ファイアウォール ポリシールール

ファイアウォール ポリシールールを作成するときは、ルールの動作を定義する一連のコンポーネントを指定します。これらのコンポーネントは、トラフィックの方向、送信元、宛先、レイヤ 4 特性(プロトコルなど。プロトコルがポートを使用する場合は宛先ポート)を指定します。

各ファイアウォール ポリシールールは、両方ではなく、受信(上り、内向き)接続または送信(下り、外向き)接続に適用されます。

上り(内向き)ルール

上り(内向き)方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り(内向き)ルールはインバウンド パケットに適用されます。パケットの送信先がターゲットになります。

deny アクションを含む上り(内向き)ルールでは、インスタンスへの受信接続をブロックすることで、すべてのインスタンスを保護します。優先度の高いルールにより、受信アクセスが許可される場合があります。自動的に作成されたデフォルト ネットワークには、事前設定済みの VPC ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り(内向き)が許可されます。

下り(外向き)ルール

下り(外向き)方向とは、ターゲットから宛先に送信されるアウトバウンド トラフィックを指します。下り(外向き)ルールは新しい接続のパケットに適用されます。パケットの送信元がターゲットになります。

allow アクションを含む下り(外向き)ルールを使用すると、インスタンスはルールで指定された宛先にトラフィックを送信できます。優先度の高い deny ファイアウォール ルールによって下り(外向き)が拒否される可能性があります。Google Cloud では、特定の種類のトラフィックがブロックまたは制限されます。

ファイアウォール ポリシー ルールのコンポーネント

階層型ファイアウォール ポリシーグローバル ネットワーク ファイアウォール ポリシーリージョン ネットワーク ファイアウォール ポリシーのルールでは、このセクションで説明するコンポーネントを使用します。ファイアウォール ポリシーという用語は、この 3 種類のポリシーのいずれかを指します。ファイアウォール ポリシーの種類の詳細については、ファイアウォール ポリシーをご覧ください。

通常、ファイアウォール ポリシー ルールは VPC ファイアウォール ルールと同じように機能しますが、以下のセクションで説明するようにいくつかの違いがあります。

優先度

ファイアウォール ポリシー内のルールの優先度は 0~2,147,483,647 の整数です。小さい整数が高い優先度を示します。ファイアウォール ポリシー内のルールの優先度は、VPC ファイアウォール ルールの優先度と似ていますが、次の点が異なります。

  • ファイアウォール ポリシー内の各ルールには一意の優先度が必要です。
  • ファイアウォール ポリシー内のルールの優先度はルールの一意の識別子として機能します。ファイアウォール ポリシーのルールの識別に名前は使用されません。
  • ファイアウォール ポリシー内のルールの優先度は、ファイアウォール ポリシー自体で評価順序を定義します。VPC ファイアウォール ルールと階層型ファイアウォール ポリシーのルール、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーは、ポリシーとルールの評価順序に従って評価されます。

一致したときのアクション

ファイアウォール ポリシーのルールは、次のアクションのいずれかを実行できます。

  • allow はトラフィックを許可し、それ以上のルール評価を停止します。
  • deny はトラフィックを禁止し、ルールの評価を停止します。

適用

ルールの状態を有効または無効に設定することで、ファイアウォール ポリシー ルールを適用するかどうかを選択できます。ルールの作成時またはルールの更新時に適用状態を設定します。

新しいファイアウォール ルールを作成するときに適用状態を設定しない場合、ファイアウォール ルールは自動的に有効になります。

プロトコルとポート

VPC ファイアウォール ルールと同様に、ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。

ファイアウォール ルールでは、プロトコル名として tcpudpicmp(IPv4 ICMP の場合)、espahsctpipip を使用できます。他のすべてのプロトコルには、IANA プロトコル番号を使用します。

多くのプロトコルでは IPv4 と IPv6 の両方で同じ名前と番号が使用されますが、ICMP などの一部のプロトコルでは使用されません。IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP の場合は、プロトコル番号 58 を使用します。

ファイアウォール ルールでは、プロトコルだけではなく、ICMP のタイプやコードの指定もサポートしていません。

IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。

プロトコルとポートのパラメータを指定しない場合、すべてのプロトコルと宛先ポートにルールが適用されます。

ロギング

ファイアウォール ポリシールールのロギングは、VPC のファイアウォール ルールのロギングと同じように機能しますが、次の点が異なります。

  • 参照フィールドには、ファイアウォール ポリシー ID と、ポリシーが接続されているリソースのレベルを示す番号が含まれます。たとえば、0 は組織に適用されていることを意味します。1 はポリシーが組織の最上位フォルダに適用されていることを意味します。

  • ファイアウォール ポリシーのログには、ルールが適用される VPC ネットワークを識別する target_resource フィールドが含まれています。

  • ロギングを有効にできるルールは allowdenyapply_security_profile_group のみです。goto_next ルールで有効にすることはできません。

ターゲット、ソース、宛先

target パラメータは、ファイアウォール ルールが適用されるインスタンスのネットワーク インターフェースを識別します。

上り(内向き)と下り(外向き)の両方のファイアウォール ルールに、パケットの送信元または宛先に適用される送信元パラメータと宛先パラメータの両方を指定できます。ファイアウォール ルールの方向によって、source パラメータと destination パラメータに指定できる値が決まります。

target、source、destination パラメータは連携して動作します。

ターゲット

target パラメータは、GKE ノードと App Engine フレキシブル環境インスタンスを含む Compute Engine インスタンスのネットワーク インターフェースを識別します。

上り(内向き)ルールまたは下り(外向き)ルールの両方にターゲットを定義できます。有効なターゲット オプションは、ファイアウォール ポリシーのタイプによって異なります。

階層型ファイアウォール ポリシー ルールのターゲット

階層型ファイアウォール ポリシーのルールは、次のターゲットをサポートします。

  • デフォルトの最も広範なターゲット: 階層型ファイアウォール ポリシールールでターゲットの指定を省略すると、このファイアウォール ルールは、ファイアウォール ポリシーに関連付けられた Resource Manager ノード(フォルダまたは組織)内のすべてのプロジェクトの VPC ネットワークに存在するすべてのインスタンスに適用されます。これは最も広範なターゲットです。

  • 特定のネットワーク: target-resources パラメータを使用して 1 つ以上の VPC ネットワークを指定すると、最も広範なターゲットのセットが、指定された 1 つ以上の VPC ネットワークのネットワーク インターフェースを持つ VM に絞り込まれます。

  • サービス アカウントによって識別されるインスタンス: target-service-accounts パラメータを使用して 1 つ以上のサービス アカウントを指定すると、最も広範なターゲットのセットが、指定された 1 つ以上のサービス アカウントを使用する VM に絞り込まれます。

  • サービス アカウントで識別される特定のネットワークとインスタンス: target-resources パラメータと target-service-accounts パラメータの両方を指定すると、最も広範なターゲットが次の両方の条件を満たす VM に絞り込まれます。

    • VM が、指定されたいずれかの VPC ネットワークのネットワーク インターフェースを持っている。
    • VM が、指定されたサービス アカウントのいずれかを使用している。

グローバル ネットワーク ファイアウォール ポリシー ルールのターゲット

グローバル ネットワーク ファイアウォール ポリシー ルールは、次のターゲットをサポートします。

  • デフォルトのターゲット - VPC ネットワーク内のすべてのインスタンス: グローバル ネットワーク ファイアウォール ポリシールールでターゲットの指定を省略すると、ファイアウォール ルールは、ポリシーに関連付けられている VPC ネットワークのネットワーク インターフェースを持つインスタンスに適用されます。インスタンスは任意のリージョンに配置できます。これは最も広範なターゲットです。

  • ターゲットのセキュアタグが設定されたインスタンス: target-secure-tags パラメータを使用してターゲットタグを指定すると、最も広範なターゲットのセットが、タグにバインドされた VM に絞り込まれます。

  • ターゲット サービス アカウントを使用するインスタンス: target-service-accounts パラメータを使用してサービス アカウントを指定すると、最も広範なターゲット セットが、指定したサービス アカウントのいずれかを使用する VM に絞り込まれます。

リージョン ネットワーク ファイアウォール ポリシー ルールのターゲット

リージョン ネットワーク ファイアウォール ポリシー ルールは、次のターゲットをサポートします。

  • デフォルトのターゲット - リージョンおよび VPC ネットワーク内のすべてのインスタンス: リージョン ネットワーク ファイアウォール ポリシールールでターゲットの指定を省略すると、ファイアウォール ルールは、ポリシーに関連付けられている VPC ネットワークのネットワーク インターフェースを持つインスタンスに適用されます。インスタンスは、ポリシーと同じリージョンに配置する必要があります。これは最も広範なターゲットです。

  • ターゲットのセキュアタグが設定されたインスタンス: target-secure-tags パラメータを使用してターゲットタグを指定すると、最も広範なターゲットのセットが、タグにバインドされた VM に絞り込まれます。

  • ターゲット サービス アカウントを使用するインスタンス: target-service-accounts パラメータを使用してサービス アカウントを指定すると、最も広範なターゲット セットが、指定したサービス アカウントのいずれかを使用する VM に絞り込まれます。

上り(内向き)ルールのターゲットと IP アドレス

ターゲット VM のネットワーク インターフェースにルーティングされるパケットは、次の条件に基づいて処理されます。

  • 上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲が含まれている場合、パケットの宛先は、明示的に定義された宛先 IP アドレス範囲のいずれかに一致する必要があります。

  • 上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲が含まれていない場合、パケットの宛先は、次のいずれかの IP アドレスと一致する必要があります。

    • インスタンスの NIC に割り振られているプライマリ内部 IPv4 アドレス。

    • インスタンスの NIC に構成されているエイリアス IP アドレス範囲

    • インスタンスの NIC に関連付けられている外部 IPv4 アドレス。

    • IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。

    • パススルー ロード バランシングに使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスは、内部パススルー ネットワーク ロードバランサまたは外部パススルー ネットワーク ロードバランサのバックエンドです。

    • プロトコル転送に使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスはターゲット インスタンスによって参照されます。

    • インスタンスをネクストホップ VM(next-hop-instance または next-hop-address)として使用するカスタム静的ルートの宛先範囲内の IP アドレス。

    • VM が内部パススルー ネットワーク ロードバランサのバックエンドの場合、ネクストホップとしてそのロードバランサ(next-hop-ilb)を使用するカスタム静的ルートの宛先範囲内の IP アドレス。

下り(外向き)ルールのターゲットと IP アドレス

ターゲットのネットワーク インターフェースから送信されたパケットの処理は、ターゲット VM での IP 転送の構成によって異なります。IP 転送はデフォルトで無効になっています。

  • ターゲット VM で IP 転送を無効にすると、VM は次の送信元を含むパケットを送信できます。

    • インスタンスの NIC のプライマリ内部 IPv4 アドレス。

    • インスタンスの NIC に構成されたエイリアス IP アドレス範囲。

    • IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。

    • パススルー ロード バランシングまたはプロトコル転送の場合、転送ルールに関連付けられた内部または外部 IP アドレス。これは、インスタンスが内部パススルー ネットワーク ロードバランサのバックエンドか、外部パススルー ネットワーク ロードバランサか、あるいはターゲット インスタンスから参照されている場合に有効になります。

    下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれている場合でも、ターゲット VM は前述の送信元 IP アドレスに制限されますが、source パラメータを使用してそのセットを絞り込むことができます。IP 転送を有効にせずに送信元パラメータを使用しても、パケットの送信元アドレスのセットは展開されません。

    下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれていない場合、前述のすべての送信元 IP アドレスが許可されます。

  • ターゲット VM で IP 転送が有効になっている場合、VM は任意の送信元アドレスを持つパケットを送信できます。source パラメータを使用すると、許可されるパケットの送信元のセットをより正確に定義できます。

ソース

ソース パラメータの値は以下のものに依存します。

  • ファイアウォール ルールを含むファイアウォール ポリシーのタイプ
  • ファイアウォール ルールの方向

階層型ファイアウォール ポリシーの上り(内向き)ルールの送信元

階層型ファイアウォール ポリシーの上り(内向き)ルールには、次の送信元を使用できます。

  • デフォルトの送信元範囲: 上り(内向き)ルールの送信元の指定を省略すると、Google Cloud はデフォルトの送信元 IPv4 アドレス範囲 0.0.0.0/0(任意の IPv4 アドレス)を使用します。デフォルト値に IPv6 の送信元は含まれません。

  • 送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

  • 送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

  • 位置情報: 1 つ以上の送信元の地理的位置のリスト。受信トラフィックをフィルタする 2 文字の国 / 地域コードで指定します。詳しくは、位置情報オブジェクトをご覧ください。

  • 送信元アドレス グループ: IPv4 CIDR または IPv6 CIDR のいずれかで構成される 1 つ以上の送信元アドレス グループのリスト。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

  • 送信元ドメイン名: 1 つ以上の送信元ドメイン名のリスト。ドメイン名の詳細については、ファイアウォール ポリシーのドメイン名をご覧ください。

  • 有効な送信元の組み合わせ: 上り(内向き)ルールで、上記の送信元のさまざまな組み合わせを指定できます。有効な送信元セットは、これらの組み合わせから構成されます。

    上り(内向き)ルールで送信元の組み合わせを指定すると、ルールはソース パラメータの基準の少なくとも 1 つに一致するパケットに適用されます。

    ルールの送信元の組み合わせを定義する場合は、次のガイドラインに従ってください。

    • 同じルールで、送信元 IPv4 アドレス範囲と送信元 IPv6 アドレス範囲の両方を使用しないでください。
    • 同じルールで、IPv4 CIDR を含む送信元アドレス グループと IPv6 CIDR を含む別の送信元アドレス グループを使用しないでください。
    • 同じルールで、送信元 IPv4 アドレス範囲と、IPv6 CIDR を含む送信元アドレス グループを使用しないでください。
    • 同じルールで、送信元 IPv6 アドレス範囲と、IPv4 CIDR を含む送信元アドレス グループを使用しないでください。

ネットワーク ファイアウォール ポリシーの上り(内向き)ルールの送信元

グローバルとリージョンのネットワーク ファイアウォール ポリシーの上り(内向き)ルールには、次の送信元を使用できます。

  • デフォルトの送信元範囲: 上り(内向き)ルールの送信元の指定を省略すると、Google Cloud はデフォルトの送信元 IPv4 アドレス範囲 0.0.0.0/0(任意の IPv4 アドレス)を使用します。デフォルト値に IPv6 の送信元は含まれません。

  • 送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

  • 送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

  • 位置情報: 1 つ以上の送信元の地理的位置のリスト。受信トラフィックをフィルタする 2 文字の国 / 地域コードで指定します。詳しくは、位置情報オブジェクトをご覧ください。

  • 送信元アドレス グループ: IPv4 CIDR または IPv6 CIDR のいずれかで構成される 1 つ以上の送信元アドレス グループのリスト。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

  • 送信元ドメイン名: 1 つ以上の送信元ドメイン名のリスト。ドメイン名の詳細については、ファイアウォール ポリシーのドメイン名をご覧ください。

  • ソース セキュアタグ: 1 つ以上のセキュアタグ。このタグは、ネットワーク ファイアウォール ポリシーが適用される同じ VPC ネットワーク内にある VM インスタンスのネットワーク インターフェースを識別します。また、VPC ネットワーク ピアリングによってファイアウォール ポリシーのネットワークに接続している VPC ネットワーク内のインスタンスも識別します。リージョン ネットワーク ファイアウォール ポリシーの場合、VM インスタンスはポリシーと同じリージョンに存在する必要があります。

  • 有効な送信元の組み合わせ: 上り(内向き)ルールで、上記の送信元のさまざまな組み合わせを指定できます。有効な送信元セットは、これらの組み合わせから構成されます。

    上り(内向き)ルールで送信元の組み合わせを指定すると、ルールはソース パラメータの基準の少なくとも 1 つに一致するパケットに適用されます。

    ルールの送信元の組み合わせを定義する場合は、次のガイドラインに従ってください。

    • 同じルールで、送信元 IPv4 アドレス範囲と送信元 IPv6 アドレス範囲の両方を使用しないでください。
    • 同じルールで、IPv4 CIDR を含む送信元アドレス グループと IPv6 CIDR を含む別の送信元アドレス グループを使用しないでください。
    • 同じルールで、送信元 IPv4 アドレス範囲と、IPv6 CIDR を含む送信元アドレス グループを使用しないでください。
    • 同じルールで、送信元 IPv6 アドレス範囲と、IPv4 CIDR を含む送信元アドレス グループを使用しないでください。

ソース セキュアタグでパケットの送信元を表す方法

グローバルおよびリージョンのネットワーク ファイアウォール ポリシーの上り(内向き)ルールでは、セキュアタグを使用して送信元を指定できます。各セキュアタグは 1 つの VPC ネットワークに関連付けられます。セキュアタグは、その VM が同じ VPC ネットワーク内にネットワーク インターフェースを持つ場合に限り、VM にバインドできます。

グローバルおよびリージョン ネットワーク ポリシーの上り(内向き)ルールは、セキュアタグにバインドされた VM のネットワーク インターフェースから送信されたパケットに適用されます。ここで、VM は次のいずれかの条件を満たす必要があります。

  • VM のネットワーク インターフェースは、ファイアウォール ポリシーと同じ VPC ネットワークを使用している。

  • VM のネットワーク インターフェースは、VPC ネットワーク ピアリングでファイアウォール ポリシーの VPC ネットワークに接続されている VPC ネットワークを使用している。

ネットワーク インターフェースの指定に加えて、次の送信元 IP アドレスが解決されます。

  • そのネットワーク インターフェースのプライマリ内部 IPv4 アドレス
  • そのネットワーク インターフェースに割り当てられた任意の IPv6 アドレス

上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲も含まれている場合、送信元タグにバインドされたネットワーク インターフェースは、宛先 IP 範囲と同じ IP バージョンに解決されます。

ソース セキュアタグを使用している場合、他のパケットの送信元 IP アドレスは解決されません。たとえば、ネットワーク インターフェースに関連付けられたエイリアス IP アドレス範囲と外部 IPv4 アドレスは除外されます。送信元にエイリアス IP アドレス範囲または外部 IPv4 アドレスを含む上り(内向き)ファイアウォール ルールを作成する必要がある場合は、送信元 IPv4 アドレス範囲を使用します。

下り(外向き)ルールの送信元

階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーの両方の下り(外向き)ルールには、次の送信元を使用できます。

  • デフォルト(ターゲットによって暗黙的に指定): 下り(外向き)ルールの source パラメータを省略すると、下り(外向き)ルールのターゲットと IP アドレスで説明されているようにパケットの送信元が暗黙的に定義されます。

  • 送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

  • 送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

下り(外向き)ルールの送信元 IP アドレス範囲を追加するには、次のガイドラインに従ってください。

  • VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。
  • 下り(外向き)ルールに送信元 IP アドレス範囲と destination パラメータがある場合、destination パラメータは送信元 IP バージョンと同じ IP バージョンに解決されます。

    たとえば、下り(外向き)ルールでは、source パラメータに IPv4 アドレス範囲、destination パラメータに FQDN オブジェクトがあります。FQDN が IPv4 アドレスと IPv6 アドレスの両方に解決される場合は、ルールの適用時に解決された IPv4 アドレスのみが使用されます。

宛先

宛先は IP アドレス範囲を使用して指定できます。これは、階層型とネットワークのファイアウォール ポリシーの上り(内向き)ルールと下り(外向き)ルールの両方でサポートされています。デフォルトの宛先の動作は、ルールの方向によって異なります。

上り(内向き)ルールの送信先

階層型ポリシーとネットワーク ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールには、次の送信先を使用できます。

  • デフォルト(ターゲットによって暗黙的に指定): 上り(内向き)ルールの destination パラメータを省略すると、上り(内向き)ルールのターゲットと IP アドレスで説明されているように、パケットの宛先が暗黙的に定義されます。

  • 宛先 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

  • 宛先 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

上り(内向き)ルールの宛先 IP アドレス範囲を追加するには、次のガイドラインに従ってください。

下り(外向き)ルールの宛先

階層型ポリシーとネットワーク ファイアウォール ポリシーの下り(外向き)ファイアウォール ルールには、次の送信先を使用できます。

  • デフォルトの宛先の範囲: 下り(外向き)ルールで宛先の指定を省略すると、Google Cloud はデフォルトの宛先 IPv4 アドレス範囲 0.0.0.0/0(任意の IPv4 アドレス)を使用します。デフォルト値に IPv6 の宛先は含まれません。

  • 宛先 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。

  • 宛先 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。

  • 位置情報: 1 つ以上の宛先の地理的位置のリスト。受信トラフィックをフィルタする 2 文字の国 / 地域コードで指定します。詳しくは、位置情報オブジェクトをご覧ください。

  • 宛先アドレス グループ: IPv4 CIDR または IPv6 CIDR のいずれかで構成される 1 つ以上の宛先アドレス グループのリスト。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

  • 宛先ドメイン名: 1 つ以上の宛先ドメイン名のリスト。ドメイン名の詳細については、ファイアウォール ポリシーのドメイン名をご覧ください。

  • 有効な宛先の組み合わせ: 上り(内向き)ルールで、上記の宛先のさまざまな組み合わせを指定できます。有効な宛先セットは、これらの組み合わせから構成されます。

    下り(外向き)ルールで宛先の組み合わせを指定すると、ルールは宛先パラメータの基準の少なくとも 1 つに一致するパケットに適用されます。

    ルールの宛先の組み合わせを定義する場合は、次のガイドラインに従ってください。

    • 同じルールで、宛先 IPv4 アドレス範囲と宛先 IPv6 アドレス範囲の両方を使用しないでください。
    • 同じルールで、IPv4 CIDR を含む宛先アドレス グループと IPv6 CIDR を含む別の宛先アドレス グループを使用しないでください。
    • 同じルールに、宛先 IPv4 アドレス範囲と、IPv6 CIDR を含む宛先アドレス グループを使用しないでください。
    • 同じルールで、宛先 IPv6 アドレス範囲と、IPv4 CIDR を含む宛先アドレス グループは使用しないでください。

位置情報オブジェクト

ファイアウォール ポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。

位置情報オブジェクトを含むルールを上り(内向き)トラフィックと下り(外向き)トラフィックに適用できます。トラフィックの方向に基づいて、国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と照合されます。

  • 階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの位置情報オブジェクトを構成できます。

  • ファイアウォール ポリシー ルールに位置情報を追加するには、ISO 3166 alpha-2 国コードで定義されている 2 文字の国 / 地域コードを使用します。

    たとえば、米国からのネットワークへの受信トラフィックのみを許可する場合は、送信元の国コードを US、アクションを allow に設定して、上り(内向き)ファイアウォール ポリシールールを作成します。同様に、米国へのアウトバウンド トラフィックのみを許可する場合は、宛先の国コードを US、アクションを allow に設定して、下り(外向き)ファイアウォール ポリシールールを構成します。

  • Cloud Next Generation Firewall を使用すると、米国の包括的な制裁措置の対象となる次の地域のファイアウォール ルールを構成できます。

    地域 割り当てられたコード
    クリミア XC
    「ドネツク人民共和国」(自称)および「ルハンスク人民共和国」(自称) XD

  • 1 つのファイアウォール ルールに重複する国コードが含まれている場合、その国コードのエントリは 1 つだけ保持されます。重複するエントリは削除されます。たとえば、国コードのリスト ca,us,us では、ca,us のみが保持されます。

  • Google では、IP アドレスと国コードのマッピングを使用してデータベースを保守しています。Google Cloud ファイアウォールは、このデータベースを使用して、送信元と宛先のトラフィックの IP アドレスを国コードにマッピングし、位置情報オブジェクトを使用して、一致するファイアウォール ポリシー ルールを適用します。

  • IP アドレスの割り当てと国コードは、次の条件で変更されることがあります。

    これらの変更が Google のデータベースに反映されるまでにはしばらく時間がかかるため、トラフィックが中断したり、特定のトラフィックがブロックされたり、許可されることがあります。

位置情報オブジェクトを他のファイアウォール ポリシールール フィルタとともに使用する

位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。ルールの方向に応じて、指定されたすべてのフィルタの結合に一致する受信トラフィックまたは送信トラフィックにファイアウォール ポリシールールが適用されます。

位置情報オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースネットワーク ファイアウォール ポリシーの上り(内向き)ルールのソースを参照してください。

位置情報オブジェクトが下り(外向き)ルールの他の宛先フィルタとどのように連携するかについては、下り(外向き)ルールの宛先をご覧ください。

ファイアウォール ポリシールールの脅威インテリジェンス

ファイアウォール ポリシールールを使用すると、脅威インテリジェンス データに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。脅威インテリジェンス データには、次のカテゴリに基づく IP アドレスのリストが含まれます。

  • Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るエンドポイント)をブロックします。
  • 既知の悪意のある IP アドレス: ウェブ アプリケーションに対する攻撃の発生源として知られている IP アドレス。アプリケーションのセキュリティを改善するには、これらの IP アドレスをブロックします。
  • 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
  • パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。このカテゴリは、さらに次のサブカテゴリに分類されます。
    • アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲
    • Microsoft Azure で使用される IP アドレス範囲
    • Google Cloud で使用される IP アドレス範囲
    • Google サービスで使用される IP アドレス範囲

脅威インテリジェンスのデータリストには、IPv4 アドレス、IPv6 アドレス、またはその両方を含めることができます。ファイアウォール ポリシー ルールで脅威インテリジェンスを構成するには、許可またはブロックするカテゴリに基づいて、事前に定義された脅威インテリジェンス リスト名を使用します。このリストは継続的に更新されています。追加の構成を行わなくても、サービスを新たな脅威から保護します。有効なリスト名は次のとおりです。

リスト名 説明
iplist-tor-exit-nodes TOR 終了ノードの IP アドレスと一致します
iplist-known-malicious-ips ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します
iplist-search-engines-crawlers 検索エンジンのクローラの IP アドレスと一致します
iplist-vpn-providers 評価の低い VPN プロバイダに属する IP アドレスと一致します
iplist-anon-proxies 公開の匿名プロキシに属する IP アドレスと一致します
iplist-crypto-miners 暗号通貨マイニング サイトに属する IP アドレスと一致します
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
  • iplist-public-clouds-google-services
パブリック クラウドに属する IP アドレスと一致します。
  • アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲と一致します。
  • Microsoft Azure が使用する IP アドレス範囲と一致します。
  • Google Cloud が使用する IP アドレス範囲と一致します。
  • Google サービスが使用する IP アドレス範囲と一致します。

他のファイアウォール ポリシールール フィルタで脅威インテリジェンスを使用する

脅威インテリジェンスを使用してファイアウォール ポリシールールを定義するには、次のガイドラインを準拠してください。

  • 下り(外向き)ルールの場合、1 つ以上の宛先脅威インテリジェンス リストを使用して宛先を指定します。

  • 上り(内向き)ルールの場合、1 つ以上の送信元脅威インテリジェンス リストを使用してソースを指定します。

  • 脅威インテリジェンス リストは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーに対して構成できます。

  • これらのリストは、他の送信元または宛先ルールのフィルタ コンポーネントと組み合わせて使用できます。

    脅威インテリジェンス リストが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。

    脅威インテリジェンス リストが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。

  • ファイアウォール ロギングはルールレベルで行われます。ファイアウォール ルールの効果のデバッグと分析を簡単にするため、1 つのファイアウォール ルールに複数の脅威インテリジェンス リストを含めないでください。

  • ファイアウォール ポリシー ルールには、複数の脅威インテリジェンス リストを追加できます。ルールに含まれるリスト名は、そのリストに含まれる IP アドレスの数または IP アドレス範囲の数に関係なく、1 つの属性としてカウントされます。たとえば、ファイアウォール ポリシー ルールに iplist-tor-exit-nodesiplist-known-malicious-ipsiplist-search-engines-crawlers のリスト名を含めると、ファイアウォール ポリシーあたりのルール属性の数は 3 個増加します。ルール属性のカウントの詳細については、割り当てと上限をご覧ください。

脅威インテリジェンス リストの例外の作成

脅威インテリジェンス リストに適用されるルールが複数ある場合は、次の方法で、脅威インテリジェンス リスト内の特定の IP アドレスに適用される例外ルールを作成できます。

  • 選択的許可リスト: 脅威インテリジェンス リストとの間で送受信されるパケットを拒否する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを許可するには、送信元または宛先として例外の IP アドレスを指定して、優先度の高い上り(内向き)または下り(外向き)の許可ファイアウォール ルールを別途作成します。

  • 選択的拒否リスト: 脅威インテリジェンス リストとの間で送受信されるパケットを許可する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを拒否するには、送信元または宛先として例外 IP アドレスを指定し、優先度の高い上り(内向き)または下り(外向き)拒否のファイアウォール ルールを作成します。

ファイアウォール ポリシーのアドレス グループ

アドレス グループは、IPv4 アドレス範囲または IPv6 アドレス範囲の CIDR 形式の論理コレクションです。アドレス グループを使用すると、多くのファイアウォール ルールによって参照される一貫した送信元または宛先を定義できます。アドレス グループは、それを使用するファイアウォール ルールを変更せずに更新できます。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

上り(内向き)と下り(外向き)のファイアウォール ルールで、送信元アドレスグループと宛先アドレス グループをそれぞれ定義できます。

送信元アドレス グループが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。

宛先アドレス グループが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。

FQDN オブジェクト

ファイアウォール ポリシー ルールで完全修飾ドメイン名(FQDN)オブジェクトを使用して、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。

FQDN オブジェクトを使用するファイアウォール ポリシー ルールは、上り(内向き)トラフィックと下り(外向き)トラフィックの両方に適用できます。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。

  • FQDN オブジェクトは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのファイアウォール ポリシー ルールで構成できます。

  • FQDN オブジェクトは、標準の FQDN 構文で指定する必要があります。

    ドメイン名の形式について詳しくは、ドメイン名の形式をご覧ください。

  • Cloud NGFW は定期的に、FQDN オブジェクトを含むファイアウォール ポリシー ルールを最新のドメイン名解決の結果で更新します。

  • ファイアウォール ポリシー ルールで指定されたドメイン名は、Cloud DNS の VPC 名前解決の順序に基づいて IP アドレスに解決されます。Cloud DNS は、ドメイン名の解決結果(ドメイン ネーム システム(DNS)レコード)に変更がある場合、Cloud NGFW に通知します。

  • 2 つのドメイン名が同じ IP アドレスに解決された場合、ファイアウォール ポリシー ルールは、1 つのドメインだけでなく、その IP アドレスにも適用されます。つまり、FQDN オブジェクトはレイヤ 3 エンティティです。

  • 下り(外向き)ファイアウォール ポリシー ルールの FQDN オブジェクトが、DNS レコードに CNAME があるドメインを含んでいる場合は、信頼性の高いファイアウォールルールの動作を保証するため、VM がクエリできるすべてのドメイン名(潜在的なエイリアスをすべて含む)を使用して下り(外向き)ファイアウォール ポリシー ルールを構成する必要があります。VM が下り(外向き)ファイアウォール ポリシー ルールで構成されていない CNAME をクエリする場合、DNS レコードの変更中はポリシーが機能しないことがあります。

  • ネットワーク ファイアウォール ポリシー ルールで Compute Engine の内部 DNS 名を使用することもできます。ただし、アウトバウンド サーバー ポリシーで代替ネームサーバーを使用するようにネットワークが構成されていないことを確認してください。

  • ネットワーク ファイアウォール ポリシー ルールにカスタム ドメイン名を追加する場合は、Cloud DNS マネージド ゾーンを使用してドメイン名を解決できます。ただし、アウトバウンド サーバー ポリシーで代替ネームサーバーを使用するようにネットワークが構成されていないことを確認してください。ゾーン管理の詳細については、ゾーンの作成、変更、削除をご覧ください。

制限事項

FQDN オブジェクトを使用する上り(内向き)と下り(外向き)の両方のファイアウォール ルールに次の制限が適用されます。

  • FQDN オブジェクトでは、ワイルドカード(*)とトップレベル(ルート)ドメイン名がサポートされていません。たとえば、*.example.com..org はサポートされていません。

FQDN オブジェクトは、上り(内向き)ファイアウォール ポリシー ルールで使用できます。上り(内向き)ルールの FQDN オブジェクトを定義する場合は、次の制限事項に注意してください。

  • ドメイン名は、最大 32 個の IPv4 アドレスと 32 個の IPv6 アドレスに解決できます。32 個を超える IPv4 アドレスと 32 個を超える IPv6 アドレスに解決する DNS クエリは、解決済み IP アドレスが 32 個の IPv4 アドレスか IPv6 アドレスだけを含むように切り捨てられます。したがって、上り(内向き)ファイアウォール ポリシー ルールには、32 個を超える IPv4 アドレスと IPv6 アドレスに解決されるドメイン名を含めないでください。

  • 一部のドメイン名クエリでは、リクエスト元のクライアントの場所に基づく一意の結果が返されます。ファイアウォール ポリシー ルールの DNS 解決を行うロケーションは、ファイアウォール ポリシールールが適用される VM を含む Google Cloud リージョンです。

  • ドメイン名の解決結果が大きく変わる場合や、ドメイン名の解決で DNS ベースのロード バランシングが使用される場合は、FQDN オブジェクトを含む上り(内向き)ルールを使用しないでください。たとえば、Google の多くのドメイン名では DNS ベースのロード バランシング スキームを使用しています。

FQDN オブジェクトは下り(外向き)ファイアウォール ポリシールールで使用できますが、TTL(有効期間)が 90 秒未満の DNS A レコードで FQDN オブジェクトを使用することはおすすめしません。

他のファイアウォール ポリシー ルールのフィルタで FQDN オブジェクトを使用する

ファイアウォール ポリシー ルールでは、FQDN オブジェクトと他の送信元フィルタまたは宛先フィルタを定義できます。

FQDN オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースネットワーク ファイアウォール ポリシーの上り(内向き)ルールのソースを参照してください。

FQDN オブジェクトが下り(外向き)ルールの他の宛先フィルタとどのように連携するかについては、下り(外向き)ルールの宛先をご覧ください。

ドメイン名の形式

VPC ファイアウォールは、RFC 1035RFC 1123RFC 4343 で定義されているドメイン名形式をサポートしています。

ファイアウォール ポリシー ルールにドメイン名を追加するには、次のフォーマット ガイドラインに従ってください。

  • ドメイン名には、次の条件を満たすラベルが 2 つ以上含まれている必要があります。

    • 各ラベルは、次の文字のみを使用した正規表現と一致します。[a-z]([-a-z0-9][a-z0-9])?.
    • 各ラベルの長さは 1~63 文字です。
    • ラベルはドット(.)で連結されます。
  • ドメイン名の最大エンコード長は 255 バイト(オクテット)以下にする必要があります。

  • ファイアウォール ポリシー ルールに国際化ドメイン名(IDN)を追加することもできます。

  • ドメイン名は Unicode または Punycode 形式にする必要があります。

  • Unicode 形式で IDN を指定すると、Google Cloud Firewall は IDN を Punycode 形式に変換してから処理します。また、IDN コンバータ ツールを使用して IDN の Punycode 表現を取得することもできます。

  • Google Cloud Firewall は、同じファイアウォール ポリシー ルール内の同等のドメイン名をサポートしていません。ドメイン名を Punycode に変換した後、2 つのドメイン名の末尾のドットが異なっている場合、これらは同等とみなされます。

FQDN の例外シナリオ

ファイアウォール ポリシー ルールで FQDN オブジェクトを使用する場合、DNS 名解決中に次の例外が発生する可能性があります。

  • 無効なドメイン名: ファイアウォール ポリシールールの作成時に無効な形式を使用するドメイン名を 1 つ以上指定すると、エラーが発生します。すべてのドメイン名の形式が適切に設定されない限り、ファイアウォール ポリシー ルールは作成できません。

  • ドメイン名が存在しない(NXDOMAIN: ドメイン名が存在しない場合、Google Cloud はファイアウォール ポリシールールの FQDN オブジェクトを無視します。

  • IP アドレスが解決されない: ドメイン名がどの IP アドレスにも解決されない場合、FQDN オブジェクトは無視されます。

  • Cloud DNS サーバーに到達不能: DNS サーバーに到達できない場合、FQDN オブジェクトを使用するファイアウォール ポリシールールは、以前にキャッシュに保存された DNS の解決結果が利用可能である場合にのみ適用されます。キャッシュに保存された DNS の解決結果がない場合、またはキャッシュに保存された DNS の結果が期限切れになっている場合、ルールの FQDN オブジェクトは無視されます。

次のステップ