このトピックでは、Cloud Firewall の購入に関するよくある質問への回答を提供します。
機能に関する FAQ
従量課金方式を使用する Cloud Firewall に関する FAQ
保護範囲に関する FAQ
Cloud Firewall と他の Alibaba Cloud サービスとの関係に関する FAQ
Cloud Firewall にサービスリンクロール AliyunServiceRoleForCloudFW を割り当てる必要があるのはなぜですか?
クラウド資産のリクエストとレスポンスの表示、内部ネットワークを介したクラウド資産間のアクセス情報の表示、Cloud Firewall コンソールに表示される統計に基づいたアクセス制御ポリシーの構成など、以下の操作を実行する前に、現在の Alibaba Cloud アカウントに属するクラウド リソースにアクセスする権限を Cloud Firewall に付与する必要があります。クラウド リソースには、Elastic Compute Service (ECS) インスタンス、仮想プライベートクラウド (VPC)、Server Load Balancer (SLB) インスタンスが含まれます。
Cloud Firewall にクラウド リソースへのアクセスを許可するには、Alibaba Cloud アカウントまたは AliyunRAMFullAccess ポリシーがアタッチされた Resource Access Management (RAM) ユーザーを使用する必要があります。
従量課金方式を使用する Cloud Firewall をリリースするにはどうすればよいですか?
Cloud Firewall コンソール にログインします。 概要 ページの右上隅にある を選択します。詳細については、「Cloud Firewall のリリース」をご参照ください。
従量課金方式を使用する Cloud Firewall をリリースした後も料金が差し引かれるのはなぜですか?
従量課金方式を使用する Cloud Firewall の課金サイクルは 1 日です。請求書は翌日生成され、日額料金がアカウント残高から差し引かれます。当日中に従量課金方式を使用する Cloud Firewall をリリースした場合、請求書は翌日生成されます。詳細については、「従量課金」をご参照ください。
従量課金方式を使用する Cloud Firewall の利用明細はどのように確認しますか?
Cloud Firewall コンソール にログインします。左側のナビゲーションウィンドウで、 を選択して 利用明細を表示します。
従量課金方式を使用する Cloud Firewall はどのように課金されますか?
従量課金方式を使用する Cloud Firewall は、リソースの使用量に基づいて課金されます。時間単位の課金が使用されます。請求書は翌日生成され、日額料金がアカウント残高から差し引かれます。従量課金方式を使用する Cloud Firewall の日額料金は、次の式を使用して計算されます。日額料金 = パブリック IP アドレスの日額構成料金 + 日額トラフィック処理料金。詳細については、「従量課金」をご参照ください。
従量課金制セービングプラン を購入すると、従量課金制セービングプランを使用して Cloud Firewall の料金を相殺できます。
Cloud Firewall の課金方式をサブスクリプションから従量課金に変更するにはどうすればよいですか?また、どのような影響がありますか?
詳細については、「Cloud Firewall のアップグレードまたはダウングレード」をご参照ください。
Cloud Firewall の課金方式を従量課金からサブスクリプションに変更するにはどうすればよいですか?また、どのような影響がありますか?
ビジネス要件に基づいて、課金方式を従量課金からサブスクリプションに変更できます。
従量課金制セービングプランとは何ですか?また、どのように使用しますか?
セービングプランとは、特定の期間にわたって一定量のリソースを使用することをコミットメントする代わりに、従量課金料金よりも割引料金を提供する割引プランです。コミットメントする消費量が大きい 従量課金制セービングプラン を購入すると、より大きな割引を受け、より多くのコストを削減できます。
従量課金方式を使用する Cloud Firewall とサブスクリプション課金方式を使用する Cloud Firewall の違いは何ですか?
Cloud Firewall はレイヤー 2 EIP を保護できますか?
はい、Cloud Firewall はレイヤー 2 Elastic IP Address (EIP) を保護できます。Cloud Firewall の保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。
Cloud Firewall はクラシックネットワークをサポートしていますか?
Cloud Firewall は、パブリック IP アドレスを使用し、クラシックネットワークに存在する ECS インスタンスと特定の SLB インスタンスを保護できます。内部ファイアウォールは、VPC 内のインスタンスを保護できますが、クラシックネットワーク内のインスタンスは保護できません。
Cloud Firewall はインターネットに接続された SLB インスタンスを保護できますか?
Alibaba Cloud は、インターネット向けと内部向けの SLB インスタンスを提供しています。一部のインターネット向け SLB インスタンスは、ネットワークアーキテクチャの制限により、Cloud Firewall で保護できません。この場合、内部向け SLB インスタンスをデプロイし、EIP を SLB インスタンスに関連付けることをお勧めします。
EIP に関連付けられている内部向け SLB インスタンスのファイアウォールを有効にすると、トラフィックは最初にファイアウォールを通過し、次に EIP に関連付けられている Destination Network Address Translation (DNAT) ゲートウェイを通過し、最後に SLB インスタンスに渡されます。
Cloud Firewall は Express Connect または CEN 上のトラフィックを保護できますか?
はい、Cloud Firewall は Express Connect と Cloud Enterprise Network (CEN) 上のトラフィックを保護できます。以下の点に注意してください。
Cloud Firewall は、Express Connect 回線を使用して接続され、同じリージョンに存在する VPC 間のトラフィックを保護できます。Cloud Firewall は、Express Connect 回線を使用して接続された VPC と仮想ボーダールーター (VBR) 間のトラフィックを保護することはできません。
Cloud Firewall は、CEN で接続された 2 つの VPC 間のトラフィックと、CEN インスタンスを使用して接続された VPC と VBR 間のトラフィックを保護できます。
Cloud Firewall を使用してリージョンをまたがる VPC 間または VPC と VBR 間のトラフィックを保護する場合は、Express Connect のピアリング接続から CEN インスタンスに VPC を移行する必要があります。
Cloud Firewall は APT から防御できますか?
はい。Cloud Firewall は、アクセス制御、侵害認識、侵入防止、ログ追跡など、さまざまな方法に基づいて、高度な持続的脅威 (APT) から防御するための完全な一連の防止システムを開発しました。
インターネットファイアウォールは、パブリック VPN ゲートウェイ宛てのトラフィックを保護できますか?
いいえ、インターネットファイアウォールはパブリック VPN ゲートウェイ宛てのトラフィックを保護できません。インターネット経由でパブリック VPN ゲートウェイにアクセスする場合、アクセストラフィックは VPN ゲートウェイによって暗号化され、インターネットファイアウォールは暗号化されたトラフィックを識別して保護できません。
VPC ファイアウォールは、IPsec-VPN 接続を使用して VPC 宛てのトラフィックを保護できますか?
答えは、ネットワークのデプロイによって異なります。以下のシナリオが考えられます。
1. IPsec-VPN 接続が CEN トランジットルーターに関連付けられており、IPsec-VPN 接続がビジネス VPC に接続されている場合、VPC ファイアウォールは IPsec-VPN 接続を使用して VPC 宛てのトラフィックを保護できます。
次の図は例として提供されています。次の図では、VPC ファイアウォールはオフィスネットワークとビジネス VPC 間のトラフィックを保護しています。
2. IPsec-VPN 接続が VPN ゲートウェイに関連付けられてビジネス VPC にデプロイされており、サービスに VPC 間トラフィック (CEN または VPC ピアリング接続を使用して接続された VPC のトラフィックなど) が含まれる場合、VPC ファイアウォールは IPsec-VPN 接続経由で VPC 宛てのトラフィックを保護できます。
次の図は例を示しています。次の図では、VPC ファイアウォールはオフィスネットワークから IPsec-VPN 接続がデプロイされている VPC へのトラフィックを保護できません。ただし、VPC ファイアウォールは、オフィスネットワークから IPsec-VPN 接続がデプロイされている VPC に接続されている他のビジネス VPC へのトラフィックを保護します。
IPsec-VPN 接続を使用して他のビジネス VPC 宛てのトラフィックを保護する必要がある場合は、ネットワークデプロイを変更し、IPsec-VPN 接続を別の VPC にデプロイできます。こうすることで、Cloud Firewall は IPsec-VPN 接続がデプロイされている VPC から他のビジネス VPC へのトラフィックを保護できます。
3. IPsec-VPN 接続が VPN ゲートウェイに関連付けられてビジネス VPC にデプロイされており、サービスに VPC 間トラフィックが含まれていない場合、VPC ファイアウォールは IPsec-VPN 接続経由で VPC 宛てのトラフィックを保護できません。
次の図は例を示しています。次の図では、VPC ファイアウォールはオフィスネットワークとビジネス VPC 間のトラフィックを保護できません。
Alibaba Cloud ネットワークアーキテクチャにおけるインターネットファイアウォールの位置付けは何ですか?
インターネットファイアウォールは、インターネットとクラウド資産間のインターネット境界に配置されます。以下の機能を提供します。
インターネット攻撃からの防御
クラウド資産からインターネットへのアウトバウンド接続の制御
次の図は、Cloud Firewall を含む Alibaba Cloud サービス間の論理的な関係を示しています。
Anti-DDoS、WAF、Cloud Firewall を一緒に使用する場合、サービストラフィックはどのように流れますか?
Anti-DDoS、CNAME レコードモードの Web Application Firewall (WAF)、Cloud Firewall を一緒に使用する場合、サービストラフィックは次のノードに順番に流れます。
Anti-DDoS、WAF、Cloud Firewall、バックエンドサービス
Anti-DDoS、クラウドネイティブモードの WAF、Cloud Firewall を一緒に使用する場合、サービストラフィックは次のノードに順番に流れます。
Anti-DDoS、Cloud Firewall、WAF、バックエンドサービス
複数アカウント管理機能はいくつのメンバーをサポートしていますか?
Cloud Firewall Premium Edition、Enterprise Edition、Ultimate Edition は、複数アカウント管理機能をサポートしています。各エディションの Cloud Firewall でこの機能がサポートするメンバー数については、「請求ルール」をご参照ください。メンバーを追加する場合は、「管理対象メンバー」を再構成して Cloud Firewall の仕様をアップグレードします。詳細については、「Cloud Firewall のアップグレードまたはダウングレード」をご参照ください。
Cloud Firewall がインターネットに接続された SLB インスタンスを保護する主なシナリオは何ですか?
Cloud Firewall は、新世代のインターネット向け SLB アーキテクチャをサポートし、クラウド内のインターネット向け SLB インスタンスを包括的に保護します。Alibaba Cloud Cloud Firewall を購入した場合は、Cloud Firewall コンソール にログインしてファイアウォールを有効にし、ネットワークセキュリティ全体を向上させることができます。Cloud Firewall は、インターネット向け SLB インスタンスのインターネットアクセスのための侵入防止機能とアクセス制御機能も提供します。
侵入防止: この機能は、仮想パッチのワンクリックデプロイをサポートし、ゼロデイ脆弱性などの緊急性の高い高リスクの脆弱性から保護します。この機能を使用すると、再起動やパッチのインストールを必要とせずに、脆弱性を悪用して開始された攻撃から防御できます。
アクセス制御: この機能は、きめ細かいインターネット向けアクセス制御を実装し、HTTP アプリケーションと HTTPS アプリケーションをサポートし、特定の IP アドレス、ポート、プロトコル、特に TCP ベースのビジネスに対する制限を提供します。この機能を使用して、アクセス元を制限できます。たとえば、アクセス制御ポリシーを構成して、特定のエリアからのトラフィックを許可できます。これにより、ビジネスがより信頼性が高く安全な方法で実行されるようになります。
Alibaba Cloud Cloud Firewall はセルフマネージドファイアウォールに比べてどのような利点がありますか?
Alibaba Cloud Cloud Firewall は、南北方向と東西方向のネットワークトラフィックを一元的に管理し、クラウド内のネットワークセキュリティを確保するために使用できる、使いやすいすぐに使えるソリューションを提供します。セルフマネージドファイアウォールと比較して、Alibaba Cloud Cloud Firewall は以下の利点を提供します。
マネージドサービス: VPC の数が増加すると、セルフマネージドファイアウォールに必要なクォータが増加し、複雑なルート構成によりセルフマネージドファイアウォールでのネットワーク側の障害の数も増加します。Cloud Firewall は Alibaba Cloud によって完全に管理されているため、デバイスをデプロイすることなく、Cloud Firewall コンソールで必要な構成を完了した直後に Cloud Firewall を使用できます。これにより、O&M コストが削減されます。
高可用性と弾力的なスケーリング: セルフマネージドファイアウォールの高可用性と高パフォーマンスは、仮想デバイスに基づいて実現されます。Cloud Firewall はデュアルゾーンクラスタデプロイメントモードを使用して、高可用性、スケーリング、またはアクセスに関連する問題に注意を払うことなく、スムーズなパフォーマンストリートメントスケーリングをサポートします。
クラウドサービスとの緊密な統合: Cloud Firewall は、VPC、CEN、EIP、SLB などのさまざまな Alibaba Cloudサービスと統合して、クラウド資産へのアクセスを直接制御し、端末のセキュリティ機能と統合して、クラウド資産への異常アクセスを処理できます。
侵入防止と脅威インテリジェンス: Cloud Firewall には脅威検出エンジンが組み込まれており、ネットワーク全体の脅威インテリジェンスを同時に更新し、500 万以上のアクティブな悪意のある IP アドレスとドメイン名を監視して、インターネットからの脅威をリアルタイムで検出してブロックできます。
Cloud Firewall がインターネット境界に提供する主要な保護機能は何ですか?
インターネットファイアウォールは、インターネットと Alibaba Cloud のパブリック IP アドレス間のトラフィックを監視できます。Cloud Firewall をアクティブ化すると、以下の防御機能を使用できます。
資産インベントリ: インターネットファイアウォールは、開いているアプリケーション、開いているポート、開いているパブリック IP アドレス、アクセスされたクラウドサービスに関する情報など、資産のインバウンドトラフィックとアウトバウンドトラフィックを分析できます。
侵入防止: Cloud Firewall は、インターネット上の悪意のあるトラフィックと攻撃をリアルタイムで検出して阻止できます。Cloud Firewall は、脅威インテリジェンスに基づいて攻撃をインテリジェントにブロックできます。
ドメイン名ブロッキング: ファイアウォールを有効にすると、システムは資産のアウトバウンド接続データをリアルタイムで分析して、疑わしい資産を検出します。Cloud Firewall は、ドメインベースまたは IP アドレスベースのアクセス制御ポリシーに基づいてインターネットアクセスもブロックします。
脆弱性防止: Cloud Firewall は、リモートで悪用される可能性のある高リスクの脆弱性から防御するための仮想パッチ機能を提供します。パッチをインストールできない場合でも、脆弱性を自動的に防止できます。
WAF と Cloud Firewall を使用してインターネットへの露出を管理するにはどうすればよいですか?
インターネットへの露出とは、インターネット上に公開されている既知または未知の資産を指します。資産には、IP アドレス、ポート、ドメイン名、アプリケーション、API が含まれます。企業のネットワークに接続されている資産の数が増加するにつれて、インターネットへの露出も増加します。インターネットへの露出が増えるほど、企業が直面する脅威は大きくなります。したがって、インターネットへの露出を効果的に管理することは、セキュリティ運用と管理の基本要件です。
ビジネスアプリケーション資産の管理: 近年、業務システムプラットフォームの数は増加しています。場合によっては、従業員が独自の Web サイトを構築したり、テスト環境または API が時間内にリサイクルされないことがあります。資産は、低バージョンのオープンソースシステム、コンポーネント、Web フレームワークを使用し、ビジネス要件を超えるアクセス許可を持っている可能性があります。攻撃者は、これらの資産をジャンプサーバーとして使用して、企業のネットワーク境界での保護をバイパスする可能性があります。Web Application Firewall (WAF) の資産識別は、Alibaba Cloud Certificate Management Service、Alibaba Cloud DNS、WAF、HiChina などのサービスに関する構成情報を取得し、ビッグデータ関連付け分析機能を活用することで、グローバルな資産の視点を提供します。これにより、資産を完全に保護し、セキュリティ全体を向上させることができます。
ネットワーク資産管理: 企業のビジネスが急速に成長するにつれて、クラウド内の IP アドレスの数が増加します。管理の怠慢により、IP アドレスはビジネス要件を超えるポートとサービスを開いている可能性があります。Cloud Firewall を使用して、クラウド内のインターネットとパブリック IP アドレス間の通信トラフィックを監視し、インターネット上に公開されている不要な IP アドレスとポートを無効にし、アクセス制御ポリシーを構成してインターネットアクセスに対してきめ細かいアクセス制御を実装できます。
CEN インスタンストランジットルーターを使用するユーザーが Cloud Firewall に対してより高い要件を持つのはなぜですか?
ますます多くの企業がマルチ VPC アーキテクチャを採用して、リージョン間のネットワーキングとハイブリッドクラウド接続を可能にしていますが、CEN トランジットルーターのユーザーは、ネットワークセキュリティ管理においてますます複雑な課題に直面しています。
VPC およびハイブリッドクラウドにわたる複数のサービスに対するネットワーク管理要件: VPC のサービスレベルとセキュリティレベルはさまざまですが、サービスへのアクセスには複数の VPC の条件付き接続が必要です。企業は、VPC 間または VPC とデータセンター間のトラフィックを保護するために、アクセス制御ポリシーと保護ポリシーを適切に計画および設計する必要があります。こうすることで、企業はラテラルムーブメント攻撃から防御できます。VPC 間のトラフィックと VPC とデータセンター間のトラフィックの管理の複雑さは、企業内の VPC の数とクラウド内のビジネスの規模によって異なります。トランジットルーターを使用すると、ユーザーはより多くの VPC を保護できますが、クラウド内の東西トラフィックの制御が複雑になります。したがって、ユーザーはクラウド内の東西トラフィックのきめ細かい管理に対してより高い要件を持っています。
コンプライアンス要件: 大規模な企業ユーザーがビジネスをクラウドに移行する場合、ほとんどのユーザーは、多層防御スキーム (MLPS) や国際標準化機構 (ISO) 27001 などの等級保護要件を満たすアクセス制御ポリシーを必要とします。たとえば、MLPS のクラウドコンピューティングセキュリティ拡張要件によると、ユーザーはさまざまなレベルのネットワーク境界にアクセス制御メカニズムをデプロイして、セッションベースおよびアプリケーションベースのアクセス制御を実装する必要があります。Cloud Firewall Enterprise Edition は、東西トラフィックを制御および保護するというユーザーの要件を満たすことができます。