ファイアウォール ポリシー ルール
ファイアウォール ポリシー ルールを作成するときは、ルールの動作を定義する一連のコンポーネントを指定します。これらのコンポーネントは、トラフィックの方向、送信元、送信先、レイヤ 4 特性(プロトコルや送信先ポートなど)を指定します(プロトコルがポートを使用する場合)。
各ファイアウォール ポリシー ルールは、両方ではなく、受信(上り、内向き)接続または送信(下り、外向き)接続に適用されます。
上り(内向き)ルール
上り(内向き)方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り(内向き)ルールはインバウンド パケットに適用されます。パケットの送信先がターゲットになります。
deny アクションを含む上り(内向き)ルールでは、インスタンスへの受信接続をブロックすることで、すべてのインスタンスを保護します。優先度の高いルールにより、受信アクセスが許可される場合があります。自動的に作成されたデフォルト ネットワークには、事前設定済みの VPC ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り(内向き)が許可されます。
下り(外向き)ルール
下り(外向き)方向とは、ターゲットから送信先に送信されるアウトバンド トラフィックを指します。下り(外向き)ルールは新しい接続のパケットに適用されます。パケットの送信元がターゲットになります。
allow アクションを含む下り(外向き)ルールを使用すると、インスタンスはルールで指定された送信先にトラフィックを送信できます。優先度の高い deny ファイアウォール ルールによって下り(外向き)が拒否される可能性があります。Google Cloud では、特定の種類のトラフィックがブロックまたは制限されます。
ファイアウォール ポリシー ルールのコンポーネント
階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのルールでは、このセクションで説明するコンポーネントを使用します。ファイアウォール ポリシーという用語は、この 3 種類のポリシーのいずれかを指します。ファイアウォール ポリシーの種類の詳細については、ファイアウォール ポリシーをご覧ください。
通常、ファイアウォール ポリシー ルールは VPC ファイアウォール ルールと同じように機能しますが、以下のセクションで説明するようにいくつかの違いがあります。
優先度
ファイアウォール ポリシー内のルールの優先度は 0~2,147,483,647 の整数です。小さい整数が高い優先度を示します。ファイアウォール ポリシー内のルールの優先度は、VPC ファイアウォール ルールの優先度と似ていますが、次の点が異なります。
- ファイアウォール ポリシー内の各ルールには一意の優先度が必要です。
- ファイアウォール ポリシー内のルールの優先度はルールの一意の識別子として機能します。ファイアウォール ポリシーのルールの識別に名前は使用されません。
- ファイアウォール ポリシー内のルールの優先度は、ファイアウォール ポリシー自体で評価順序を定義します。VPC ファイアウォール ルールと階層型ファイアウォール ポリシーのルール、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーは、ポリシーとルールの評価順序の説明に従って評価されます。
一致したときのアクション
ファイアウォール ポリシーのルールは、次の 3 つのアクションのいずれかを実行できます。
allowはトラフィックを許可し、それ以上のルール評価を停止します。denyはトラフィックを禁止し、ルールの評価を停止します。goto_nextはルールの評価プロセスを続行します。
適用
ルールの状態を有効または無効に設定することで、ファイアウォール ポリシー ルールを適用するかどうかを選択できます。ルールの作成時またはルールの更新時に適用状態を設定します。
新しいファイアウォール ルールを作成するときに適用状態を設定しない場合、ファイアウォール ルールは自動的に有効になります。
送信元、送信先、ターゲット
上り(内向き)と下り(外向き)の両方のファイアウォール ルールに、パケットの送信元または送信先に適用される送信元パラメータと送信先パラメータの両方を指定できます。ファイアウォール ルールの方向によって、送信元パラメータと送信先パラメータに指定できる値が決まります。
ターゲット パラメータは、ファイアウォール ルールが適用されるインスタンスのネットワーク インターフェースを識別します。
target、source、destination パラメータは連携して動作します。
ターゲット
target パラメータは、GKE ノードと App Engine フレキシブル環境インスタンスを含む Compute Engine インスタンスのネットワーク インターフェースを識別します。
上り(内向き)ルールまたは下り(外向き)ルールの両方にターゲットを定義できます。有効なターゲット オプションは、ファイアウォール ポリシーのタイプによって異なります。
階層型ファイアウォール ポリシー ルールのターゲット
階層型ファイアウォール ポリシーのルールは、次のターゲットをサポートします。
最も広範なターゲット: 階層型ファイアウォール ポリシー ルールでターゲットの指定を省略すると、このファイアウォール ルールは、ファイアウォール ポリシーに関連付けられた Resource Manager ノード(フォルダまたは組織)内のすべてのプロジェクトの VPC ネットワークに存在するすべてのインスタンスに適用されます。これは最も広範なターゲットです。
特定のネットワーク:
target-resourcesパラメータを使用して 1 つ以上の VPC ネットワークを指定すると、最も広範なターゲットのセットが、指定された 1 つ以上の VPC ネットワークのネットワーク インターフェースを持つ VM に絞り込まれます。サービス アカウントによって識別されるインスタンス:
target-service-accountsパラメータを使用して 1 つ以上のサービス アカウントを指定すると、最も広範なターゲットのセットが、指定された 1 つ以上のサービス アカウントを使用する VM に絞り込まれます。サービス アカウントで識別される特定のネットワークとインスタンス:
target-resourcesパラメータとtarget-service-accountsパラメータの両方を指定すると、最も広範なターゲットが次の両方の条件を満たす VM に絞り込まれます。- VM が、指定されたいずれかの VPC ネットワークのネットワーク インターフェースを持っている。
- VM が、指定されたサービス アカウントのいずれかを使用している。
グローバル ネットワーク ファイアウォール ポリシー ルールのターゲット
グローバル ネットワーク ファイアウォール ポリシー ルールは、次のターゲットをサポートします。
デフォルトのターゲット - VPC ネットワーク内のすべてのインスタンス: グローバル ネットワーク ファイアウォール ポリシー ルールでターゲットの指定を省略すると、ファイアウォール ルールは、ポリシーに関連付けられている VPC ネットワークのネットワーク インターフェースを持つインスタンスに適用されます。インスタンスは任意のリージョンに配置できます。これは最も広範なターゲットです。
ターゲットのセキュアタグが設定されたインスタンス:
target-secure-tagsパラメータを使用してターゲットタグを指定すると、最も広範なターゲットのセットが、タグにバインドされた VM に絞り込まれます。ターゲット サービス アカウントを使用するインスタンス:
target-service-accountsパラメータでサービス アカウントを指定すると、最も広範なターゲット セットが、指定したいずれかのサービス アカウントを使用する VM に絞り込まれます。
リージョン ネットワーク ファイアウォール ポリシー ルールのターゲット
リージョン ネットワーク ファイアウォール ポリシー ルールは、次のターゲットをサポートします。
デフォルトのターゲット - VPC ネットワーク内のすべてのインスタンス: リージョン ネットワーク ファイアウォール ポリシー ルールでターゲットの指定を省略すると、ファイアウォール ルールは、ポリシーに関連付けられている VPC ネットワークのネットワーク インターフェースを持つインスタンスに適用されます。インスタンスは、ポリシーと同じリージョンに配置する必要があります。これは最も広範なターゲットです。
ターゲットのセキュアタグが設定されたインスタンス:
target-secure-tagsパラメータを使用してターゲットタグを指定すると、最も広範なターゲットのセットが、タグにバインドされた VM に絞り込まれます。ターゲット サービス アカウントを使用するインスタンス:
target-service-accountsパラメータでサービス アカウントを指定すると、最も広範なターゲット セットが、指定したいずれかのサービス アカウントを使用する VM に絞り込まれます。
上り(内向き)ルールのターゲットと IP アドレス
ターゲット VM のネットワーク インターフェースにルーティングされるパケットは、次の条件に基づいて処理されます。
上り(内向き)ファイアウォール ルールに送信先 IP アドレス範囲が含まれている場合、パケットの送信先は、明示的に定義された送信先 IP アドレス範囲(プレビュー機能)のいずれかに一致する必要があります。
上り(内向き)ファイアウォール ルールに送信先 IP アドレス範囲が含まれていない場合、パケットの送信先は、次のいずれかの IP アドレスと一致する必要があります。
インスタンスの NIC に割り振られているプライマリ内部 IPv4 アドレス。
インスタンスの NIC に構成されているエイリアス IP アドレス範囲。
インスタンスの NIC に関連付けられている外部 IPv4 アドレス。
IPv6 がサブネットで構成されている場合、NIC に割り振られた IPv6 アドレス。
パススルー ロード バランシングに使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスは、内部 TCP / UDP ロードバランサまたはネットワーク ロードバランサのバックエンドです。
プロトコル転送に使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスはターゲット インスタンスによって参照されます。
インスタンスをネクストホップ VM(
next-hop-instanceまたはnext-hop-address)として使用するカスタム静的ルートの送信先範囲内の IP アドレス。VM が内部 TCP / UDP ロードバランサのバックエンドの場合、ネクストホップとしてそのロードバランサ(
next-hop-ilb)を使用するカスタム静的ルートの送信先範囲内の IP アドレス。
下り(外向き)ルールのターゲットと IP アドレス
ターゲットのネットワーク インターフェースから送信されたパケットの処理は、ターゲット VM での IP 転送の構成によって異なります。IP 転送はデフォルトで無効になっています。
ターゲット VM で IP 転送を無効にすると、VM は次の送信元を含むパケットを送信できます。
インスタンスの NIC のプライマリ内部 IPv4 アドレス。
インスタンスの NIC に構成されたエイリアス IP アドレス範囲。
IPv6 がサブネットで構成されている場合、NIC に割り振られた IPv6 アドレス。
インスタンスが内部 TCP / UDP ロードバランサのバックエンドか、ネットワーク ロードバランサか、あるいはターゲット インスタンスから参照されている場合は、パススルー ロード バランシングまたはプロトコル転送用の転送ルールに関連付けられた内部または外部 IP アドレス。
下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれている場合でも、ターゲット VM は前述の送信元 IP アドレスに制限されますが、source パラメータを使用してそのセットを絞り込むことができます(プレビュー機能)。IP 転送を有効にせずに送信元パラメータを使用しても、パケットの送信元アドレスのセットは展開されません。
下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれていない場合、前述のすべての送信元 IP アドレスが許可されます。
ターゲット VM で IP 転送が有効になっている場合、VM は任意の送信元アドレスを持つパケットを送信できます。source パラメータを使用すると、許可されるパケットの送信元のセットをより正確に定義できます。
ソース
ソース パラメータの値は以下のものに依存します。
- ファイアウォール ルールを含むファイアウォール ポリシーのタイプ
- ファイアウォール ルールの方向
階層型ファイアウォール ポリシーの上り(内向き)ルールの送信元
階層型ファイアウォール ポリシーの上り(内向き)ルールには、次の送信元を使用できます。
デフォルトの送信元範囲: 上り(内向き)ルールの送信元の指定を省略すると、Google Cloud はデフォルトの送信元 IPv4 アドレス範囲
0.0.0.0/0(任意の IPv4 アドレス)を使用します。デフォルト値に IPv6 の送信元は含まれません。送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
位置情報: 1 つ以上の送信元の地理的位置のリスト。受信トラフィックをフィルタする 2 文字の国 / 地域コードで指定します。詳しくは、位置情報オブジェクトをご覧ください。
脅威インテリジェンス リスト: 事前に定義された 1 つ以上の脅威リスト名のリスト。詳細については、ファイアウォール ポリシー ルールの脅威インテリジェンスをご覧ください。
送信元アドレス グループ: IPv4 CIDR または IPv6 CIDR のいずれかで構成される 1 つ以上の送信元アドレス グループのリスト。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
送信元ドメイン名: 1 つ以上の送信元ドメイン名のリスト。ドメイン名の詳細については、ファイアウォール ポリシーのドメイン名をご覧ください。
有効な送信元の組み合わせ: 上り(内向き)ルールで、上記の送信元の組み合わせを指定できます。有効な送信元セットは、これらの組み合わせから構成されます。
上り(内向き)ルールで送信元の組み合わせを指定すると、ルールはソース パラメータの基準の少なくとも 1 つに一致するパケットに適用されます。
ルールの送信元の組み合わせを定義する場合は、次のガイドラインに従ってください。
- 同じルールで、送信元 IPv4 アドレス範囲と送信元 IPv6 アドレス範囲の両方を使用しないでください。
- 同じルールで、IPv4 CIDR を含む送信元アドレス グループと IPv6 CIDR を含む別の送信元アドレス グループを使用しないでください。
- 同じルールで、送信元 IPv4 アドレス範囲と、IPv6 CIDR を含む送信元アドレス グループを使用しないでください。
- 同じルールで、送信元 IPv6 アドレス範囲と、IPv4 CIDR を含む送信元アドレス グループを使用しないでください。
ネットワーク ファイアウォール ポリシーの上り(内向き)ルールの送信元
グローバルとリージョンのネットワーク ファイアウォール ポリシーの上り(内向き)ルールには、次の送信元を使用できます。
デフォルトの送信元範囲: 上り(内向き)ルールの送信元の指定を省略すると、Google Cloud はデフォルトの送信元 IPv4 アドレス範囲
0.0.0.0/0(任意の IPv4 アドレス)を使用します。デフォルト値に IPv6 の送信元は含まれません。送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
位置情報: 1 つ以上の送信元の地理的位置のリスト。受信トラフィックをフィルタする 2 文字の国 / 地域コードで指定します。詳しくは、位置情報オブジェクトをご覧ください。
脅威インテリジェンス リスト: 事前に定義された 1 つ以上の脅威リスト名のリスト。詳細については、ファイアウォール ポリシー ルールの脅威インテリジェンスをご覧ください。
送信元アドレス グループ: IPv4 CIDR または IPv6 CIDR のいずれかで構成される 1 つ以上の送信元アドレス グループのリスト。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
送信元ドメイン名: 1 つ以上の送信元ドメイン名のリスト。ドメイン名の詳細については、ファイアウォール ポリシーのドメイン名をご覧ください。
ソース セキュアタグ: 1 つ以上の セキュアタグ。このタグは、ネットワーク ファイアウォール ポリシーが適用される同じ VPC ネットワーク内にある VM インスタンスのネットワーク インスタンスを識別します。また、VPC ネットワーク ピアリングによってファイアウォール ポリシーのネットワークに接続している VPC ネットワーク内のインスタンスも識別します。リージョン ネットワーク ファイアウォール ポリシーの場合、VM インスタンスはポリシーと同じリージョンに存在する必要があります。
有効な送信元の組み合わせ: 上り(内向き)ルールで、上記の送信元の組み合わせを指定できます。有効な送信元セットは、これらの組み合わせから構成されます。
上り(内向き)ルールで送信元の組み合わせを指定すると、ルールはソース パラメータの基準の少なくとも 1 つに一致するパケットに適用されます。
ルールの送信元の組み合わせを定義する場合は、次のガイドラインに従ってください。
- 同じルールで、送信元 IPv4 アドレス範囲と送信元 IPv6 アドレス範囲の両方を使用しないでください。
- 同じルールで、IPv4 CIDR を含む送信元アドレス グループと IPv6 CIDR を含む別の送信元アドレス グループを使用しないでください。
- 同じルールで、送信元 IPv4 アドレス範囲と、IPv6 CIDR を含む送信元アドレス グループを使用しないでください。
- 同じルールで、送信元 IPv6 アドレス範囲と、IPv4 CIDR を含む送信元アドレス グループを使用しないでください。
ソース セキュアタグでパケットの送信元を表す方法
グローバルおよびリージョンのネットワーク ファイアウォール ポリシーの上り(内向き)ルールでは、セキュアタグを使用して送信元を指定できます。各セキュアタグは 1 つの VPC ネットワークに関連付けられます。セキュアタグは、その VM が同じ VPC ネットワーク内にネットワーク インターフェースを持つ場合に限り、VM にバインドできます。
セキュアタグを持つファイアウォール ポリシー ルールは、次のように適用されます。
グローバル ネットワーク ポリシーの上り(内向き)ルールは、タグにバインドされた VM のネットワーク インターフェースから送信されたパケットに適用されます。ここで、VM は次のいずれかの条件を満たしている必要があります。
- VM のネットワーク インターフェースは、ファイアウォール ポリシーと同じ VPC ネットワークを使用している。
- VM のネットワーク インターフェースは、VPC ネットワーク ピアリングでファイアウォール ポリシーの VPC ネットワークに接続されている VPC ネットワークを使用している。
リージョン ネットワーク ポリシーの上り(内向き)ルールは、タグにバインドされた VM のネットワーク インターフェースから送信されたパケットに適用されます。ここで、ファイアウォール ポリシーと同じリージョンにある VM は、次のいずれかの条件を満たす必要があります。
- VM のネットワーク インターフェースは、ファイアウォール ポリシーと同じ VPC ネットワークを使用している。
- VM のネットワーク インターフェースは、VPC ネットワーク ピアリングでファイアウォール ポリシーの VPC ネットワークに接続されている VPC ネットワークを使用している。
ネットワーク インターフェースの指定に加えて、次の送信元 IP アドレスが解決されます。
- そのネットワーク インターフェースのプライマリ内部 IPv4 アドレス
- そのネットワーク インターフェースに割り当てられた任意の IPv6 アドレス
ソース セキュアタグを使用している場合、他のパケットの送信元 IP アドレスは解決されません。たとえば、ネットワーク インターフェースに関連付けられたエイリアス IP アドレス範囲と外部 IPv4 アドレスは除外されます。送信元にエイリアス IP アドレス範囲または外部 IPv4 アドレスを含む上り(内向き)ファイアウォール ルールを作成する必要がある場合は、送信元 IPv4 アドレス範囲を使用します。
下り(外向き)ルールの送信元
階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーの両方の下り(外向き)ルールには、次の送信元を使用できます。
デフォルト(ターゲットによって暗黙的に指定): 下り(外向き)ルールの source パラメータを省略すると、下り(外向き)ルールのターゲットと IP アドレスの説明に従ってパケットの送信元が暗黙的に定義されます。
送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト(プレビュー機能)。
送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト(プレビュー機能)。
宛先
送信先は IP アドレス範囲を使用して指定できます。これは、階層型とネットワークのファイアウォール ポリシーの上り(内向き)ルールと下り(外向き)ルールの両方でサポートされています。デフォルトの送信先の動作は、ルールの方向によって異なります。
上り(内向き)ルールの送信先
階層型ポリシーとネットワーク ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールには、次の送信先を使用できます。
デフォルト(ターゲットによって暗黙的に指定): 上り(内向き)ルールの destination パラメータを省略すると、上り(内向き)ルールのターゲットと IP アドレスの説明に従ってパケットの送信先が暗黙的に定義されます。
送信先 IPv4 範囲: CIDR 形式の IPv4 アドレスのリスト(プレビュー機能)。
送信先 IPv6 範囲: CIDR 形式の IPv6 アドレスのリスト(プレビュー機能)。
下り(外向き)ルールの送信先
階層型ポリシーとネットワーク ファイアウォール ポリシーの下り(外向き)ファイアウォール ルールには、次の送信先を使用できます。
デフォルトの送信先範囲: 下り(外向き)ルールで送信先の指定を省略すると、Google Cloud はデフォルトの送信先 IPv4 アドレス範囲
0.0.0.0/0(任意の IPv4 アドレス)を使用します。デフォルト値に IPv6 の宛先は含まれません。宛先 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
宛先 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
位置情報: 1 つ以上の宛先の地理的位置のリスト。受信トラフィックをフィルタする 2 文字の国 / 地域コードで指定します。詳しくは、位置情報オブジェクトをご覧ください。
脅威インテリジェンス リスト: 事前に定義された 1 つ以上の脅威リスト名のリスト。詳細については、ファイアウォール ポリシー ルールの脅威インテリジェンスをご覧ください。
宛先アドレス グループ: IPv4 CIDR または IPv6 CIDR のいずれかで構成される 1 つ以上の宛先アドレス グループのリスト。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
宛先ドメイン名: 1 つ以上の宛先ドメイン名のリスト。ドメイン名の詳細については、ファイアウォール ポリシーのドメイン名をご覧ください。
有効な宛先の組み合わせ: 上り(内向き)ルールで、上記の宛先の組み合わせを指定できます。有効な宛先セットは、これらの組み合わせから構成されます。
下り(外向き)ルールで宛先の組み合わせを指定すると、ルールは宛先パラメータの基準の少なくとも 1 つに一致するパケットに適用されます。
ルールの宛先の組み合わせを定義する場合は、次のガイドラインに従ってください。
- 同じルールで、宛先 IPv4 アドレス範囲と宛先 IPv6 アドレス範囲の両方を使用しないでください。
- 同じルールで、IPv4 CIDR を含む宛先アドレス グループと IPv6 CIDR を含む別の宛先アドレス グループを使用しないでください。
- 同じルールに、宛先 IPv4 アドレス範囲と、IPv6 CIDR を含む宛先アドレス グループを使用しないでください。
- 同じルールで、宛先 IPv6 アドレス範囲と、IPv4 CIDR を含む宛先アドレス グループは使用しないでください。
プロトコルとポート
VPC ファイアウォール ルールと同様に、ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。また、指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。
ファイアウォール ルールでは、プロトコル名として tcp、udp、icmp(IPv4 ICMP の場合)、esp、ah、sctp、ipip を使用できます。他のすべてのプロトコルには、IANA プロトコル番号を使用します。
多くのプロトコルでは IPv4 と IPv6 の両方で同じ名前と番号が使用されますが、ICMP などの一部のプロトコルでは使用されません。IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP の場合は、プロトコル番号 58 を使用します。
ファイアウォール ルールでは、プロトコルだけではなく、ICMP のタイプやコードの指定もサポートしていません。
IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。
プロトコルとポートのパラメータを指定しない場合、すべてのプロトコルと送信先ポートにルールが適用されます。
ロギング
ファイアウォール ポリシールールのロギングは、VPC のファイアウォール ルールのロギングと同じように機能しますが、次の点が異なります。
参照フィールドには、ファイアウォール ポリシー ID と、ポリシーが接続されているノードのレベルを示す番号が含まれます。たとえば、
0は組織に適用されていることを意味します。1はポリシーが組織の最上位フォルダに適用されていることを意味します。ファイアウォール ポリシーのログには、ルールが適用される VPC ネットワークを識別する
target_resourceフィールドが含まれています。ロギングを有効にできるのは、
allowルールとdenyルールのみです。goto_nextルールで有効にすることはできません。
位置情報オブジェクト
ファイアウォール ポリシー ルールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。
位置情報オブジェクトを含むルールを上り(内向き)トラフィックと下り(外向き)トラフィックに適用できます。トラフィックの方向に基づいて、国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と照合されます。
階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの位置情報オブジェクトを構成できます。
ファイアウォール ポリシー ルールに位置情報を追加するには、ISO 3166 alpha-2 国コードで定義されている 2 文字の国 / 地域コードを使用します。
たとえば、米国からのネットワークへの受信トラフィックのみを許可する場合は、送信元の国コードを
US、アクションをallowに設定して、上り(内向き)ファイアウォール ポリシールールを作成します。同様に、米国へのアウトバンド トラフィックのみを許可する場合は、宛先の国コードをUS、アクションをallowに設定して、下り(外向き)ファイアウォール ポリシールールを構成します。1 つのファイアウォール ルールに重複する国コードが含まれている場合、その国コードのエントリは 1 つだけ保持されます。重複するエントリは削除されます。たとえば、国コードのリスト
ca,us,usでは、ca,usのみが保持されます。Google では、IP アドレスと国コードのマッピングを使用してデータベースを保守しています。Google Cloud ファイアウォールは、このデータベースを使用して、送信元と宛先のトラフィックの IP アドレスを国コードにマッピングし、位置情報オブジェクトを使用して、一致するファイアウォール ポリシー ルールを適用します。
IP アドレスの割り当てと国コードは、次の条件で変更されることがあります。
- 地理的位置間での IP アドレスの移動
- ISO 3166 alpha-2 国コードの標準の更新
これらの変更が Google のデータベースに反映されるまでにはしばらく時間がかかるため、トラフィックが中断したり、特定のトラフィックがブロックされたり、許可されることがあります。
位置情報オブジェクトを他のファイアウォール ポリシールール フィルタとともに使用する
位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。ルールの方向に応じて、指定されたすべてのフィルタの結合に一致する受信トラフィックまたは送信トラフィックにファイアウォール ポリシールールが適用されます。
位置情報オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォール ポリシーの上り(内向き)ルールのソースを参照してください。
位置情報オブジェクトが下り(外向き)ルールの他の宛先フィルタとどのように連携するかについては、下り(外向き)ルールの宛先をご覧ください。
ファイアウォール ポリシールールの脅威インテリジェンス
ファイアウォール ポリシー ルールを使用すると、脅威インテリジェンス データに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。脅威インテリジェンス データには、次のカテゴリに基づく IP アドレスのリストが含まれます。
- Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るエンドポイント)をブロックします。
- 既知の悪意のある IP アドレス: ウェブ アプリケーションに対する攻撃の発生源として知られている IP アドレス。アプリケーションのセキュリティを改善するには、これらの IP アドレスをブロックします。
- 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
- パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。このカテゴリは、さらに次のサブカテゴリに分類されます。
- アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲
- Microsoft Azure で使用される IP アドレス範囲
- Google Cloud で使用される IP アドレス範囲
脅威インテリジェンスのデータリストには、IPv4 アドレス、IPv6 アドレス、またはその両方を含めることができます。ファイアウォール ポリシー ルールで脅威インテリジェンスを構成するには、許可またはブロックするカテゴリに基づいて、事前に定義された脅威インテリジェンス リスト名を使用します。このリストは継続的に更新されています。追加の構成を行わなくても、サービスを新たな脅威から保護します。有効なリスト名は次のとおりです。
| リスト名 | 説明 |
|---|---|
iplist-tor-exit-nodes |
TOR 終了ノードの IP アドレスと一致します |
iplist-known-malicious-ips |
ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します |
iplist-search-engines-crawlers |
検索エンジンのクローラの IP アドレスと一致します |
iplist-public-clouds
|
パブリック クラウドに属する IP アドレスと一致します。
|
他のファイアウォール ポリシールール フィルタで脅威インテリジェンスを使用する
脅威インテリジェンスを使用してファイアウォール ポリシールールを定義するには、次のガイドラインを準拠してください。
下り(外向き)ルールの場合、1 つ以上の宛先脅威インテリジェンス リストを使用して宛先を指定します。
上り(内向き)ルールの場合、1 つ以上の送信元脅威インテリジェンス リストを使用してソースを指定します。
脅威インテリジェンス リストは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーに対して構成できます。
これらのリストは、他の送信元または宛先ルールのフィルタ コンポーネントと組み合わせて使用できます。
脅威インテリジェンス リストが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。
脅威インテリジェンス リストが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。
ファイアウォール ロギングはルールレベルで行われます。ファイアウォール ルールの効果のデバッグと分析を簡単にするため、1 つのファイアウォール ルールに複数の脅威インテリジェンス リストを含めないでください。
脅威インテリジェンス リストの例外の作成
脅威インテリジェンス リストに適用されるルールが複数ある場合は、次の方法で、脅威インテリジェンス リスト内の特定の IP アドレスに適用される例外ルールを作成できます。
選択的許可リスト: 脅威インテリジェンス リストとの間で送受信されるパケットを拒否する上り(内向き)または下り(外向き)ファイアウォール ルールがあるとします。脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを許可するには、送信元または宛先として例外の IP アドレスを指定して、優先度の高い上り(内向き)または下り(外向き)の許可ファイアウォール ルールを別途作成します。
選択的拒否リスト: 脅威インテリジェンス リストとの間で送受信されるパケットを許可する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを拒否するには、送信元または宛先として例外 IP アドレスを指定し、優先度の高い上り(内向き)または下り(外向き)拒否のファイアウォール ルールを作成します。
ファイアウォール ポリシーのアドレス グループ
アドレス グループは、IPv4 アドレス範囲または IPv6 アドレス範囲の CIDR 形式の論理コレクションです。アドレス グループを使用すると、多くのファイアウォール ルールによって参照される一貫した送信元または宛先を定義できます。アドレス グループは、それを使用するファイアウォール ルールを変更せずに更新できます。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
上り(内向き)と下り(外向き)のファイアウォール ルールで、送信元アドレスグループと宛先アドレス グループをそれぞれ定義できます。
送信元アドレス グループが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。
宛先アドレス グループが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。
FQDN オブジェクト
ファイアウォール ポリシー ルールで完全修飾ドメイン名(FQDN)オブジェクトを使用して、特定のドメインとの間で送受信されるトラフィックをフィルタリングします。
FQDN オブジェクトを使用するファイアウォール ポリシー ルールは、上り(内向き)トラフィックと下り(外向き)トラフィックの両方に適用できます。ドメイン名に関連付けられた IP アドレスは、トラフィックの方向に基づいてトラフィックの送信元または宛先と照合されます。
FQDN オブジェクトは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのファイアウォール ポリシー ルールで構成できます。
FQDN オブジェクトは、標準の FQDN 構文で指定する必要があります。ドメイン名の形式について詳しくは、ドメイン名の形式をご覧ください。
ファイアウォール ポリシー ルールで指定されたドメイン名は、Cloud DNS の VPC 名前解決の順序に基づいて IP アドレスに解決されます。ドメイン名の解決結果が変更されると、Cloud DNS は Google Cloud ファイアウォールに通知します。Google Cloud ファイアウォールは、ファイアウォール ポリシーを最新の名前解決結果で更新します。
2 つのドメイン名が同じ IP アドレスに解決された場合、ファイアウォール ポリシー ルールは、1 つのドメインだけでなく、その IP アドレスにも適用されます。つまり、FQDN オブジェクトはレイヤ 3 エンティティです。
ネットワーク ファイアウォール ポリシー ルールで Compute Engine の内部 DNS 名を使用することもできます。ただし、アウトバンド サーバー ポリシーで代替ネームサーバーを使用するようにネットワークが構成されていないことを確認してください。
ネットワーク ファイアウォール ポリシー ルールにカスタム ドメイン名を追加する場合は、Cloud DNS マネージド ゾーンを使用してドメイン名を解決できます。ただし、アウトバンド サーバー ポリシーで代替ネームサーバーを使用するようにネットワークが構成されていないことを確認してください。ゾーン管理の詳細については、ゾーンの作成、変更、削除をご覧ください。
制限事項
FQDN オブジェクトを使用する上り(内向き)と下り(外向き)の両方のファイアウォール ルールに次の制限が適用されます。
Google Cloud ファイアウォールは、30 秒ごとに最新の名前解決結果でファイアウォール ポリシーを更新します。
最近 VM を移行した場合や VM を再起動した場合、FQDN オブジェクトを使用するファイアウォール ポリシー ルールが適用されるまでに 30 秒ほどかかることがあります。
FQDN オブジェクトは、ワイルドカード(*)とトップレベル(ルート)ドメイン名をサポートしていません。たとえば、
*.example.com.と.orgはサポートされていません。
FQDN オブジェクトは、上り(内向き)ファイアウォール ポリシー ルールで使用できます。上り(内向き)ルールの FQDN オブジェクトを定義する場合は、次の制限事項に注意してください。
1 つのドメイン名は、最大 32 個の IP アドレスに解決できます。32 個を超える IP アドレスに解決される DNS クエリは、解決された 32 個の IP アドレスを含むように切り詰められます。したがって、上り(内向き)ファイアウォール ポリシー ルールに、32 個を超える IP アドレスに解決されるドメイン名は含めないでください。
一部のドメイン名クエリでは、リクエスト元のクライアントの場所に基づく一意の結果が返されます。ファイアウォール ポリシー ルールの DNS 解決を行うロケーションは、ファイアウォール ポリシールールが適用される VM を含む Google Cloud リージョンです。
ドメイン名解決の結果が大きく変わる場合、またはドメイン名解決で DNS ベースのロード バランシングが使用される場合は、FQDN オブジェクトを含む上り(内向き)ルールを使用しないでください。たとえば、Google の多くのドメイン名では DNS ベースのロード バランシング スキームを使用しています。
プレビュー版の制限事項
ファイアウォール ポリシー ルールの FQDN オブジェクトは、ドメイン名解決の結果で IPv6 アドレスを無視します。
VM と Google Cloud ファイアウォールでは、指定されたドメイン名の解決時間が一時的に一致しない場合があります。この間、Google Cloud ファイアウォールは利用可能な解決データに基づいてトラフィックをフィルタします。
他のファイアウォール ポリシー ルールのフィルタで FQDN オブジェクトを使用する
ファイアウォール ポリシー ルールでは、FQDN オブジェクトと他の送信元フィルタまたは宛先フィルタを定義できます。
FQDN オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォール ポリシーの上り(内向き)ルールのソースを参照してください。
FQDN オブジェクトが下り(外向き)ルールの他の宛先フィルタとどのように連携するかについては、下り(外向き)ルールの宛先をご覧ください。
ドメイン名の形式
VPC ファイアウォールは、RFC 1035、RFC 1123、RFC 4343 で定義されているドメイン名形式をサポートしています。
ファイアウォール ポリシー ルールにドメイン名を追加するには、次のフォーマット ガイドラインに従ってください。
ドメイン名には、次の条件を満たす 2 つのラベルが 2 つ以上含まれている必要があります。
- 各ラベルには次の文字のみを使用した正規表現が含まれます。
[a-z]([-a-z0-9]*[a-z0-9])?.。 - 各ラベルの長さは 1~63 文字です。
- ラベルはドット(.)で連結されます。
- 各ラベルには次の文字のみを使用した正規表現が含まれます。
ドメイン名の最大エンコード長は 255 バイト(オクテット)以下にする必要があります。
ファイアウォール ポリシー ルールに国際化ドメイン名(IDN)を追加することもできます。
ドメイン名は Unicode または Punycode 形式にする必要があります。
Unicode 形式で IDN を指定すると、Google Cloud ファイアウォールは IDN を Punycode 形式に変換してから処理します。また、IDN コンバータ ツールを使用して IDN の Punycode 表現を取得することもできます。
Google Cloud ファイアウォールは、同じファイアウォール ポリシー ルール内の同等のドメイン名をサポートしていません。ドメイン名を Punycode に変換した後、2 つのドメイン名の末尾のドットが異なっている場合、これらは同等とみなされます。
FQDN の例外シナリオ
ファイアウォール ポリシー ルールで FQDN オブジェクトを使用する場合、DNS 名解決中に次の例外が発生する可能性があります。
無効なドメイン名: ファイアウォール ポリシー ルールの作成時に無効な形式を使用するドメイン名を 1 つ以上指定すると、エラーが発生します。すべてのドメイン名の形式が適切に設定されない限り、ファイアウォール ポリシー ルールは作成できません。
ドメイン名が存在しない(
NXDOMAIN): ドメイン名が存在しない場合、Google Cloud はファイアウォール ポリシー ルールから FQDN オブジェクトを除外します。IP アドレスが解決されない: ドメイン名がどの IP アドレスにも解決されない場合、FQDN オブジェクトは無視されます。
Cloud DNS サーバーに到達不能: DNS サーバーに到達できない場合、FQDN オブジェクトを使用するファイアウォール ポリシー ルールは、以前にキャッシュに保存された DNS の解決結果が利用可能である場合にのみ適用されます。キャッシュに保存された DNS の解決結果がない場合、またはキャッシュに保存された DNS の結果が期限切れになっている場合、ルールの FQDN オブジェクトは無視されます。