仮想プライベートクラウド (VPC) ファイアウォールは、2つのVPC間のトラフィックを監視および制御できます。 デフォルトでは、VPCファイアウォールはすべてのトラフィックを許可します。 2つのVPC間のトラフィックを制御する場合は、アクセス制御ポリシーを作成して、疑わしいソースまたは悪意のあるソースからのトラフィックを拒否できます。 信頼できるソースからのトラフィックを許可し、他のソースからのトラフィックを拒否することもできます。 このトピックでは、VPCファイアウォールのアクセス制御ポリシーを作成する方法について説明します。

始める前に

VPCファイアウォールが作成され、有効になっています。 VPCファイアウォールのアクセス制御ポリシーは、VPCファイアウォールが有効になった後にのみ有効になります。 詳細については、「VPCファイアウォールの有効化または無効化」をご参照ください。

制限事項

Cloud Firewall Enterprise EditionとUltimate EditionはVPCファイアウォールをサポートしています。 Cloud Firewall Premium EditionはVPCファイアウォールをサポートしていません。 VPCファイアウォールに対して作成できるアクセス制御ポリシーの数は、Cloud firewallのエディションによって異なります。
  • Cloud Firewall Enterprise Editionを使用する場合、最大10,000のアクセス制御ポリシーを作成できます。
  • Cloud Firewall Ultimate Editionを使用する場合、最大20,000のアクセス制御ポリシーを作成できます。 [ticket] を送信して、クォータを増やすことができます。

手順

  1. にログインします。 左側のナビゲーションウィンドウで、[アクセス制御] > [VPCファイアウォール] を選択します。
  2. [VPCファイアウォール] ページで、[ポリシーの作成] をクリックします。
  3. [VPCファイアウォールポリシーの作成] ダイアログボックスで、ポリシーのパラメーターを設定します。
    パラメーター 説明
    ソースタイプ トラフィックソースのタイプ。 設定可能な値は以下のとおりです。
    • IP: このオプションを選択した場合、SourceにCIDRブロックを入力します。
    • アドレス帳: このオプションを選択する場合は、事前に設定されたアドレス帳を選択します。
      複数のCIDRブロックをアドレス帳に追加できます。 これにより、複数のIPアドレスのアクセス制御を効率的に設定できます。
    ソース トラフィックのソース。
    • ソースタイプをIPに設定した場合、ソースのCIDRブロックを指定します。
      入力できるCIDRブロックは1つだけです。
    • ソースタイプをアドレス帳に設定した場合、事前設定されたアドレス帳を選択します。
      一度に選択できるアドレス帳は1つだけです。 複数のアドレス帳を使用する場合は、複数のポリシーを作成できます。 ポリシーを作成するには、[ポリシーの作成] をクリックします。
    宛先タイプ トラフィックの宛先のタイプ。 設定可能な値は以下のとおりです。
    • IP: このオプションを選択した場合、宛先のIPアドレスを入力します。
    • アドレス帳: このオプションを選択する場合は、アドレス帳を選択します。
    • ドメイン名: このオプションを選択した場合、宛先にドメイン名を入力します。 ワイルドカードドメイン名を入力できます。 例: * .aliyun.com
    目的地 トラフィックの宛先のアドレス。
    • 宛先タイプをIPに設定した場合、CIDRブロックを入力します。
      入力できるCIDRブロックは1つだけです。
    • 宛先タイプをアドレス帳に設定した場合、必要なアドレス帳を見つけて、[操作] 列の [選択] をクリックします。
      一度に選択できるアドレス帳は1つだけです。 複数のアドレス帳を使用する場合は、複数のポリシーを作成できます。 ポリシーを作成するには、[ポリシーの作成] をクリックします。
    • 宛先タイプを [ドメイン名] に設定した場合、宛先にドメイン名を入力します。 ワイルドカードドメイン名を入力できます。 例: * .aliyun.com
    プロトコル トラフィックのプロトコル。 設定可能な値は以下のとおりです。
    • ANY: 任意のプロトコル
    • TCP
    • UDP
    • ICMP
    ポートタイプ ポートのタイプ。 設定可能な値は以下のとおりです。
    • ポート: このオプションを選択した場合、ポートに入力できるポート範囲は1つだけです。
    • アドレス帳: このオプションを選択した場合、事前設定されたポートアドレス帳のみを選択する必要があります。 ポートアドレス帳は、複数のポートを含む。 これにより、複数のポートのアクセス制御を効率的に設定できます。
    ポート トラフィックを制御するポート。 [ポートタイプ] を [ポート] に設定した場合、ポート範囲を入力します。 ポートタイプをアドレス帳に設定した場合は、必要なポートアドレス帳を見つけて、[操作] 列の [選択] をクリックします。
    • 一度に選択できるアドレス帳は1つだけです。 複数のアドレス帳を使用する場合は、複数のポリシーを作成できます。 ポリシーを作成するには、[ポリシーの作成] をクリックします。
    • プロトコルをICMPに設定した場合、指定した宛先ポートは有効になりません。 プロトコルをANYに設定した場合、指定した宛先ポートはICMPトラフィック制御では有効になりません。
    アプリケーション アプリケーションのタイプ。

    プロトコルTCPに設定すると、アプリケーションのすべての有効な値を使用できます。 プロトコルをTCP以外の値に設定した場合、アプリケーションはANYのみに設定できます。

    Cloud Firewallは、ポート番号ではなくパケット特性に基づいてアプリケーションを識別します。 Cloud Firewallがパケットのアプリケーションを特定できない場合、Cloud Firewallはパケットを許可します。
    ポリシーアクション VPCファイアウォールに到達するトラフィックに対するアクション。 設定可能な値は以下のとおりです。
    • 許可: トラフィックがポリシーに指定した条件を満たしている場合、トラフィックは許可されます。
      デフォルトでは、VPCファイアウォールはすべてのトラフィックを許可します。
    • 拒否: トラフィックがポリシーに指定した条件を満たしている場合、トラフィックは拒否され、通知は送信されません。
    • モニター: トラフィックがポリシーに指定した条件を満たす場合、トラフィックは記録され、許可されます。 一定期間トラフィックを監視した後、ビジネス要件に基づいてポリシーアクションを [許可] または [拒否] に変更できます。
    説明 The description of the policy. ポリシーの識別に役立つ説明を入力します。
    優先度 ポリシーの優先順位。 デフォルト値: Lowest 設定可能な値は以下のとおりです。
    • 最低: ポリシーの優先度が最も低く、ポリシーが最後に有効になります。
    • 最高: ポリシーの優先度が最も高く、最初に有効になります。
    アクセス制御ポリシーの優先度を変更すると、優先度の低いアクセス制御ポリシーの優先度が低下します。
  4. [送信] をクリックします。

次の手順

アクセス制御ポリシーを作成したら、ポリシーの [操作] 列で [変更] 、[削除] 、または [コピー] をクリックします。 [移動] をクリックして、ポリシーの優先順位を変更することもできます。 ポリシーの優先度を変更すると、優先度の低いアクセス制御ポリシーの優先度が低下します。
重要 アクセス制御ポリシーを削除すると、Cloud Firewallはポリシーが適用されるトラフィックを制御しません。 操作は慎重に行ってください。