このページでは、ファイアウォール ポリシールールが Google Threat Intelligence データに基づいてトラフィックを許可またはブロックすることでネットワークを保護する方法について説明します。Google Threat Intelligence のデータには、次のカテゴリに基づく IP アドレスのリストが含まれます。
- Tor 終了ノード: Tor は、匿名通信を可能にするオープンソース ソフトウェアです。自分の ID を非表示にしたユーザーを除外するには、Tor の出口ノードの IP アドレス(トラフィックが Tor ネットワークから出るエンドポイント)をブロックします。
- 既知の悪意のある IP アドレス: ウェブ アプリケーションに対する攻撃の発生源として知られている IP アドレス。アプリケーションのセキュリティを改善するには、これらの IP アドレスをブロックします。
- 検索エンジン: サイトのインデックス登録を許可できる IP アドレス。
- パブリック クラウド IP アドレス範囲: このカテゴリは、悪意のある自動ツールがウェブ アプリケーションを閲覧しないようにブロックできます。ご使用のサービスが他のパブリック クラウドを使用している場合は許可できます。このカテゴリは、さらに次のサブカテゴリに分類されます。
- アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲
- Microsoft Azure で使用される IP アドレス範囲
- Google Cloudで使用される IP アドレス範囲
- Google サービスで使用される IP アドレス範囲
Google 脅威インテリジェンスのデータリストには、IPv4 アドレス、IPv6 アドレス、またはその両方を含めることができます。ファイアウォール ポリシー ルールで Google Threat Intelligence を構成するには、許可またはブロックするカテゴリに基づいて、事前に定義された Google Threat Intelligence リスト名を使用します。このリストは継続的に更新されています。追加の構成を行わなくても、サービスを新たな脅威から保護します。有効なリスト名は次のとおりです。
| リスト名 | 説明 |
|---|---|
| 既知の悪意のある IP ( iplist-known-malicious-ips) |
ウェブ アプリケーションを攻撃することが知られている IP アドレスと一致します |
| 検索エンジンのクローラー ( iplist-search-engines-crawlers) |
検索エンジンのクローラの IP アドレスと一致します。 |
| TOR の出口ノード ( iplist-tor-exit-nodes) |
TOR 終了ノードの IP アドレスと一致します |
| パブリック クラウド IP ( iplist-public-clouds) |
パブリック クラウドに属する IP アドレスと一致します |
| パブリック クラウド - AWS ( iplist-public-clouds-aws) |
アマゾン ウェブ サービス(AWS)で使用される IP アドレス範囲と一致します。 |
| パブリック クラウド - Azure ( iplist-public-clouds-azure) |
Microsoft Azure が使用する IP アドレス範囲と一致します。 |
| パブリック クラウド - Google Cloud ( iplist-public-clouds-gcp) |
Compute Engine VM や GKE クラスタなど、お客様のリソースで使用される IP アドレス範囲と一致します。これらの範囲には、すべての Google Cloud ユーザーが使用する顧客割り当ての IP 範囲が含まれており、独自のプロジェクトや組織に限定されません。 |
| パブリック クラウド - Google サービス ( iplist-public-clouds-google-services) |
API とウェブアクセスに使用される IP アドレス範囲を、 Google Cloud、Google Workspace、マップ、YouTube など、すべての Google サービスに照合します。このリストは、Google Public DNS などの Google 所有のサービス インフラストラクチャを対象としており、 Google Cloud リストの顧客割り当て IP とは異なる Google パブリック IP 範囲のサブセットを表します。 |
| VPN プロバイダ ( iplist-vpn-providers) |
評価の低い VPN プロバイダに属する IP アドレスと一致します |
| 匿名プロキシ ( iplist-anon-proxies) |
公開の匿名プロキシに属する IP アドレスと一致します |
| クリプト マイニング サイト ( iplist-crypto-miners) |
暗号通貨マイニング サイトに属する IP アドレスと一致します |
他のファイアウォール ポリシールール フィルタで Google Threat Intelligence を使用する
Google 脅威インテリジェンスを使用してファイアウォール ポリシールールを定義するには、次のガイドラインを準拠してください。
下り(外向き)ルールの場合、1 つ以上の宛先 Google 脅威インテリジェンス リストを使用して宛先を指定します。
上り(内向き)ルールの場合、1 つ以上の送信元 Google Threat Intelligence リストを使用して送信元を指定します。
Google Threat Intelligence リストは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーに対して構成できます。
これらのリストは、他の送信元または宛先ルールのフィルタ コンポーネントと組み合わせて使用できます。
Google 脅威インテリジェンス リストが上り(内向き)ルールの他のソースフィルタと連携する仕組みについては、階層型ファイアウォール ポリシーの上り(内向き)ルールのソースとネットワーク ファイアウォールの上り(内向き)ルールのソースポリシーをご確認ください。
Google 脅威インテリジェンス リストが下り(外向き)ルールの他の宛先フィルタと連携する仕組みについては、下り(外向き)ルールの宛先をご覧ください。
ファイアウォール ロギングはルールレベルで行われます。ファイアウォール ルールの効果のデバッグと分析を簡単にするため、1 つのファイアウォール ルールに複数の Google 脅威インテリジェンス リストを含めないでください。
ファイアウォール ポリシー ルールには、複数の Google 脅威インテリジェンス リストを追加できます。ルールに含まれるリスト名は、そのリストに含まれる IP アドレスの数または IP アドレス範囲の数に関係なく、1 つの属性としてカウントされます。たとえば、ファイアウォール ポリシー ルールに
iplist-tor-exit-nodes、iplist-known-malicious-ips、iplist-search-engines-crawlersのリスト名を含めると、ファイアウォール ポリシーあたりのルール属性の数は 3 個増加します。ルール属性のカウントの詳細については、ルール属性の数の詳細をご覧ください。
Google Threat Intelligence リストの例外の作成
Google 脅威インテリジェンス リストに適用されるルールが複数ある場合は、次の方法で、Google 脅威インテリジェンス リスト内の特定の IP アドレスに適用される例外ルールを作成できます。
選択的許可ファイアウォール ルール: Google 脅威インテリジェンス リストとの間で送受信されるパケットを拒否する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。Google 脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを許可するには、送信元または宛先として例外の IP アドレスを指定して、優先度の高い上り(内向き)または下り(外向き)の許可ファイアウォール ルールを別途作成します。
選択的拒否ファイアウォール ルール: Google 脅威インテリジェンス リストとの間で送受信されるパケットを許可する上り(内向き)または下り(外向き)のファイアウォール ルールがあるとします。Google 脅威インテリジェンス リスト内の特定の IP アドレスとの間のパケットを拒否するには、送信元または宛先として例外 IP アドレスを指定し、優先度の高い上り(内向き)または下り(外向き)拒否のファイアウォール ルールを作成します。