Cloud Firewallの保護範囲

Internet Firewall、NAT Firewall、VPC Firewall、Internal Firewallという4つのFirewallから構成されております。

NAT Firewallの機能追加

前回掲載した記事から新たに追加されたNAT Firewall機能がございます。

NAT FirewallはNAT Gatewayへの全ての送信トラフィックを監視します。NAT Firewallは、トラフィックに関する情報をユーザー定義のポリシー及び脅威インテリジェンスライブラリと照合しトラフィックを許可するかどうかを決定します。
インターネットへの不正アクセスをブロックすることが可能です。

ログには送信元アドレス、宛先アドレス、ポート、プロトコル、アプリケーション、ドメイン名が含まれます。

ただNAT Firewallを提供しているリージョンは2024年3月時点ではシンガポール、香港しかないので提供拡大が待ち望まれますね。

その他の機能の詳細については以前掲載したCloud Firewallの紹介記事を参照ください。

Cloud Firewallの従量課金プランの特徴 / 機能

◆従量課金プランの特徴

従来のサブスクリプション型では一番安い料金プランでもPremium Edition $420～とEIP 20個分、処理帯域10Mbpsが含まれている料金プランとなりAlibabaCloudを一定の規模感で利用していないユーザにとって導入するハードルが高い製品でした。

従量課金プランでは保護するEIP数、処理したトラフィック量に基づいた課金となり、ミニマムな構成でも導入しやすい課金プランとなります。

◆従量課金プランとサブスクリプションプランの機能差分

従量課金プランとサブスクリプションプランプランの計4つの機能差分を表に記載いたしました。表のとおり従量課金プランはInternet Firewall、NAT Firewall機能を使用することが可能です。

Cloud Firewall従量課金プランの利用料金

課金項目としてはパブリックIPアドレス設定料金 / インターネットトラフィック処理数 / NAT Firewall数 / NAT Firewallにより処理されるトラフィック数の料金があります。

◆料金表

従量課金プランの拡張性は下記となり、上限値を超えるスペックアップすることはできません。

◆拡張性

• 保護可能なパブリックIPアドレス数：最大1,000個

• 処理可能な最大トラフィック帯域幅：1GB/s

• Internet Firewall ポリシー数：最大2,000個

• NAT  Firewallポリシー数：最大2,000個

• ログ分析：7日間保持

Cloud Firewawall従量課金プランを利用した簡単な構成

今回はNAT Firewallを使用しECSからNAT GateWayへ抜ける構成で通信制御を行います。

■環境詳細

• ECS ( Singapore / Zone A / Windows Server 2022 )

• Cloud Firewall 従量課金プラン

• NAT Gateway

• Elastic IP address

■事前準備

• シンガポールリージョンにECS、NAT Gatewayをデプロイします。

• ECSをNAT GatewayのSNAT対象に設定します。

• VPCのルーティングテーブルでカスタムルートでデフォルトルートをNAT Gatewayに向けます。

■構築手順

①Cloud Firewallコンソールにアクセスし、左ペイン【OverView】をクリックします。
以下、Overview画面に遷移し画面上部の【Buy Now】をクリックします。

②Cloud Firewallの購入画面に遷移し、今回は以下のパラメータを設定します。
Billing Method：Pay-as-you-go

設定が完了したら画面下部にある【Buy Now】をクリックします。

③Cloud Firewall(Pay-as-you-go)の購入画面に遷移し、今回は以下のパラメータを設定します。

Billing Method：Pay-as-you-go

Automatic Protection for Assets：No
※全てのEIPを保護対象としたい場合はYESを選択して下さい。

Terms of Service:☑ I have read and agree Cloud Firewall(Pay-as-you-go)Terms of Service

設定が完了したら画面下部にある【Buy Now】をクリックします。

④Cloud Firewallコンソールにアクセスし、Automatic Protection for Assets：Noを選択しているので下記画面が表示されます。

【Quick Manual Access for Internet-facir】をクリックします。

⑤Cloud Firewallコンソールにアクセスし、左ペインの【Firewall Settings】をクリックします。Firewall Settings画面に遷移し上部タブの【NAT Firewall】をクリックします。
NAT Firewall画面に遷移し画面中部の【Enable Now】をクリックしNat Firewall機能を有効化します。

⑥該当のNAT GatewayのIDを確認し、Actions列の【Create】をクリックします。

⑦Create NAT Firewall ①Automatic Checkフェーズ画面に遷移し【Check Now】をクリックします。

⑧NAT Firewall構成の自動チェックが行われますので【Passed】表示になることを確認し【Next】をクリックします。

⑨NAT Firewall作成のパラメーターを入力します。
Name：任意の名称
Select Route Table：Destination CIDR Bloock左の☑し、直下0.0.0.0/0行の左が☑されたことを確認します。
vSwitch：Lose Mode
Notes:内容を確認します。
NAT FirewallはDNATをサポートしていない。
NAT Firewallを構成する際に作成されるリソース（vSwitch、カスタムルートテーブル）はサービス中断を避けるため削除しないこと。
I have read the preceding notes.：☑

【Enable Firewall】をクリックします。

⑩NAT Firewallを有効化します。
Enabling Status：Enable
【Confirm】をクリックします。

⑪以下の画面が表示されればNAT Firewallの作成は完了です。
※NAT Firewallが構成されますが初期設定では全ての通信がAnyのため通信が全てブロックされることはありません。
【Close】をクリックします。

⑫アクセスコントロールポリシーを作成します。
Access Contorolペインの【NAT Border】をクリックします。
NAT Border画面に遷移し【Create Policy】右のドロップダウンから対象の【NAT Gateway ID】を選択します。
【Create Policy】をクリックします。

今回は許可されたwebサイト以外は全てブロックするアクセスコントロールポリシーにします。

⑬暗黙のdenyポリシーの作成

以下のパラメーターを入力します。

Source Type：IP

Source：0.0.0.0
Destination Type：IP

Destination：0.0.0.0/0

Protocol Type：Any
Port：0/0
Application：Any

Action：Deny
Description：implicit deny
Priority：Lowset
Policy Validity Period：Aliways

Status：Enable

【OK】をクリックします。

implicit denyポリシーが作成されました。

⑭クライアントのECSからブラウザアクセスが遮断されるか確認いたします。
https://yahoo.co.jpにアクセスいたしましたが遮断されました。

Cloud Firewallのアクセスログも確認してみます。

Access Controlペインの【NAT Border】をクリックします。
作成したimplicit denyポリシー行のHits/Last Hit At列の【View Logs】をクリックします。

Log Audit画面に遷移しログを確認し該当の通信をログを確認します。
残念ながらドメイン名で宛先を検索することができないためクライアントでnslookupを行いyahoo.co.jpのIPアドレスを確認しました。

Destination IP Addressに[183.79.248.124]を入力いたしました。
下記画像の通りDenyされていることが確認できます。

⑮webサイトの許可ポリシーを作成します。
折角なのでCloud Firewallの機能であるAddress Bookを使用して許可するドメインを登録してみます。
Access Controlペインの【Address Books】をクリックします。

Custom Address Bookタブの【Domain Address Book】をクリックします。
【Create Address Book】をクリックします。

⑯Create Domain Address Book画面に遷移し以下のパラメーターを入力します。

Address Book Name：yahoo
Description：任意の説明
Domain Name：*.yahoo.co.jp,*s.yimg.jp

【OK】をクリックします。

Domain Address Bookにyahooが登録されました。

⑰アクセスコントロールポリシーを作成します。
Access Contorolペインの【NAT Border】をクリックします。
NAT Border画面に遷移し【Create Policy】右のドロップダウンから対象の【NAT Gateway ID】を選択します。
【Create Policy】をクリックします。

⑱yahoo.co.jpを許可するアクセスコントロールポリシーを作成いたします。

以下のパラメーターを入力します。

Source Type：IP

Source：192.168.0.0/24
Destination Type：Address Book

Destination：yahoo

Protocol Type：TCP
Port：0/0
Application：HTTP,HTTPS,SMTP,SMTPS,SSL

Action：Allow
Description：allow_yahoo
Priority：Highest
Policy Validity Period：Always

Status：Enable

【OK】をクリックします。

allow_yahooのアクセスが作成されました。

⑲クライアントのECSからyahoo.co.jpへブラウザアクセスし許可されるか確認いたします。
https://yahoo.co.jpにアクセスいたしましたがアクセスできました。

ワイルドカード指定もしているので他のページも遷移出来るか確認します。

トップページ以外もアクセスすることができました。

最後に通信ログも確認します。
allow_yahooポリシー行の【View Log】をクリックします。

Log Audit画面に遷移しログを確認し該当の通信をログを確認します
allowログはDomainの表示があるためログ確認しやすいですね。

最後に

Cloud Firewallに追加された従量課金プランと機能、簡単な構成の構築方法について紹介しました。

今回は分かり易くするため暗黙のDenyを定義し、許可ポリシーを記載する方法をとりました。しかしDenayログではDomain名が表示されないため、現実的な運用としてはアクセスさせたくないサイトのみをAllowログから確認しつつDenyする運用の方が良いと感じました。

ミニマム構成でも導入しやすくなりましたのでぜひ、導入をご検討ください。

関連サービス