このページでは、Cloud Next Generation Firewall（Cloud NGFW）の料金について説明します。

Cloud NGFW は 3 つの階層で利用でき、各階層でさまざまなレベルの機能が提供されます。

• Cloud NGFW Essentials: 基本的なファイアウォール サービスで、無料で提供されます。このティアでは、IP 範囲、ポート、プロトコルなどの標準的なネットワーク属性に基づいてルールを作成できます。
• Cloud NGFW Standard: Essentials を拡張し、完全修飾ドメイン名（FQDN）オブジェクトや脅威インテリジェンスなどの機能を追加。
• Cloud NGFW Enterprise: 侵入検知および防止サービス（IDPS）や URL フィルタリングなどの高度なレイヤ 7 セキュリティ機能を提供します。

ファイアウォール ポリシーで使用する機能に基づいて課金されます。

ファイアウォール ポリシーで Cloud NGFW Essentials ルールを使用する場合、料金は発生しません。高度な検査を必要としないトラフィックには、エッセンシャル ティアの機能を使用することをおすすめします。

Cloud NGFW Standard 機能を含むファイアウォール ポリシー ルールによってトラフィック フローが評価されると、データ処理に対して課金されます。

データ処理の料金は、次のノースサウス トラフィック フローに適用されます。

• インターネットからターゲットの仮想マシン（VM）インスタンスへのトラフィック（上り）。
• ターゲット VM インスタンスからインターネットへのトラフィック（下り）。
• データ処理はギガバイト（GiB）単位で測定されます。
• 料金は、ファイアウォール ポリシーの評価が行われるプロジェクトに請求されます。共有 VPC ネットワークの場合、料金はホスト プロジェクトに請求されます。

データ処理料金は、Google Cloud 内のリソース間のトラフィック（東西トラフィック）や、プロキシベースのロードバランサによってインターセプトされたトラフィックには適用されません。

次の表は、Cloud Standard ティアの料金をまとめたものです。

Cloud NGFW Enterprise 機能を含むファイアウォール ポリシー ルールによってトラフィック フローが評価されると、次のコンポーネントに基づいて追加料金が発生します。

• デプロイされたファイアウォール エンドポイントごとに時間単位で課金されます。
• 検査対象のトラフィックに対するギガバイトあたりの料金。

ファイアウォール エンドポイントの料金

組織にデプロイされたファイアウォール エンドポイントごとに、時間単位で料金が請求されます。ファイアウォール エンドポイントは組織レベルのリソースであるため、エンドポイントの料金は課金プロジェクトに請求されます。

データ処理料金

Cloud NGFW のレイヤ 7 セキュリティ機能によって検査されるすべてのトラフィックに対して課金されます。これには、特定のフローの両方向のトラフィックが含まれます。

• データ処理の料金は、ファイアウォール ポリシーを所有するプロジェクトに請求されます。
• 共有 VPC ネットワークの場合、これらの料金はホスト プロジェクトに請求されます。

注: トラフィック フローが Cloud NGFW Standard と Cloud NGFW Enterprise の両方の機能を使用するルールによって評価される場合、料金は Cloud NGFW Enterprise のデータ処理に対してのみ課金されます。そのフローの Cloud NGFW Standard の料金は免除されます。

次の表は、Cloud Enterprise ティアの料金をまとめたものです。

階層型ファイアウォール ポリシーの料金は、ポリシー内のルール属性の総数と、ポリシーが適用される仮想マシン（VM）インスタンスの数に基づきます。ルール属性とは、ルール内の特定の構成（IP アドレス範囲、ポート、プロトコル、サービス アカウントなど）です。

階層型ファイアウォール ポリシーには、階層固有のデータ処理料金に加えて、独自の料金が発生します。料金は、ポリシー内のすべてのルールにわたる属性の総数に基づいて、VM ごと、月ごとに計算されます。

Virtual Private Cloud（VPC）ファイアウォール ルールは無料です。

Firewall Insights の料金については、Network Intelligence Center の料金をご覧ください。

ファイアウォール ルール ロギングの料金については、ネットワーク テレメトリーの料金をご覧ください。

次のシナリオは、一般的なユースケースに Cloud NGFW の料金がどのように適用されるかを示しています。

VPC ファイアウォール ルールを使用しており、追加機能の料金を支払うことなく、より最新のポリシー構造にアップグレードしたいと考えています。

解決策: 既存のルールを Cloud NGFW Essentials ティアに移行できます。このティアには、VPC ファイアウォール ルールのすべての機能が含まれており、アドレス グループなどのより強力な機能が無料で追加されています。

費用: 移行ツールと Essentials ティアの機能は完全無料です。

内部の東西トラフィックにはタグベースの無料ルールを使用し、Internal-VM というタグが付いた特定の VM グループのインターネット アクセスをブロックし、残りのインターネット宛ての下り（外向き）トラフィックには高度なルールを適用したいと考えています。

解決策: ルールが特定の優先順位で処理されるファイアウォール ポリシーを作成することで、これを実現できます。

1. ルール 1（優先度 1000、最優先）: すべての東西トラフィックを処理する Cloud NGFW Essentials ファイアウォール ルールを作成します。また、インターネットに接続しない VM には Internal-VM タグを付ける必要があります。
2. ルール 2（優先度 2000）: タグベースの Essentials ルールを作成し、Internal-VM タグが付いた VM のインターネット アクセスを拒否します。
3. ルール 3（優先度 3000）: 残りのすべてのインターネット宛ての下り（外向き）トラフィックを Cloud NGFW の標準機能を使用して検査するルールを作成する。

費用: 最終的なファイアウォール ルール（ルール 3）で評価された下り（外向き）トラフィックの処理に対してのみ料金が発生します。無料のルールで内部トラフィックとブロックされた VM をすべて処理するため、費用は検査のために明示的に送信するインターネット宛てのトラフィックのみに制限されます。

高度な IDPS ルールを本番環境データベースとの間のトラフィックにのみ適用し、他のすべての内部 East-West トラフィックは費用をかけずに通過できるようにしたいと考えています。

解決策: これを実現するには、一般的なトラフィック ルールの上に、優先度の高い特定のルールを重ねるファイアウォール ポリシーを作成します。

1. ルール 1（優先度 1000、最優先）: IP アドレスとタグに基づいて、東西トラフィックの大部分を処理する無料の Cloud NGFW Essentials ルールを作成します。
2. ルール 2（優先度 2000）: Cloud NGFW Enterprise を使用して、優先度の高い特定のルールを作成します。このルールは、Database ターゲットタグと valid-DB-client ソースタグを持つトラフィックのみに一致するように構成されており、IDPS インスペクションを実行するアクションが設定されています。

費用: IDPS 検査のために送信する正確なトラフィック フローに対してのみ、Cloud NGFW Enterprise の料金が課金されます。このタグベースのきめ細かいアプローチにより、内部ネットワーク上のすべてのパケットを検査する費用をかけずに、重要なワークロードを保護できます。

Cloud NGFW では、Cloud NGFW Standard または Cloud NGFW Enterprise 階層の機能を含むルールによって評価されたトラフィックのデータ処理に対して課金されます。ルールがトラフィックを許可するか拒否するかに関係なく、ルールが評価されると料金が発生します。たとえば、標準の地理位置情報ルールを有効にすると、トラフィックが許可された国から発信されたものであっても、そのルールによって評価されたすべてのトラフィックに対して課金されます。

スタンダード ティアでは、インターネットから VM インスタンスへのノースサウス トラフィック（上り）と、VM インスタンスからインターネットへのトラフィック（下り）のみが課金対象となります。Enterprise ティアでは、南北トラフィックと東西トラフィック（Google Cloud 内のリソース間のトラフィック）の両方が課金されます。

ファイアウォール ポリシーは、ルールの優先度に従ってルールに対するトラフィックを評価します。有料機能を含むルールによって特定のトラフィック フローが評価されると、すぐに料金が発生します。一般的なトラフィック フローでは、まず、Cloud NGFW Essentials の機能を使用するルールによってトラフィックが処理されます。費用を最適化するには、有料ティアのルールよりも高い優先度を Essentials ルールに割り当てます。トラフィックが Essentials ルールに一致しない場合、Cloud NGFW Standard または Cloud NGFW Enterprise ティアの機能を使用するルールによって評価されます。

Cloud NGFW では、同じトラフィック フローに対して 2 回課金されることはありません。たとえば、トラフィック フローが Standard ルールと Enterprise ルールの両方で評価される場合、Enterprise ルールの評価に対してのみ課金されます。

課金方法を理解していただくために、以下のセクションでは一般的なファイアウォール ポリシーのシナリオについて説明します。

このシナリオでは、ポリシーで Cloud NGFW Essentials 階層と Cloud NGFW Standard 階層の両方の無料機能と有料機能を使用します。このポリシーでは、Essentials ルールの優先度（優先度の数値）は Standard ルールよりも高くなっています。

100 GB の North-South トラフィック（インターネットとの間のトラフィック）がネットワークに入り、次のように評価されるとします。

1. 50 GB のトラフィックは、Cloud NGFW Essential ルールに対して評価されます。この処理は無料です。
2. 残りの 50 GB のトラフィックは、Cloud NGFW Standard 機能を含むポリシーの次のルールに進みます。この 50 GB のトラフィックには、Cloud NGFW の標準料金が課金されます。

請求の概要:

• 標準料金が適用されるトラフィック: 50 GB
• 課金対象のトラフィックの合計: 50 GB

このシナリオでは、ファイアウォール ポリシー ルールで無料の機能が使用されており、IDPS インスペクションの課金対象の処理がトリガーされます。このポリシーでは、Essentials ルールは Enterprise ルールよりも優先度が高くなっています（優先度の数値が小さくなっています）。

100 GB のノースサウス トラフィックがネットワークに入り、次のように評価されるとします。

1. 50 GB のトラフィックは、Cloud NGFW Essential ルールに対して評価されます。この処理は無料です。
2. 残りの 50 GB のトラフィックは、ポリシーの次のルールに進みます。このルールには Enterprise 機能が含まれており、一致するトラフィックを IDPS 検査のために送信します。この 50 GB のトラフィックは、Cloud NGFW Enterprise の料金で課金されます。

請求の概要:

• 企業向け請求のトラフィック: 50 GB
• 課金対象のトラフィックの合計: 50 GB + エンドポイントのデプロイの料金

このシナリオでは、ファイアウォール ポリシー ルールは 3 つの階層すべての機能を使用して構成されています。このポリシーでは、Essentials ルールが最も高い優先度（優先度の数字が最も小さい）を持ち、その後に Enterprise と Standard の機能を組み合わせた優先度の低いルールが続きます。

100 GB のノースサウス トラフィックがネットワークに入り、次のように評価されるとします。

1. 50 GB のトラフィックは、Cloud NGFW Essential ルールに対して評価されます。この処理は無料です。
2. 残りの 50 GB のトラフィックは、Cloud NGFW Enterprise 階層と Cloud NGFW Standard 階層の機能を組み合わせたポリシーの、次に優先順位の低いルールに進みます。

1 つのルールで複数の階層の機能を使用する場合、トラフィックは使用された最も高い階層の料金で課金されます。したがって、この 50 GB のトラフィックは Cloud NGFW Enterprise の料金で請求されます。

請求の概要:

• 企業向け請求のトラフィック: 50 GB
• 課金対象のトラフィックの合計: 50 GB + エンドポイントのデプロイの料金