ファイアウォール ポリシールール

ファイアウォール ポリシールールを作成するときは、ルールの動作を定義する一連のコンポーネントを指定します。これらのコンポーネントは、トラフィックの方向、送信元、宛先、レイヤ 4 特性（プロトコルなど。プロトコルがポートを使用する場合は宛先ポート）を指定します。

各ファイアウォール ポリシールールは、両方ではなく、受信（上り、内向き）接続または送信（下り、外向き）接続に適用されます。

上り（内向き）ルール

上り（内向き）方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り（内向き）ルールはインバウンド パケットに適用されます。パケットの送信先がターゲットになります。

deny アクションを含む上り（内向き）ルールでは、インスタンスへの受信接続をブロックすることで、すべてのインスタンスを保護します。優先度の高いルールにより、受信アクセスが許可される場合があります。自動的に作成されたデフォルト ネットワークには、事前設定済みの VPC ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り（内向き）が許可されます。

下り（外向き）ルール

下り（外向き）方向とは、ターゲットから宛先に送信されるアウトバウンド トラフィックを指します。下り（外向き）ルールは新しい接続のパケットに適用されます。パケットの送信元がターゲットになります。

allow アクションを含む下り（外向き）ルールを使用すると、インスタンスはルールで指定された宛先にトラフィックを送信できます。優先度の高い deny ファイアウォール ルールによって下り（外向き）が拒否される可能性があります。Google Cloud では、特定の種類のトラフィックがブロックまたは制限されます。

ファイアウォール ポリシー ルールのコンポーネント

階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのルールでは、このセクションで説明するコンポーネントを使用します。ファイアウォール ポリシーという用語は、この 3 種類のポリシーのいずれかを指します。ファイアウォール ポリシーの種類の詳細については、ファイアウォール ポリシーをご覧ください。

通常、ファイアウォール ポリシー ルールは VPC ファイアウォール ルールと同じように機能しますが、以下のセクションで説明するようにいくつかの違いがあります。

優先度

ファイアウォール ポリシー内のルールの優先度は 0～2,147,483,647 の整数です。小さい整数が高い優先度を示します。ファイアウォール ポリシー内のルールの優先度は、VPC ファイアウォール ルールの優先度と似ていますが、次の点が異なります。

• ファイアウォール ポリシー内の各ルールには一意の優先度が必要です。
• ファイアウォール ポリシー内のルールの優先度はルールの一意の識別子として機能します。ファイアウォール ポリシーのルールの識別に名前は使用されません。
• ファイアウォール ポリシー内のルールの優先度は、ファイアウォール ポリシー自体で評価順序を定義します。VPC ファイアウォール ルールと階層型ファイアウォール ポリシーのルール、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーは、ポリシーとルールの評価順序に従って評価されます。

一致したときのアクション

ファイアウォール ポリシーのルールは、次のアクションのいずれかを実行できます。

• allow はトラフィックを許可し、それ以上のルール評価を停止します。
• deny はトラフィックを禁止し、ルールの評価を停止します。

• apply_security_profile_group はトラフィックを透過的にインターセプトし、レイヤ 7 検査用に構成されたファイアウォール エンドポイントに送信します。

• goto_next はルールの評価プロセスを続行します。

適用

ルールの状態を有効または無効に設定することで、ファイアウォール ポリシー ルールを適用するかどうかを選択できます。ルールの作成時またはルールの更新時に適用状態を設定します。

新しいファイアウォール ルールを作成するときに適用状態を設定しない場合、ファイアウォール ルールは自動的に有効になります。

プロトコルとポート

VPC ファイアウォール ルールと同様に、ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。

ファイアウォール ルールでは、プロトコル名として tcp、udp、icmp（IPv4 ICMP の場合）、esp、ah、sctp、ipip を使用できます。他のすべてのプロトコルには、IANA プロトコル番号を使用します。

多くのプロトコルでは IPv4 と IPv6 の両方で同じ名前と番号が使用されますが、ICMP などの一部のプロトコルでは使用されません。IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP の場合は、プロトコル番号 58 を使用します。

ファイアウォール ルールでは、プロトコルだけではなく、ICMP のタイプやコードの指定もサポートしていません。

IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。

プロトコルとポートのパラメータを指定しない場合、すべてのプロトコルと宛先ポートにルールが適用されます。

ロギング

ファイアウォール ポリシールールのロギングは、VPC のファイアウォール ルールのロギングと同じように機能しますが、次の点が異なります。

• 参照フィールドには、ファイアウォール ポリシー ID と、ポリシーが接続されているリソースのレベルを示す番号が含まれます。たとえば、0 は組織に適用されていることを意味します。1 はポリシーが組織の最上位フォルダに適用されていることを意味します。

• ファイアウォール ポリシーのログには、ルールが適用される VPC ネットワークを識別する target_resource フィールドが含まれています。

• ロギングを有効にできるルールは allow、deny、apply_security_profile_group のみです。goto_next ルールで有効にすることはできません。

ターゲット、ソース、宛先

target パラメータは、ファイアウォール ルールが適用されるインスタンスのネットワーク インターフェースを識別します。

上り（内向き）と下り（外向き）の両方のファイアウォール ルールに、パケットの送信元または宛先に適用される送信元パラメータと宛先パラメータの両方を指定できます。ファイアウォール ルールの方向によって、source パラメータと destination パラメータに指定できる値が決まります。

target、source、destination パラメータは連携して動作します。

ターゲット

target パラメータは、GKE ノードと App Engine フレキシブル環境インスタンスを含む Compute Engine インスタンスのネットワーク インターフェースを識別します。

上り（内向き）ルールまたは下り（外向き）ルールの両方にターゲットを定義できます。有効なターゲット オプションは、ファイアウォール ポリシーのタイプによって異なります。

階層型ファイアウォール ポリシー ルールのターゲット

階層型ファイアウォール ポリシーのルールは、次のターゲットをサポートします。

• デフォルトの最も広範なターゲット: 階層型ファイアウォール ポリシールールでターゲットの指定を省略すると、このファイアウォール ルールは、ファイアウォール ポリシーに関連付けられた Resource Manager ノード（フォルダまたは組織）内のすべてのプロジェクトの VPC ネットワークに存在するすべてのインスタンスに適用されます。これは最も広範なターゲットです。

• 特定のネットワーク: target-resources パラメータを使用して 1 つ以上の VPC ネットワークを指定すると、最も広範なターゲットのセットが、指定された 1 つ以上の VPC ネットワークのネットワーク インターフェースを持つ VM に絞り込まれます。

• サービス アカウントによって識別されるインスタンス: target-service-accounts パラメータを使用して 1 つ以上のサービス アカウントを指定すると、最も広範なターゲットのセットが、指定された 1 つ以上のサービス アカウントを使用する VM に絞り込まれます。

• サービス アカウントで識別される特定のネットワークとインスタンス: target-resources パラメータと target-service-accounts パラメータの両方を指定すると、最も広範なターゲットが次の両方の条件を満たす VM に絞り込まれます。

  • VM が、指定されたいずれかの VPC ネットワークのネットワーク インターフェースを持っている。
  • VM が、指定されたサービス アカウントのいずれかを使用している。

グローバル ネットワーク ファイアウォール ポリシー ルールのターゲット

グローバル ネットワーク ファイアウォール ポリシー ルールは、次のターゲットをサポートします。

• デフォルトのターゲット - VPC ネットワーク内のすべてのインスタンス: グローバル ネットワーク ファイアウォール ポリシールールでターゲットの指定を省略すると、ファイアウォール ルールは、ポリシーに関連付けられている VPC ネットワークのネットワーク インターフェースを持つインスタンスに適用されます。インスタンスは任意のリージョンに配置できます。これは最も広範なターゲットです。

• ターゲットのセキュアタグが設定されたインスタンス: target-secure-tags パラメータを使用してターゲットタグを指定すると、最も広範なターゲットのセットが、タグにバインドされた VM に絞り込まれます。

• ターゲット サービス アカウントを使用するインスタンス: target-service-accounts パラメータを使用してサービス アカウントを指定すると、最も広範なターゲット セットが、指定したサービス アカウントのいずれかを使用する VM に絞り込まれます。

リージョン ネットワーク ファイアウォール ポリシー ルールのターゲット

リージョン ネットワーク ファイアウォール ポリシー ルールは、次のターゲットをサポートします。

• デフォルトのターゲット - リージョンおよび VPC ネットワーク内のすべてのインスタンス: リージョン ネットワーク ファイアウォール ポリシールールでターゲットの指定を省略すると、ファイアウォール ルールは、ポリシーに関連付けられている VPC ネットワークのネットワーク インターフェースを持つインスタンスに適用されます。インスタンスは、ポリシーと同じリージョンに配置する必要があります。これは最も広範なターゲットです。

• ターゲットのセキュアタグが設定されたインスタンス: target-secure-tags パラメータを使用してターゲットタグを指定すると、最も広範なターゲットのセットが、タグにバインドされた VM に絞り込まれます。

• ターゲット サービス アカウントを使用するインスタンス: target-service-accounts パラメータを使用してサービス アカウントを指定すると、最も広範なターゲット セットが、指定したサービス アカウントのいずれかを使用する VM に絞り込まれます。

上り（内向き）ルールのターゲットと IP アドレス

ターゲット VM のネットワーク インターフェースにルーティングされるパケットは、次の条件に基づいて処理されます。

• 上り（内向き）ファイアウォール ルールに宛先 IP アドレス範囲が含まれている場合、パケットの宛先は、明示的に定義された宛先 IP アドレス範囲のいずれかに一致する必要があります。

• 上り（内向き）ファイアウォール ルールに宛先 IP アドレス範囲が含まれていない場合、パケットの宛先は、次のいずれかの IP アドレスと一致する必要があります。

  • インスタンスの NIC に割り振られているプライマリ内部 IPv4 アドレス。

  • インスタンスの NIC に構成されているエイリアス IP アドレス範囲。

  • インスタンスの NIC に関連付けられている外部 IPv4 アドレス。

  • IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。

  • パススルー ロード バランシングに使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスは、内部パススルー ネットワーク ロードバランサまたは外部パススルー ネットワーク ロードバランサのバックエンドです。

  • プロトコル転送に使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスはターゲット インスタンスによって参照されます。

  • インスタンスをネクストホップ VM（next-hop-instance または next-hop-address）として使用するカスタム静的ルートの宛先範囲内の IP アドレス。

  • VM が内部パススルー ネットワーク ロードバランサのバックエンドの場合、ネクストホップとしてそのロードバランサ（next-hop-ilb）を使用するカスタム静的ルートの宛先範囲内の IP アドレス。

下り（外向き）ルールのターゲットと IP アドレス

ターゲットのネットワーク インターフェースから送信されたパケットの処理は、ターゲット VM での IP 転送の構成によって異なります。IP 転送はデフォルトで無効になっています。

• ターゲット VM で IP 転送を無効にすると、VM は次の送信元を含むパケットを送信できます。

  • インスタンスの NIC のプライマリ内部 IPv4 アドレス。

  • インスタンスの NIC に構成されたエイリアス IP アドレス範囲。

  • IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。

  • パススルー ロード バランシングまたはプロトコル転送の場合、転送ルールに関連付けられた内部または外部 IP アドレス。これは、インスタンスが内部パススルー ネットワーク ロードバランサのバックエンドか、外部パススルー ネットワーク ロードバランサか、あるいはターゲット インスタンスから参照されている場合に有効になります。

  下り（外向き）ファイアウォール ルールに送信元 IP アドレス範囲が含まれている場合でも、ターゲット VM は前述の送信元 IP アドレスに制限されますが、source パラメータを使用してそのセットを絞り込むことができます。IP 転送を有効にせずに送信元パラメータを使用しても、パケットの送信元アドレスのセットは展開されません。

  下り（外向き）ファイアウォール ルールに送信元 IP アドレス範囲が含まれていない場合、前述のすべての送信元 IP アドレスが許可されます。

• ターゲット VM で IP 転送が有効になっている場合、VM は任意の送信元アドレスを持つパケットを送信できます。source パラメータを使用すると、許可されるパケットの送信元のセットをより正確に定義できます。

ソース

ソース パラメータの値は以下のものに依存します。

• ファイアウォール ルールを含むファイアウォール ポリシーのタイプ
• ファイアウォール ルールの方向

上り（内向き）ルールの送信元

次の表に、単一の上り（内向き）ファイアウォール ポリシー ルールで個別に、または組み合わせて使用できるソース パラメータを示します。Cloud NGFW では、少なくとも 1 つのソース パラメータを指定する必要があります。

上り（内向き）ルールの送信元パラメータ	階層型ファイアウォール ポリシーでのサポート	グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーでのサポート
送信元 IP アドレス範囲 CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスで構成される単純なリスト。このリストは、ファイアウォール ポリシー ルール自体に保存されます。
送信元アドレス グループ CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスの再利用可能なコレクション。ファイアウォール ルールがコレクションを参照します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
ソースドメイン名 1 つ以上の送信元ドメイン名のリスト。ドメイン名が IP アドレスに変換される方法など、詳細については、FQDN オブジェクトをご覧ください。
ソース セキュアタグ 1 つ以上のソース セキュアタグのリスト。詳細については、ソース セキュアタグでパケットの送信元を表す方法をご覧ください。
送信元の位置情報 2 文字の国 / 地域コードで指定された 1 つ以上の送信元の地理的位置のリスト。詳しくは、位置情報オブジェクトをご覧ください。
Google Threat Intelligence リストのソース 事前に定義された 1 つ以上の Google 脅威インテリジェンス リスト名のリスト。詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。
ソース ネットワーク スコープ セキュリティ境界を定義する制約。詳細については、ネットワーク スコープをご覧ください。

1 つの上り（内向き）ルールで、2 つ以上のソース パラメータを使用してソースの組み合わせを生成できます。Cloud NGFW は、各上り（内向き）ルールの送信元の組み合わせに次の制約を適用します。

• 送信元 IP アドレス範囲には、IPv4 または IPv6 の CIDR を含める必要があります。両方の組み合わせは使用できません。
• IPv4 CIDR を含む送信元アドレス グループは、IPv6 CIDR を含む送信元アドレス グループで使用できません。
• IPv4 CIDR を含む送信元 IP アドレス範囲は、IPv6 CIDR を含む送信元アドレス グループで使用できません。
• IPv6 CIDR を含む送信元 IP アドレス範囲は、IPv4 CIDR を含む送信元アドレス グループで使用できません。
• インターネット ネットワーク スコープは、ソース セキュアタグでは使用できません。
• インターネット以外のスコープ、VPC ネットワーク スコープ、VPC 間のスコープは、ソースの Google 脅威インテリジェンス リストまたはソースの地理的位置情報では使用できません。

Cloud NGFW は、次のロジックを適用して、送信元の組み合わせを使用する上り（内向き）ルールにパケットを照合します。

• 送信元の組み合わせに送信元ネットワーク スコープが含まれていない場合、パケットは、送信元の組み合わせの少なくとも 1 つの送信元パラメータと一致する場合、上り（内向き）ルールと一致します。

• 送信元の組み合わせに送信元ネットワーク スコープが含まれている場合、パケットは、送信元ネットワーク スコープと、送信元の組み合わせ内の他の送信元パラメータの少なくとも 1 つに一致する場合、上り（内向き）ルールと一致します。

ソース セキュアタグでパケットの送信元を表す方法

グローバルおよびリージョンのネットワーク ファイアウォール ポリシーの上り（内向き）ルールでは、セキュアタグを使用して送信元を指定できます。各セキュアタグは 1 つの VPC ネットワークに関連付けられます。セキュアタグは、セキュアタグが関連付けられている VPC ネットワーク内にネットワーク インターフェースを持つVM にバインドできます。

VM のネットワーク インターフェースから送信されたパケットは、次の条件が満たされている場合に、セキュアタグの送信元を使用する上り（内向き）ルールと一致します。

• 上り（内向き）ルールがリージョン ネットワーク ポリシーにある場合、VM はネットワーク ファイアウォール ポリシーのリージョンのゾーンに配置する必要があります。上り（内向き）ルールがグローバル ネットワーク ファイアウォール ポリシーにある場合、VM は任意のゾーンに配置できます。

• パケットを送信する VM のネットワーク インターフェースが次のいずれかの条件を満たしている。

  • VM ネットワーク インターフェースは、グローバルまたはリージョン ネットワーク ファイアウォール ポリシーが適用される VPC ネットワークと同じ VPC ネットワーク内にあります。
  • VM ネットワーク インターフェースは、VPC ネットワーク ピアリングを使用して、グローバルまたはリージョン ネットワーク ファイアウォール ポリシーが適用される VPC ネットワークに接続されている VPC ネットワーク内にあります。
  • VM ネットワーク インターフェースで使用される VPC ネットワークと、グローバルまたはリージョン ネットワーク ファイアウォール ポリシーが適用される VPC ネットワークは、どちらも同じ Network Connectivity Center ハブの VPC スポークです。

• パケットの送信元 IP アドレスは次のいずれかです。

  • ネットワーク インターフェースのプライマリ内部 IPv4 アドレス。
  • ネットワーク インターフェースに割り当てられた任意の IPv6 アドレス（内部または外部）。

ソース セキュアタグを使用している場合、他のパケットの送信元 IP アドレスは解決されません。たとえば、ネットワーク インターフェースに関連付けられたエイリアス IP アドレス範囲と外部 IPv4 アドレスは除外されます。エイリアス IP アドレス範囲または外部 IPv4 アドレスを含む送信元を持つ上り（内向き）ファイアウォール ルールを作成する必要がある場合は、代わりに送信元アドレス範囲または送信元アドレス グループを使用します。

下り（外向き）ルールの送信元

階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーの両方の下り（外向き）ルールには、次の送信元を使用できます。

• デフォルト（ターゲットによって暗黙的に指定）: 下り（外向き）ルールの source パラメータを省略すると、下り（外向き）ルールのターゲットと IP アドレスで説明されているようにパケットの送信元が暗黙的に定義されます。

• 送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

• 送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

下り（外向き）ルールの送信元 IP アドレス範囲を追加するには、次のガイドラインに従ってください。

• VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。

• 下り（外向き）ルールに送信元 IP アドレス範囲と destination パラメータがある場合、destination パラメータは送信元 IP バージョンと同じ IP バージョンに解決されます。

  たとえば、下り（外向き）ルールでは、source パラメータに IPv4 アドレス範囲、destination パラメータに FQDN オブジェクトがあります。FQDN が IPv4 アドレスと IPv6 アドレスの両方に解決される場合は、ルールの適用時に解決された IPv4 アドレスのみが使用されます。

宛先

宛先は IP アドレス範囲を使用して指定できます。これは、階層型とネットワークのファイアウォール ポリシーの上り（内向き）ルールと下り（外向き）ルールの両方でサポートされています。デフォルトの宛先の動作は、ルールの方向によって異なります。

上り（内向き）ルールの送信先

階層型ポリシーとネットワーク ファイアウォール ポリシーの上り（内向き）ファイアウォール ルールには、次の送信先を使用できます。

• デフォルト（ターゲットによって暗黙的に指定）: 上り（内向き）ルールの destination パラメータを省略すると、上り（内向き）ルールのターゲットと IP アドレスで説明されているように、パケットの宛先が暗黙的に定義されます。

• 宛先 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

• 宛先 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

上り（内向き）ルールの宛先 IP アドレス範囲を追加するには、次のガイドラインに従ってください。

• VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。

• 上り（内向き）ルールで定義されている source パラメータと destination パラメータの両方がある場合、送信元パラメータは宛先 IP バージョンと同じ IP バージョンに解決されます。上り（内向き）ルールの送信元を定義する方法については、階層型ファイアウォール ポリシーの上り（内向き）ルールの送信元とネットワーク ファイアウォール ポリシーの上り（内向き）ルールの送信元をご覧ください。

  たとえば、上り（内向き）ルールでは、destination パラメータに IPv6 アドレス範囲、source パラメータに位置情報の国コードが設定されます。ルールの適用中、マッピングされた IPv6 アドレスのみが指定された送信元の国コードに使用されます。

下り（外向き）ルールの送信先

次の表に、単一の下り（外向き）ファイアウォール ポリシールールで個別に、または組み合わせて使用できる宛先パラメータを示します。Cloud NGFW では、少なくとも 1 つの宛先パラメータを指定する必要があります。

下り（外向き）ルールの宛先パラメータ	階層型ファイアウォール ポリシーでのサポート	グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーでのサポート
宛先 IP アドレス範囲 CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスで構成される単純なリスト。このリストは、ファイアウォール ポリシー ルール自体に保存されます。
宛先アドレス グループ CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスの再利用可能なコレクション。ファイアウォール ポリシールールがコレクションを参照します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
宛先ドメイン名 1 つ以上の送信元ドメイン名のリスト。ドメイン名が IP アドレスに変換される方法など、詳細については、FQDN オブジェクトをご覧ください。
リンク先の地理的位置情報 2 文字の国 / 地域コードで指定された 1 つ以上の送信元の地理的位置のリスト。詳しくは、位置情報オブジェクトをご覧ください。
宛先の Google Threat Intelligence リスト 事前に定義された 1 つ以上の Google 脅威インテリジェンス リスト名のリスト。詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。
宛先ネットワーク スコープ セキュリティ境界を定義する制約。詳細については、ネットワーク スコープをご覧ください。

1 つの下り（外向き）ルールで、2 つ以上の宛先パラメータを使用して宛先の組み合わせを生成できます。Cloud NGFW は、各下り（外向き）ルールの宛先の組み合わせに次の制約を適用します。

• 宛先 IP アドレス範囲には、IPv4 または IPv6 の CIDR を含める必要があります。両方の組み合わせは使用できません。
• IPv4 CIDR を含む宛先アドレス グループは、IPv6 CIDR を含む宛先アドレス グループで使用できません。
• IPv4 CIDR を含む宛先 IP アドレス範囲は、IPv6 CIDR を含む宛先アドレス グループで使用できません。
• IPv6 CIDR を含む宛先 IP アドレス範囲は、IPv4 CIDR を含む宛先アドレス グループで使用できません。
• 宛先の Google 脅威インテリジェンス リストまたは宛先の位置情報は、宛先のインターネット以外のネットワーク スコープでは使用できません。

Cloud NGFW は、次のロジックを適用して、宛先の組み合わせを使用する下り（外向き）ルールにパケットを照合します。

• 宛先の組み合わせに宛先ネットワーク スコープが含まれていない場合、パケットは宛先の組み合わせの少なくとも 1 つの宛先パラメータと一致する場合、下り（外向き）ルールと一致します。

• 宛先の組み合わせに宛先ネットワーク スコープが含まれている場合、パケットは、宛先ネットワーク スコープと宛先の組み合わせの他の宛先パラメータの少なくとも 1 つに一致する場合、下り（外向き）ルールと一致します。

ネットワーク スコープ

ネットワーク スコープを使用すると、より少ないファイアウォール ポリシー ルールをより効率的に使用して、セキュリティ目標を達成できます。Cloud NGFW は、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのルールで送信元の組み合わせまたは宛先の組み合わせを作成するために使用できる 4 種類のネットワーク スコープをサポートしています。

ネットワーク スコープの種類

次の表に、4 種類のネットワーク スコープと、スコープ タイプを上り（内向き）ルールの送信元の組み合わせ、下り（外向き）ルールの宛先の組み合わせ、またはその両方で使用できるかどうかを示します。

ネットワーク スコープの種類	上り（内向き）ルールの送信元	下り（外向き）ルールの送信先
インターネット（INTERNET）
インターネット以外（NON_INTERNET）
VPC ネットワーク（VPC_NETWORKS）
VPC 内（INTRA_VPC）

インターネット スコープと非インターネット スコープは相互に排他的です。VPC ネットワークと VPC 内のスコープは、インターネット以外のスコープのサブセットです。

インターネット スコープ

インターネット スコープ（INTERNET）は、上り（内向き）ルールの送信元の組み合わせの一部として、または下り（外向き）ルールの宛先の組み合わせの一部として使用できます。

• 上り（内向き）ルールの場合は、インターネット スコープの送信元と、セキュアタグの送信元を除く少なくとも 1 つの他の送信元パラメータを指定します。パケットが他のソース パラメータの少なくとも 1 つと一致し、インターネット スコープのソース パラメータと一致する場合、パケットは上り（内向き）ルールと一致します。

• 下り（外向き）ルールの場合は、インターネット スコープの宛先と、少なくとも 1 つの他の宛先パラメータを指定します。パケットが下り（外向き）ルールに一致するのは、他の宛先パラメータの少なくとも 1 つと一致し、インターネット スコープの宛先パラメータと一致する場合です。

このセクションの残りの部分では、Cloud NGFW がパケットがインターネット スコープに属するかどうかを判断するために使用する条件について説明します。

上り（内向き）パケットのインターネット スコープ

Google Maglev によって VM ネットワーク インターフェースにルーティングされる上り（内向き）パケットは、インターネット スコープ内と見なされます。パケットの宛先が次のいずれかと一致する場合、パケットは Maglev によって VM ネットワーク インターフェースにルーティングされます。

• VM ネットワーク インターフェース、外部パススルー ネットワーク ロードバランサの転送ルール、外部プロトコル転送の転送ルールのリージョン外部 IPv4 アドレス。
• VM ネットワーク インターフェースのリージョン外部 IPv6 アドレス、外部パススルー ネットワーク ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。パケットは、VPC ネットワーク ピアリングによってインポートされたサブネット ルートまたは Network Connectivity Center ハブの VPC スポークからインポートされたサブネット ルートを使用してルーティングされませんでした。

Maglev によって外部パススルー ネットワーク ロードバランサまたは外部プロトコル転送のバックエンド VM に転送されるパケットの詳細については、外部パススルー ネットワーク ロードバランサと外部プロトコル転送のためのパスをご覧ください。

下り（外向き）パケットのインターネット スコープ

VM ネットワーク インターフェースから送信され、デフォルトのインターネット ゲートウェイのネクストホップを使用する静的ルートを使用してルーティングされる下り（外向き）パケットは、インターネット スコープ内と見なされます。ただし、これらの下り（外向き）パケットの宛先 IP アドレスが Google API とサービス用の場合、これらのパケットはインターネット以外のスコープ内と見なされます。Google API とサービスへの接続の詳細については、インターネット以外のスコープをご覧ください。

デフォルトのインターネット ゲートウェイのネクストホップを使用する静的ルートを使用してパケットがルーティングされる場合、VM ネットワーク インターフェースから次の宛先に送信されるパケットは、インターネット スコープ内にあると見なされます。

• Google ネットワーク外の外部 IP アドレスの宛先。
• VM ネットワーク インターフェースのリージョン外部 IPv4 アドレスの宛先、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。
• VM ネットワーク インターフェースのリージョン外部 IPv6 アドレスの宛先、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。
• グローバル外部ロードバランサの転送ルールのグローバル外部 IPv4 アドレスと IPv6 アドレスの宛先。

VM ネットワーク インターフェースから Cloud VPN ゲートウェイと Cloud NAT ゲートウェイに送信されるパケットは、インターネット スコープ内と見なされます。

• VPN ソフトウェアを実行している VM のネットワーク インターフェースから Cloud VPN ゲートウェイのリージョン外部 IPv4 アドレスに送信される下り（外向き）パケットは、インターネット スコープ内と見なされます。
• ファイアウォール ルールは VM にのみ適用されるため、1 つの Cloud VPN ゲートウェイから別の Cloud VPN ゲートウェイに送信される下り（外向き）パケットは、どのネットワーク スコープでも考慮されません。
• Public NAT の場合、VM ネットワーク インターフェースから Cloud NAT ゲートウェイのリージョン外部 IPv4 アドレスに送信されるレスポンス パケットは、インターネット スコープ内と見なされます。

VPC ネットワークが VPC ネットワーク ピアリングを使用して接続されている場合、または VPC ネットワークが同じ Network Connectivity Center ハブで VPC スポークとして参加している場合、IPv6 サブネット ルートは、VM ネットワーク インターフェース、リージョン外部ロードバランサ転送ルール、外部プロトコル転送ルールのリージョン外部 IPv6 アドレス宛先への接続を提供できます。これらのリージョン外部 IPv6 アドレスの宛先への接続がサブネット ルートを使用して提供されている場合、宛先はインターネット以外のスコープにあります。

インターネット以外のスコープ

インターネット以外のスコープ（NON-INTERNET）は、上り（内向き）ルールの送信元の組み合わせの一部として、または下り（外向き）ルールの宛先の組み合わせの一部として使用できます。

• 上り（内向き）ルールの場合は、インターネット スコープ以外のソースと、脅威インテリジェンス リスト ソースまたは位置情報ソースを除く、少なくとも 1 つの他のソース パラメータを指定します。パケットが他の送信元パラメータの少なくとも 1 つに一致し、インターネット スコープ以外の送信元パラメータに一致する場合、パケットは上り（内向き）ルールに一致します。

• 下り（外向き）ルールの場合は、インターネット スコープ以外の宛先と、少なくとも 1 つの宛先パラメータを指定します。パケットが下り（外向き）ルールに一致するのは、他の宛先パラメータの少なくとも 1 つと一致し、インターネット スコープ以外の宛先パラメータと一致する場合です。

このセクションの残りの部分では、Cloud NGFW がパケットがインターネット以外のスコープに属するかどうかを判断するために使用する条件について説明します。

上り（内向き）パケットのインターネット以外のスコープ

VPC ネットワーク内のネクストホップを使用するか、Google API とサービスから VM ネットワーク インターフェースに転送される上り（内向き）パケットは、インターネット以外のスコープと見なされます。

パケットは、次のシナリオで VPC ネットワーク内のネクストホップまたは Google API とサービスからルーティングされます。

• パケットの宛先が次のいずれかと一致する。

  • VM ネットワーク インターフェースのリージョン内部 IPv4 または IPv6 アドレス、内部パススルー ネットワーク ロードバランサの転送ルール、内部プロトコル転送の転送ルール。
  • VM ネットワーク インターフェースのリージョン外部 IPv6 アドレス、外部パススルー ネットワーク ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。パケットがローカル サブネット ルート、ピアリング サブネット ルート、または Network Connectivity Center サブネット ルートを使用してルーティングされた。
  • 受信側の VM がネクストホップ VM またはネクストホップの内部パススルー ネットワーク ロードバランサのバックエンド VM である静的ルートの宛先範囲内の任意のアドレス。

• パケットの送信元が次のいずれかと一致する。

  • グローバル Google API とサービスで使用されるデフォルト ドメインの IP アドレス。
  • private.googleapis.com または restricted.googleapis.com の IP アドレス。
  • グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、従来のプロキシ ネットワーク ロードバランサで使用される Google Front End の IP アドレス。詳細については、Google Front End とバックエンド間のパスをご覧ください。
  • ヘルスチェック プローブの IP アドレス。詳細については、ヘルスチェックのパスをご覧ください。
  • TCP 転送に Identity-Aware Proxy によって使用される IP アドレス。詳細については、Identity-Aware Proxy（IAP）のパスをご覧ください。
  • Cloud DNS または Service Directory で使用される IP アドレス。詳細については、Cloud DNS と Service Directory のパスをご覧ください。
  • サーバーレス VPC アクセスで使用される IP アドレス。詳細については、サーバーレス VPC アクセスのパスをご覧ください。
  • グローバル Google API の Private Service Connect エンドポイントの IP アドレス。詳細については、グローバル Google API の Private Service Connect エンドポイントのパスをご覧ください。

下り（外向き）パケットのインターネット以外のスコープ

VM ネットワーク インターフェースから送信され、VPC ネットワーク内でルーティングされる下り（外向き）パケット、または Google API とサービスに送信される下り（外向き）パケットは、インターネット以外のスコープと見なされます。

パケットは、次のシナリオで VPC ネットワーク内のネクストホップまたは Google API とサービスにルーティングされます。

• パケットは、次の宛先を含むサブネット ルートを使用して転送されます。
  • VM ネットワーク インターフェース、内部ロードバランサの転送ルール、内部プロトコル転送の転送ルールのリージョン内部 IPv4 または IPv6 アドレスの宛先。
  • VM ネットワーク インターフェースのリージョン外部 IPv6 アドレスの宛先、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。
• パケットは動的ルートを使用してルーティングされます。
• パケットは、デフォルトのインターネット ゲートウェイではないネクストホップを使用する静的ルートを使用して転送されます。
• パケットは、デフォルトのインターネット ゲートウェイのネクストホップを持つ静的ルートを使用して、アクセスされたグローバル Google API とサービスにルーティングされます。グローバル Google API とサービスの宛先には、デフォルト ドメインの IP アドレスと private.googleapis.com と restricted.googleapis.com の IP アドレスが含まれます。
• 次のいずれかのパスを使用してアクセスする Google サービスの宛先。
  • Google Front End とバックエンド間のパス
  • ヘルスチェックのパス
  • Identity-Aware Proxy（IAP）のパスとパスの長さ
  • Cloud DNS と Service Directory のパス
  • サーバーレス VPC アクセスのパス
  • グローバル Google API の Private Service Connect エンドポイントのパス

VPC ネットワーク スコープ

VPC ネットワーク スコープ（VPC_NETWORKS）は、上り（内向き）ルールの送信元の組み合わせの一部としてのみ使用できます。VPC ネットワーク スコープを下り（外向き）ルールの宛先の組み合わせの一部として使用することはできません。

VPC ネットワーク スコープを上り（内向き）ルールの送信元の組み合わせの一部として使用する手順は次のとおりです。

1. 送信元 VPC ネットワークのリストを指定する必要があります。

   • ソース ネットワーク リストには、少なくとも 1 つの VPC ネットワークを含める必要があります。ソース ネットワーク リストに追加できる VPC ネットワークは最大 250 個です。
   • VPC ネットワークをソース ネットワーク リストに追加するには、VPC ネットワークが存在している必要があります。
   • ネットワークは、URL の一部または全体の識別子を使用して追加できます。
   • ソース ネットワーク リストに追加する VPC ネットワークは、相互に接続する必要はありません。各 VPC ネットワークは任意のプロジェクトに配置できます。
   • ソース ネットワーク リストに追加した後に VPC ネットワークが削除された場合、削除されたネットワークへの参照はリストに残ります。Cloud NGFW は、上り（内向き）ルールを適用するときに、削除された VPC ネットワークを無視します。送信元ネットワーク リスト内のすべての VPC ネットワークが削除されると、リストに依存する上り（内向き）ルールは、パケットと一致しないため効果がありません。

2. 脅威インテリジェンス リストのソースまたは位置情報のソースを除き、他のソース パラメータを少なくとも 1 つ指定する必要があります。

次の条件がすべて満たされている場合、パケットは送信元の組み合わせで VPC ネットワーク スコープを使用する上り（内向き）ルールに一致します。

• パケットが他のソース パラメータの少なくとも 1 つに一致する。

• パケットは、いずれかの送信元 VPC ネットワークにあるリソースによって送信されます。

• 送信元 VPC ネットワークと、上り（内向き）ルールを含むファイアウォール ポリシーが適用される VPC ネットワークが同じ VPC ネットワークであるか、VPC ネットワーク ピアリングを使用して接続されているか、Network Connectivity Center ハブの VPC スポークとして接続されている。

次のリソースは VPC ネットワーク内にあります。

• VM ネットワーク インターフェース
• Cloud VPN トンネル
• Cloud Interconnect VLAN アタッチメント
• ルーター アプライアンス
• プロキシ専用サブネット内の Envoy プロキシ
• Private Service Connect エンドポイント
• サーバーレス VPC アクセス コネクタ

VPC 内スコープ

VPC 内ネットワーク スコープ（INTRA_VPC）は、上り（内向き）ルールの送信元の組み合わせの一部としてのみ使用できます。VPC 内のスコープを下り（外向き）ルールの宛先の組み合わせの一部として使用することはできません。

上り（内向き）ルールの送信元の組み合わせの一部として VPC 内のスコープを使用するには、脅威インテリジェンス リストの送信元または位置情報の送信元を除き、少なくとも 1 つの他の送信元パラメータを指定する必要があります。

次のすべての条件が満たされている場合、パケットは送信元の組み合わせで VPC 内スコープを使用する上り（内向き）ルールに一致します。

• パケットが他のソース パラメータの少なくとも 1 つに一致する。

• パケットは、上り（内向き）ルールを含むファイアウォール ポリシーが適用される VPC ネットワーク内にあるリソースによって送信されます。

次のリソースは VPC ネットワーク内にあります。

• VM ネットワーク インターフェース
• Cloud VPN トンネル
• Cloud Interconnect VLAN アタッチメント
• ルーター アプライアンス
• プロキシ専用サブネット内の Envoy プロキシ
• Private Service Connect エンドポイント
• サーバーレス VPC アクセス コネクタ

位置情報オブジェクト

ファイアウォール ポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。

位置情報オブジェクトを含むルールを上り（内向き）トラフィックと下り（外向き）トラフィックに適用できます。トラフィックの方向に基づいて、国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と照合されます。

• 階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの位置情報オブジェクトを構成できます。

• ファイアウォール ポリシー ルールに位置情報を追加するには、ISO 3166 alpha-2 国コードで定義されている 2 文字の国 / 地域コードを使用します。

  たとえば、米国からのネットワークへの受信トラフィックのみを許可する場合は、送信元の国コードを US、アクションを allow に設定して、上り（内向き）ファイアウォール ポリシールールを作成します。同様に、米国へのアウトバウンド トラフィックのみを許可する場合は、宛先の国コードを US、アクションを allow に設定して、下り（外向き）ファイアウォール ポリシールールを構成します。

• Cloud NGFW を使用すると、米国の包括的な制裁措置の対象となる次の地域のファイアウォール ルールを構成できます。

  地域	割り当てられたコード
  クリミア	XC
  「ドネツク人民共和国」（自称）および「ルハンスク人民共和国」（自称）	XD

• 1 つのファイアウォール ルールに重複する国コードが含まれている場合、その国コードのエントリは 1 つだけ保持されます。重複するエントリは削除されます。たとえば、国コードのリスト ca,us,us では、ca,us のみが保持されます。

• Google では、IP アドレスと国コードのマッピングを使用してデータベースを保守しています。Google Cloud ファイアウォールは、このデータベースを使用して、送信元と宛先のトラフィックの IP アドレスを国コードにマッピングし、位置情報オブジェクトを使用して、一致するファイアウォール ポリシー ルールを適用します。

• IP アドレスの割り当てと国コードは、次の条件で変更されることがあります。

  • 地理的位置間での IP アドレスの移動
  • ISO 3166 alpha-2 国コードの標準の更新

  これらの変更が Google のデータベースに反映されるまでにはしばらく時間がかかるため、トラフィックが中断したり、特定のトラフィックがブロックされたり、許可されることがあります。

位置情報オブジェクトを他のファイアウォール ポリシールール フィルタとともに使用する

位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。ルールの方向に応じて、指定されたすべてのフィルタの結合に一致する受信トラフィックまたは送信トラフィックにファイアウォール ポリシールールが適用されます。

位置情報オブジェクトが上り（内向き）ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り（内向き）ルールのソースとネットワーク ファイアウォール ポリシーの上り（内向き）ルールのソースを参照してください。

位置情報オブジェクトが下り（外向き）ルールの他の宛先フィルタとどのように連携するかについては、下り（外向き）ルールの宛先をご覧ください。

ファイアウォール ポリシールールの Google 脅威インテリジェンス

ファイアウォール ポリシールールを使用すると、Google の脅威インテリジェンス データに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。Google 脅威インテリジェンス データには、次のカテゴリに基づく IP アドレスのリストが含まれます。

• Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス（トラフィックが Tor ネットワークから出るエンドポイント）をブロックします。
• 既知の悪意のある IP アドレス: ウェブ アプリケーションに対する攻撃の発生源として知られている IP アドレス。アプリケーションのセキュリティを改善するには、これらの IP アドレスをブロックします。
• 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
• パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。このカテゴリは、さらに次のサブカテゴリに分類されます。
  • アマゾン ウェブ サービス（AWS）で使用される IP アドレス範囲
  • Microsoft Azure で使用される IP アドレス範囲
  • Google Cloud で使用される IP アドレス範囲
  • Google サービスで使用される IP アドレス範囲

Google 脅威インテリジェンスのデータリストには、IPv4 アドレス、IPv6 アドレス、またはその両方を含めることができます。ファイアウォール ポリシー ルールで Google 脅威インテリジェンスを構成するには、許可またはブロックするカテゴリに基づいて、事前に定義された Google 脅威インテリジェンス リスト名を使用します。このリストは継続的に更新されています。追加の構成を行わなくても、サービスを新たな脅威から保護します。有効なリスト名は次のとおりです。

リスト名	説明
iplist-tor-exit-nodes	TOR 終了ノードの IP アドレスと一致します
iplist-known-malicious-ips	ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します
iplist-search-engines-crawlers	検索エンジンのクローラの IP アドレスと一致します
iplist-vpn-providers	評価の低い VPN プロバイダに属する IP アドレスと一致します
iplist-anon-proxies	公開の匿名プロキシに属する IP アドレスと一致します
iplist-crypto-miners	暗号通貨マイニング サイトに属する IP アドレスと一致します
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	パブリック クラウドに属する IP アドレスと一致します。 アマゾン ウェブ サービス（AWS）で使用される IP アドレス範囲と一致します。 Microsoft Azure が使用する IP アドレス範囲と一致します。 Google Cloud が使用する IP アドレス範囲と一致します。 Google サービスが使用する IP アドレス範囲と一致します。

他のファイアウォール ポリシールール フィルタで Google 脅威インテリジェンスを使用する

Google 脅威インテリジェンスを使用してファイアウォール ポリシールールを定義するには、次のガイドラインに従ってください。

• 下り（外向き）ルールの場合、1 つ以上の宛先 Google 脅威インテリジェンス リストを使用して宛先を指定します。

• 上り（内向き）ルールの場合、1 つ以上の送信元 Google 脅威インテリジェンス リストを使用してソースを指定します。

• Google 脅威インテリジェンス リストは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーに対して構成できます。

• これらのリストは、他の送信元または宛先ルールのフィルタ コンポーネントと組み合わせて使用できます。

  Google 脅威インテリジェンス リストが上り（内向き）ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り（内向き）ルールのソースとネットワーク ファイアウォールの上り（内向き）ルールのソースポリシーをご確認ください。

  Google 脅威インテリジェンス リストが下り（外向き）ルールの他の宛先フィルタと連携する仕組みについては、下り（外向き）ルールの宛先をご覧ください。

• ファイアウォール ロギングはルールレベルで行われます。ファイアウォール ルールの効果のデバッグと分析を簡単にするため、1 つのファイアウォール ルールに複数の Google 脅威インテリジェンス リストを含めないでください。

• ファイアウォール ポリシー ルールには、複数の Google 脅威インテリジェンス リストを追加できます。ルールに含まれるリスト名は、そのリストに含まれる IP アドレスの数または IP アドレス範囲の数に関係なく、1 つの属性としてカウントされます。たとえば、ファイアウォール ポリシー ルールに iplist-tor-exit-nodes、iplist-known-malicious-ips、iplist-search-engines-crawlers のリスト名を含めると、ファイアウォール ポリシーあたりのルール属性の数は 3 個増加します。ルール属性のカウントの詳細については、割り当てと上限をご覧ください。

Google Threat Intelligence リストの例外の作成

Google 脅威インテリジェンス リストに適用されるルールが複数ある場合は、次の方法で、Google 脅威インテリジェンス リスト内の特定の IP アドレスに適用される例外ルールを作成できます。

• 選択的許可リスト: Google 脅威インテリジェンス リストとの間で送受信されるパケットを拒否する上り（内向き）または下り（外向き）のファイアウォール ルールがあるとします。Google 脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを許可するには、送信元または宛先として例外の IP アドレスを指定して、優先度の高い上り（内向き）または下り（外向き）の許可ファイアウォール ルールを別途作成します。

• 選択的拒否リスト: Google 脅威インテリジェンス リストとの間で送受信されるパケットを許可する上り（内向き）または下り（外向き）のファイアウォール ルールがあるとします。Google 脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを拒否するには、送信元または宛先として例外 IP アドレスを指定し、優先度の高い上り（内向き）または下り（外向き）拒否のファイアウォール ルールを作成します。

ファイアウォール ポリシーのアドレス グループ

アドレス グループは、IPv4 アドレス範囲または IPv6 アドレス範囲の CIDR 形式の論理コレクションです。アドレス グループを使用すると、多くのファイアウォール ルールによって参照される一貫した送信元または宛先を定義できます。アドレス グループは、それを使用するファイアウォール ルールを変更せずに更新できます。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

上り（内向き）と下り（外向き）のファイアウォール ルールで、送信元アドレスグループと宛先アドレス グループをそれぞれ定義できます。

送信元アドレス グループが上り（内向き）ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り（内向き）ルールのソースとネットワーク ファイアウォールの上り（内向き）ルールのソースポリシーをご確認ください。

宛先アドレス グループが下り（外向き）ルールの他の宛先フィルタと連携する仕組みについては、下り（外向き）ルールの宛先をご覧ください。

FQDN オブジェクト

ファイアウォール ポリシー ルールで完全修飾ドメイン名（FQDN）オブジェクトを使用して、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。

FQDN オブジェクトを使用するファイアウォール ポリシー ルールは、上り（内向き）トラフィックと下り（外向き）トラフィックの両方に適用できます。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。

• FQDN オブジェクトは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのファイアウォール ポリシー ルールで構成できます。

• FQDN オブジェクトは、標準の FQDN 構文で指定する必要があります。

  ドメイン名の形式について詳しくは、ドメイン名の形式をご覧ください。

• Cloud NGFW は定期的に、FQDN オブジェクトを含むファイアウォール ポリシー ルールを最新のドメイン名解決の結果で更新します。

• ファイアウォール ポリシー ルールで指定されたドメイン名は、Cloud DNS の VPC 名前解決の順序に基づいて IP アドレスに解決されます。Cloud DNS は、ドメイン名の解決結果（ドメイン ネーム システム（DNS）レコード）に変更がある場合、Cloud NGFW に通知します。

• 2 つのドメイン名が同じ IP アドレスに解決された場合、ファイアウォール ポリシー ルールは、1 つのドメインだけでなく、その IP アドレスにも適用されます。つまり、FQDN オブジェクトはレイヤ 3 エンティティです。

• 下り（外向き）ファイアウォール ポリシー ルールの FQDN オブジェクトが、DNS レコードに CNAME があるドメインを含んでいる場合は、信頼性の高いファイアウォールルールの動作を保証するため、VM がクエリできるすべてのドメイン名（潜在的なエイリアスをすべて含む）を使用して下り（外向き）ファイアウォール ポリシー ルールを構成する必要があります。VM が下り（外向き）ファイアウォール ポリシー ルールで構成されていない CNAME をクエリする場合、DNS レコードの変更中はポリシーが機能しないことがあります。

• ネットワーク ファイアウォール ポリシー ルールで Compute Engine の内部 DNS 名を使用することもできます。ただし、アウトバウンド サーバー ポリシーで代替ネームサーバーを使用するようにネットワークが構成されていないことを確認してください。

• ネットワーク ファイアウォール ポリシー ルールにカスタム ドメイン名を追加する場合は、Cloud DNS マネージド ゾーンを使用してドメイン名を解決できます。ただし、アウトバウンド サーバー ポリシーで代替ネームサーバーを使用するようにネットワークが構成されていないことを確認してください。ゾーン管理の詳細については、ゾーンの作成、変更、削除をご覧ください。

制限事項

FQDN オブジェクトを使用する上り（内向き）と下り（外向き）の両方のファイアウォール ルールに次の制限が適用されます。

• FQDN オブジェクトでは、ワイルドカード（*）とトップレベル（ルート）ドメイン名がサポートされていません。たとえば、*.example.com. と .org はサポートされていません。

FQDN オブジェクトは、上り（内向き）ファイアウォール ポリシー ルールで使用できます。上り（内向き）ルールの FQDN オブジェクトを定義する場合は、次の制限事項に注意してください。

• ドメイン名は、最大 32 個の IPv4 アドレスと 32 個の IPv6 アドレスに解決できます。32 個を超える IPv4 アドレスと 32 個を超える IPv6 アドレスに解決する DNS クエリは、解決済み IP アドレスが 32 個の IPv4 アドレスか IPv6 アドレスだけを含むように切り捨てられます。したがって、上り（内向き）ファイアウォール ポリシー ルールには、32 個を超える IPv4 アドレスと IPv6 アドレスに解決されるドメイン名を含めないでください。

• 一部のドメイン名クエリでは、リクエスト元のクライアントの場所に基づく一意の結果が返されます。ファイアウォール ポリシー ルールの DNS 解決を行うロケーションは、ファイアウォール ポリシールールが適用される VM を含む Google Cloud リージョンです。

• ドメイン名の解決結果が大きく変わる場合や、ドメイン名の解決で DNS ベースのロード バランシングが使用される場合は、FQDN オブジェクトを含む上り（内向き）ルールを使用しないでください。たとえば、Google の多くのドメイン名では DNS ベースのロード バランシング スキームを使用しています。

FQDN オブジェクトは下り（外向き）ファイアウォール ポリシールールで使用できますが、TTL（有効期間）が 90 秒未満の DNS A レコードで FQDN オブジェクトを使用することはおすすめしません。

他のファイアウォール ポリシー ルールのフィルタで FQDN オブジェクトを使用する

ファイアウォール ポリシー ルールでは、FQDN オブジェクトと他の送信元フィルタまたは宛先フィルタを定義できます。

FQDN オブジェクトが上り（内向き）ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り（内向き）ルールのソースとネットワーク ファイアウォール ポリシーの上り（内向き）ルールのソースを参照してください。

FQDN オブジェクトが下り（外向き）ルールの他の宛先フィルタとどのように連携するかについては、下り（外向き）ルールの宛先をご覧ください。

ドメイン名の形式

VPC ファイアウォールは、RFC 1035、RFC 1123、RFC 4343 で定義されているドメイン名形式をサポートしています。

ファイアウォール ポリシー ルールにドメイン名を追加するには、次のフォーマット ガイドラインに従ってください。

• ドメイン名には、次の条件を満たすラベルが 2 つ以上含まれている必要があります。

  • 各ラベルは、次の文字のみを使用した正規表現と一致します。[a-z]([-a-z0-9][a-z0-9])?.。
  • 各ラベルの長さは 1～63 文字です。
  • ラベルはドット（.）で連結されます。

• ドメイン名の最大エンコード長は 255 バイト（オクテット）以下にする必要があります。

• ファイアウォール ポリシー ルールに国際化ドメイン名（IDN）を追加することもできます。

• ドメイン名は Unicode または Punycode 形式にする必要があります。

• Unicode 形式で IDN を指定すると、Google Cloud Firewall は IDN を Punycode 形式に変換してから処理します。また、IDN コンバータ ツールを使用して IDN の Punycode 表現を取得することもできます。

• Google Cloud Firewall は、同じファイアウォール ポリシー ルール内の同等のドメイン名をサポートしていません。ドメイン名を Punycode に変換した後、2 つのドメイン名の末尾のドットが異なっている場合、これらは同等とみなされます。

FQDN の例外シナリオ

ファイアウォール ポリシー ルールで FQDN オブジェクトを使用する場合、DNS 名解決中に次の例外が発生する可能性があります。

• 無効なドメイン名: ファイアウォール ポリシールールの作成時に無効な形式を使用するドメイン名を 1 つ以上指定すると、エラーが発生します。すべてのドメイン名の形式が適切に設定されない限り、ファイアウォール ポリシー ルールは作成できません。

• ドメイン名が存在しない（NXDOMAIN）: ドメイン名が存在しない場合、Google Cloud はファイアウォール ポリシールールの FQDN オブジェクトを無視します。

• IP アドレスが解決されない: ドメイン名がどの IP アドレスにも解決されない場合、FQDN オブジェクトは無視されます。

• Cloud DNS サーバーに到達不能: DNS サーバーに到達できない場合、FQDN オブジェクトを使用するファイアウォール ポリシールールは、以前にキャッシュに保存された DNS の解決結果が利用可能である場合にのみ適用されます。キャッシュに保存された DNS の解決結果がない場合、またはキャッシュに保存された DNS の結果が期限切れになっている場合、ルールの FQDN オブジェクトは無視されます。

次のステップ

• 階層型ファイアウォール ポリシー
• グローバル ネットワーク ファイアウォール ポリシー
• リージョン ネットワーク ファイアウォール ポリシー