グローバル ネットワークのファイアウォール ポリシーとルールを使用する

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。

3. [ファイアウォール ポリシーを作成] をクリックします。

4. [ポリシー名] フィールドに、ポリシーの名前を入力します。

5. [デプロイのスコープ] で [グローバル] を選択します。

6. ポリシーのルールを作成するには、[続行] をクリックします。

7. [ルールを追加] セクションで、[ファイアウォール ルールを作成] をクリックします。ファイアウォール ルールの作成の詳細については、以下をご覧ください。

   • VM ターゲットの上り（内向き）ルールを作成する
   • VM ターゲットの下り（外向き）ルールを作成する

8. ポリシーをネットワークに関連付ける場合は、[続行] をクリックします。

9. [ポリシーとネットワークの関連付け] セクションで、[関連付け] をクリックします。

   詳細については、ポリシーをネットワークに関連付けるをご覧ください。

10. [作成] をクリックします。

gcloud

gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --global

次のように置き換えます。

• NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前
• DESCRIPTION: ポリシーの説明

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。

3. ポリシーをクリックします。

4. [関連付け] タブをクリックします。

5. [関連付けを追加] をクリックします。

6. プロジェクト内のネットワークを選択します。

7. [関連付け] をクリックします。

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

次のように置き換えます。

• POLICY_NAME: ポリシーの略称またはシステムによって生成された名前。
• NETWORK_NAME: ネットワークの名前。
• ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は network-NETWORK_NAME に設定されます。

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。

3. ポリシーをクリックします。

4. [関連付け] タブをクリックします。

5. 削除する関連付けを選択します。

6. [関連付けを削除] をクリックします。

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

3. ポリシーをクリックします。

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

3. ポリシーをクリックします。

4. [編集] をクリックします。

5. [説明] フィールドのテキストを変更します。

6. [保存] をクリックします。

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。

   [ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。

gcloud

gcloud compute network-firewall-policies list --global

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。

3. 削除するポリシーをクリックします。

4. [関連付け] タブをクリックします。

5. すべての関連付けを選択します。

6. [関連付けを削除] をクリックします。

7. すべての関連付けを削除したら、[削除] をクリックします。

gcloud

ポリシーを削除するには、次のコマンドを使用します。

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ リストで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

3. [ネットワーク ファイアウォール ポリシー] セクションで、ルールを作成するグローバル ネットワーク ファイアウォール ポリシーの名前をクリックします。

4. [ファイアウォール ルール] セクションで、[ファイアウォール ルールを作成] をクリックし、次の構成パラメータを指定します。

   1. 優先度: ルールの数値評価順序。

      ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルール優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。

   2. 説明: 説明を入力します（省略可）。

   3. トラフィックの方向: [上り（内向き）] を選択します。

   4. 一致したときのアクション: 次のいずれかを選択します。

      • 許可: ルール パラメータに一致する接続を許可します。
      • 拒否: ルール パラメータに一致する接続をブロックします。
      • 次に移動: ファイアウォール ルールの評価プロセスを続行します。
      • セキュリティ プロファイル グループを適用: 選択した目的に基づいて、パケットをファイアウォール エンドポイントまたはインターセプト エンドポイント グループに送信します。
        • パケットを Cloud NGFW ファイアウォール エンドポイントに送信するには、[Cloud NGFW Enterprise] を選択し、[セキュリティ プロファイル グループ] を選択します。パケットの TLS 検査を有効にするには、[TLS インスペクションを有効にする] を選択します。
        • インバンド統合のためにパケットを Network Security Integration 傍受エンドポイント グループに送信するには、[NSI インバンド] を選択し、[セキュリティ プロファイル グループ] を選択します。

   5. ログ: このルールのファイアウォール ルール ロギングを有効にするには [オン] を選択し、無効にするには [オフ] を選択します。

   6. ターゲット: 次のいずれかを選択します。

      • すべてに適用: Cloud NGFW は、最も広範なインスタンス ターゲットを使用します。
      • サービス アカウント: 最も広範なインスタンス ターゲットを、指定したサービス アカウントを使用する VM インスタンスのネットワーク インターフェースに絞り込みます。
        • [サービス アカウントのスコープ] セクションで、[このプロジェクト内 > ターゲット サービス アカウント] を選択します。これは、グローバル ネットワーク ファイアウォール ポリシーと同じプロジェクトでサービス アカウントを指定するためです。
        • [サービス アカウントのスコープ] セクションで、[別のプロジェクト > ターゲット サービス アカウント] を選択します。これは、共有 VPC サービス プロジェクトのサービス アカウントを指定するためのものです。
      • セキュアタグ: 最も広範なインスタンス ターゲットを、指定したセキュアタグ値の少なくとも 1 つにバインドされている VM インスタンスのネットワーク インターフェースに絞り込みます。[タグのスコープを選択] をクリックし、一致するタグ値を含む組織またはプロジェクトを選択します。タグ値を追加するには、[タグを追加] をクリックします。

   7. ソース ネットワーク タイプ: ネットワーク タイプを指定します。

      • ネットワーク タイプでインバウンド トラフィックのフィルタリングをスキップするには、[すべてのネットワーク タイプ] を選択します。
      • 特定のネットワーク タイプへの上り（内向き）トラフィックをフィルタするには、[特定のネットワーク タイプ] を選択し、ネットワーク タイプを選択します。
        • インターネット: 上り（内向き）トラフィックは、上り（内向き）パケットのインターネット ネットワーク タイプと一致する必要があります。
        • 非インターネット: 上り（内向き）トラフィックは、上り（内向き）パケットの非インターネット ネットワーク タイプと一致する必要があります。
        • VPC 内: インバウンド トラフィックは、VPC 内ネットワーク タイプの条件を満たしている必要があります。
        • VPC ネットワーク: インバウンド トラフィックは、VPC ネットワーク タイプの条件と一致する必要があります。少なくとも 1 つの VPC ネットワークを選択する必要があります。
          • 現在のプロジェクトを選択: ファイアウォール ポリシーを含むプロジェクトから 1 つ以上の VPC ネットワークを追加できます。
          • ネットワークを手動で入力: プロジェクトと VPC ネットワークを手動で入力できます。
          • プロジェクトを選択: VPC ネットワークを選択できるプロジェクトを選択できます。

   8. ソースフィルタ: 追加のソース パラメータを指定します。一部のソース パラメータは同時に使用できません。また、選択したソース ネットワーク タイプによって、使用できるソース パラメータが制限されます。詳細については、上り（内向き）ルールの送信元と上り（内向き）ルールの送信元の組み合わせをご覧ください。

      • 送信元 IPv4 の範囲で上り（内向き）トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、0.0.0.0/0 を使用します。
      • 送信元 IPv6 の範囲で上り（内向き）トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、::/0 を使用します。
      • 送信元セキュアタグの値でインバウンド トラフィックをフィルタするには、[セキュアタグ] セクションで [タグのスコープを選択] を選択します。次に、タグキーとタグ値を指定します。タグ値を追加するには、[タグを追加] をクリックします。
      • 送信元 FQDN でインバウンド トラフィックをフィルタするには、[FQDN] フィールドに FQDN を入力します。詳細については、FQDN オブジェクトをご覧ください。
      • 送信元位置情報で上り（内向き）トラフィックをフィルタするには、[位置情報] フィールドで 1 つ以上のロケーションを選択します。詳細については、位置情報オブジェクトをご覧ください。
      • 送信元アドレス グループでインバウンド トラフィックをフィルタするには、[アドレス グループ] フィールドから 1 つ以上のアドレス グループを選択します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
      • 送信元 Google 脅威インテリジェンス リストでインバウンド トラフィックをフィルタするには、[Google Cloud Threat Intelligence] フィールドで 1 つ以上の Google 脅威インテリジェンス リストを選択します。詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。

   9. 宛先: オプションの宛先パラメータを指定します。詳細については、上り（内向き）ルールの送信先をご覧ください。

      • 宛先 IP アドレスによるインバウンド トラフィックのフィルタリングをスキップするには、[なし] を選択します。
      • 宛先 IP アドレスでインバウンド トラフィックをフィルタするには、[IPv4] または [IPv6] を選択し、送信元 IPv4 範囲または送信元 IPv6 範囲に使用される形式と同じ形式で 1 つ以上の CIDR を入力します。

   10. プロトコルとポート: ルールと一致するトラフィックのプロトコルと宛先ポートを指定します。詳細については、プロトコルとポートをご覧ください。

   11. 適用: ファイアウォール ルールを適用するかどうかを指定します。

       • 有効: ルールを作成し、新しい接続にルールの適用を開始します。
       • 無効: ルールを作成しますが、新しい接続にルールを適用しません。

5. [作成] をクリックします。

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

次のように置き換えます。

• PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。
• POLICY_NAME: ルールを作成するグローバル ネットワーク ファイアウォール ポリシーの名前。
• PROJECT_ID: グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクト ID。
• DESCRIPTION: 新しいルールの説明（省略可）。
• ACTION: 次のいずれかのアクションを指定します。
  • allow: ルールに一致する接続を許可します。
  • deny: ルールに一致する接続を拒否します。
  • goto_next: ファイアウォール ルールの評価プロセスを続行します。
  • apply_security_profile_group: パケットをファイアウォール エンドポイントまたはインターセプト エンドポイント グループに送信します。
    • アクションが apply_security_profile_group の場合は、--security-profile-group SECURITY_PROFILE_GROUP を含める必要があります。ここで、SECURITY_PROFILE_GROUP はセキュリティ プロファイル グループの名前です。
    • セキュリティ プロファイル グループのセキュリティ プロファイルは、インバンド統合のために Cloud NGFW ファイアウォール エンドポイントまたは Network Security Integration 傍受エンドポイント グループのいずれかを参照できます。
    • セキュリティ プロファイル グループのセキュリティ プロファイルが Cloud NGFW ファイアウォール エンドポイントを参照している場合は、--tls-inspect または --no-tls-inspect を含めて、TLS インスペクションを有効または無効にします。
• --enable-logging フラグと --no-enable-logging フラグは、ファイアウォール ルール ロギングを有効または無効にします。
• --disabled フラグと --no-disabled フラグは、ルールが無効（適用されない）か有効（適用される）かを制御します。
• ターゲットを指定します。
  • --target-secure-tags フラグと --target-service-accounts フラグの両方を省略すると、Cloud NGFW は最も広範なインスタンス ターゲットを使用します。
  • TARGET_SECURE_TAGS: 最も広範なインスタンス ターゲットを、少なくとも 1 つのセキュアタグ値にバインドされている VM インスタンスのネットワーク インターフェースに絞り込むセキュアタグ値のカンマ区切りリスト。
  • TARGET_SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りのリスト。最も広範なインスタンス ターゲットを、いずれかのサービス アカウントを使用する VM インスタンスのネットワーク インターフェースに絞り込みます。
• LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りリスト。各レイヤ 4 構成は次のいずれかになります。
  • 宛先ポートのない IP プロトコル名（tcp）または IANA IP プロトコル番号（17）。
  • IP プロトコル名と宛先ポートをコロン（tcp:80）で区切ったもの。
  • IP プロトコル名と宛先ポートの範囲をコロンで区切り、宛先ポートの開始と終了をハイフンで区切ります（tcp:5000-6000）。詳細については、プロトコルとポートをご覧ください。
• 上り（内向き）ルールの送信元を指定します。詳細については、上り（内向き）ルールの送信元の組み合わせをご覧ください。
  • SRC_NETWORK_TYPE: 別のサポートされているソース パラメータと組み合わせて使用し、ソースの組み合わせを生成するソース ネットワーク タイプを定義します。--target-type=INSTANCES の有効な値は、INTERNET、NON_INTERNET、VPC_NETWORKS、INTRA_VPC です。詳細については、ネットワーク タイプをご覧ください。
  • SRC_VPC_NETWORKS: URL 識別子で指定された VPC ネットワークのカンマ区切りリスト。このフラグは、--src-network-type が VPC_NETWORKS の場合にのみ指定します。
  • SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。
  • SRC_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレス グループのカンマ区切りリスト。リスト内のアドレス グループには、すべての IPv4 アドレスまたはすべての IPv6 アドレスを含める必要があります。両方を組み合わせることはできません。
  • SRC_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りリスト。
  • SRC_SECURE_TAGS: タグのカンマ区切りリスト。--src-network-type が INTERNET の場合、--src-secure-tags フラグは使用できません。
  • SRC_COUNTRY_CODES: 2 文字の国コードのカンマ区切りリスト。詳しくは、位置情報オブジェクトをご覧ください。--src-network-type が NON_INTERNET、VPC_NETWORKS、INTRA_VPC の場合、--src-region-codes フラグは使用できません。
  • SRC_THREAT_LIST_NAMES: Google Threat Intelligence リストの名前のカンマ区切りのリスト。詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。--src-network-type が NON_INTERNET、VPC_NETWORKS、INTRA_VPC の場合、--src-threat-intelligence フラグは使用できません。
• 必要に応じて、上り（内向き）ルールの宛先を指定します。
  • DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ リストで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

3. [ネットワーク ファイアウォール ポリシー] セクションで、ルールを作成するグローバル ネットワーク ファイアウォール ポリシーの名前をクリックします。

4. [ファイアウォール ルール] セクションで、[ファイアウォール ルールを作成] をクリックし、次の構成パラメータを指定します。

   1. 優先度: ルールの数値評価順序。

      ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルール優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。

   2. 説明: 説明を入力します（省略可）。

   3. トラフィックの方向: [下り（外向き）] を選択します。

   4. 一致したときのアクション: 次のいずれかを選択します。

      • 許可: ルール パラメータに一致する接続を許可します。
      • 拒否: ルール パラメータに一致する接続をブロックします。
      • 次に移動: ファイアウォール ルールの評価プロセスを続行します。
      • セキュリティ プロファイル グループを適用: 選択した目的に基づいて、パケットをファイアウォール エンドポイントまたはインターセプト エンドポイント グループに送信します。
        • パケットを Cloud NGFW ファイアウォール エンドポイントに送信するには、[Cloud NGFW Enterprise] を選択し、[セキュリティ プロファイル グループ] を選択します。パケットの TLS 検査を有効にするには、[TLS インスペクションを有効にする] を選択します。
        • インバンド統合のためにパケットを Network Security Integration 傍受エンドポイント グループに送信するには、[NSI インバンド] を選択し、[セキュリティ プロファイル グループ] を選択します。

   5. ログ: このルールのファイアウォール ルール ロギングを有効にするには [オン] を選択し、無効にするには [オフ] を選択します。

   6. ターゲット: 次のいずれかを選択します。

      • すべてに適用: Cloud NGFW は、最も広範なインスタンス ターゲットを使用します。
      • サービス アカウント: 最も広範なインスタンス ターゲットを、指定したサービス アカウントを使用する VM インスタンスのネットワーク インターフェースに絞り込みます。
        • [サービス アカウントのスコープ] セクションで、[このプロジェクト内 > ターゲット サービス アカウント] を選択します。これは、グローバル ネットワーク ファイアウォール ポリシーと同じプロジェクトでサービス アカウントを指定するためです。
        • [サービス アカウントのスコープ] セクションで、[別のプロジェクト > ターゲット サービス アカウント] を選択します。これは、共有 VPC サービス プロジェクトのサービス アカウントを指定するためのものです。
      • セキュアタグ: 最も広範なインスタンス ターゲットを、指定したセキュアタグ値の少なくとも 1 つにバインドされている VM インスタンスのネットワーク インターフェースに絞り込みます。[タグのスコープを選択] をクリックし、一致するタグ値を含む組織またはプロジェクトを選択します。タグ値を追加するには、[タグを追加] をクリックします。

   7. 宛先ネットワーク タイプ: ネットワーク タイプを指定します。

      • ネットワーク タイプで送信トラフィックをフィルタしない場合は、[すべてのネットワーク タイプ] を選択します。
      • 特定のネットワーク タイプへの送信トラフィックをフィルタするには、[特定のネットワーク タイプ] を選択し、ネットワーク タイプを選択します。
        • インターネット: 発信トラフィックは、下り（外向き）パケットのインターネット ネットワーク タイプと一致する必要があります。
        • 非インターネット: 発信トラフィックは、下り（外向き）パケットの非インターネット ネットワーク タイプと一致する必要があります。

   8. 宛先フィルタ: 追加の宛先パラメータを指定します。一部の宛先パラメータは併用できません。また、宛先ネットワーク タイプを選択すると、使用できる宛先フィルタが制限されます。詳細については、下り（外向き）ルールの送信先と下り（外向き）ルールの送信先の組み合わせをご覧ください。

      • 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、0.0.0.0/0 を使用します。
      • 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、::/0 を使用します。
      • 送信トラフィックを送信先 FQDN でフィルタするには、[FQDN] フィールドに FQDN を入力します。詳細については、FQDN オブジェクトをご覧ください。
      • 送信トラフィックを送信先位置情報でフィルタするには、[位置情報] フィールドで 1 つ以上の場所を選択します。詳しくは、位置情報オブジェクトをご覧ください。
      • 宛先アドレス グループで送信トラフィックをフィルタするには、[アドレス グループ] フィールドから 1 つ以上のアドレス グループを選択します。詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
      • 宛先の Google Threat Intelligence リストで送信トラフィックをフィルタするには、[Google Cloud Threat Intelligence] フィールドで 1 つ以上の Google Threat Intelligence リストを選択します。詳細については、ファイアウォール ポリシー ルールの Google Threat Intelligence をご覧ください。

   9. ソース: オプションのソース パラメータを指定します。詳細については、下り（外向き）ルールの送信元をご覧ください。

      • 送信元 IP アドレスによる送信トラフィックのフィルタリングをスキップするには、[なし] を選択します。
      • 送信元 IP アドレスで送信トラフィックをフィルタするには、[IPv4] または [IPv6] を選択し、送信先 IPv4 範囲または送信先 IPv6 範囲に使用したのと同じ形式で 1 つ以上の CIDR を入力します。

   10. プロトコルとポート: ルールと一致するトラフィックのプロトコルと宛先ポートを指定します。詳細については、プロトコルとポートをご覧ください。

   11. 適用: ファイアウォール ルールを適用するかどうかを指定します。

       • 有効: ルールを作成し、新しい接続にルールの適用を開始します。
       • 無効: ルールを作成しますが、新しい接続にルールを適用しません。

5. [作成] をクリックします。

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

次のように置き換えます。

• PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。
• POLICY_NAME: ルールを作成するグローバル ネットワーク ファイアウォール ポリシーの名前。
• PROJECT_ID: グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクト ID。
• DESCRIPTION: 新しいルールの説明（省略可）。
• ACTION: 次のいずれかのアクションを指定します。
  • allow: ルールに一致する接続を許可します。
  • deny: ルールに一致する接続を拒否します。
  • goto_next: ファイアウォール ルールの評価プロセスを続行します。
  • apply_security_profile_group: パケットをファイアウォール エンドポイントまたはインターセプト エンドポイント グループに送信します。
    • アクションが apply_security_profile_group の場合は、--security-profile-group SECURITY_PROFILE_GROUP を含める必要があります。ここで、SECURITY_PROFILE_GROUP はセキュリティ プロファイル グループの名前です。
    • セキュリティ プロファイル グループのセキュリティ プロファイルは、インバンド統合のために Cloud NGFW ファイアウォール エンドポイントまたは Network Security Integration 傍受エンドポイント グループのいずれかを参照できます。
    • セキュリティ プロファイル グループのセキュリティ プロファイルが Cloud NGFW ファイアウォール エンドポイントを参照している場合は、--tls-inspect または --no-tls-inspect を含めて、TLS インスペクションを有効または無効にします。
• --enable-logging フラグと --no-enable-logging フラグは、ファイアウォール ルール ロギングを有効または無効にします。
• --disabled フラグと --no-disabled フラグは、ルールが無効（適用されない）か有効（適用される）かを制御します。
• ターゲットを指定します。
  • --target-secure-tags フラグと --target-service-accounts フラグの両方を省略すると、Cloud NGFW は最も広範なインスタンス ターゲットを使用します。
  • TARGET_SECURE_TAGS: 最も広範なインスタンス ターゲットを、少なくとも 1 つのセキュアタグ値にバインドされている VM インスタンスのネットワーク インターフェースに絞り込むセキュアタグ値のカンマ区切りリスト。
  • TARGET_SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りのリスト。最も広範なインスタンス ターゲットを、いずれかのサービス アカウントを使用する VM インスタンスのネットワーク インターフェースに絞り込みます。
• LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りリスト。各レイヤ 4 構成は次のいずれかになります。
  • 宛先ポートのない IP プロトコル名（tcp）または IANA IP プロトコル番号（17）。
  • IP プロトコル名と宛先ポートをコロン（tcp:80）で区切ったもの。
  • IP プロトコル名と宛先ポートの範囲をコロンで区切り、宛先ポートの開始と終了をハイフンで区切ります（tcp:5000-6000）。詳細については、プロトコルとポートをご覧ください。
• 下り（外向き）ルールの送信先を指定します。詳細については、下り（外向き）ルールの送信先の組み合わせをご覧ください。
  • DEST_NETWORK_TYPE: 別のサポートされている宛先パラメータと組み合わせて使用し、宛先の組み合わせを生成する宛先ネットワーク タイプを定義します。有効な値は INTERNET と NON_INTERNET です。詳細については、ネットワーク タイプをご覧ください。
  • DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。
  • DEST_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレス グループのカンマ区切りリスト。
  • DEST_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りリスト。
  • DEST_COUNTRY_CODES: 2 文字の国コードのカンマ区切りリスト。詳細については、位置情報オブジェクトをご覧ください。
  • DEST_THREAT_LIST_NAMES: Google Threat Intelligence リストの名前のカンマ区切りのリスト。詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。
• 必要に応じて、下り（外向き）ルールの送信元を指定します。
  • SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

3. 更新するルールを含むグローバル ネットワーク ファイアウォール ポリシーの名前をクリックします。

4. ルールの優先度をクリックします。

5. [編集] をクリックします。

6. 変更するファイアウォール ルールのフィールドを変更します。各フィールドの説明については、次のいずれかをご覧ください。

   • VM ターゲットの上り（内向き）ルールを作成する
   • VM ターゲットの下り（外向き）ルールを作成する

7. [保存] をクリックします。

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

次のように置き換えます。

• PRIORITY: ルールを一意に識別する優先度番号。
• POLICY_NAME: ルールを含むポリシーの名前。

変更するフラグを指定します。フラグの説明については、次のいずれかをご覧ください。

• VM ターゲットの上り（内向き）ルールを作成する
• VM ターゲットの下り（外向き）ルールを作成する

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。

3. ポリシーをクリックします。

4. ルールの優先度をクリックします。

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

次のように置き換えます。

• PRIORITY: ルールを一意に識別する優先度番号。
• POLICY_NAME: ルールを含むポリシーの名前。

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。

3. ポリシーをクリックします。

4. 削除するルールを選択します。

5. [削除] をクリックします。

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

次のように置き換えます。

• PRIORITY: ルールを一意に識別する優先度番号。
• POLICY_NAME: ルールを含むポリシーの名前。

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。

3. ルールのコピー元ポリシーをクリックします。

4. 画面の上部の [クローン] をクリックします。

5. ターゲット ポリシーの名前を指定します。

6. 新しいポリシーをすぐに関連付ける場合は、[続行] > [関連付け] をクリックします。

7. [ポリシーと VPC ネットワークの関連付け] ページで、ネットワークを選択して [関連付け] をクリックします。

8. [続行] をクリックします。

9. [クローン] をクリックします。

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

次のように置き換えます。

• TARGET_POLICY: ターゲット ポリシーの名前。
• SOURCE_POLICY: ソースポリシーの URL。

コンソール

1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. ファイアウォール ポリシー ルールを表示するネットワークをクリックします。

3. [VPC ネットワークの詳細] ページで、[ファイアウォール] タブをクリックします。

4. このネットワークに適用されるルールを表示するには、[ファイアウォール ルールビュー] タブをクリックします。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

NETWORK_NAME は、有効なルールを表示するネットワークに置き換えます。

コンソール

1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。

   [ファイアウォール ポリシー] に移動

2. ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。

3. ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。

コンソール

1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

   [VM インスタンス] に移動

2. プロジェクト セレクタ メニューで、VM を含むプロジェクトを選択します。

3. VM をクリックします。

4. [ネットワーク インターフェース] で、インターフェースの名前をクリックします。

5. [ネットワーク構成分析] セクションで、[ファイアウォール] タブをクリックします。

6. 有効なファイアウォール ルールを表示するには、[ファイアウォール ルールビュー] タブをクリックします。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

次のように置き換えます。

• INSTANCE_NAME: 有効なルールを表示する VM。インターフェースが指定されていない場合、コマンドはプライマリ インターフェース（nic0）のルールを返します。
• INTERFACE: 有効なルールを表示する VM インターフェース。デフォルト値は nic0 です。
• ZONE: VM のゾーン。目的のゾーンがすでにデフォルトとして選択されている場合、この行は省略可能です。