URL フィルタリング サービスを使用すると、下り(外向き)の HTTP メッセージまたは HTTPS メッセージで使用可能なドメイン名と Server Name Indication(SNI)の情報を使用して、 Google Cloud ワークロード トラフィックをフィルタリングできます。このサービスは、構成された悪意のある URL のリストとの通信をブロックすることで、ネットワークを脅威から保護します。ネットワークでこのサービスを有効にするには、複数の Cloud Next Generation Firewall コンポーネントを設定する必要があります。このチュートリアルでは、ネットワークで URL フィルタリング サービスを構成するエンドツーエンドのワークフローについて説明します。
目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- 2 つのサブネットを持つ Virtual Private Cloud(VPC)ネットワークを作成します。
- VPC ネットワークの最初のサブネットにサーバー仮想マシン(VM)インスタンスを作成し、VM に Apache サーバーをインストールします。
- VPC ネットワークの 2 番目のサブネットにクライアント VM インスタンスを作成します。
- URL フィルタリング セキュリティ プロファイルとセキュリティ プロファイル グループを作成します。
- ファイアウォール エンドポイントを作成し、VPC ネットワークに関連付けます。
- 次のファイアウォール ルールを使用して、グローバル ネットワーク ファイアウォール ポリシーを追加します。
- VPC ネットワーク内の VM インスタンスへの Identity-Aware Proxy(IAP)アクセスを有効にするファイアウォール ルール。
- レイヤ 7 検査のすべての下り(外向き)トラフィックを転送するファイアウォール ルール。
- サーバー VM インスタンスへのトラフィックが許可されているかどうかを確認します。
- リソースをクリーンアップします。
次の図は、このチュートリアルのデプロイ設定の概要を示しています。VPC vpc-urlf のファイアウォール ポリシー fw-policy-urlf は、すべての下り(外向き)トラフィックをゾーン asia-southeast1-a のファイアウォール エンドポイント endpoint-urlf にリダイレクトします。エンドポイントは、下り(外向き)の HTTP または HTTPS メッセージに含まれているドメイン名と SNI の情報を検査し、URL フィルタリング セキュリティ プロファイル sec-profile-urlf にリストされている URL と照合します。エンドポイントで一致するものが見つかった場合、トラフィックは許可されます。一致するものが見つからなかった場合、トラフィックは拒否されます。
費用
ファイアウォール エンドポイントの作成には費用がかかります。料金の詳細については、Cloud Next Generation Firewall の料金をご覧ください。
始める前に
- Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- プロジェクトで Compute Engine API を有効にします。
- プロジェクトで Network Security API を有効にします。
- プロジェクトで Identity-Aware Proxy API を有効にします。
- 組織に Compute ネットワーク管理者(
roles/compute.networkAdmin)の IAM ロールが付与されている必要があります。 - コマンドラインから作業する場合は、Google Cloud CLI をインストールします。ツールのコンセプトとインストールについては、gcloud CLI の概要をご覧ください。
注: gcloud CLI を初めて実行する場合は、まず
gcloud initを実行して、gcloud CLI ディレクトリを初期化します。
サブネットを持つカスタム VPC ネットワークを作成する
このセクションでは、2 つの IPv4 サブネットを持つカスタムモードの VPC ネットワークを作成します。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] に「
vpc-urlf」と入力します。[説明] に「
VPC network to set up URL filtering service」と入力します。[サブネット作成モード] で [カスタム] を選択します。
[新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。
- 名前:
subnet-server-urlf - リージョン:
asia-southeast1 - IPv4 範囲:
10.0.0.0/24
- 名前:
[完了] をクリックします。
[サブネットを追加] をクリックし、次の構成パラメータを指定します。
- 名前:
subnet-client-urlf - リージョン:
us-central1 - IPv4 範囲:
192.168.10.0/24
- 名前:
[完了] をクリックします。
[作成] をクリックします。
gcloud
VPC ネットワークを作成するには、次のコマンドを実行します。
gcloud compute networks create vpc-urlf \ --subnet-mode custom \ --description "VPC network to set up URL filtering service."
[Cloud Shell の承認] ダイアログで、[承認] をクリックします。
サブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-server-urlf \ --network vpc-urlf \ --region asia-southeast1 \ --range 10.0.0.0/24
別のサブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-client-urlf \ --network vpc-urlf \ --region us-central1 \ --range 192.168.10.0/24
Cloud Router と Cloud NAT ゲートウェイを作成する
次のセクションでパブリック IPv4 アドレスのないクライアントとサーバーの Linux VM インスタンスを作成する前に、Cloud Router と Cloud NAT ゲートウェイを作成する必要があります。これにより、これらの VM が公共のインターネットにアクセスできるようになります。
コンソール
Google Cloud コンソールで、[Cloud NAT] ページに移動します。
[開始] または [Cloud NAT ゲートウェイを作成] をクリックします。
[ゲートウェイ名] に「
gateway-urlf」と入力します。[NAT タイプ] で、[パブリック] を選択します。
[Cloud Router の選択] セクションで、次の構成パラメータを指定します。
- ネットワーク:
vpc-urlf - リージョン:
asia-southeast1 - Cloud Router: [新しいルーターを作成] を選択します。
- [名前] に「
router-urlf」と入力します。 - [作成] をクリックします。
- [名前] に「
- ネットワーク:
[作成] をクリックします。
gcloud
Cloud Router を作成するには、次のコマンドを実行します。
gcloud compute routers create router-urlf \ --network=vpc-urlf \ --region=asia-southeast1
Cloud NAT ゲートウェイを作成するには、次のコマンドを実行します。
gcloud compute routers nats create gateway-urlf \ --router=router-urlf \ --region=asia-southeast1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
VM インスタンスを作成する
このセクションでは、サーバー VM インスタンスとクライアント VM インスタンスを作成します。VM インスタンスの作成に必要な権限とロールについては、必要なロールをご覧ください。
サーバー VM インスタンスを作成する
このセクションでは、サブネット subnet-server-urlf に VM インスタンスを作成し、Apache サーバーをインストールします。
コンソール
Google Cloud コンソールで [インスタンスの作成] ページに移動します。
[マシンの構成] ペインで、次の操作を行います。
- [名前] に「
vm-server-urlf」と入力します。 - [リージョン] で、
asia-southeast1 (Singapore)を選択します。 - [ゾーン] で、[
asia-southeast1-a] を選択します。
- [名前] に「
ナビゲーション メニューで [OS とストレージ] をクリックします。
[オペレーティング システムとストレージ] セクションで、[イメージ] が [Debian GNU/Linux 12(bookworm)] であることを確認します。そうでない場合は、[変更] をクリックし、[オペレーティング システム] フィールドを [Debian] に、[バージョン] フィールドを [Debian GNU/Linux 12(bookworm)] に設定します。
ナビゲーション メニューで、[ネットワーキング] をクリックします。
- [ネットワーク インターフェース] セクションで、次の構成パラメータを指定します。
- ネットワーク:
vpc-urlf - サブネットワーク:
subnet-server-urlf IPv4 (10.0.0.0/24) - 外部 IPv4 アドレス:
None
- ネットワーク:
- [完了] をクリックします。
- [ネットワーク インターフェース] セクションで、次の構成パラメータを指定します。
ナビゲーション メニューで [詳細] をクリックし、[自動化] セクションの [起動スクリプト] フィールドに次のスクリプトを入力します。
#! /bin/bash apt update apt -y install apache2 cat <<EOF > /var/www/html/index.html <html><body><p>Hello world.</p></body></html> EOF[作成] をクリックします。
gcloud
サーバー VM を作成するには、次のコマンドを実行します。
gcloud compute instances create vm-server-urlf \
--network vpc-urlf \
--zone asia-southeast1-a \
--network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
--image-project debian-cloud \
--image-family debian-12 \
--metadata=startup-script='#! /bin/bash
apt update
apt -y install apache2
cat <<EOF > /var/www/html/index.html
<html><body><p>Hello World.</p></body></html>
EOF'
サーバー VM にドメイン URL を使用する手順は次のとおりです。
- 登録済みのドメインがない場合は、ドメイン名を登録します。
- Cloud DNS を使用してドメインを設定する。
クライアント VM インスタンスを作成する
このセクションでは、subnet-client-urlf サブネットに VM インスタンスを作成します。
コンソール
Google Cloud コンソールで [インスタンスの作成] ページに移動します。
[マシンの構成] ペインで、次の操作を行います。
- [名前] に「
vm-client-urlf」と入力します。 - [リージョン] で、
us-central1 (Iowa)を選択します。 - [ゾーン] で、[
us-central1-a] を選択します。
- [名前] に「
ナビゲーション メニューで、[ネットワーキング] をクリックします。
- [ネットワーク インターフェース] セクションで、次の構成パラメータを指定します。
- ネットワーク:
vpc-urlf - サブネットワーク:
subnet-client-urlf IPv4 (192.168.10.0/24) - 外部 IPv4 アドレス:
None
- ネットワーク:
- [完了] をクリックします。
- [ネットワーク インターフェース] セクションで、次の構成パラメータを指定します。
[作成] をクリックします。
gcloud
次のコマンドを実行してクライアント VM を作成します。
gcloud compute instances create vm-client-urlf \
--network vpc-urlf \
--zone us-central1-a \
--network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \
URL フィルタリング セキュリティ プロファイルを作成する
このセクションでは、組織で url-filtering タイプのセキュリティ プロファイルを作成します。URL フィルタリング セキュリティ プロファイルの作成に必要な権限とロールについては、URL フィルタリング セキュリティ プロファイルを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル] タブを選択します。
[プロファイルの作成] をクリックします。
[名前] に「
sec-profile-urlf」と入力します。[説明] に「
Security profile to set up URL filtering service」と入力します。[目的] セクションで、[Cloud NGFW Enterprise] を選択して、ファイアウォールに関連付けるセキュリティ プロファイルを作成することを指定します。
[タイプ] セクションで、[URL フィルタリング] を選択して、タイプ
url-filteringのセキュリティ プロファイルを作成することを指定します。[URL フィルタ] セクションで、[URL フィルタを作成] ボタンをクリックして新しい URL フィルタを作成します。[URL フィルタを作成] ペインで、次の詳細を指定します。
- 優先度: URL フィルタの優先度を指定します。例:
1000 - アクション: サーバー VM インスタンスへのトラフィックを許可するには、[許可] を指定します。
- URL リスト: サーバー VM インスタンスのドメイン URL を指定します。例:
www.example.com
- 優先度: URL フィルタの優先度を指定します。例:
[作成] をクリックします。
gcloud
セキュリティ プロファイルの次の内容で YAML ファイルを作成します。
name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
urlFilters:
- filteringAction: ALLOW
priority: 1000
urls: URL
YAML ファイルを使用してセキュリティ プロファイルを作成するには、次のコマンドを実行します。
gcloud network-security security-profiles import sec-profile-urlf \
--location global \
--source FILE_NAME \
--organization ORGANIZATION_ID \
次のように置き換えます。
URL: サーバー VM インスタンスのドメイン URL。例:www.example.comFILE_NAME: 作成した YAML ファイルの名前。ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。
セキュリティ プロファイル グループを作成する
このセクションでは、前のセクションで作成した URL フィルタリング セキュリティ プロファイルを含めるセキュリティ プロファイル グループを作成します。セキュリティ プロファイル グループの作成に必要な権限とロールについては、セキュリティ プロファイル グループを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
[プロファイル グループを作成] をクリックします。
[名前] に「
sec-profile-group-urlf」と入力します。[説明] に「
Security profile group to set up URL filtering service」と入力します。Cloud Next Generation Firewall Enterprise のセキュリティ プロファイル グループを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。
[URL フィルタリング プロファイル] リストで、
sec-profile-urlfを選択します。[作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、次のコマンドを実行します。
gcloud network-security security-profile-groups \
create sec-profile-group-urlf \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--url-filtering-profile \
organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
--description "Security profile group to set up URL filtering service."
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID。
ファイアウォール エンドポイントを作成する
このセクションでは、特定のゾーンにファイアウォール エンドポイントを作成します。ファイアウォール エンドポイントの作成に必要な権限とロールについては、ファイアウォール エンドポイントを作成するをご覧ください。
注: ファイアウォール エンドポイントを作成すると、ファイアウォール エンドポイントの状態は Creating に設定されます。ファイアウォール エンドポイントの準備が完了すると、状態は Active に変わります。エンドポイントを表示して、その状態を確認できます。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[作成] をクリックします。
[リージョン] リストで [
asia-southeast1 (Singapore)] を選択します。[ゾーン] リストで
asia-southeast1-aを選択します。[名前] に「
endpoint-urlf」と入力します。[課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択し、[続行] をクリックします。
[作成] をクリックします。
gcloud
ファイアウォール エンドポイントを作成するには、次のコマンドを実行します。
gcloud network-security firewall-endpoints \
create endpoint-urlf \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a \
--billing-project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。PROJECT_ID: ファイアウォール エンドポイントの課金に使用するプロジェクト ID。
ファイアウォール エンドポイントの関連付けの作成
このセクションでは、ファイアウォール エンドポイントを前に作成した VPC ネットワークに関連付けます。ファイアウォール エンドポイントの関連付けの作成に必要な権限とロールについては、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
注: ファイアウォール エンドポイントの関連付けを作成すると、その状態は Creating に設定されます。ファイアウォール エンドポイントの関連付けの準備が完了すると、状態は Active に変わります。エンドポイントの関連付けを表示して、その状態を確認できます。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
vpc-urlfネットワークをクリックして、[VPC ネットワークの詳細] ページを表示します。[ファイアウォール エンドポイント] タブを選択します。
[エンドポイントの関連付けを作成] をクリックします。
[リージョン] リストで [
asia-southeast1] を選択します。[ゾーン] リストで
asia-southeast1-aを選択します。[ファイアウォール エンドポイント] リストで、
endpoint-urlfを選択します。[作成] をクリックします。
gcloud
ファイアウォール エンドポイントの関連付けを作成するには、次のコマンドを実行します。
gcloud network-security firewall-endpoint-associations \
create endpoint-association-urlf \
--endpoint organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
--network vpc-urlf \
--zone asia-southeast1-a \
--project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。PROJECT_ID: 関連付けが作成されるプロジェクト ID。
グローバル ネットワーク ファイアウォール ポリシーを作成する
このセクションでは、次の 2 つのファイアウォール ルールを含むグローバル ネットワーク ファイアウォール ポリシーを作成します。
- 優先度
100の上り(内向き)ファイアウォール ルール。ポート22への TCP トラフィックを許可します。このルールにより、VPC ネットワーク内の VM インスタンスへの IAP アクセスが可能になります。 - 特定のゾーンにあるサーバー VM への送信トラフィックでレイヤ 7 検査を実行する、優先度
200の下り(外向き)ファイアウォール ルール。
グローバル ネットワーク ファイアウォール ポリシーとそのルールを作成するために必要な権限とロールについては、グローバル ネットワーク ファイアウォール ポリシーを作成する、VM ターゲットの上り(内向き)ルールを作成する、VM ターゲットの下り(外向き)ルールを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
[ポリシー名] に「
fw-policy-urlf」と入力します。[ポリシータイプ] で [VPC ポリシー] を選択します。
[デプロイのスコープ] で [グローバル] を選択します。
[続行] をクリックしてから、[ファイアウォール ルールを作成] をクリックします。
[優先度] に「
100」と入力します。[トラフィックの方向] で [上り(内向き)] をオンにします。
[一致したときのアクション] で [許可] をオンにします。
[ログ] で [有効] を選択します。
[送信元] フィルタで [IPv4] を選択し、[IP 範囲] フィールドに「
35.235.240.0/20」と入力します。[プロトコルとポート] セクションで、[指定したプロトコルとポート] を選択します。
[TCP] を選択し、[ポート] に「
22」と入力します。[作成] をクリックします。
[ファイアウォール ルールを作成] をクリックします。
[優先度] に「
200」と入力します。[トラフィックの方向] に [下り(外向き)] を選択します。
[一致したときのアクション] で、[セキュリティ プロファイル グループを適用する] を選択します。
[セキュリティ プロファイル グループ] リストで、
sec-profile-group-urlfを選択します。[ログ] で [有効] を選択します。
[送信先] フィルタで [IPv4] を選択し、[IP 範囲] フィールドに「
0.0.0.0/0」と入力します。[プロトコルとポート] セクションで、[指定したプロトコルとポート] を選択します。
[TCP] を選択し、[ポート] に「
80, 443」と入力します。[作成] をクリックします。
[続行] をクリックして、[ミラーリング ルールを追加] セクションに進みます。
[続行] をもう一度クリックして、[ポリシーをネットワークに関連付ける] セクションを開きます。
vpc-urlfネットワークを選択します[関連付け] をクリックします。
[作成] をクリックします。
gcloud
グローバル ネットワーク ファイアウォール ポリシーを作成するには、次のコマンドを実行します。
gcloud compute network-firewall-policies \ create fw-policy-urlf \ --global \ --project PROJECT_ID
次のように置き換えます。
PROJECT_ID: グローバル ネットワーク ファイアウォール ポリシーが作成されるプロジェクト ID。
IAP アクセスを有効にするファイアウォール ルールを追加するには、次のコマンドを実行します。
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy fw-policy-urlf \ --direction INGRESS \ --action ALLOW \ --src-ip-ranges 35.235.240.0/20 \ --layer4-configs tcp:22 \ --global-firewall-policy \ --enable-logging
URL フィルタリングでレイヤ 7 検査を有効にするファイアウォール ルールを追加するには、次のコマンドを実行します。
gcloud compute network-firewall-policies rules create 200 \ --direction EGRESS \ --firewall-policy fw-policy-urlf \ --action apply_security_profile_group \ --dest-ip-ranges 0.0.0.0/0 \ --layer4-configs tcp:80, tcp:443 \ --global-firewall-policy \ --security-profile-group \ //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \ /locations/global/securityProfileGroups/sec-profile-group-urlf \ --enable-logging
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。
ファイアウォール ポリシーを VPC ネットワークに関連付けるには、次のコマンドを実行します。
gcloud compute network-firewall-policies associations create \ --firewall-policy fw-policy-urlf \ --network vpc-urlf \ --name fw-pol-association-urlf \ --global-firewall-policy \ --project PROJECT_ID
次のように置き換えます。
PROJECT_ID: VPC の関連付けが作成されるプロジェクト ID。
セットアップをテストする
このセクションでは、エンドポイントによってインターセプトされるトラフィックを生成し、グローバル ネットワーク ファイアウォール ポリシーを適用してレイヤ 7 検査を行うことで、設定をテストします。
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
vm-client-urlfVM の [接続] 列で [SSH] をクリックします。[ブラウザでの SSH] ダイアログで [承認] をクリックし、接続が確立されるのを待ちます。
サーバー VM インスタンスへのリクエストが許可されているかどうかを確認するには、次のコマンドを実行します。
curl URL -m 2
URLは、vm-server-urlfサーバー VM インスタンスのドメイン URL に置き換えます。例:www.example.comURL フィルタ(優先度
1000)でパケットが許可されているため、リクエストは成功します。[ブラウザでの SSH] ダイアログを閉じます。
gcloud
vm-client-urlfVM に接続するには、次のコマンドを実行します。gcloud compute ssh vm-client-urlf \ --zone=us-central1-a \ --tunnel-through-iap
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
サーバー VM インスタンスへのリクエストが許可されているかどうかを確認するには、次のコマンドを実行します。
curl URL -m 2
URLは、vm-server-urlfサーバー VM インスタンスのドメイン URL に置き換えます。例:www.example.comURL フィルタ(優先度
1000)でパケットが許可されているため、リクエストは成功します。[ブラウザでの SSH] を閉じるには、「
exit」と入力します。
URL フィルタリング サービスログを表示する
- ログ エクスプローラに移動します。
[クエリ] ペインに次のクエリを入力します。
PROJECT_IDは、プロジェクトの ID に置き換えます。resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"
クリーンアップ
このチュートリアルで使用したリソースについて、 Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。
このセクションでは、このチュートリアルで作成したリソースを削除します。
ファイアウォール エンドポイントの関連付けを削除する
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
vpc-urlfネットワークをクリックして、[VPC ネットワークの詳細] ページを表示します。[ファイアウォール エンドポイント] タブを選択します。このタブには、構成済みのファイアウォール エンドポイントの関連付けの一覧が表示されます。
endpoint-association-urlfの横にあるチェックボックスをオンにして、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
ファイアウォール エンドポイントの関連付けを削除するには、次のコマンドを実行します。
gcloud network-security firewall-endpoint-associations \
delete endpoint-association-urlf \
--zone asia-southeast1-a
ファイアウォール エンドポイントを削除する
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
[
endpoint-urlf] を選択して、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
ファイアウォール エンドポイントを削除するには、次のコマンドを実行します。
gcloud network-security firewall-endpoints delete endpoint-urlf \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a
次のように置き換えます。
ORGANIZATION_ID: エンドポイントが有効になっている組織。
グローバル ネットワーク ファイアウォール ポリシーを削除する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
fw-policy-urlfをクリックします。[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ファイアウォール ポリシーと VPC ネットワークの関連付けを解除するには、次のコマンドを実行します。
gcloud compute network-firewall-policies associations delete \ --name fw-pol-association-urlf \ --firewall-policy fw-policy-urlf \ --global-firewall-policy
ファイアウォール ポリシーを削除します。
gcloud compute network-firewall-policies delete fw-policy-urlf --global
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
セキュリティ プロファイル グループを削除する
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。
[
sec-profile-group-urlf] を選択して、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイル グループを削除するには、次のコマンドを実行します。
gcloud network-security security-profile-groups \
delete sec-profile-group-urlf \
--organization ORGANIZATION_ID \
--location global
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。
URL フィルタリング セキュリティ プロファイルを削除する
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。
[
sec-profile-urlf] を選択して、[削除] をクリックします。もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイルを削除するには、次のコマンドを実行します。
gcloud network-security security-profiles url-filtering \
delete sec-profile-urlf \
--organization ORGANIZATION_ID \
--location global
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。
VM を削除する
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
vm-client-urlfとvm-server-urlfの両方の VM のチェックボックスをオンにします。[削除] をクリックします。
[2 個のインスタンスを削除しますか?] ダイアログで、[削除] をクリックします。
gcloud
vm-client-urlfVM を削除するには、次のコマンドを実行します。gcloud compute instances delete vm-client-urlf \ --zone us-central1-a
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
vm-server-urlfVM を削除するには、次のコマンドを実行します。gcloud compute instances delete vm-server-urlf \ --zone asia-southeast1-a
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
Cloud NAT ゲートウェイと Cloud Router を削除する
コンソール
Google Cloud コンソールで、[Cloud NAT] ページに移動します。
gateway-urlfゲートウェイ構成の横にあるチェックボックスをオンにします。メニューで、[削除] をクリックします。
Google Cloud コンソールで、[Cloud Router] ページに移動します。
router-urlfルーターの横にあるチェックボックスをオンにします。[削除] をクリックします。
gcloud
Cloud NAT ゲートウェイを削除するには、次のコマンドを実行します。
gcloud compute routers nats delete gateway-urlf \ --router=router-urlf \ --region=asia-southeast1
Cloud Router を削除するには、次のコマンドを実行します。
gcloud compute routers delete router-urlf \ --project=PROJECT_ID \ --region=asia-southeast1
次のように置き換えます。
PROJECT_ID: Cloud Router を含むプロジェクトの ID。
VPC ネットワークとそのサブネットを削除する
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
[名前] 列で [
vpc-urlf] をクリックします。[VPC ネットワークの削除] をクリックします。
[ネットワークの削除] ダイアログで、[削除] をクリックします。
VPC を削除すると、そのサブネットも削除されます。
gcloud
vpc-urlfVPC ネットワークのsubnet-client-urlfサブネットを削除するには、次のコマンドを実行します。gcloud compute networks subnets delete subnet-client-urlf \ --region us-central1プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
vpc-urlfVPC ネットワークのsubnet-server-urlfサブネットを削除するには、次のコマンドを実行します。gcloud compute networks subnets delete subnet-server-urlf \ --region=asia-southeast1プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
次のコマンドを実行して、
vpc-urlfVPC ネットワークを削除します。gcloud compute networks delete vpc-urlf
DNS ゾーンを削除する
サーバー VM ドメイン URL 用に作成した DNS ゾーンを削除します。
次のステップ
- URL フィルタリングに関するコンセプトについては、URL フィルタリング サービスの概要をご覧ください。
- ファイアウォール ポリシーのコンセプトについては、ファイアウォール ポリシーをご覧ください。
- ファイアウォール ポリシー ルールのコンセプトについては、ファイアウォール ポリシー ルールをご覧ください。
- 費用を確認するには、Cloud NGFW の料金をご覧ください。