このページは、グローバル ネットワーク ファイアウォール ポリシーの概要で説明されているコンセプトを理解していることを前提としています。
ファイアウォール ポリシーのタスク
このセクションでは、グローバル ネットワーク ファイアウォール ポリシーを作成して管理する方法について説明します。
グローバル ネットワーク ファイアウォール ポリシーを作成する
Google Cloud コンソールを使用してグローバル ネットワーク ファイアウォール ポリシーを作成するときに、作成中にポリシーを Virtual Private Cloud(VPC)ネットワークに関連付けることができます。Google Cloud CLI を使用してポリシーを作成する場合は、ポリシーの作成後にポリシーをネットワークに関連付ける必要があります。
グローバル ネットワーク ファイアウォール ポリシーが関連付けられている VPC ネットワークは、グローバル ネットワーク ファイアウォール ポリシーと同じプロジェクトに存在する必要があります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
[ポリシー名] フィールドに、ポリシーの名前を入力します。
[デプロイのスコープ] で [グローバル] を選択します。
ポリシーのルールを作成するには、[続行] をクリックします。
[ルールを追加] セクションで、[ファイアウォール ルールを作成] をクリックします。
詳細については、ルールを作成するをご覧ください。
ポリシーをネットワークに関連付ける場合は、[続行] をクリックします。
[ポリシーとネットワークの関連付け] セクションで、[関連付け] をクリックします。
詳細については、ポリシーをネットワークに関連付けるをご覧ください。
[作成] をクリックします。
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION --global
次のように置き換えます。
NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前DESCRIPTION: ポリシーの説明
ポリシーをネットワークに関連付ける
ファイアウォール ポリシーを VPC ネットワークに関連付けると、無効になっているルールを除く、ファイアウォール ポリシーのすべてのルールが VPC ネットワークに適用されます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
[関連付けを追加] をクリックします。
プロジェクト内のネットワークを選択します。
[関連付け] をクリックします。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
次のように置き換えます。
POLICY_NAME: ポリシーの略称またはシステムによって生成された名前。NETWORK_NAME: ネットワークの名前。ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前はnetwork-NETWORK_NAMEに設定されます。
関連付けを削除する
VPC ネットワークに関連付けられているグローバル ネットワーク ファイアウォール ポリシーを変更する必要がある場合は、既存の関連付けられたポリシーを削除するのではなく、まず新しいポリシーを関連付けることをおすすめします。新しいポリシーを 1 つのステップで関連付けることができるため、グローバル ネットワーク ファイアウォール ポリシーが常に VPC ネットワークに関連付けられていることを確認できます。
グローバル ネットワーク ファイアウォール ポリシーと VPC ネットワークの関連付けを削除するには、このセクションで説明する手順に沿って操作します。グローバル ネットワーク ファイアウォール ポリシーのルールは、関連付けが削除された後、新しい接続には適用されません。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[関連付けを削除] をクリックします。
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
グローバル ネットワーク ファイアウォール ポリシーの情報を取得する
グローバル ネットワーク ファイアウォール ポリシーの詳細(ポリシー ルールや関連するルール属性など)を表示できます。これらのルール属性はすべて、ルール属性の割り当ての一部としてカウントされます。詳細については、ファイアウォール ポリシーごとの表の「グローバル ネットワーク ファイアウォール ポリシーごとのルール属性」をご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
グローバル ネットワーク ファイアウォール ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[編集] をクリックします。
[説明] フィールドのテキストを変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
グローバル ネットワーク ファイアウォール ポリシーを一覧表示する
プロジェクトで利用可能なポリシーのリストを表示できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
[ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。
gcloud
gcloud compute network-firewall-policies list --global
グローバル ネットワーク ファイアウォール ポリシーを削除する
グローバル ネットワーク ファイアウォール ポリシーを削除する前に、すべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
削除するポリシーをクリックします。
[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ポリシーを削除するには、次のコマンドを使用します。
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
ファイアウォール ポリシー ルールのタスク
このセクションでは、グローバル ネットワーク ファイアウォール ポリシー ルールを作成して管理する方法について説明します。
ルールの作成
グローバル ネットワーク ファイアウォール ポリシーの各ルールは、一意の優先度を持つ上り(内向き)ルールまたは下り(外向き)ルールです。有効な送信元と宛先の組み合わせなど、ルールの他のパラメータの詳細については、ファイアウォール ポリシー ルールをご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
グローバル ポリシーの名前をクリックします。
[ファイアウォール ルール] タブで、[ファイアウォール ルールを作成] をクリックします。
ルールのフィールドに入力します。
- [優先度] フィールドで、ルールの順序番号を設定します。ここで、
0が最優先されます。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします(100、200、300など)。 - [トラフィックの方向] には、上り(内向き)と下り(外向き)のいずれかを選択します。
- [一致したときのアクション] で、次のいずれかのオプションを選択します。
- 許可: ルールに一致する接続を許可します。
- 拒否: ルールに一致する接続を拒否します。
- 次に移動: 階層内で 1 つ下のファイアウォール ルールに接続の評価を渡します。
- セキュリティ プロファイル グループを適用する: レイヤ 7 の検査と防止のために構成されたファイアウォール エンドポイントにパケットを送信します。
- [セキュリティ プロファイル グループ] リストで、セキュリティ プロファイル グループの名前を選択します。
- パケットの TLS インスペクションを有効にするには、[TLS インスペクションを有効にする] を選択します。
- ログの収集を [オン] または [オフ] に設定します。
ルールのターゲットを指定します。[ターゲット] フィールドで、次のいずれかのオプションを選択します。
- ネットワーク内のすべてのインスタンスにルールを適用する場合は、[すべてに適用] を選択します。
- 関連するサービス アカウントを使用して一部のインスタンスにルールを適用する場合は、まず [サービス アカウント] を選択し、[サービス アカウントのスコープ] でサービス アカウントが現在のプロジェクトにあるか別のプロジェクトにあるかを示します。その後、[ターゲット サービス アカウント] フィールドでサービス アカウント名を選択するか入力します。
セキュアタグを使用して一部のインスタンスにルールを適用する場合は、[セキュアタグ] を選択します。
- [タグのスコープを選択] をクリックし、安全なタグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。
- Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
上り(内向き)ルールの場合、送信元ネットワーク タイプを指定します。
- ネットワーク タイプに属する受信トラフィックをフィルタするには、[すべてのネットワーク タイプ] を選択します。
- 特定のネットワーク タイプに属する受信トラフィックをフィルタするには、[特定のネットワーク タイプ] を選択します。
- インターネット(
INTERNET)ネットワーク タイプに属する受信トラフィックをフィルタするには、[インターネット] を選択します。 - インターネット以外の(
NON-INTERNET)ネットワーク タイプに属する受信トラフィックをフィルタするには、[インターネット以外] を選択します。 - VPC 内(
INTRA_VPC)ネットワーク タイプに属する上り(内向き)トラフィックをフィルタするには、[VPC 内] を選択します。 - VPC ネットワーク(
VPC_NETWORKS)タイプの着信トラフィックをフィルタするには、[VPC ネットワーク] を選択し、次のボタンを使用して 1 つ以上のネットワークを指定します。- 現在のプロジェクトを選択: 現在のプロジェクトから 1 つ以上のネットワークを追加できます。
- ネットワークを手動で入力: プロジェクトとネットワークを手動で入力できます。
- プロジェクトを選択: ネットワークを選択できるプロジェクトを選択できます。ネットワーク タイプの詳細については、ネットワーク タイプをご覧ください。
- インターネット(
下り(外向き)ルールの場合は、宛先ネットワーク タイプを指定します。
- 任意のネットワーク タイプに属する送信トラフィックをフィルタするには、[すべてのネットワーク タイプ] を選択します。
- 特定のネットワーク タイプに属する送信トラフィックをフィルタするには、[特定のネットワーク タイプ] を選択します。
- インターネット(
INTERNET)ネットワーク タイプに属する送信トラフィックをフィルタするには、[インターネット] を選択します。 - インターネット以外の(
NON-INTERNET)ネットワーク タイプに属する送信トラフィックをフィルタするには、[インターネット以外] を選択します。ネットワーク タイプの詳細については、ネットワーク タイプをご覧ください。
- インターネット(
上り(内向き)ルールの場合、送信元フィルタを指定します。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。 安全なタグで送信元を制限するには、[安全なタグ] セクションで [タグのスコープを選択] をクリックします。
- タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。
- Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
下り(外向き)ルールの場合は、送信先フィルタを指定します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、
::/0を使用します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元 FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先 FQDN を選択します。ドメイン名オブジェクトの詳細については、FQDN オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。Google Threat Intelligence の詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。
省略可: 上り(内向き)ルールの場合は、送信先フィルタを指定します。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、
::/0を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
省略可: 下り(外向き)ルールの場合は、送信元フィルタを指定します。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
[プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
[作成] をクリックします。
- [優先度] フィールドで、ルールの順序番号を設定します。ここで、
[ファイアウォール ルールを作成] をクリックして、別のルールを追加します。
gcloud
上り(内向き)ルールを作成するには、次のコマンドを使用します。
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
次のように置き換えます。
PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は0)。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします(100、200、300など)。POLICY_NAME: 新しいルールを含むグローバル ネットワーク ファイアウォール ポリシーの名前。DESCRIPTION: 新しいルールの説明(省略可)ACTION: 次のいずれかのアクションを指定します。allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。apply_security_profile_group: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを透過的に送信します。アクションがapply_security_profile_groupの場合:--security-profile-group SECURITY_PROFILE_GROUPを含める必要があります。ここで、SECURITY_PROFILE_GROUP はレイヤ 7 検査に使用されるセキュリティ プロファイル グループの名前です。- TLS インスペクションを有効または無効にするには、
--tls-inspectまたは--no-tls-inspectのいずれかを含めます。
goto_next: ファイアウォール ルールの評価プロセスの次のステップに進みます。
--enable-loggingパラメータと--no-enable-loggingパラメータは、ファイアウォール ルール ロギングを有効または無効にします。--disabledパラメータと--no-disabledパラメータは、ルールが無効(適用されない)か有効(適用される)かを制御します。- ターゲットを指定します。
TARGET_SECURE_TAGS: セキュアタグのカンマ区切りリスト。TARGET_SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りリスト。--target-secure-tagsパラメータと--target-service-accountsパラメータの両方を省略すると、ルールは最も広範なターゲットに適用されます。
LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りリスト。各レイヤ 4 構成は次のいずれかになります。- 宛先ポートのない IP プロトコル名(
tcp)または IANA IP プロトコル番号(17)。 - IP プロトコル名と宛先ポートをコロン(
tcp:80)で区切ったもの。 - IP プロトコル名と宛先ポートの範囲。コロンで区切り、宛先ポートの開始と終了をダッシュで区切ります(
tcp:5000-6000)。詳細については、プロトコルとポートをご覧ください。
- 宛先ポートのない IP プロトコル名(
- 上り(内向き)ルールのソースを指定します。
SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。SRC_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレス グループのカンマ区切りリスト。リスト内のアドレス グループには、すべての IPv4 アドレスまたはすべての IPv6 アドレスを含める必要があります。両方を組み合わせることはできません。SRC_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りリスト。SRC_SECURE_TAGS: タグのカンマ区切りリスト。--src-network-typeがINTERNETの場合、--src-secure-tagsパラメータは使用できません。SRC_COUNTRY_CODES: 2 文字の国コードのカンマ区切りリスト。詳しくは、位置情報オブジェクトをご覧ください。--src-network-typeがNON_INTERNET、VPC_NETWORK、INTRA_VPCの場合、--src-region-codesパラメータは使用できません。SRC_THREAT_LIST_NAMES: Google Threat Intelligence リストの名前のカンマ区切りリスト。詳細については、ファイアウォール ポリシー ルールの Google 脅威インテリジェンスをご覧ください。--src-network-typeがNON_INTERNET、VPC_NETWORK、INTRA_VPCの場合、--src-threat-intelligenceパラメータは使用できません。SRC_NETWORK_TYPE: 特定の宛先の組み合わせを生成するために、サポートされている別の宛先パラメータと組み合わせて使用するソース ネットワーク タイプを定義します。有効な値はINTERNET、NON_INTERNET、VPC_NETWORK、INTRA_VPCです。詳細については、ネットワーク タイプをご覧ください。SRC_VPC_NETWORK: URL 識別子で指定された VPC ネットワークのカンマ区切りリスト。このパラメータは、--src-network-typeがVPC_NETWORKSの場合にのみ指定します。
- 必要に応じて、上り(内向き)ルールの宛先を指定します。
DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。
下り(外向き)ルールを作成するには、次のコマンドを使用します。
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
次のように置き換えます。
PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は0)。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします(100、200、300など)。POLICY_NAME: 新しいルールを含むグローバル ネットワーク ファイアウォール ポリシーの名前。DESCRIPTION: 新しいルールの説明(省略可)ACTION: 次のいずれかのアクションを指定します。allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。apply_security_profile_group: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを透過的に送信します。アクションがapply_security_profile_groupの場合:--security-profile-group SECURITY_PROFILE_GROUPを含める必要があります。ここで、SECURITY_PROFILE_GROUP はレイヤ 7 検査に使用されるセキュリティ プロファイル グループの名前です。- TLS インスペクションを有効または無効にするには、
--tls-inspectまたは--no-tls-inspectのいずれかを含めます。
goto_next: ファイアウォール ルールの評価プロセスの次のステップに進みます。
--enable-loggingパラメータと--no-enable-loggingパラメータは、ファイアウォール ルール ロギングを有効または無効にします。--disabledパラメータと--no-disabledパラメータは、ルールが無効(適用されない)か有効(適用される)かを制御します。- ターゲットを指定します。
TARGET_SECURE_TAGS: セキュアタグのカンマ区切りリスト。TARGET_SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りリスト。--target-secure-tagsパラメータと--target-service-accountsパラメータの両方を省略すると、ルールは最も広範なターゲットに適用されます。
LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りリスト。各レイヤ 4 構成は次のいずれかになります。- 宛先ポートのない IP プロトコル名(
tcp)または IANA IP プロトコル番号(17)。 - IP プロトコル名と宛先ポートをコロン(
tcp:80)で区切ったもの。 - IP プロトコル名と宛先ポートの範囲。コロンで区切り、宛先ポートの開始と終了をダッシュで区切ります(
tcp:5000-6000)。詳細については、プロトコルとポートをご覧ください。
- 宛先ポートのない IP プロトコル名(
- 必要に応じて、下り(外向き)ルールの送信元を指定します。
SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲はすべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があり、両方を組み合わせることはできません。
- 下り(外向き)ルールの送信先を指定します。
DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。DEST_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレス グループのカンマ区切りリスト。DEST_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りリスト。DEST_COUNTRY_CODES: 2 文字の国コードのカンマ区切りリスト。詳しくは、位置情報オブジェクトをご覧ください。DEST_THREAT_LIST_NAMES: Google Threat Intelligence リストの名前のカンマ区切りリスト。詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。DEST_NETWORK_TYPE: 特定の宛先の組み合わせを生成するために、別のサポートされている宛先パラメータと組み合わせて使用する宛先ネットワーク タイプを定義します。有効な値はINTERNETとNON_INTERNETです。詳細については、ネットワーク タイプをご覧ください。
ルールを更新する
フラグの説明については、ルールを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更するフラグを変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
[...flags you want to modify...]
ルールの説明を取得する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME --global-firewall-policy
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号。POLICY_NAME: ルールを含むポリシーの名前
ルールを削除する
ポリシーからルールを削除すると、ルールのターゲットとの間の新しい接続にルールが適用されなくなります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号。POLICY_NAME: そのルールを含むポリシー
ポリシー間でルールのクローンを作成する
クローン作成では、ソースポリシーからターゲット ポリシーにルールがコピーされ、ターゲット ポリシーの既存のルールがすべて置き換えられます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付ける場合は、[続行] > [関連付け] をクリックします。
[ポリシーと VPC ネットワークの関連付け] ページで、ネットワークを選択して [関連付け] をクリックします。
[続行] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
次のように置き換えます。
TARGET_POLICY: ターゲット ポリシーの名前SOURCE_POLICY: ソースポリシーの URL
ネットワークで有効なファイアウォール ルールを取得する
VPC ネットワークのすべてのリージョンに適用されるすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示できます。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
ファイアウォール ポリシー ルールを表示するネットワークをクリックします。
[VPC ネットワークの詳細] ページで、[ファイアウォール] タブをクリックします。
このネットワークに適用されるルールを表示するには、[ファイアウォール ルールビュー] タブをクリックします。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
次のように置き換えます。
NETWORK_NAME: 有効なルールを表示するネットワーク。
また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。
ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。
VM インターフェースで有効なファイアウォール ルールを取得する
Compute Engine VM のネットワーク インターフェースに適用されるすべてのファイアウォール ルール(適用可能なすべてのファイアウォール ポリシーと VPC ファイアウォール ルールから)を表示できます。
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
プロジェクト セレクタ メニューで、VM を含むプロジェクトを選択します。
VM をクリックします。
[ネットワーク インターフェース] で、インターフェースの名前をクリックします。
[ネットワーク構成分析] セクションで、[ファイアウォール] タブをクリックします。
有効なファイアウォール ルールを表示するには、[ファイアウォール ルールビュー] タブをクリックします。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
次のように置き換えます。
INSTANCE_NAME: 有効なルールを表示する VM。インターフェースが指定されていない場合、コマンドはプライマリ インターフェース(nic0)のルールを返します。INTERFACE: 有効なルールを表示する VM インターフェース。デフォルト値はnic0です。ZONE: VM のゾーン。目的のゾーンがすでにデフォルトとして選択されている場合、この行は省略可能です。