ファイアウォール ポリシーとルール

Cloud Next Generation Firewall のファイアウォール ルールは、定義された条件に基づいて、Virtual Private Cloud（VPC）ネットワーク内のトラフィックを許可するか拒否するかを決定します。Cloud NGFW ファイアウォール ポリシーを使用すると、複数のファイアウォール ルールをグループ化して、一度にまとめて更新できます。これらのルールは、Identity and Access Management（IAM）のロールで効率的に制御できます。

このドキュメントでは、さまざまな種類のファイアウォール ポリシーとファイアウォール ポリシー ルールの概要について説明します。

ファイアウォール ポリシー

Cloud NGFW は、次のタイプのファイアウォール ポリシーをサポートしています。

• 階層型ファイアウォール ポリシー
• グローバル ネットワーク ファイアウォール ポリシー
• リージョン ネットワーク ファイアウォール ポリシー
• リージョン システムのファイアウォール ポリシー

階層型ファイアウォール ポリシー

階層型ファイアウォール ポリシーを使用すると、ルールを 1 つのポリシー オブジェクトにまとめて、1 つ以上のプロジェクトの複数の VPC ネットワークに適用できます。階層型ファイアウォール ポリシーは、組織全体または個々のフォルダに関連付けることができます。

階層型ファイアウォール ポリシーの仕様と詳細については、階層型ファイアウォール ポリシーをご覧ください。

グローバル ネットワーク ファイアウォール ポリシー

グローバル ネットワーク ファイアウォール ポリシーを使用すると、VPC ネットワークのすべてのリージョンに適用できるポリシー オブジェクトにルールをグループ化できます。

グローバル ネットワーク ファイアウォール ポリシーの仕様と詳細については、グローバル ネットワーク ファイアウォール ポリシーをご覧ください。

リージョン ネットワーク ファイアウォール ポリシー

リージョン ネットワーク ファイアウォール ポリシーを使用すると、VPC ネットワークの特定のリージョンに適用できるポリシー オブジェクトにルールをまとめることができます。

リージョン ファイアウォール ポリシーの仕様と詳細については、リージョン ネットワーク ファイアウォール ポリシーをご覧ください。

リージョン システムのファイアウォール ポリシー数

リージョン システム ファイアウォール ポリシーはリージョン ネットワーク ファイアウォール ポリシーに似ていますが、Google によって管理されます。リージョン システム ファイアウォール ポリシーには、次の特性があります。

• Google Cloud は、階層型ファイアウォール ポリシーのルールを評価した直後に、リージョン システム ファイアウォール ポリシーのルールを評価します。詳細については、ファイアウォール ルールの評価プロセスをご覧ください。

• ファイアウォール ルール ロギングを有効または無効にする場合を除き、リージョン システム ファイアウォール ポリシーのルールを変更することはできません。

• Google Cloud は、Google サービスがネットワークのそのリージョンでルールを必要とする場合に、VPC ネットワークのリージョンにリージョン システム ファイアウォール ポリシーを作成します。 Google Cloud は、Google サービスの要件に基づいて、複数のリージョン システム ファイアウォール ポリシーを VPC ネットワークのリージョンに関連付けることができます。

• リージョン システム ファイアウォール ポリシーのルールの評価に対して課金されることはありません。

ネットワーク プロファイルのインタラクション

通常の VPC ネットワークは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシー、VPC ファイアウォール ルールのファイアウォール ルールをサポートしています。すべてのファイアウォール ルールは、Andromeda ネットワーク仮想化スタックの一部としてプログラムされます。

特定のネットワーク プロファイルを使用する VPC ネットワークでは、使用できるファイアウォール ポリシーとルール属性が制限されます。RoCE VPC ネットワークの場合は、このページではなく、RoCE VPC ネットワーク用の Cloud NGFW をご覧ください。

ファイアウォール ポリシールール

Google Cloudでは、ファイアウォール ポリシー ルールに、ネットワークに入るトラフィックを制御するか、ネットワークから出るトラフィックを制御するかを決定する方向があります。各ファイアウォール ポリシー ルールは、受信（上り、内向き）接続または送信（下り、外向き）接続のいずれかに適用されます。

内向きルール

上り（内向き）方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り（内向き）ルールは、次のタイプのターゲットに到着するインバウンド パケットに適用されます。

• 仮想マシン（VM）インスタンスのネットワーク インターフェース
• 内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサを強化するマネージド Envoy プロキシ

deny アクションを含む上り（内向き）ルールでは、ターゲットへの受信接続をブロックすることで、ターゲットを保護します。優先度の高いルールでトラフィックが許可されている場合、ファイアウォールはトラフィックを許可し、同じトラフィックを拒否する可能性のある優先度の低いルールを無視します。優先度の高いルールが常に優先されることに注意してください。

自動的に作成されたデフォルト ネットワークには、事前設定済みの VPC ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り（内向き）が許可されます。

外向きルール

下り（外向き）方向とは、ターゲットGoogle Cloud リソース（VM ネットワーク インターフェースなど）から宛先に送信されるアウトバウンド トラフィックを指します。

allow アクションを含む下り（外向き）ルールを使用すると、インスタンスはルールで指定された宛先にトラフィックを送信できます。優先度の高い deny ルールに一致する下り（外向き）トラフィックはブロックされます。このアクションは、トラフィックを許可する可能性のある優先度の低いルールよりも優先されます。 Google Cloud は、特定の種類のトラフィックをブロックまたは制限します。

次のステップ

• 階層型ファイアウォール ポリシーとルールの作成方法と変更方法を確認する。階層型ファイアウォール ポリシーとルールを使用するをご覧ください。
• グローバル ネットワーク ファイアウォール ポリシーとルールを作成および変更する。グローバル ネットワーク ファイアウォール ポリシーとルールを使用するをご覧ください。
• リージョン ネットワーク ファイアウォール ポリシーとルールを作成および変更する。リージョン ネットワーク ファイアウォール ポリシーとルールを使用するをご覧ください。