このドキュメントでは、Cloud Next Generation Firewall で URL フィルタリング サービスを使用するためのベスト プラクティスについて説明します。これらの推奨事項を使用して、意図しないフィルタリング アクションを防ぐ効果的で保守可能なファイアウォール ポリシーを作成します。このドキュメントは、URL フィルタリング サービスのコンセプトを理解していることを前提としています。
ベスト プラクティス
次の表に、URL フィルタリング サービスを使用する際のベスト プラクティスを示します。
| トピックまたはユースケース | Cloud NGFW の機能またはルール コンポーネント | 説明 |
|---|---|---|
| プロトコル サポート | プロトコルとポート | URL フィルタリングを適用するファイアウォール ポリシー ルールで、プロトコル TCP とポート 80 および 443 を指定します。詳細については、宛先プロトコルとポートを指定するをご覧ください。 |
| ファイアウォール ルールの評価 | ファイアウォール ルールの優先度 | URL フィルタリングを適用するルールを、ファイアウォール ポリシーの優先度が最も低い場所に配置します。 詳細については、URL フィルタリング ルールを優先度が最も低い場所に配置するをご覧ください。 |
| トラフィックのセグメンテーション | ネットワーク コンテキスト | ネットワーク コンテキストを使用して、東西(インターネット バウンド以外)トラフィックとインターネット バウンド トラフィック用に個別の URL フィルタリング ファイアウォール ポリシー ルールを作成します。 詳細については、ネットワーク コンテキストを使用してトラフィックを分離するをご覧ください。 |
| ポリシーの例外 | 完全修飾ドメイン名(FQDN)オブジェクト | 特定の送信元がウェブサイトにアクセスできるようにするピンホール例外を作成するには、ファイアウォール ポリシー ルールで宛先 FQDN オブジェクトと URL フィルタリング セキュリティ プロファイルを使用します。 詳細については、FQDN を使用してピンホール例外を追加するをご覧ください。 |
| 選択的検査 | 宛先ドメインに基づいてトラフィックを選択的に検査するには、URL フィルタリング セキュリティ プロファイルではなく、FQDN オブジェクトを使用します。 詳細については、FQDN を使用してトラフィックを選択的に検査するをご覧ください。 |
|
| ポリシー設計 | 一時的な要件に対応するには、単一のリソースを送信元として使用する URL フィルタリング ファイアウォール ポリシー ルールを作成しないでください。 詳細については、単一のリソースに基づくルールの作成を避けるをご覧ください。 |
|
| プロトコル サポート | HTTP 以外のプロトコルに FQDN ベースのフィルタリングを使用する。 | |
| ポリシー階層 | グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシー | 階層型ファイアウォール ポリシーではなく、グローバルまたはリージョン ネットワーク ファイアウォール ポリシーで URL フィルタリングを使用します。 詳細については、階層型ファイアウォール ポリシーで URL フィルタリングを使用しないをご覧ください。 |
| スケーラビリティ | URL フィルタリング セキュリティ プロファイル | URL フィルタリング セキュリティ プロファイルのドメイン数のサポートされている上限内に収まるように、特定の条件に基づいてドメインをグループ化する個別のセキュリティ プロファイルを作成します。 詳細については、スケーリング用に個別のセキュリティ プロファイルを作成するをご覧ください。 |
宛先プロトコルとポートを指定する
Cloud NGFW は、URL フィルタリングを適用するファイアウォール ポリシー ルールと一致する HTTP 以外のトラフィックと HTTPS 以外のトラフィックに、URL フィルタリングのセキュリティ プロファイルのデフォルトの allow アクションまたは deny アクションを適用します。このようなファイアウォール ポリシールールで、プロトコル TCP とポート 80 および 443 を指定します。
ルールでプロトコルとポートを指定すると、HTTP 以外のトラフィックや HTTPS 以外のトラフィックとの照合が防止されるため、デフォルトのアクションによってこのトラフィックが誤って許可または拒否されるのを防ぐことができます。
URL フィルタリング ルールを最も低い優先順位に設定する
レイヤ 7 検査を使用しないファイアウォール ポリシー ルールが最初に評価されるようにするには、URL フィルタリング セキュリティ プロファイルを適用するルールをファイアウォール ポリシーの優先度の最も低い位置に配置します。このアプローチにより、URL フィルタリング セキュリティ プロファイルのデフォルト アクションでトラフィックが誤って許可または拒否されるのを防ぐことができます。
たとえば、任意の仮想マシン(VM)インスタンスが www.example.com と通信できるようにするには、この URL を許可する URL フィルタリング セキュリティ プロファイルを作成します。次に、このセキュリティ プロファイルを含むセキュリティ プロファイル グループを適用する 500 などの優先度の低いルールを追加します。
| 優先度 | 方向 | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|
| 150 | Egress | TCP | すべて | 10.0.0.0/8 | 10.0.0.0/8 | 80、443 | 許可 |
| 200 | Ingress | TCP | すべて | すべて | 10.0.0.0/8 | 80、443 | 許可 |
| 300 | Egress | TCP | すべて | すべて | 199.36.153.8/30 | 80、443 | 許可 |
| 500 | Egress | TCP | すべて | 任意 | すべて | 80、443 | URL www.example.com を許可する URL フィルタリング セキュリティ プロファイルを含むセキュリティ プロファイル グループを適用する |
ネットワーク コンテキストを使用してトラフィックを分離する
セキュリティ プロファイルのデフォルト アクションでは、定義された URL フィルタに一致しないトラフィックを許可または拒否できます。意図しないデフォルト アクションを防ぐには、ネットワーク コンテキストを使用して、East-West(インターネット バウンド以外)トラフィックとインターネット バウンド トラフィック用に個別の URL フィルタリング ファイアウォール ポリシールールを作成します。ネットワーク コンテキストを使用すると、ルールの一致条件がより細かくなるため、デフォルトのアクションでトラフィックが誤って許可または拒否されるのを防ぐことができます。
次の例では、インターネット以外のネットワーク コンテキストにより、優先度 500 のルールが一致して、優先度 600 のルールが個別に管理するインターネット宛てのトラフィックを誤って許可または拒否することを防ぎます。
| 優先度 | 方向 | ネットワーク コンテキスト | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|
| 500 | Egress | インターネット以外 | TCP | すべて | 任意 | すべて | 80、443 | URL フィルタリング セキュリティ プロファイル 1 を含むセキュリティ プロファイル グループを適用する |
| 600 | Egress | インターネット | TCP | すべて | 任意 | すべて | 80、443 | URL フィルタリング セキュリティ プロファイル 2 を含むセキュリティ プロファイル グループを適用する |
FQDN オブジェクトを使用する
宛先 FQDN オブジェクトと URL フィルタリング セキュリティ プロファイルを使用して、ファイアウォール ポリシールールのトラフィックが誤って一致しないようにします。これにより、セキュリティ プロファイルのデフォルト アクションで意図しないトラフィックが許可または拒否されるのを防ぐことができます。
FQDN を使用してピンホールの例外を追加する
ファイアウォールのピンホール例外により、特定のタイプのトラフィックが、通常は閉じているセキュリティ境界を通過できるようになります。特定の送信元がウェブサイトにアクセスできるようにする例外を作成するには、ファイアウォール ポリシールールで宛先 FQDN オブジェクトと URL フィルタリング セキュリティ プロファイルを使用します。
ピンホール例外ルールは、URL フィルタリングを適用する前に、送信元から FQDN IP へのトラフィックを照合します。ソースからの他のトラフィックは一致しないため、セキュリティ プロファイルのデフォルト アクションから無関係のトラフィックが除外されます。
次の例では、ルールは指定された IP 範囲から example.com の IP アドレスへのトラフィックを照合し、照合されたトラフィックに URL フィルタリングを適用します。
| 優先度 | 方向 | ネットワーク コンテキスト | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|
| 100 | Egress | インターネット | TCP | すべて | 192.168.1.0/24 | FQDN = example.com |
80、443 | URL www.example.com を許可する URL フィルタリング セキュリティ プロファイルを含むセキュリティ プロファイル グループを適用する |
選択的なトラフィック検査に FQDN を使用する
宛先ドメインに基づいてトラフィックを選択的に検査するには、URL フィルタリング セキュリティ プロファイルではなく、FQDN オブジェクトを使用します。
URL フィルタリング セキュリティ プロファイルは、選択的トラフィック検査をサポートしていません。トラフィックの選択に URL フィルタリング セキュリティ プロファイルを使用すると、プロファイルのデフォルトのアクションによってトラフィックが意図せず許可または拒否される可能性があります。
たとえば、examplepetstore.com へのトラフィックに影響を与えずに example.com へのトラフィックを脅威について検査するには、優先度 100 と 200 を持つ別々のファイアウォール ポリシー ルールを作成します。各ルールで、宛先 FQDN オブジェクトを使用し、脅威防止セキュリティ プロファイルを example.com 宛先のルールにのみ適用します。このアプローチにより、examplepetstore.com へのトラフィックが優先度 100 のルールと一致しなくなります。
次の表に、誤った構成を示します。
| 優先度 | 方向 | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|
| 100 | Egress | TCP | すべて | 任意 | すべて | 80、443 | URL example.com を許可する URL フィルタリング セキュリティ プロファイル 1 と、URL example.com へのトラフィックを検査する脅威防止セキュリティ プロファイルを含むセキュリティ プロファイル グループを適用する |
| 200 | Egress | TCP | すべて | 任意 | すべて | 80、443 | URL examplepetstore.com を許可する URL フィルタリング セキュリティ プロファイル 2 を含むセキュリティ プロファイル グループを適用する |
次の表に、正しい構成を示します。
| 優先度 | 方向 | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|
| 100 | Egress | TCP | すべて | すべて | FQDN = example.com |
80、443 | トラフィックを URL example.com に検査する脅威防止セキュリティ プロファイルを含むセキュリティ プロファイル グループを適用する |
| 200 | Egress | TCP | すべて | すべて | FQDN = examplepetstore.com |
80、443 | URL examplepetstore.com を許可する URL フィルタリング セキュリティ プロファイルを含むセキュリティ プロファイル グループを適用する |
単一のリソースに基づいてルールを作成しない
一時的な要件に対応するには、単一のリソースをソースとして使用する URL フィルタリングを含むファイアウォール ポリシー ルールを作成しないでください。
これらのルールを保持すると、URL フィルタリング セキュリティ プロファイルのデフォルトのアクションによって、意図しないトラフィックが許可または拒否される可能性があります。これらのルールをすぐに削除しないと、時間の経過とともにポリシーが拡大する可能性があります。
次の例では、優先度が高い 100 のルールが一致し、192.168.1.1 から examplepetstore.com へのトラフィックが許可されます。この評価は、トラフィックが優先度 101 のルールに到達する前に行われます。このルールは、そのトラフィックをブロックするように構成されています。
| 優先度 | 方向 | ネットワーク コンテキスト | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|
| 100 | Egress | インターネット | TCP | すべて | 192.168.1.1/32 | すべて | 80、443 | URL example.com をブロックする URL フィルタリング セキュリティ プロファイル 1 を含むセキュリティ プロファイル グループを適用します。 |
| 101 | Egress | インターネット以外 | TCP | すべて | 192.168.1.0/24 | すべて | 80、443 | URL examplepetstore.com をブロックし、URL example.org を許可する URL フィルタリング セキュリティ プロファイル 2 を含むセキュリティ プロファイル グループを適用する |
ただし、このようなルールを保持する必要がある場合は、宛先 FQDN オブジェクトを使用します。たとえば、192.168.1.1 から examplepetstore.com へのトラフィックが一致しないようにするには、優先度 100 のルールに FQDN オブジェクト example.com を追加します。
| 優先度 | 方向 | ネットワーク コンテキスト | プロトコル | ターゲット | 送信元 | 目的地 | 宛先ポート | アクション |
|---|---|---|---|---|---|---|---|---|
| 100 | Egress | インターネット | TCP | すべて | 192.168.1.1/32 | FQDN = example.com |
80、443 | URL example.com をブロックする URL フィルタリング セキュリティ プロファイル 1 を含むセキュリティ プロファイル グループを適用します。 |
| 101 | Egress | インターネット以外 | TCP | すべて | 192.168.1.0/24 | すべて | 80、443 | URL examplepetstore.com をブロックし、URL example.org を許可する URL フィルタリング セキュリティ プロファイル 2 を含むセキュリティ プロファイル グループを適用する |
HTTP 以外のプロトコルに FQDN ベースのフィルタリングを使用する
RDP や SSH などの HTTP 以外のプロトコルと HTTPS 以外のプロトコルには、FQDN ベースのフィルタリングを使用します。URL フィルタリングは、HTTP または HTTPS トラフィックでのみ機能します。
階層型ファイアウォール ポリシーで URL フィルタリングを使用しない
意図しないトラフィックの一致を防ぐため、階層型ファイアウォール ポリシーで URL フィルタリング セキュリティ プロファイルを使用しないでください。代わりに、グローバル ネットワーク ファイアウォール ポリシーまたはリージョン ネットワーク ファイアウォール ポリシーで URL フィルタリング セキュリティ プロファイルを使用します。
階層型ファイアウォール ポリシー ルールで URL フィルタリング セキュリティ プロファイルを使用すると、広範なターゲットのトラフィックがそのルールに一致する可能性があります。この広範な照合により、セキュリティ プロファイルのデフォルト アクションが意図せずトラフィックを許可または拒否する可能性があります。
スケーリング用に個別のセキュリティ プロファイルを作成する
URL フィルタリング セキュリティ プロファイル内のドメイン数または一致文字列の数がサポートされている上限を超えないようにするには、特定の条件に基づいてドメインをグループ化する個別のセキュリティ プロファイルを作成します。たとえば、トラフィック タイプや宛先ドメインの場所と性質(東西トラフィック(インターネット バウンド以外)やインターネット バウンド トラフィックなど)に基づいてドメインをグループ化します。
このセグメンテーションは、多くのドメインを使用する場合に最適なパフォーマンスと管理性を確保するのに役立ちます。
たとえば、内部ドメインまたは Google Cloudドメイン用のプロファイルと、パブリック インターネット上の外部ドメイン用のプロファイルを作成します。内部ドメイン用の個別のプロファイルを使用すると、内部トラフィックのルーティングとセキュリティ ポリシーを区別できます。外部ドメイン用の個別のプロファイルを使用すると、脅威インテリジェンス フィードやより厳格な下り(外向き)制御などの適切なセキュリティ対策を外部トラフィックに適用できます。
次のステップ
- URL フィルタリング サービス
- URL フィルタリング用のセキュリティ プロファイルの作成と管理
- 脅威防止のセキュリティ プロファイルの作成と管理
- セキュリティ プロファイル グループの作成と管理
- グローバル ネットワークのファイアウォール ポリシーとルールを使用する
- リージョン ネットワークのファイアウォール ポリシーとルールを使用する