階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、またはリージョン ネットワーク ファイアウォール ポリシーを作成すると、Cloud NGFW は事前定義されたルールをポリシーに追加します。Cloud NGFW がポリシーに追加する事前定義ルールは、ポリシーの作成方法によって異なります。
事前定義ルールの種類
Google Cloud コンソールを使用してファイアウォール ポリシーを作成すると、Cloud NGFW は新しいポリシーに次のルールを追加します。
- プライベート IPv4 範囲の goto-next ルール
- 事前定義された Google Threat Intelligence の拒否ルール
- 事前定義された位置情報拒否ルール
- 優先度が最も低い goto-next ルール
Google Cloud CLI または API を使用してファイアウォール ポリシーを作成した場合、Cloud NGFW は優先度が最も低い goto-next ルールのみをポリシーに追加します。
新しいファイアウォール ポリシーの事前定義ルールはすべて、意図的に低い優先度(大きな優先度の数値)を使用するため、優先度の高い上り(内向き)ルールまたは下り(外向き)ルールを作成することで、それらをオーバーライドできます。優先度が最も低い goto-next ルールを除き、事前定義ルールをカスタマイズすることもできます。
プライベート IPv4 範囲の goto-next ルール
宛先 IPv4 範囲が
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先度が1000、アクションがgoto_nextの下り(外向き)ルール。送信元 IPv4 範囲が
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先度が1001、アクションがgoto_nextの上り(内向き)ルール。
事前定義された Google Threat Intelligence の拒否ルール
送信元の Google Threat Intelligence リストが
iplist-tor-exit-nodes、優先度が1002、アクションがdenyの上り(内向き)ルール。送信元の Google Threat Intelligence リストが
iplist-known-malicious-ips、優先度が1003、アクションがdenyの上り(内向き)ルール。宛先の Google 脅威インテリジェンス リストが
iplist-known-malicious-ips、優先度が1004、アクションがdenyの下り(外向き)ルール。
Google Threat Intelligence の詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。
事前定義された位置情報拒否ルール
- 送信元の位置情報が
CU、IR、KP、SY、XC、XD、優先度が1005、アクションがdenyの上り(内向き)ツール。
位置情報について詳しくは、位置情報オブジェクトをご覧ください。
優先度が最も低い goto-next ルール
次のルールは変更または削除できません。
宛先 IPv6 範囲が
::/0、優先度が2147483644、アクションがgoto_nextの下り(外向き)ルール。送信元 IPv6 範囲が
::/0、優先度が2147483645、アクションがgoto_nextの上り(内向き)ルール。宛先 IPv4 範囲が
0.0.0.0/0、優先度が2147483646、アクションがgoto_nextの下り(外向き)ルール。送信元 IPv4 範囲が
0.0.0.0/0、優先度が2147483647、アクションがgoto_nextの上り(内向き)ルール。
次のステップ
- 事前定義ルールを変更します。詳細については、グローバル ネットワーク ファイアウォール ポリシールールを更新する、リージョン ネットワーク ファイアウォール ポリシールールを更新する、階層型ファイアウォール ポリシールールを更新するをご覧ください。
- 独自のルールを追加します。詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成する、リージョン ネットワーク ファイアウォール ポリシーを作成する、ファイアウォール ポリシーを作成するをご覧ください。