ファイアウォール ポリシー ルールで位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。
位置情報オブジェクトを含むルールを上り(内向き)トラフィックと下り(外向き)トラフィックに適用できます。 トラフィックの方向に基づいて、国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と照合されます。
仕様
位置情報オブジェクトには、次のファイアウォールの仕様が適用されます。
階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの位置情報オブジェクトを構成できます。
ファイアウォール ポリシー ルールに位置情報を追加するには、ISO 3166 alpha-2 国コードで定義されている 2 文字の国 / 地域コードを使用します。
たとえば、米国からのネットワークへの受信トラフィックのみを許可する場合は、送信元の国コードを
US、アクションをallowに設定して、上り(内向き)ファイアウォール ポリシールールを作成します。同様に、米国へのアウトバウンド トラフィックのみを許可する場合は、宛先の国コードをUS、アクションをallowに設定して、下り(外向き)ファイアウォール ポリシールールを構成します。Cloud NGFW を使用すると、米国の包括的な制裁措置の対象となる次の地域のファイアウォール ルールを構成できます。
地域 割り当てられたコード クリミア XC 「ドネツク人民共和国」(自称)および「ルハンスク人民共和国」(自称) XD 1 つのファイアウォール ルールに重複する国コードが含まれている場合、その国コードのエントリは 1 つだけ保持されます。重複するエントリは削除されます。たとえば、国コードのリスト
ca,us,usでは、ca,usのみが 保持されます。Google では、IP アドレスと国コードのマッピングを使用してデータベースを保守しています。 Google Cloud ファイアウォールは、このデータベースを使用して、 送信元と宛先のトラフィックの IP アドレスを国コードにマッピングし、 位置情報オブジェクトを使用して、一致するファイアウォール ポリシー ルールを適用します。
IP アドレスの割り当てと国コードは、次の条件で変更されることがあります。
- 地理的位置間での IP アドレスの移動
- ISO 3166 alpha-2 国コードの標準の更新
これらの変更が Google のデータベースに反映されるまでにはしばらく時間がかかるため、トラフィックが中断したり、特定のトラフィックがブロックされたり、許可されることがあります。
内部 IP アドレスの位置情報オブジェクトのマッチング
位置情報オブジェクトは、外部 IP アドレスに適用するように設計されています。 位置情報オブジェクトは、次の表に示すプライベート内部 IP アドレスには適用されません。
| アドレスの種類 | 範囲と仕様 |
|---|---|
| 内部 IPv4(プライベート) | RFC で定義されたすべてのプライベート IPv4 アドレス範囲
(RFC 1918 と RFC 6598 を含む)とリンクローカル アドレス
(169.254.0.0/16)。 |
| 内部 IPv6(プライベート) | ユニーク ローカル アドレス(ULA)(fc00::/7)とリンクローカル
アドレス(fe80::/10)。 |
ただし、位置情報オブジェクトのファイアウォール ポリシー ルールは、プライベートで使用されるパブリック IP アドレスである場合、内部 IP アドレスに適用されます。 これらのアドレスは VPC ネットワークの内部にありますが、パブリック アドレスであり、位置情報オブジェクトと照合されます。 プライベートで使用されるパブリック IP アドレスを使用する際の通信の問題を防ぐには、プライベートで使用されるパブリック IP アドレス範囲との間のトラフィックを許可する、優先度の高いファイアウォール ポリシー ルールを作成します。
位置情報オブジェクトを他のファイアウォール ポリシールール フィルタとともに使用する
位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。ルールの方向に応じて、指定されたすべてのフィルタの結合に一致する受信トラフィックまたは送信トラフィックにファイアウォール ポリシールールが適用されます。
位置情報オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、上り(内向き)ルールのソースを参照してください。
位置情報オブジェクトが下り(外向き)ルールの他の宛先 フィルタとどのように連携するかについては、下り(外向き)ルールの宛先 をご覧ください。