このページでは、通常の Virtual Private Cloud(VPC)ネットワークに適用される次のファイアウォール ポリシーのいずれかで作成するファイアウォール ルールのコンポーネントについて説明します。
ファイアウォール ルールと Remote Direct Memory Access(RDMA)ネットワーク プロファイルの詳細については、RoCE VPC ネットワーク用の Cloud NGFW をご覧ください。
各ファイアウォール ポリシー ルールは、両方ではなく、受信(上り、内向き)接続または送信(下り、外向き)接続に適用されます。ファイアウォール ポリシールールを作成するときは、ルールの動作を定義するコンポーネントを指定します。方向だけでなく、送信元、宛先、レイヤ 4 特性(プロトコルや宛先ポートなど)を指定できます(プロトコルがポートを使用する場合)。
優先度
ファイアウォール ポリシー内のルールの優先度は 0 ~ 2,147,483,547 の整数です。小さい整数が高い優先度を示します。ファイアウォール ポリシー内のルールの優先度は、VPC ファイアウォール ルールの優先度と似ていますが、次の点が異なります。
- ファイアウォール ポリシー内の各ルールには一意の優先度が必要です。
- ファイアウォール ポリシー内のルールの優先度はルールの一意の識別子として機能します。ファイアウォール ポリシーのルールの識別に名前は使用されません。
- ファイアウォール ポリシー内のルールの優先度は、ファイアウォール ポリシー自体で評価順序を定義します。VPC ファイアウォール ルールと階層型ファイアウォール ポリシーのルール、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーは、ネットワークにファイアウォール ポリシーとルールを適用するの説明に従って評価されます。
一致したときのアクション
ファイアウォール ポリシーのルールは、次のアクションのいずれかを実行できます。
| アクション パラメータ | 説明 |
|---|---|
allow |
新しい接続のパケットを許可します。一致するルールを含むファイアウォール ポリシーのルールの評価を停止します。他のファイアウォール ルールは評価されません。 ルールの方向に関係なく、パケット プロトコルとファイアウォール ポリシー タイプが接続トラッキングをサポートしている場合、許可ルールは上り(内向き)パケットと下り(外向き)パケットの両方を許可するファイアウォール接続トラッキング テーブル エントリを作成します。 |
deny |
新しい接続のパケットを許可しません。一致するルールを含むファイアウォール ポリシー内のルールの評価を停止します。他のファイアウォール ルールは評価されません。 Cloud NGFW は、ファイアウォール ルールを評価する前に、常にファイアウォール接続トラッキング テーブル エントリを確認します。したがって、許可ルールによって接続トラッキング テーブル エントリが作成された場合、その接続トラッキング テーブル エントリが優先されます。 |
apply_security_profile_group |
新しい接続のパケットをインターセプトし、ファイアウォール エンドポイントまたは インターセプト エンドポイント グループに送信します。一致するルールを含むファイアウォール ポリシーのルールの評価を停止します。他のファイアウォール ルールは評価されません。 ルールの方向に関係なく、パケット プロトコルとファイアウォール ポリシー タイプが接続トラッキングをサポートしている場合、 リージョン ネットワーク ファイアウォール ポリシーでは、 |
goto_next |
ファイアウォール ポリシー内の他のルールの評価を停止し、 ファイアウォール ポリシーとルールの評価の順序の次のステップでルールを評価します。 ファイアウォール ポリシーとルールの評価順序の次のステップは、別のファイアウォール ポリシーのルールまたは暗黙のファイアウォール ルールの評価です。 |
適用
ルールの状態を有効または無効に設定することで、ファイアウォール ポリシー ルールを適用するかどうかを選択できます。ルールの作成時またはルールの更新時に適用状態を設定します。
新しいファイアウォール ルールを作成するときに適用状態を設定しない場合、ファイアウォール ルールは自動的に有効になります。
プロトコルとポート
VPC ファイアウォール ルールと同様に、ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。また、指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。
ファイアウォール ルールでは、プロトコル名として tcp、udp、icmp(IPv4 ICMP の場合)、esp、ah、sctp、ipip を使用できます。他のすべてのプロトコルには、IANA プロトコル番号を使用します。
多くのプロトコルでは IPv4 と IPv6 の両方で同じ名前と番号が使用されますが、ICMP などの一部のプロトコルでは使用されません。IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP を指定するには、プロトコル番号 58 を使用します。
ファイアウォール ルールでは、プロトコルだけではなく、ICMP のタイプやコードの指定もサポートしていません。
IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。
プロトコルとポートのパラメータを指定しない場合、すべてのプロトコルと宛先ポートにルールが適用されます。
ロギング
ファイアウォール ポリシールールのロギングは、VPC の VPC ファイアウォール ルールのロギングと同じように機能しますが、次の点が異なります。
参照フィールドには、ファイアウォール ポリシー ID と、ポリシーが接続されているリソースのレベルを示す番号が含まれます。たとえば、
0は組織に適用されていることを意味します。1はポリシーが組織の最上位フォルダに適用されていることを意味します。ファイアウォール ポリシーのログには、ルールが適用される VPC ネットワークを識別する
target_resourceフィールドが含まれています。
ロギングを有効にできるルールは
allow、deny、apply_security_profile_groupのみです。goto_nextルールでロギングを有効にすることはできません。apply_security_profile_groupアクションを使用するルールのロギングを有効にすると、Cloud NGFW はトラフィック セッションをインターセプトし、詳細なパケット検査のためにトラフィックをファイアウォール エンドポイントにリダイレクトするときに、単一のログエントリを生成します。このログエントリは、ファイアウォール ルールがトラフィックと一致し、ファイアウォール エンドポイントに正常にリダイレクトされたことを確認します。詳細については、ファイアウォール ポリシールールのロギングの概要をご覧ください。ファイアウォール エンドポイントは、侵入検知と予防のサービスや URL フィルタリング サービスなどの詳細なパケット検査を実行し、独自のログセットを生成します。これらのログには、傍受されたセッション内の接続に関する詳細情報が記録され、検出された脅威や URL フィルタリング アクションが一覧表示されます。これらのディープ パケット インスペクション ログは、セッションごとに複数のログエントリを生成できます。
ターゲット、ソース、宛先
target、source、destination パラメータは連携して動作し、ファイアウォール ルールのスコープを決定します。
ターゲット パラメータ: ファイアウォール ルールが適用されるリソースを識別します。
送信元パラメータと宛先パラメータ: トラフィック条件を定義します。上り(内向き)ルールと下り(外向き)ルールの両方に指定できます。送信元パラメータと宛先パラメータの有効なオプションは、ターゲット パラメータとファイアウォール ルールの方向によって異なります。
ターゲット
ターゲット タイプ パラメータと 1 つ以上のターゲット パラメータは、ファイアウォール ルールのターゲットを定義します。ファイアウォール ルールのこれらのターゲットは、ファイアウォール ルールが保護するリソースです。
ターゲット タイプが省略されているか、
INSTANCESに設定されている場合、ファイアウォール ルールは、Google Kubernetes Engine ノードや App Engine フレキシブル環境インスタンスなど、Compute Engine インスタンスのネットワーク インターフェースに適用されます。上り(内向き)ルールと下り(外向き)ルールの両方がサポートされています。ファイアウォール ルールが適用される VM ネットワーク インターフェースを指定するには、ターゲット パラメータを使用します。
すべてのターゲット パラメータを省略すると、ファイアウォール ルールは最も広範なインスタンス ターゲットに適用されます。
ターゲット パラメータとターゲット パラメータの組み合わせの詳細については、特定のターゲットと特定のターゲットの組み合わせをご覧ください。
ターゲット タイプが
INTERNAL_MANAGED_LB(プレビュー)に設定されている場合、ファイアウォール ルールは、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシに適用されます。上り(内向き)ルールのみがサポートされています。ターゲット転送ルール パラメータを省略すると、ファイアウォール ルールは最も広範なロードバランサ ターゲットに適用されます。
ファイアウォール ルールを 1 つのロードバランサに制限するには、ターゲット転送ルール パラメータを使用します。詳しくは、特定のターゲットをご覧ください。
最も広範なインスタンス ターゲット
最も広範なインスタンス ターゲットは、ファイアウォール ポリシーのタイプによって異なります。
階層型ファイアウォール ポリシーのルールの最も広範なインスタンス ターゲット: 階層型ファイアウォール ポリシーに関連付けられた Resource Manager ノード(フォルダまたは組織)内のプロジェクトにある VPC ネットワークの任意のリージョンのサブネット内のすべての VM ネットワーク インターフェース。
グローバル ネットワーク ファイアウォール ポリシーのルールの最も広範なインスタンス ターゲット: グローバル ネットワーク ファイアウォール ポリシーに関連付けられている VPC ネットワークの任意のリージョンのサブネットにあるすべての VM ネットワーク インターフェース。
リージョン ネットワーク ファイアウォール ポリシーのルールの最も広範なインスタンス ターゲット: リージョン ネットワーク ファイアウォール ポリシーに関連付けられているリージョンと VPC ネットワーク内のサブネットにあるすべての VM ネットワーク インターフェース。
最も幅広いロードバランサ ターゲット
リージョン ネットワーク ファイアウォール ポリシーは、ルールがロードバランサ ターゲットをサポートする唯一のポリシーです。最も広範なロードバランサ ターゲットは、ポリシーのリージョンと関連付けられた VPC ネットワーク内の内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサの転送ルールです。特定のターゲット
次の表に、ターゲット パラメータ、各パラメータを含むルールをサポートするファイアウォール ポリシー、サポートされているルール ターゲット タイプを示します。ターゲット パラメータを指定しない場合、ルールはルールのターゲット タイプに基づいて、最も広範なインスタンス ターゲットまたは最も広範なロードバランサ ターゲットのいずれかを使用します。チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| target パラメータ | ファイアウォール ポリシーのサポート | ルール ターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| ターゲット VPC ネットワーク リソース
|
|||||
| ターゲット サービス アカウント
|
|||||
| ネットワークの目的データを含むタグキーからセキュアタグ値をターゲットにする
このリストにより、最も広範なインスタンス ターゲットが、次の両方の条件を満たす VM ネットワーク インターフェースに絞り込まれます。
詳細については、ファイアウォールのセキュアタグをご覧ください。 |
|||||
| 組織の目的データを含むタグキーからセキュアタグの値をターゲットにする
このリストにより、最も広範なインスタンス ターゲットが、次の両方の条件を満たす VM ネットワーク インターフェースに絞り込まれます。
詳細については、ファイアウォールのセキュアタグをご覧ください。 |
|||||
| ターゲット転送ルール
プレビュー ターゲット転送ルールの形式で指定された内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサの単一の転送ルール。このパラメータは、最も広範なロードバランサ ターゲットを特定の内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサに絞り込みます。 |
|||||
特定のターゲットの組み合わせ
target-resources パラメータをサポートするルールでは、別のターゲット パラメータと組み合わせてターゲット パラメータの組み合わせを作成できます。次の表に、サポートされているターゲット パラメータの組み合わせ、各パラメータを含むルールをサポートするファイアウォール ポリシー、サポートされているルール ターゲット タイプを示します。ターゲット パラメータを指定しない場合、ルールは、ルールのターゲット タイプに基づいて、最も広範なインスタンス ターゲットまたは最も広範なロードバランサ ターゲットのいずれかを使用します。
チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| ターゲットパラメータの組み合わせ | ファイアウォール ポリシーのサポート | ルール ターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| ターゲット VPC ネットワーク リソースとターゲット サービス アカウントの組み合わせ
この組み合わせにより、最も広範なインスタンス ターゲットが、次の両方の条件を満たす VM ネットワーク インターフェースに絞り込まれます。
|
|||||
| ターゲット VPC ネットワーク リソースとターゲット セキュアタグ値の組み合わせ
この組み合わせにより、最も広範なインスタンス ターゲットが、次の両方の条件を満たす VM ネットワーク インターフェースに絞り込まれます。
|
|||||
ターゲット転送ルールの形式
ファイアウォール ルールのターゲット タイプがINTERNAL_MANAGED_LB(プレビュー)に設定されている場合、ターゲット転送ルールのパラメータは次の形式の値を受け入れます。
リージョン内部アプリケーション ロードバランサとリージョン内部プロキシ ネットワーク ロードバランサの場合:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
クロスリージョン内部アプリケーション ロードバランサとクロスリージョン内部プロキシ ネットワーク ロードバランサの場合:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
上り(内向き)ルールのターゲットと IP アドレス
ファイアウォール ルールのターゲット タイプが省略されているか、INSTANCES に設定されている場合、ルールはターゲット VM のネットワーク インターフェースに転送されるパケットに適用されます。
上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲が含まれている場合、パケットの宛先は、明示的に定義された宛先 IP アドレス範囲のいずれかに一致する必要があります。
上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲が含まれていない場合、パケットの宛先は、各ターゲット VM の次のいずれかの IP アドレスと一致する必要があります。
インスタンスの NIC に割り振られているプライマリ内部 IPv4 アドレス。
インスタンスの NIC に構成されているエイリアス IP アドレス範囲。
インスタンスの NIC に関連付けられている外部 IPv4 アドレス。
IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。
パススルー ロード バランシングに使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスは、内部パススルー ネットワーク ロードバランサまたは外部パススルー ネットワーク ロードバランサのバックエンドです。
プロトコル転送に使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスはターゲット インスタンスによって参照されます。
インスタンスをネクストホップ VM(
next-hop-instanceまたはnext-hop-address)として使用するカスタム静的ルートの宛先範囲内の IP アドレス。VM が内部パススルー ネットワーク ロードバランサのバックエンドの場合、ネクストホップとしてそのロードバランサ(
next-hop-ilb)を使用するカスタム静的ルートの宛先範囲内の IP アドレス。
ファイアウォール ルールのターゲット タイプが INTERNAL_MANAGED_LB(プレビュー)に設定されている場合、ルールは、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサに関連付けられたマネージド Envoy プロキシに転送されるパケットをフィルタします。上り(内向き)ルールで宛先 IP 範囲を使用する場合は、その範囲に関連するロードバランサの転送ルール IP アドレスが含まれていることを確認してください。
下り(外向き)ルールのターゲットと IP アドレス
ファイアウォール ルールのターゲット タイプが省略されているか、INSTANCES に設定されている場合、ルールはターゲット VM のネットワーク インターフェースから送信されるパケットに適用されます。
ターゲット VM で IP 転送が無効になっている場合(デフォルト)、VM は次の送信元を含むパケットのみを送信できます。
インスタンスの NIC のプライマリ内部 IPv4 アドレス。
インスタンスの NIC に構成されたエイリアス IP アドレス範囲。
IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。
パススルー ロード バランシングまたはプロトコル転送の場合、転送ルールに関連付けられた内部または外部 IP アドレス。これは、インスタンスが内部パススルー ネットワーク ロードバランサのバックエンドか、外部パススルー ネットワーク ロードバランサか、あるいはターゲット インスタンスから参照されている場合に有効になります。
下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれている場合でも、ターゲット VM は前述の送信元 IP アドレスに制限されますが、source パラメータを使用して送信元を絞り込むことができます。IP 転送を有効にせずに送信元パラメータを使用しても、パケットの送信元アドレスのセットは展開されません。
下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれていない場合、前述のすべての送信元 IP アドレスが許可されます。
ターゲット VM で IP 転送が有効になっている場合、VM は任意の送信元アドレスを持つパケットを送信できます。source パラメータを使用すると、許可されるパケットの送信元のセットをより正確に定義できます。
送信元
source パラメータ値は、ファイアウォール ルールの方向によって異なります。
上り(内向き)ルールの送信元
次の表に、上り(内向き)ルールのソース パラメータ、各パラメータをサポートするファイアウォール ポリシー、各パラメータと互換性のあるルール ターゲット タイプを示します。ソース パラメータを少なくとも 1 つ指定する必要があります。チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| 上り(内向き)ルールの送信元パラメータ | ファイアウォール ポリシーのサポート | ルール ターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 送信元 IP アドレス範囲 CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスで構成されるリスト。このリストは、ファイアウォール ポリシー ルール自体に保存されます。 |
|||||
| 送信元アドレス グループ CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスの再利用可能なコレクション。ファイアウォール ルールはコレクションを参照します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。 |
|||||
| 送信元ドメイン名 1 つ以上の送信元ドメイン名のリスト。ドメイン名が IP アドレスに変換される方法など、詳細については、FQDN オブジェクトをご覧ください。 |
|||||
| ネットワークの目的データを含むタグキーから安全なタグ値をソースとする 目的データで単一の VPC ネットワークが指定されているタグキーの 1 つ以上のタグ値のリスト。詳細については、ファイアウォールのセキュアタグとソースのセキュアタグでパケットソースを表す方法をご覧ください。 |
|||||
| 組織の目的データを含むタグキーからセキュアタグの値を取得する 目的データが |
|||||
| 送信元の位置情報 2 文字の国 / 地域コードで指定された 1 つ以上の送信元の地理的位置のリスト。詳しくは、位置情報オブジェクトをご覧ください。 |
|||||
| Google Threat Intelligence リストのソース 事前に定義された 1 つ以上の Google Threat Intelligence リスト名のリスト。詳細については、ファイアウォール ポリシールールの Google Threat Intelligenceをご覧ください。 |
|||||
| ソース ネットワーク コンテキスト
セキュリティ境界を定義する制約。有効な値は、ルールのターゲット タイプによって異なります。詳細については、ネットワーク コンテキストをご覧ください。 |
|||||
上り(内向き)ルールの送信元の組み合わせ
1 つの受信ルールで、2 つ以上のソース パラメータを使用してソースの組み合わせを作成できます。Cloud NGFW は、各上り(内向き)ルールの送信元組み合わせに次の制約を適用します。
- 送信元 IP アドレス範囲には、IPv4 または IPv6 の CIDR のいずれかを含める必要があります。両方を組み合わせることはできません。
- IPv4 CIDR を含む送信元アドレス グループは、IPv6 CIDR を含む送信元アドレス グループでは使用できません。
- IPv4 CIDR を含む送信元 IP アドレス範囲は、IPv6 CIDR を含む送信元アドレス グループでは使用できません。
- IPv6 CIDR を含む送信元 IP アドレス範囲は、IPv4 CIDR を含む送信元アドレス グループでは使用できません。
- インターネット ネットワーク コンテキストは、ソース セキュアタグでは使用できません。
- インターネット以外のコンテキスト、VPC ネットワーク コンテキスト、VPC 間のコンテキストは、 ソースの Google Threat Intelligence リストまたは ソースの地理位置情報では使用できません。
Cloud NGFW は、次のロジックを適用して、送信元を組み合わせた上り(内向き)ルールにパケットを照合します。
送信元の組み合わせに送信元ネットワーク コンテキストが含まれていない場合、パケットは、送信元の組み合わせの少なくとも 1 つの送信元パラメータと一致すると、上り(内向き)ルールと一致します。
送信元の組み合わせに送信元ネットワーク コンテキストが含まれている場合、パケットが送信元ネットワーク コンテキストと、送信元の組み合わせの他の送信元パラメータの少なくとも 1 つに一致すると、上り(内向き)ルールに一致します。
ソース セキュアタグでパケットの送信元を表す方法
上り(内向き)ファイアウォール ルールでは、ターゲット タイプが省略されているか INSTANCES に設定されている場合に、ソース セキュアタグ値を使用できます。セキュアタグ値は、IP アドレスなどのパケット特性ではなく、ネットワーク インターフェースを識別します。
VM インスタンスのネットワーク インターフェースから送信されたパケットは、次のルールに従って送信元セキュアタグ値を使用する上り(内向き)ルールと一致します。
上り(内向き)ルールがリージョン ネットワーク ポリシーにある場合、VM インスタンスはリージョン ネットワーク ファイアウォール ポリシーと同じリージョンのゾーンに配置する必要があります。それ以外の場合、VM インスタンスは任意のゾーンに配置できます。
VM インスタンスは、上り(内向き)ファイアウォール ルールで送信元セキュアタグとして使用される同じセキュアタグ値に関連付ける必要があります。
VM インスタンスに関連付けられ、上り(内向き)ファイアウォール ルールで使用されるセキュアタグの値は、
purpose-data属性が VM インスタンスのネットワーク インターフェースを含む少なくとも 1 つの VPC ネットワークを識別するタグキーから取得する必要があります。タグキーの目的データで単一の VPC ネットワークが指定されている場合、ソース セキュアタグ値を使用する上り(内向き)ファイアウォール ルールは、その VPC ネットワーク内の VM インスタンスのネットワーク インターフェースに適用されます。
タグキーの目的データで組織が指定されている場合、送信元セキュアタグ値を使用する上り(内向き)ファイアウォール ルールは、組織の任意の VPC ネットワークにある VM インスタンスのネットワーク インターフェースに適用されます。
特定された VM ネットワーク インターフェースは、次のいずれかの条件を満たしている必要があります。
- VM ネットワーク インターフェースは、ファイアウォール ポリシーが適用される VPC ネットワークと同じ VPC ネットワークにあります。
VM ネットワーク インターフェースは、VPC ネットワーク ピアリングを使用して、ファイアウォール ポリシーが適用される VPC ネットワークに接続されている VPC ネットワークにあります。
VM ネットワーク インターフェースで使用される VPC ネットワークと、ファイアウォール ポリシーが適用される VPC ネットワークは、どちらも同じ NCC ハブ上の VPC スポークです。
ファイアウォールのセキュアタグの詳細については、仕様をご覧ください。
下り(外向き)ルールの送信元
階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーの両方の下り(外向き)ルールには、次の送信元を使用できます。
デフォルト(ターゲットによって暗黙的に指定): 下り(外向き)ルールの source パラメータを省略すると、下り(外向き)ルールのターゲットと IP アドレスで説明されているようにパケットの送信元が暗黙的に定義されます。
送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
下り(外向き)ルールの送信元 IP アドレス範囲を追加するには、次のガイドラインに従ってください。
- VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。
下り(外向き)ルールに送信元 IP アドレス範囲と destination パラメータがある場合、destination パラメータは送信元 IP バージョンと同じ IP バージョンに解決されます。
たとえば、下り(外向き)ルールでは、source パラメータに IPv4 アドレス範囲、destination パラメータに FQDN オブジェクトがあります。FQDN が IPv4 アドレスと IPv6 アドレスの両方に解決される場合は、ルールの適用時に解決された IPv4 アドレスのみが使用されます。
宛先
destination パラメータ値は、ファイアウォール ルールの方向によって異なります。
上り(内向き)ルールの送信先
階層型ポリシーとネットワーク ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールには、次の送信先を使用できます。
デフォルト(ターゲットによって暗黙的に指定): 上り(内向き)ルールの destination パラメータを省略すると、上り(内向き)ルールのターゲットと IP アドレスで説明されているように、パケットの宛先が暗黙的に定義されます。
宛先 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
宛先 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
上り(内向き)ルールの宛先 IP アドレス範囲を追加するには、次のガイドラインに従ってください。
VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。
上り(内向き)ルールで定義されている source パラメータと destination パラメータの両方がある場合、送信元パラメータは宛先 IP バージョンと同じ IP バージョンに解決されます。上り(内向き)ルールの送信元を定義する方法については、階層型ファイアウォール ポリシーの上り(内向き)ルールの送信元とネットワーク ファイアウォール ポリシーの上り(内向き)ルールの送信元をご覧ください。
たとえば、上り(内向き)ルールでは、destination パラメータに IPv6 アドレス範囲、source パラメータに位置情報の国コードが設定されます。ルールの適用中、マッピングされた IPv6 アドレスのみが指定された送信元の国コードに使用されます。
下り(外向き)ルールの送信先
次の表に、下り(外向き)ルールの宛先パラメータ、各パラメータをサポートするファイアウォール ポリシー、各パラメータと互換性のあるルール ターゲット タイプを示します。少なくとも 1 つの宛先パラメータを指定する必要があります。チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| 下り(外向き)ルールの宛先パラメータ | ファイアウォール ポリシーのサポート | ルール ターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 宛先 IP アドレス範囲 CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスで構成されるリスト。このリストは、ファイアウォール ポリシー ルール自体に保存されます。 |
|||||
| 宛先アドレス グループ CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスの再利用可能なコレクション。ファイアウォール ポリシールールはコレクションを参照します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。 |
|||||
| 宛先ドメイン名 1 つ以上の宛先ドメイン名のリスト。ドメイン名が IP アドレスに変換される方法など、詳細については、FQDN オブジェクトをご覧ください。 |
|||||
| 宛先の位置情報 2 文字の国 / 地域コードで指定された 1 つ以上の送信元の地理的位置のリスト。詳しくは、位置情報オブジェクトをご覧ください。 |
|||||
| 宛先 Google Threat Intelligence リスト 事前に定義された 1 つ以上の Google Threat Intelligence リスト名のリスト。詳細については、ファイアウォール ポリシールールの Google Threat Intelligenceをご覧ください。 |
|||||
| 宛先ネットワーク コンテキスト
セキュリティ境界を定義する制約。 |
|||||
下り(外向き)ルールの宛先の組み合わせ
1 つの下り(外向き)ルールで、2 つ以上の宛先パラメータを使用して宛先の組み合わせを作成できます。Cloud NGFW は、各下り(外向き)ルールの宛先の組み合わせに次の制約を適用します。
- 宛先 IP アドレス範囲には、IPv4 または IPv6 の CIDR のいずれかを含める必要があります。両方を組み合わせることはできません。
- IPv4 CIDR を含む宛先アドレス グループと IPv6 CIDR を含む宛先アドレス グループを一緒に使用することはできません。
- IPv4 CIDR を含む宛先 IP アドレス範囲と、IPv6 CIDR を含む宛先アドレス グループを同時に使用することはできません。
- IPv6 CIDR を含む宛先 IP アドレス範囲と、IPv4 CIDR を含む宛先アドレス グループを同時に使用することはできません。
- 宛先がインターネット以外のネットワーク コンテキストの場合、宛先 Google Threat Intelligence リストまたは宛先 地理位置情報を使用することはできません。
Cloud NGFW は、次のロジックを適用して、宛先の組み合わせを使用する下り(外向き)ルールにパケットを照合します。
宛先の組み合わせに宛先ネットワーク コンテキストが含まれていない場合、パケットは宛先の組み合わせの宛先パラメータの少なくとも 1 つに一致すると、下り(外向き)ルールに一致します。
宛先の組み合わせに宛先ネットワーク コンテキストが含まれている場合、パケットは宛先ネットワーク コンテキストと、宛先の組み合わせに含まれる他の宛先パラメータの少なくとも 1 つに一致すると、下り(外向き)ルールに一致します。