3つの簡単なステップでCFW保護を有効にする
1.CFWを購入する
1)Huawei Cloudコンソールにログインします。コンソールページで、[Security & Compliance](セキュリティコンプライアンス) > [Cloud Firewall]の順に選択します。
2)CFWを初めて使用する場合は、[Buy CFW](CFWを購入)をクリックします。[Buy CFW](CFWを購入)ページで、必要なエディションと拡張パッケージ、必要な期間を選択します。
- 注記
1)CFWには、スタンダードエディションとプロフェッショナルエディションがあります。詳細については、次のページをご覧ください:「エディション」。
2)自動更新を選択した場合は、システムでサブスクリプション期間に基づいて自動で更新を生成し、期限が切れる前にサービスを更新します。
2.EIP保護を有効にする
1)ナビゲーションペインで、[Assets](資産) > [EIPs]の順に選択します。EIPページが表示されます。EIP情報がリストに対して自動で更新されます。
2)対象のEIPの行にある[Operation](操作)列で、[Enable Protection](保護を有効にする)をクリックします。
3)保護を有効にした後、[Protection Status](保護ステータス)が[Protected](保護対象)に変わります。
- 注記
EIP保護を有効にした後、[CFW]のデフォルトのアクションは[Allow](許可)になります。
3.アクセス制御ポリシーを設定する
1)ナビゲーションペインで、[Access Control](アクセス制御) > [Access Policies](アクセスポリシー)の順に選択します。
2)[Add Rule](ルールを追加)をクリックします。表示された[Add Rule](ルールを追加)ページで、ルールのタイプ、ルールの名前、送信元、宛先、サービス、アクション、優先度を設定します。
3)[OK]をクリックします。
- 注記
1)EIP保護を有効にしている場合、アクセス制御ポリシーのデフォルトのステータスは[Allow](許可)になります。少数のEIPのみを許可したい場合は、優先度を最低にして保護ルールに0.0.0.0/0を追加し、すべてのトラフィックをブロックするようにしてください。
2)[Direction](方向)が[Outbound](アウトバウンド)に設定されている場合は、複数のドメイン名、またはドメイン名グループを設定できます。
CFWのベストプラクティス
CFWのベストプラクティス
CFWのベストプラクティス
本ドキュメントでは、EIP保護の有効化、侵入防止の有効化、アクセスポリシーの設定、ネットワークトラフィックの確認、ログ監査の確認など、CFWの使用方法について説明します。
IPアドレスグループとサービスグループ向けのアクセスポリシーを設定する
保護対象のオブジェクトをCFWに接続した後、IPアドレスグループとサービスグループ向けのアクセス制御ポリシーを設定して、ポリシーの効果を確認することができます。本セクションでは、IPアドレスグループとサービスグループの設定を例として使用し、IPアドレスおよびサービスのアクセス制御ポリシーを一括で設定する方法について説明します。
VPC境界ファイアウォールを設定する
VPC境界ファイアウォールでは、VPC間の通信トラフィックに関する統計情報を収集して、異常なトラフィックの検出に役立てることができます。VPC境界ファイアウォールを設定する際には、CFWとVPC間でネットワークを有効にする必要があります。本セクションでは、ネットワークを設定する方法について説明します。
SNAT保護の概要
CFWプロフェッショナルエディションでは、プライベートIPアドレスを使用してパブリックネットワークへのアクセスを開始する際に生成されるトラフィックなどで、よりきめ細かいアクセス制御が可能になっています。本セクションでは、SNATのシナリオで、プライベートIPアドレスからパブリックネットワークへのアクセスを保護するようにCFWプロフェッショナルエディションを設定する方法について説明します。