このトピックでは、Cloud Firewall のネットワークトラフィック分析に関するよくある質問への回答を説明します。
サービストラフィック超過に関連する問題:
トラフィック分析で不明なアプリケーションからのトラフィックの割合が高いです。これは、Cloud Firewall がインターネットからのトラフィックを生成するアプリケーションのタイプを識別できないために発生しますか?
[不明] と表示されるアプリケーションは、次の理由が考えられます。
インターネットから大量のトラフィックが生成され、そのトラフィックが標準プロトコルに準拠していません。その結果、Cloud Firewall はそのトラフィックのアプリケーションタイプを識別できません。
宛先サーバーがネットワークトラフィックをブロックし、多くの RST パケットを返します。これらのパケットは、アウトバウンドまたはインバウンドトラフィックに記録されます。パケット数が多い場合、[不明] なトラフィックの割合も大きくなります。
[ログ監査] ページにアクセスし、[イベントログ] または [トラフィックログ] タブで、不明なトラフィックの特定のソースと目的を観察して、アウトバウンドまたはインバウンドトラフィックが異常であるかどうかを判断できます。
すべてのアクセスアクティビティの結果を表示すると、不明な ISP からのトラフィックの割合が大きくなります。なぜですか?
香港 (中国)、マカオ (中国)、台湾 (中国)、または中国以外のリージョンからのインバウンドトラフィックの場合、システムには国またはリージョンの名前のみが表示されます。Cloud Firewall は、このようなトラフィックのインターネットサービスプロバイダー (ISP) を不明としてマークします。
[ログ監査] ページにアクセスし、[トラフィックログ] タブに移動して、特定の IP アドレスに対応するリージョンと ISP を観察できます。
[アウトバウンド接続] ページにインテリジェンスタグが表示されます。タグの意味は何ですか?
インテリジェンスタグは、Cloud Firewall がアウトバウンドドメインまたは宛先 IP アドレスに関する公開情報に基づいて自動的に追加する属性です。たとえば、[悪意のあるダウンロード]、[マイナープール]、[脅威インテリジェンス]、[初回]、[周期的]、[人気のある Web サイト]、[DDoS トロイの木馬] などがあります。その他のインテリジェンスタグについては、[アウトバウンド接続] ページにアクセスしてください。
[悪意のあるダウンロード]、[マイナープール]、および [脅威インテリジェンス]: Cloud Firewall によって脅威が検出されたアウトバウンドアクティビティ。
説明できるだけ早い機会に、アウトバウンドアクティビティが誤検知であるかどうかを確認する必要があります。アウトバウンドアクティビティが悪意のあるものである場合は、関連するアクティビティを制限するためのアクセスの制御ポリシーを設定することをお勧めします。詳細については、「インターネットファイアウォールのアクセスの制御ポリシーを設定する」をご参照ください。
[初回]: Cloud Firewall が初めてアウトバウンドアクティビティを検出します。
[周期的]: アセットには、ドメインまたは宛先 IP アドレスへの定期的なアウトバウンドアクティビティがあります。
[人気のある Web サイト]: サーバーまたはビジネスが頻繁にアクセスするドメイン。
[DDoS トロイの木馬]: Cloud Firewall によって DDoS 攻撃の脅威が検出されたアウトバウンドアクティビティ。
ネットワーク接続の障害をトラブルシューティングするにはどうすればよいですか?
ファイアウォールを有効にすると、次の問題が発生する可能性があります。
サーバーにログインできません。
サーバーで実行されているサービスにアクセスできません。
サーバーがインターネットに接続できません。
上記の問題が発生した場合は、インターネットファイアウォールと内部ファイアウォールという次のディメンションから問題をトラブルシューティングする必要があります。
インターネットファイアウォール
アセットに対してインターネットファイアウォールが有効になっているかどうかを確認します。
インターネットファイアウォールを有効にすると、トラフィックは Cloud Firewall を通過します。詳細については、「インターネットファイアウォール」をご参照ください。
説明アセットに対してインターネットファイアウォールが有効になっていない場合、トラフィックは Cloud Firewall を通過しません。この場合、ネットワーク接続の障害などの他の問題が発生していないか確認する必要があります。
[トラフィックログ] タブでトラフィックログが生成されているかどうかを確認してください。
トラフィックログが見つからない場合、トラフィックはインターネットファイアウォールに到達する前に破棄されます。
トラフィックログが見つかり、アクションが [ブロック] の場合、トラフィックはインターネットファイアウォールによって破棄されます。この場合、[イベントログ] リストでトラフィックをクエリし、[ソース] 列でトラフィックをブロックする命令のソースを確認できます。
ソースが [アクセスの制御] の場合、トラフィックは設定したアクセスの制御ポリシーによってブロックされます。アクセスの制御ポリシーを確認し、ビジネス要件に基づいて変更することをお勧めします。
ソースが [基本保護]、[仮想パッチ]、または [脅威インテリジェンス] の場合、トラフィックは設定した侵入防御ポリシーによってブロックされます。 ページに移動して、対応する侵入防御ポリシーを無効にできます。
トラフィックログが見つかり、アクションが [許可] または [監視] の場合、トラフィックはインターネットファイアウォールによって破棄されません。この場合、内部ファイアウォール (セキュリティグループ) ポリシーを確認する必要があります。
内部ファイアウォール (セキュリティグループ)
ECS コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ネットワーク接続に失敗した ECS インスタンスを見つけます。[セキュリティグループ] タブで、[セキュリティグループリスト] タブをクリックします。次に、セキュリティグループがトラフィックを許可しているかどうかを確認します ([承認ポリシー] が [許可] に設定されている)。
Cloud Firewall がトラフィックを保護するために使用するルールの優先順位は何ですか?
Cloud Firewall は、次の優先順位に基づいてトラフィックをルールと照合します。
アクセスの制御ポリシーが有効になっていない場合、またはアクセスの制御ポリシーが有効になっているがトラフィックがどのアクセスの制御ポリシーにも一致しない場合、Cloud Firewall は最初にトラフィックを [脅威インテリジェンス] ルールと照合し、次にトラフィックを [基本保護]、[インテリジェント防御]、および [仮想パッチ] ルールと照合します。
説明トラフィックが [脅威インテリジェンス] ルールに一致し、アクションがブロックの場合、Cloud Firewall は他のルールとトラフィックを照合しなくなります。
アクセスの制御ポリシーが有効になっており、トラフィックが許可または監視ポリシーに一致する場合、Cloud Firewall は脅威インテリジェンスルールとトラフィックを照合しなくなります。代わりに、Cloud Firewall はトラフィックを [基本保護]、[インテリジェント防御]、および [仮想パッチ] ルールと照合します。
アクセスの制御ポリシーが有効になっており、トラフィックが拒否ポリシーに一致する場合、Cloud Firewall は他のルールとトラフィックを照合しなくなります。
[基本保護]、[インテリジェント防御]、および [仮想パッチ] ルールには優先順位がありません。トラフィックはこれらすべてのルールと照合されます。
Cloud Firewall のパブリック露出検出の原則は何ですか?
Cloud Firewall は、インバウンドトラフィックデータに基づいて、異常トラフィック、オープンなパブリック IP アドレス、オープンポート、オープンアプリケーション、およびクラウドサービスのパブリック IP アドレスを検出します。詳細については、「インターネット露出」をご参照ください。
サービストラフィック超過制限に関連する質問
サービストラフィックが Cloud Firewall でサポートされている帯域幅の仕様を超えた場合はどうすればよいですか?
購入した Cloud Firewall のトラフィック処理仕様をサービストラフィックが超えた場合、サービスレベルアグリーメント (SLA) は保証されません。これにより、セキュリティ機能の障害 (ACL、IPS、ログ監査)、過負荷のトップアセットに対するファイアウォールのシャットダウン、パケット損失を伴うレート制限など、劣化ルールがトリガーされる可能性があります。
サービストラフィックが制限を超えるリスクがある場合は、「サブスクリプションのエラスティックトラフィックの従量課金」をご参照ください。
異常トラフィックのトラブルシューティング方法については、「インターネット境界での異常トラフィックのトラブルシューティングガイド」をご参照ください。
保護帯域幅の拡張方法については、「更新ポリシー」をご参照ください。
Cloud Firewall のパブリックネットワーク保護帯域幅のトラフィック超過制限に関する通知を設定するにはどうすればよいですか?
トラフィック超過制限は、トラフィック超過通知とトラフィック超過警告の 2 種類に分けられます。
トラフィック超過通知: 当日の現在の境界トラフィック (インターネット境界、VPC 境界、NAT 境界) の超過制限のリアルタイム統計。
トリガーロジック: 制限を超過したときに送信され、10 分の遅延があります。アラートは昼夜を問わず 24 時間送信されます。
送信ロジック: 1 日に 1 回だけ送信されます。
エラスティックトラフィック処理機能を有効にしたサブスクリプションのお客様は、トラフィック超過通知を受信しなくなることに注意してください。
制限を超過してから 10 分以内に容量拡張が完了した場合、超過制限アラートはトリガーされません。
トラフィック超過警告: 超過制限警告のリアルタイム統計 (10 分の遅延あり)。現在、インターネット境界のトラフィック超過制限警告のみをサポートしており、NAT 境界のトラフィック超過制限警告はサポートしていません。
トリガーロジック: 現在のトラフィックが設定された警告しきい値を超えています。
警告テキストデータ統計ロジック: 現在の時刻から過去 24 時間のピーク値と警告しきい値を超えた回数の統計。「回数」の定義は 30 分の粒度に基づいています。各 30 分の期間内に超過があった場合、1 回としてカウントされます。
送信ロジック: 1 日に 1 回だけ送信されます。トラフィック超過通知がすでに送信されている場合、警告は送信されません。
エラスティックトラフィック処理機能を有効にしているユーザーには送信されません。
24 時間送信されます。
サポートされている通知の種類と通知を設定する手順については、「アラート」をご参照ください。
トラフィック超過制限に時間内に対応できない場合はどうすればよいですか?
サービストラフィックが時間内に処理できない短期的なトラフィックスパイクを経験する可能性があると予測される場合は、Cloud Firewall のサブスクリプションのエラスティックトラフィックの従量課金機能を使用できます。
サブスクリプションのエラスティックトラフィックの従量課金機能とは、サブスクリプションパッケージに含まれるトラフィッククォータを超えるトラフィックに対する従量課金モデルを指します。このモデルでは、ユーザーは元のサブスクリプションの課金方法を変更することなく、実際の使用量に基づいて超過トラフィックの料金を支払うことができます。詳細については、「サブスクリプションのエラスティックトラフィックの従量課金」をご参照ください。
従量課金版の場合、すべてのトラフィックは従量課金モードで課金されるため、この状況を考慮する必要はありません。
Cloud Firewall のエラスティックトラフィックがスケールできる最大仕様は何ですか?
デフォルトの 1 日あたりの処理制限は 1,000,000 GB です。Cloud Firewall にはトラフィック帯域幅の仕様制限のみがあり、クエリ/秒 (QPS) や接続数の概念は含まれていないことに注意してください。詳細については、「サブスクリプションのエラスティックトラフィックの従量課金 - 課金の説明」をご参照ください。