このページでは、通常の VPC ネットワークに適用される次のファイアウォール ポリシーのいずれかで作成するファイアウォール ルールのコンポーネントについて説明します。
ファイアウォール ルールと RDMA VPC ネットワークの詳細については、RoCE VPC ネットワーク用の Cloud NGFW をご覧ください。
各ファイアウォール ポリシールールは、両方ではなく、受信(上り、内向き)接続または送信(下り、外向き)接続に適用されます。
上り(内向き)ルール
上り(内向き)方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り(内向き)ルールは、次のタイプのターゲットに到着するインバウンド パケットに適用されます。
- 仮想マシン(VM)インスタンスのネットワーク インターフェース
- 内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサを強化するマネージド Envoy プロキシ
deny アクションを含む上り(内向き)ルールでは、ターゲットへの受信接続をブロックすることで、ターゲットを保護します。優先度の高いルールにより、受信接続が許可される場合があります。自動的に作成されたデフォルト ネットワークには、事前設定済みの VPC ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り(内向き)が許可されます。
下り(外向き)ルール
下り(外向き)方向とは、ターゲット VM ネットワーク インターフェースから宛先に送信されるアウトバウンド トラフィックを指します。
allow アクションを含む下り(外向き)ルールを使用すると、インスタンスはルールで指定された宛先にトラフィックを送信できます。優先度の高い deny ファイアウォール ルールによって下り(外向き)が拒否される可能性があります。 Google Cloud では、特定の種類のトラフィックがブロックまたは制限されます。
ファイアウォール ポリシー ルールのコンポーネント
ファイアウォール ポリシー ルールを作成するときは、ルールの動作を定義するコンポーネントを指定します。方向に加えて、送信元、宛先、レイヤ 4 特性(プロトコルなど。プロトコルがポートを使用する場合は宛先ポート)を指定できます。
優先度
ファイアウォール ポリシー内のルールの優先度は 0~2,147,483,647 の整数です。小さい整数が高い優先度を示します。ファイアウォール ポリシー内のルールの優先度は、VPC ファイアウォール ルールの優先度と似ていますが、次の点が異なります。
- ファイアウォール ポリシー内の各ルールには一意の優先度が必要です。
- ファイアウォール ポリシー内のルールの優先度はルールの一意の識別子として機能します。ファイアウォール ポリシーのルールの識別に名前は使用されません。
- ファイアウォール ポリシー内のルールの優先度は、ファイアウォール ポリシー自体で評価順序を定義します。VPC ファイアウォール ルールと階層型ファイアウォール ポリシーのルール、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーは、ネットワークにファイアウォール ポリシーとルールを適用するの説明に従って評価されます。
一致したときのアクション
ファイアウォール ポリシーのルールは、次のアクションのいずれかを実行できます。
| アクション パラメータ | 説明 |
|---|---|
allow |
新しい接続のパケットを許可します。一致するルールを含むファイアウォール ポリシー内のルールの評価を停止します。他のファイアウォール ルールは評価されません。 ルールの方向に関係なく、パケット プロトコルとファイアウォール ポリシー タイプが接続トラッキングをサポートしている場合、許可ルールは上り(内向き)パケットと下り(外向き)パケットの両方を許可するファイアウォール接続トラッキング テーブル エントリを作成します。 |
deny |
新しい接続のパケットを許可しません。一致するルールを含むファイアウォール ポリシー内のルールの評価を停止します。他のファイアウォール ルールは評価されません。 Cloud NGFW は、ファイアウォール ルールを評価する前に、常にファイアウォール接続トラッキング テーブル エントリを確認します。したがって、許可ルールによって接続トラッキング テーブル エントリが作成された場合、その接続トラッキング テーブル エントリが優先されます。 |
apply_security_profile_group |
新しい接続のパケットをインターセプトし、ファイアウォール エンドポイントまたは インターセプト エンドポイント グループに送信します。一致するルールを含むファイアウォール ポリシーのルールの評価を停止します。他のファイアウォール ルールは評価されません。 ルールの方向に関係なく、パケット プロトコルとファイアウォール ポリシー タイプが接続トラッキングをサポートしている場合、 リージョン ネットワーク ファイアウォール ポリシーでは、 |
goto_next |
ファイアウォール ポリシー内の他のルールの評価を停止し、 ファイアウォール ポリシーとルールの評価の順序の次のステップでルールを評価します。 ファイアウォール ポリシーとルールの評価順序の次のステップは、別のファイアウォール ポリシーまたは暗黙のファイアウォール ルールのルールの評価です。 |
適用
ルールの状態を有効または無効に設定することで、ファイアウォール ポリシー ルールを適用するかどうかを選択できます。ルールの作成時またはルールの更新時に適用状態を設定します。
新しいファイアウォール ルールを作成するときに適用状態を設定しない場合、ファイアウォール ルールは自動的に有効になります。
プロトコルとポート
VPC ファイアウォール ルールと同様に、ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。また、指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。
ファイアウォール ルールでは、プロトコル名として tcp、udp、icmp(IPv4 ICMP の場合)、esp、ah、sctp、ipip を使用できます。他のすべてのプロトコルには、IANA プロトコル番号を使用します。
多くのプロトコルでは IPv4 と IPv6 の両方で同じ名前と番号が使用されますが、ICMP などの一部のプロトコルでは使用されません。IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP を指定するには、プロトコル番号 58 を使用します。
ファイアウォール ルールでは、プロトコルだけではなく、ICMP のタイプやコードの指定もサポートしていません。
IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。
プロトコルとポートのパラメータを指定しない場合、すべてのプロトコルと宛先ポートにルールが適用されます。
ロギング
ファイアウォール ポリシールールのロギングは、VPC のファイアウォール ルールのロギングと同じように機能しますが、次の点が異なります。
参照フィールドには、ファイアウォール ポリシー ID と、ポリシーが接続されているリソースのレベルを示す番号が含まれます。たとえば、
0は組織に適用されていることを意味します。1はポリシーが組織の最上位フォルダに適用されていることを意味します。ファイアウォール ポリシーのログには、ルールが適用される VPC ネットワークを識別する
target_resourceフィールドが含まれています。
- ロギングを有効にできるルールは
allow、deny、apply_security_profile_groupのみです。goto_nextルールでロギングを有効にすることはできません。
ターゲット、ソース、宛先
target、source、destination パラメータは連携して動作し、ファイアウォール ルールのスコープを決定します。
ターゲット パラメータ: ファイアウォール ルールが適用されるリソースを識別します。
送信元パラメータと宛先パラメータ: トラフィック条件を定義します。上り(内向き)ルールと下り(外向き)ルールの両方に指定できます。送信元パラメータと宛先パラメータの有効なオプションは、ターゲット パラメータとファイアウォール ルールの方向によって異なります。
ターゲット
ターゲット タイプ パラメータと 1 つ以上のターゲット パラメータは、ファイアウォール ルールのターゲットを定義します。ファイアウォール ルールのこれらのターゲットは、ファイアウォール ルールが保護するリソースです。
ターゲット タイプが省略されているか、
INSTANCESに設定されている場合、ファイアウォール ルールは、Google Kubernetes Engine ノードや App Engine フレキシブル環境インスタンスなど、Compute Engine インスタンスのネットワーク インターフェースに適用されます。上り(内向き)ルールと下り(外向き)ルールの両方がサポートされています。ファイアウォール ルールが適用される VM ネットワーク インターフェースを指定するには、ターゲット パラメータを使用します。
すべてのターゲット パラメータを省略すると、ファイアウォール ルールは最も広範なインスタンス ターゲットに適用されます。
ターゲット パラメータとターゲット パラメータの組み合わせの詳細については、特定のターゲットをご覧ください。
ターゲット タイプが
INTERNAL_MANAGED_LB(プレビュー)に設定されている場合、ファイアウォール ルールは、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシに適用されます。上り(内向き)ルールのみがサポートされています。ターゲット転送ルール パラメータを省略すると、ファイアウォール ルールは最も広範なロードバランサ ターゲットに適用されます。
ファイアウォール ルールを 1 つのロードバランサに制限するには、ターゲット転送ルール パラメータを使用します。詳しくは、特定のターゲットをご覧ください。
最も広範なインスタンス ターゲット
最も広範なインスタンス ターゲットは、ファイアウォール ポリシーのタイプによって異なります。
階層型ファイアウォール ポリシーのルールの最も広範なインスタンス ターゲット: 階層型ファイアウォール ポリシーに関連付けられた Resource Manager ノード(フォルダまたは組織)内のプロジェクトにある VPC ネットワークの任意のリージョンのサブネット内のすべての VM ネットワーク インターフェース。
グローバル ネットワーク ファイアウォール ポリシーのルールで最も広範なインスタンス ターゲット: グローバル ネットワーク ファイアウォール ポリシーに関連付けられている VPC ネットワークの任意のリージョンのサブネットにあるすべての VM ネットワーク インターフェース。
リージョン ネットワーク ファイアウォール ポリシーのルールの最も広範なインスタンス ターゲット: リージョン ネットワーク ファイアウォール ポリシーに関連付けられているリージョンと VPC ネットワーク内のサブネットにあるすべての VM ネットワーク インターフェース。
最も幅広いロードバランサ ターゲット
リージョン ネットワーク ファイアウォール ポリシーは、ルールがロードバランサ ターゲットをサポートする唯一のポリシーです。最も広範なロードバランサ ターゲットは、ポリシーのリージョンと関連付けられた VPC ネットワーク内の内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサの転送ルールです。
特定のターゲット
次の表に、ターゲット パラメータ、各パラメータを含むルールをサポートするファイアウォール ポリシー、サポートされているルール ターゲット タイプを示します。ターゲット パラメータを指定しない場合、ルールはルールのターゲット タイプに基づいて、最も広範なインスタンス ターゲットまたは最も広範なロードバランサ ターゲットのいずれかを使用します。チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| ターゲット パラメータまたはターゲット パラメータの組み合わせ | ファイアウォール ポリシーのサポート | ルールのターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| ターゲット VPC ネットワーク リソース
|
|||||
| ターゲット サービス アカウント
|
|||||
| ターゲット サービス アカウントとターゲット VPC ネットワーク リソースの組み合わせ
|
|||||
| ネットワークの目的データを含むタグキーからセキュアタグ値をターゲットにする
詳細については、ファイアウォールのセキュアタグをご覧ください。 |
|||||
| 組織の目的データを含むタグキーからセキュアタグの値をターゲットにする
詳細については、ファイアウォールのセキュアタグをご覧ください。 |
|||||
| ターゲット転送ルール
プレビュー ターゲット転送ルールの形式で指定された内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサの単一の転送ルール。このパラメータは、最も広範なロードバランサ ターゲットを特定の内部アプリケーション ロードバランサまたは内部プロキシ ネットワーク ロードバランサに絞り込みます。 |
|||||
ターゲット転送ルールの形式
ファイアウォール ルールのターゲット タイプが INTERNAL_MANAGED_LB(プレビュー)に設定されている場合、ターゲット転送ルールのパラメータは次の形式の値を受け入れます。
リージョン内部アプリケーション ロードバランサとリージョン内部プロキシ ネットワーク ロードバランサの場合:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
クロスリージョン内部アプリケーション ロードバランサとクロスリージョン内部プロキシ ネットワーク ロードバランサの場合:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
上り(内向き)ルールのターゲットと IP アドレス
ファイアウォール ルールのターゲット タイプが省略されているか、INSTANCES に設定されている場合、ルールはターゲット VM のネットワーク インターフェースに転送されるパケットに適用されます。
上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲が含まれている場合、パケットの宛先は、明示的に定義された宛先 IP アドレス範囲のいずれかに一致する必要があります。
上り(内向き)ファイアウォール ルールに宛先 IP アドレス範囲が含まれていない場合、パケットの宛先は、各ターゲット VM の次のいずれかの IP アドレスと一致する必要があります。
インスタンスの NIC に割り振られているプライマリ内部 IPv4 アドレス。
インスタンスの NIC に構成されているエイリアス IP アドレス範囲。
インスタンスの NIC に関連付けられている外部 IPv4 アドレス。
IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。
パススルー ロード バランシングに使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスは、内部パススルー ネットワーク ロードバランサまたは外部パススルー ネットワーク ロードバランサのバックエンドです。
プロトコル転送に使用される転送ルールに関連付けられた内部または外部 IP アドレス。インスタンスはターゲット インスタンスによって参照されます。
インスタンスをネクストホップ VM(
next-hop-instanceまたはnext-hop-address)として使用するカスタム静的ルートの宛先範囲内の IP アドレス。VM が内部パススルー ネットワーク ロードバランサのバックエンドの場合、ネクストホップとしてそのロードバランサ(
next-hop-ilb)を使用するカスタム静的ルートの宛先範囲内の IP アドレス。
ファイアウォール ルールのターゲット タイプが INTERNAL_MANAGED_LB(プレビュー)に設定されている場合、ルールは、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサに関連付けられたマネージド Envoy プロキシに転送されるパケットをフィルタします。上り(内向き)ルールで宛先 IP 範囲を使用する場合は、その範囲に関連するロードバランサの転送ルール IP アドレスが含まれていることを確認してください。
下り(外向き)ルールのターゲットと IP アドレス
ファイアウォール ルールのターゲット タイプが省略されているか、INSTANCES に設定されている場合、ルールはターゲット VM のネットワーク インターフェースから送信されるパケットに適用されます。
ターゲット VM で IP 転送が無効になっている場合(デフォルト)、VM は次の送信元を含むパケットのみを送信できます。
インスタンスの NIC のプライマリ内部 IPv4 アドレス。
インスタンスの NIC に構成されたエイリアス IP アドレス範囲。
IPv6 がサブネットで構成されている場合、NIC に割り当てられた IPv6 アドレス。
パススルー ロード バランシングまたはプロトコル転送の場合、転送ルールに関連付けられた内部または外部 IP アドレス。これは、インスタンスが内部パススルー ネットワーク ロードバランサのバックエンドか、外部パススルー ネットワーク ロードバランサか、あるいはターゲット インスタンスから参照されている場合に有効になります。
下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれている場合でも、ターゲット VM は前述の送信元 IP アドレスに制限されますが、source パラメータを使用して送信元を絞り込むことができます。IP 転送を有効にせずに送信元パラメータを使用しても、パケットの送信元アドレスのセットは展開されません。
下り(外向き)ファイアウォール ルールに送信元 IP アドレス範囲が含まれていない場合、前述のすべての送信元 IP アドレスが許可されます。
ターゲット VM で IP 転送が有効になっている場合、VM は任意の送信元アドレスを持つパケットを送信できます。source パラメータを使用すると、許可されるパケットの送信元のセットをより正確に定義できます。
送信元
source パラメータ値は、ファイアウォール ルールの方向によって異なります。
上り(内向き)ルールの送信元
次の表に、上り(内向き)ルールのソース パラメータ、各パラメータをサポートするファイアウォール ポリシー、各パラメータと互換性のあるルール ターゲット タイプを示します。少なくとも 1 つのソース パラメータを指定する必要があります。チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| 上り(内向き)ルールの送信元パラメータ | ファイアウォール ポリシーのサポート | ルールのターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 送信元 IP アドレス範囲 CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスで構成されるシンプルなリスト。このリストは、ファイアウォール ポリシー ルール自体に保存されます。 |
|||||
| 送信元アドレス グループ CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスの再利用可能なコレクション。ファイアウォール ルールがコレクションを参照している。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。 |
|||||
| 送信元ドメイン名 1 つ以上の送信元ドメイン名のリスト。ドメイン名が IP アドレスに変換される方法など、詳細については、FQDN オブジェクトをご覧ください。 |
|||||
| ネットワークの目的データを含むタグキーから安全なタグ値を取得 目的データで単一の VPC ネットワークが指定されているタグキーの 1 つ以上のタグ値のリスト。詳細については、ファイアウォールのセキュアタグとソースのセキュアタグでパケットソースを表す方法をご覧ください。 |
|||||
| 組織の目的データを含むタグキーからセキュアタグの値を取得する 目的データが |
|||||
| 送信元の位置情報 2 文字の国 / 地域コードで指定された 1 つ以上の送信元の地理的位置のリスト。詳しくは、位置情報オブジェクトをご覧ください。 |
|||||
| Google Threat Intelligence リストのソース 事前に定義された 1 つ以上の Google Threat Intelligence リスト名のリスト。詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。 |
|||||
| ソース ネットワーク タイプ セキュリティ境界を定義する制約。有効な値は、ルールのターゲット タイプによって異なります。詳細については、ネットワーク タイプをご覧ください。 |
|||||
上り(内向き)ルールの送信元の組み合わせ
1 つの入力ルールで、2 つ以上のソース パラメータを使用してソースの組み合わせを作成できます。Cloud NGFW は、各上り(内向き)ルールの送信元組み合わせに次の制約を適用します。
- 送信元 IP アドレス範囲には、IPv4 または IPv6 の CIDR のいずれかを含める必要があります。両方を組み合わせることはできません。
- IPv4 CIDR を含む送信元アドレス グループは、IPv6 CIDR を含む送信元アドレス グループでは使用できません。
- IPv4 CIDR を含む送信元 IP アドレス範囲は、IPv6 CIDR を含む送信元アドレス グループでは使用できません。
- IPv6 CIDR を含む送信元 IP アドレス範囲は、IPv4 CIDR を含む送信元アドレス グループでは使用できません。
- インターネット ネットワーク タイプは、ソース セキュアタグでは使用できません。
- インターネット以外のタイプ、VPC ネットワーク タイプ、VPC 間のタイプは、 ソースの Google Threat Intelligence リストまたは ソースの地理位置情報では使用できません。
Cloud NGFW は、次のロジックを適用して、送信元を組み合わせた上り(内向き)ルールにパケットを照合します。
送信元の組み合わせに送信元ネットワーク タイプが含まれていない場合、パケットは送信元の組み合わせの少なくとも 1 つの送信元パラメータと一致すると、上り(内向き)ルールと一致します。
送信元の組み合わせに送信元ネットワーク タイプが含まれている場合、パケットが送信元ネットワーク タイプと、送信元の組み合わせに含まれる他の送信元パラメータの少なくとも 1 つに一致すると、上り(内向き)ルールに一致します。
ソース セキュアタグでパケットの送信元を表す方法
上り(内向き)ファイアウォール ルールでは、ターゲット タイプが省略されているか INSTANCES に設定されている場合、ソース セキュアタグ値を使用できます。セキュアタグ値は、IP アドレスなどのパケット特性ではなく、ネットワーク インターフェースを識別します。
VM インスタンスのネットワーク インターフェースから送信されたパケットは、次のルールに従って、送信元セキュアタグ値を使用する上り(内向き)ルールと一致します。
上り(内向き)ルールがリージョン ネットワーク ポリシーにある場合、VM インスタンスはリージョン ネットワーク ファイアウォール ポリシーと同じリージョンのゾーンに配置する必要があります。それ以外の場合、VM インスタンスは任意のゾーンに配置できます。
VM インスタンスは、上り(内向き)ファイアウォール ルールで送信元セキュアタグとして使用される同じセキュアタグ値に関連付ける必要があります。
VM インスタンスに関連付けられ、上り(内向き)ファイアウォール ルールで使用されるセキュアタグの値は、
purpose-data属性が VM インスタンスのネットワーク インターフェースを含む少なくとも 1 つの VPC ネットワークを識別するタグキーから取得する必要があります。タグキーの目的データで単一の VPC ネットワークが指定されている場合、ソース セキュアタグ値を使用する上り(内向き)ファイアウォール ルールは、その VPC ネットワーク内の VM インスタンスのネットワーク インターフェースに適用されます。
タグキーの目的データで組織が指定されている場合、送信元セキュアタグ値を使用する上り(内向き)ファイアウォール ルールは、組織の任意の VPC ネットワークにある VM インスタンスのネットワーク インターフェースに適用されます。
特定された VM ネットワーク インターフェースは、次のいずれかの条件を満たしている必要があります。
- VM ネットワーク インターフェースは、ファイアウォール ポリシーが適用される VPC ネットワークと同じ VPC ネットワークにあります。
- VM のネットワーク インターフェースは、VPC ネットワーク ピアリングを使用してファイアウォール ポリシーが適用される VPC ネットワークに接続されている VPC ネットワークにあります。
ファイアウォールのセキュアタグの詳細については、仕様をご覧ください。
下り(外向き)ルールの送信元
階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーの両方の下り(外向き)ルールには、次の送信元を使用できます。
デフォルト(ターゲットによって暗黙的に指定): 下り(外向き)ルールの source パラメータを省略すると、下り(外向き)ルールのターゲットと IP アドレスで説明されているようにパケットの送信元が暗黙的に定義されます。
送信元 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
送信元 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
下り(外向き)ルールの送信元 IP アドレス範囲を追加するには、次のガイドラインに従ってください。
- VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。
下り(外向き)ルールに送信元 IP アドレス範囲と destination パラメータがある場合、destination パラメータは送信元 IP バージョンと同じ IP バージョンに解決されます。
たとえば、下り(外向き)ルールでは、source パラメータに IPv4 アドレス範囲、destination パラメータに FQDN オブジェクトがあります。FQDN が IPv4 アドレスと IPv6 アドレスの両方に解決される場合は、ルールの適用時に解決された IPv4 アドレスのみが使用されます。
宛先
destination パラメータ値は、ファイアウォール ルールの方向によって異なります。
上り(内向き)ルールの送信先
階層型ポリシーとネットワーク ファイアウォール ポリシーの上り(内向き)ファイアウォール ルールには、次の送信先を使用できます。
デフォルト(ターゲットによって暗黙的に指定): 上り(内向き)ルールの destination パラメータを省略すると、上り(内向き)ルールのターゲットと IP アドレスで説明されているように、パケットの宛先が暗黙的に定義されます。
宛先 IPv4 アドレス範囲: CIDR 形式の IPv4 アドレスのリスト。
宛先 IPv6 アドレス範囲: CIDR 形式の IPv6 アドレスのリスト。
上り(内向き)ルールの宛先 IP アドレス範囲を追加するには、次のガイドラインに従ってください。
VM インターフェースに内部 IPv4 アドレスと外部 IPv4 アドレスの両方が割り当てられている場合、ルール評価では内部 IPv4 アドレスのみが使用されます。
上り(内向き)ルールで定義されている source パラメータと destination パラメータの両方がある場合、送信元パラメータは宛先 IP バージョンと同じ IP バージョンに解決されます。上り(内向き)ルールの送信元を定義する方法については、階層型ファイアウォール ポリシーの上り(内向き)ルールの送信元とネットワーク ファイアウォール ポリシーの上り(内向き)ルールの送信元をご覧ください。
たとえば、上り(内向き)ルールでは、destination パラメータに IPv6 アドレス範囲、source パラメータに位置情報の国コードが設定されます。ルールの適用中、マッピングされた IPv6 アドレスのみが指定された送信元の国コードに使用されます。
下り(外向き)ルールの送信先
次の表に、下り(外向き)ルールの宛先パラメータ、各パラメータをサポートするファイアウォール ポリシー、各パラメータと互換性のあるルール ターゲット タイプを示します。少なくとも 1 つの宛先パラメータを指定する必要があります。チェックマークはパラメータがサポートされていることを示し、記号はパラメータがサポートされていないことを示します。
| 下り(外向き)ルールの宛先パラメータ | ファイアウォール ポリシーのサポート | ルールのターゲット タイプのサポート | |||
|---|---|---|---|---|---|
| 階層的 | グローバルなネットワーク | リージョン ネットワーク | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 宛先 IP アドレス範囲 CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスで構成されるシンプルなリスト。このリストは、ファイアウォール ポリシー ルール自体に保存されます。 |
|||||
| 宛先アドレス グループ CIDR 形式の IPv4 アドレスまたは CIDR 形式の IPv6 アドレスの再利用可能なコレクション。ファイアウォール ポリシールールはコレクションを参照します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。 |
|||||
| 宛先ドメイン名 1 つ以上の宛先ドメイン名のリスト。ドメイン名が IP アドレスに変換される方法など、詳細については、FQDN オブジェクトをご覧ください。 |
|||||
| 宛先の位置情報
2 文字の国 / 地域コードで指定された 1 つ以上の送信元の地理的位置のリスト。詳しくは、位置情報オブジェクトをご覧ください。 |
|||||
| 宛先 Google Threat Intelligence リスト 事前に定義された 1 つ以上の Google Threat Intelligence リスト名のリスト。詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。 |
|||||
| 宛先ネットワーク タイプ セキュリティ境界を定義する制約。詳細については、ネットワーク タイプをご覧ください。 |
|||||
下り(外向き)ルールの宛先の組み合わせ
1 つの下り(外向き)ルールで、2 つ以上の宛先パラメータを使用して宛先の組み合わせを作成できます。Cloud NGFW は、各下り(外向き)ルールの宛先の組み合わせに次の制約を適用します。
- 宛先 IP アドレス範囲には、IPv4 または IPv6 の CIDR のいずれかを含める必要があります。両方を組み合わせることはできません。
- IPv4 CIDR を含む宛先アドレス グループは、IPv6 CIDR を含む宛先アドレス グループと一緒に使用できません。
- IPv4 CIDR を含む宛先 IP アドレス範囲は、IPv6 CIDR を含む宛先アドレス グループでは使用できません。
- IPv6 CIDR を含む宛先 IP アドレス範囲は、IPv4 CIDR を含む宛先アドレス グループでは使用できません。
- 宛先 Google 脅威インテリジェンス リストまたは宛先 geolocations は、宛先非インターネット ネットワーク タイプでは使用できません。
Cloud NGFW は、次のロジックを適用して、宛先の組み合わせを使用する下り(外向き)ルールにパケットを照合します。
宛先の組み合わせに宛先ネットワーク タイプが含まれていない場合、パケットは、宛先の組み合わせの宛先パラメータの少なくとも 1 つに一致すると、下り(外向き)ルールに一致します。
宛先の組み合わせに宛先ネットワーク タイプが含まれている場合、パケットは宛先ネットワーク タイプと宛先の組み合わせに含まれる他の宛先パラメータの少なくとも 1 つに一致すると、下り(外向き)ルールに一致します。
ネットワークの種類
ネットワーク タイプを使用すると、ファイアウォール ポリシー ルールの数を減らし、効率的にセキュリティ目標を達成できます。Cloud NGFW は、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのルールの送信元または宛先の組み合わせの作成に使用できる 4 つのネットワーク タイプをサポートしています。
ネットワークの種類
次の表に、4 つのネットワーク タイプをファイアウォール ルールで使用する方法を示します。
| ネットワークの種類 | サポートされているターゲット タイプ | サポートされている方向、ソースの組み合わせ、宛先の組み合わせ | ||
|---|---|---|---|---|
INSTANCES |
INTERNAL_MANAGED_LB |
上り(内向き)ルールの送信元組み合わせ | 下り(外向き)ルールの宛先の組み合わせ | |
インターネット(INTERNET) |
||||
インターネット以外(NON_INTERNET) |
||||
VPC ネットワーク(VPC_NETWORKS) |
||||
VPC 内(INTRA_VPC) |
||||
インターネット ネットワーク タイプと非インターネット ネットワーク タイプは相互に排他的です。VPC ネットワークと VPC 内ネットワークのタイプは、インターネット以外のネットワーク タイプのサブセットです。
インターネット ネットワークの種類
インターネット ネットワーク タイプ(INTERNET)は、上り(内向き)ルールの送信元組み合わせの一部として、または下り(外向き)ルールの宛先組み合わせの一部として使用できます。
上り(内向き)ルールの場合は、インターネット タイプの送信元と、セキュアタグの送信元を除く、少なくとも 1 つの他の送信元パラメータを指定します。パケットは、他の送信元パラメータと上り(内向き)パケットのインターネット ネットワーク タイプの基準の少なくとも 1 つに一致する場合、上り(内向き)ルールに一致します。
下り(外向き)ルールの場合、インターネット タイプの宛先と、少なくとも 1 つの他の宛先パラメータを指定します。パケットが他の宛先パラメータと下り(外向き)パケットのインターネット ネットワーク タイプの基準の少なくとも 1 つに一致する場合、パケットは下り(外向き)ルールに一致します。
インターネット以外のネットワーク タイプ
非インターネット ネットワーク タイプ(NON-INTERNET)は、上り(内向き)ルールの送信元または下り(外向き)ルールの宛先の一部として使用できます。
上り(内向き)ルールの場合、インターネット以外のタイプの送信元と、セキュアな地理位置情報または送信元 Google 脅威インテリジェンス リストを除く、少なくとも 1 つの他の送信元パラメータを指定します。パケットが、他のソース パラメータと上り(内向き)パケットの非インターネット ネットワーク タイプの基準の少なくとも 1 つに一致する場合、パケットは上り(内向き)ルールに一致します。
下り(外向き)ルールの場合は、インターネット以外のタイプの宛先と、他の宛先パラメータを少なくとも 1 つ指定します。パケットが他の宛先パラメータと下り(外向き)パケットの非インターネット ネットワーク タイプの基準の少なくとも 1 つに一致する場合、パケットは下り(外向き)ルールと一致します。
VPC ネットワークのタイプ
VPC ネットワーク ネットワーク タイプ(VPC_NETWORKS)は、上り(内向き)ルールの送信元組み合わせの一部としてのみ使用できます。VPC ネットワーク タイプを上り(内向き)ルールの送信元組み合わせの一部として使用するには、次の操作を行います。
送信元 VPC ネットワークのリストを指定する必要があります。
- 送信元ネットワーク リストには、少なくとも 1 つの VPC ネットワークが含まれている必要があります。ソース ネットワーク リストには、最大 250 個の VPC ネットワークを追加できます。
- VPC ネットワークをソース ネットワーク リストに追加するには、その前に VPC ネットワークが存在している必要があります。
- ネットワークを追加するには、URL 識別子の一部または全体を使用します。
- ソース ネットワーク リストに追加する VPC ネットワークは、相互に接続されている必要はありません。各 VPC ネットワークは任意のプロジェクトに配置できます。
- VPC ネットワークがソース ネットワーク リストに追加された後に削除された場合、削除されたネットワークへの参照はリストに残ります。Cloud NGFW は、上り(内向き)ルールを適用するときに、削除された VPC ネットワークを無視します。ソース ネットワーク リスト内のすべての VPC ネットワークが削除されると、リストに依存する上り(内向き)ルールは、どのパケットとも一致しないため無効になります。
Google Threat Intelligence リストソースまたは 位置情報ソースを除く、他のソース パラメータを少なくとも 1 つ指定する必要があります。
パケットが他の送信元パラメータと VPC ネットワーク タイプの基準の少なくとも 1 つに一致する場合、パケットは上り(内向き)ルールと一致します。
VPC ネットワーク内タイプ
VPC 内ネットワーク ネットワーク タイプ(INTRA_VPC)は、上り(内向き)ルールの送信元組み合わせの一部としてのみ使用できます。上り(内向き)ルールの送信元組み合わせの一部として VPC 内ネットワーク タイプを使用するには、 Google Threat Intelligence リストの送信元または 位置情報送信元を除く、他の送信元パラメータを 1 つ以上指定する必要があります。
パケットが他の送信元パラメータの少なくとも 1 つと一致し、かつ VPC 内ネットワーク タイプの条件と一致する場合、パケットは上り(内向き)ルールと一致します。
位置情報オブジェクト
ファイアウォール ポリシールールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。
位置情報オブジェクトを含むルールを上り(内向き)トラフィックと下り(外向き)トラフィックに適用できます。トラフィックの方向に基づいて、国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と照合されます。
階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの位置情報オブジェクトを構成できます。
ファイアウォール ポリシー ルールに位置情報を追加するには、ISO 3166 alpha-2 国コードで定義されている 2 文字の国 / 地域コードを使用します。
たとえば、米国からのネットワークへの受信トラフィックのみを許可する場合は、送信元の国コードを
US、アクションをallowに設定して、上り(内向き)ファイアウォール ポリシールールを作成します。同様に、米国へのアウトバウンド トラフィックのみを許可する場合は、宛先の国コードをUS、アクションをallowに設定して、下り(外向き)ファイアウォール ポリシールールを構成します。Cloud NGFW を使用すると、米国の包括的な制裁措置の対象となる次の地域のファイアウォール ルールを構成できます。
地域 割り当てられたコード クリミア XC 「ドネツク人民共和国」(自称)および「ルハンスク人民共和国」(自称) XD 1 つのファイアウォール ルールに重複する国コードが含まれている場合、その国コードのエントリは 1 つだけ保持されます。重複するエントリは削除されます。たとえば、国コードのリスト
ca,us,usでは、ca,usのみが保持されます。Google では、IP アドレスと国コードのマッピングを使用してデータベースを保守しています。Google Cloud ファイアウォールは、このデータベースを使用して、送信元と宛先のトラフィックの IP アドレスを国コードにマッピングし、位置情報オブジェクトを使用して、一致するファイアウォール ポリシー ルールを適用します。
IP アドレスの割り当てと国コードは、次の条件で変更されることがあります。
- 地理的位置間での IP アドレスの移動
- ISO 3166 alpha-2 国コードの標準の更新
これらの変更が Google のデータベースに反映されるまでにはしばらく時間がかかるため、トラフィックが中断したり、特定のトラフィックがブロックされたり、許可されることがあります。
位置情報オブジェクトを他のファイアウォール ポリシールール フィルタとともに使用する
位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。ルールの方向に応じて、指定されたすべてのフィルタの結合に一致する受信トラフィックまたは送信トラフィックにファイアウォール ポリシールールが適用されます。
位置情報オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォール ポリシーの上り(内向き)ルールのソースを参照してください。
位置情報オブジェクトが下り(外向き)ルールの他の宛先フィルタとどのように連携するかについては、下り(外向き)ルールの宛先をご覧ください。
ファイアウォール ポリシールールの Google 脅威インテリジェンス
ファイアウォール ポリシールールを使用すると、Google 脅威インテリジェンス データに基づいてトラフィックを許可またはブロックすることで、ネットワークを保護できます。Google Threat Intelligence のデータには、次のカテゴリに基づく IP アドレスのリストが含まれます。
- Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るエンドポイント)をブロックします。
- 既知の悪意のある IP アドレス: ウェブ アプリケーションに対する攻撃の発生源として知られている IP アドレス。アプリケーションのセキュリティを改善するには、これらの IP アドレスをブロックします。
- 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
- パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。このカテゴリは、さらに次のサブカテゴリに分類されます。
- アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲
- Microsoft Azure で使用される IP アドレス範囲
- Google Cloudで使用される IP アドレス範囲
- Google サービスで使用される IP アドレス範囲
Google 脅威インテリジェンスのデータリストには、IPv4 アドレス、IPv6 アドレス、またはその両方を含めることができます。ファイアウォール ポリシー ルールで Google Threat Intelligence を構成するには、許可またはブロックするカテゴリに基づいて、事前に定義された Google Threat Intelligence リスト名を使用します。このリストは継続的に更新されています。追加の構成を行わなくても、サービスを新たな脅威から保護します。有効なリスト名は次のとおりです。
| リスト名 | 説明 |
|---|---|
| 既知の悪意のある IP ( iplist-known-malicious-ips) |
ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します |
| 検索エンジンのクローラー ( iplist-search-engines-crawlers) |
検索エンジンのクローラの IP アドレスと一致します。 |
| TOR の出口ノード ( iplist-tor-exit-nodes) |
TOR 終了ノードの IP アドレスと一致します |
| パブリック クラウド IP ( iplist-public-clouds) |
パブリック クラウドに属する IP アドレスと一致します |
| パブリック クラウド - AWS ( iplist-public-clouds-aws) |
アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲と一致します。 |
| パブリック クラウド - Azure ( iplist-public-clouds-azure) |
Microsoft Azure が使用する IP アドレス範囲と一致します。 |
| パブリック クラウド - GCP ( iplist-public-clouds-gcp) |
Google Cloudで使用される IP アドレス範囲と一致します。 |
| パブリック クラウド - Google サービス ( iplist-public-clouds-google-services) |
Google サービスが使用する IP アドレス範囲と一致します。 |
| VPN プロバイダ ( iplist-vpn-providers) |
評価の低い VPN プロバイダに属する IP アドレスと一致します |
| 匿名プロキシ ( iplist-anon-proxies) |
公開の匿名プロキシに属する IP アドレスと一致します |
| クリプト マイニング サイト ( iplist-crypto-miners) |
暗号通貨マイニング サイトに属する IP アドレスと一致します |
他のファイアウォール ポリシールール フィルタで Google Threat Intelligence を使用する
Google 脅威インテリジェンスを使用してファイアウォール ポリシールールを定義するには、次のガイドラインを準拠してください。
下り(外向き)ルールの場合、1 つ以上の宛先 Google 脅威インテリジェンス リストを使用して宛先を指定します。
上り(内向き)ルールの場合、1 つ以上の送信元 Google Threat Intelligence リストを使用して送信元を指定します。
Google Threat Intelligence リストは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーに対して構成できます。
これらのリストは、他の送信元または宛先ルールのフィルタ コンポーネントと組み合わせて使用できます。
Google 脅威インテリジェンス リストが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。
Google 脅威インテリジェンス リストが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。
ファイアウォール ロギングはルールレベルで行われます。ファイアウォール ルールの効果のデバッグと分析を簡単にするため、1 つのファイアウォール ルールに複数の Google 脅威インテリジェンス リストを含めないでください。
ファイアウォール ポリシー ルールには、複数の Google 脅威インテリジェンス リストを追加できます。ルールに含まれるリスト名は、そのリストに含まれる IP アドレスの数または IP アドレス範囲の数に関係なく、1 つの属性としてカウントされます。たとえば、ファイアウォール ポリシー ルールに
iplist-tor-exit-nodes、iplist-known-malicious-ips、iplist-search-engines-crawlersのリスト名を含めると、ファイアウォール ポリシーあたりのルール属性の数は 3 個増加します。ルール属性のカウントの詳細については、割り当てと上限をご覧ください。
Google Threat Intelligence リストの例外の作成
Google 脅威インテリジェンス リストに適用されるルールが複数ある場合は、次の方法で、Google 脅威インテリジェンス リスト内の特定の IP アドレスに適用される例外ルールを作成できます。
選択的許可ファイアウォール ルール: Google 脅威インテリジェンス リストとの間で送受信されるパケットを拒否する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。Google 脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを許可するには、送信元または宛先として例外の IP アドレスを指定して、優先度の高い上り(内向き)または下り(外向き)の許可ファイアウォール ルールを別途作成します。
選択的拒否ファイアウォール ルール: Google 脅威インテリジェンス リストとの間で送受信されるパケットを許可する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。Google 脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを拒否するには、送信元または宛先として例外 IP アドレスを指定し、優先度の高い上り(内向き)または下り(外向き)拒否のファイアウォール ルールを作成します。
ファイアウォール ポリシーのアドレス グループ
アドレス グループは、IPv4 アドレス範囲または IPv6 アドレス範囲の CIDR 形式の論理コレクションです。アドレス グループを使用すると、多くのファイアウォール ルールによって参照される一貫した送信元または宛先を定義できます。アドレス グループは、それを使用するファイアウォール ルールを変更せずに更新できます。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
上り(内向き)と下り(外向き)のファイアウォール ルールで、送信元アドレスグループと宛先アドレス グループをそれぞれ定義できます。
送信元アドレス グループが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。
宛先アドレス グループが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。
FQDN オブジェクト
完全修飾ドメイン名(FQDN)オブジェクトには、ドメイン名形式で指定したドメイン名が含まれます。FQDN オブジェクトは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの上り(内向き)ルールの送信元、または下り(外向き)ルールの宛先として使用できます。
FQDN は他のパラメータと組み合わせることができます。上り(内向き)ルールのソース パラメータの組み合わせの詳細については、上り(内向き)ルールの送信元をご覧ください。下り(外向き)ルールの宛先パラメータの組み合わせの詳細については、下り(外向き)ルールの宛先をご覧ください。
FQDN オブジェクトは、Cloud DNS レスポンス ポリシー、VPC ネットワーク スコープの限定公開マネージド ゾーン、Compute Engine 内部 DNS 名、パブリック DNS ゾーンをサポートしています。このサポートは、VPC ネットワークに代替ネームサーバーを指定する送信サーバー ポリシーがない限り適用されます。詳細については、VPC ネットワークの解決順序をご覧ください。
FQDN オブジェクトを IP アドレスにマッピングする
Cloud NGFW は、FQDN オブジェクトを IP アドレスに定期的に解決します。Cloud NGFW は、ファイアウォール ルールのターゲットを含む VPC ネットワークで、Cloud DNS の VPC 名前解決の順序に従います。
Cloud NGFW は、IP アドレスの解決に次の動作を使用します。
CNAME 追跡をサポート。Cloud NGFW は、FQDN オブジェクト クエリの回答が CNAME レコードの場合、Cloud DNS の CNAME 追跡を使用します。
プログラムの IP アドレス。Cloud NGFW は、FQDN オブジェクトを使用するファイアウォール ルールをプログラミングするときに、解決された IP アドレスを使用します。各 FQDN オブジェクトは、最大 32 個の IPv4 アドレスと 32 個の IPv6 アドレスにマッピングできます。
FQDN オブジェクト クエリの DNS 応答が 32 個を超える IPv4 アドレスまたは 32 個を超える IPv6 アドレスに解決される場合、Cloud NGFW は、ファイアウォール ルールでプログラムされた IP アドレスを最初の 32 個の IPv4 アドレスと最初の 32 個の IPv6 アドレスに制限します。
FQDN オブジェクトを無視する。Cloud NGFW が FQDN オブジェクトを IP アドレスに解決できない場合、FQDN オブジェクトは無視されます。次の場合、Cloud NGFW は FQDN オブジェクトを無視します。
NXDOMAIN件の回答を受信した場合。NXDOMAIN応答は、FQDN オブジェクト クエリの DNS レコードが存在しないことを示すネームサーバーからの明示的な応答です。回答に IP アドレスが存在しない場合。この場合、FQDN オブジェクト クエリの結果は、Cloud NGFW がファイアウォール ルールのプログラミングに使用できる IP アドレスになりません。
Cloud DNS サーバーにアクセスできない場合。回答を提供する DNS サーバーに到達できない場合、Cloud NGFW は FQDN オブジェクトを無視します。
FQDN オブジェクトが無視されると、Cloud NGFW は可能であればファイアウォール ルールの残りの部分をプログラムします。
FQDN オブジェクトに関する考慮事項
FQDN オブジェクトについては、次の点を考慮してください。
FQDN オブジェクトは IP アドレスとしてマッピングされ、プログラムされるため、2 つ以上の FQDN オブジェクトが同じ IP アドレスにマッピングされる場合、Cloud NGFW は次の動作をします。同じターゲットに適用される次の 2 つのファイアウォール ルールがあるとします。
- ルール 1: 優先度
100、送信元 FQDNexample1.comからの上り(内向き)を許可 - ルール 2: 優先度
200、送信元 FQDNexample2.comからの上り(内向き)を許可
example1.comとexample2.comの両方が同じ IP アドレスに解決される場合、example1.comとexample2.comの両方からの上り(内向き)パケットは、優先度の高い最初のファイアウォール ルールと一致します。- ルール 1: 優先度
FQDN オブジェクトを使用する際の考慮事項は次のとおりです。
DNS クエリでは、リクエスト元のクライアントの場所に基づく一意の結果が返されることがあります。
DNS ベースのロード バランシング システムが関与している場合、DNS 応答は大きく変動する可能性があります。
DNS 応答には 32 個を超える IPv4 アドレスが含まれる場合があります。
DNS 応答には 32 個を超える IPv6 アドレスが含まれる場合があります。
上記の状況では、Cloud NGFW はファイアウォール ルールが適用される VM ネットワーク インターフェースを含む各リージョンで DNS クエリを実行するため、ファイアウォール ルールでプログラムされた IP アドレスには、FQDN に関連付けられたすべての IP アドレスが含まれていません。
googleapis.comなどの Google のほとんどのドメイン名は、これらの状況の 1 つ以上に該当します。代わりに、IP アドレスまたはアドレス グループを使用します。有効期間(TTL)が 90 秒未満の DNS
Aレコードで FQDN オブジェクトを使用しないでください。
ドメイン名の形式
FQDN オブジェクトは、標準の FQDN 形式に準拠する必要があります。この形式は、RFC 1035、RFC 1123、RFC 4343 で定義されています。Cloud NGFW は、次のすべての形式ルールを満たさないドメイン名を含む FQDN オブジェクトを拒否します。
各 FQDN オブジェクトは、2 つ以上のラベルを含むドメイン名である必要があります。
- 各ラベルは、次の文字のみを使用した正規表現と一致する必要があります。
[a-z]([-a-z0-9][a-z0-9])?.。 - 各ラベルの長さは 1 ~ 63 文字にする必要があります。
- ラベルはドット(.)で連結する必要があります。
そのため、FQDN オブジェクトでは、ワイルドカード文字(
*)やトップレベル(ルート)ドメイン名(*.example.com.や.orgなど)はサポートされていません。これらには単一のラベルのみが含まれているためです。- 各ラベルは、次の文字のみを使用した正規表現と一致する必要があります。
FQDN オブジェクトは国際化ドメイン名(IDN)をサポートしています。IDN は Unicode 形式または Punycode 形式で指定できます。次の点を考慮してください。
Unicode 形式で IDN を指定すると、Cloud NGFW は IDN を Punycode 形式に変換してから処理します。
IDN コンバータを使用して、IDN の Punycode 表現を作成できます。
Punycode 形式に変換した後は、IDN に対して、1 ラベルあたり 1 ~ 63 文字の制限が適用されます。
完全修飾ドメイン名(FQDN)のエンコード長は 255 バイト(オクテット)以下にする必要があります。
Cloud NGFW は、同じファイアウォール ルール内の同等のドメイン名をサポートしていません。たとえば、2 つのドメイン名(または IDN の Punycode 表現)の末尾のドット(.)が異なっている場合、Cloud NGFW はこれらを同等とみなします。