフィックパケットを拒否します。
例 4
出典: 192.0.2.4
目的地: 106.XX. XX.5
プロトコル: TCP
ポート: 80
アプリケーション: HTTP
ドメイン名: 不明
アクセス制御ポリシーAの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーAのアプリケーションに対してトラフィックパケットを一致させます。→ ヒット
トラフィックパケットをアクセス制御ポリシーAのドメイン名と照合します。→ トラフィックパケットのドメイン名を特定できません。
ドメイン名の識別モードを決定します。
Looseモードでは、Cloud Firewallはデフォルトでトラフィックパケットを許可します。
厳密モードでは、クラウドファイアウォールは引き続きトラフィックパケットをアクセス制御ポリシーBと照合します。
アクセス制御ポリシーBの4タプルに対してトラフィックパケットを一致させます。→ Hit
アクセス制御ポリシーBで指定されたアクションを実行します。トラフィックパケットを拒否します。
関連ドキュメント
アクセス制御ポリシーの詳細については、「アクセス制御ポリシーの概要」をご参照ください。
インターネットファイアウォールのアクセス制御ポリシーを作成する方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
NATファイアウォールのアクセス制御ポリシーを作成する方法の詳細については、「NATファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
VPCファイアウォールのアクセス制御ポリシーを作成する方法の詳細については、「VPCファイアウォールのアクセス制御ポリシーの作成」をご参照ください。