ファイアウォール ポリシーとルールの概要

ファイアウォール ポリシーは、VPC ネットワーク内のトラフィックの入出力フローを制御できるファイアウォール ルールのコレクションです。ファイアウォール ポリシー ルールを使用すると、接続を明示的に拒否または許可できます。

インバンド ネットワーク セキュリティ統合では、階層型グローバル ネットワーク(推奨)のファイアウォール ポリシーとルールを使用して、ネットワーク トラフィックをリダイレクトします。トラフィックは、VPC ネットワークのインターセプト エンドポイント グループ、プロデューサーのインターセプト デプロイ グループを通過し、トラフィック検査のためにプロデューサーのコンピューティング リソースに転送されます。

このページでは、パケット検査に使用されるファイアウォール ポリシーとルールについて説明します。

ファイアウォール ポリシーとルール

トラフィックをインターセプト エンドポイント グループにリダイレクトするには、ネットワークまたは階層型ファイアウォール ポリシーとルールを作成します。

ファイアウォール ポリシーを作成するときは、アクション APPLY_SECURITY_PROFILE_GROUP を使用してファイアウォール ルールを作成する必要があります。ルールは、custom-intercept-profile アクションを含むセキュリティ プロファイル グループを参照する必要があります。

優先度

ファイアウォール ルールの優先度は 0 ~ 2,147,483,547 の整数にする必要があります。小さい整数が高い優先度を示します。詳細については、ファイアウォール ルールの優先度をご覧ください。

一致したときのアクション

ファイアウォール ポリシーのルールは、次のアクションのいずれかを実行できます。

  • allow アクションはトラフィックを許可し、それ以上のルール評価を停止します。
  • deny アクションはトラフィックを拒否し、ルールの評価を停止します。
  • apply_security_profile_group アクションは、トラフィックを透過的にインターセプトし、構成されたファイアウォール エンドポイントまたはインターセプト エンドポイント グループに検査のために送信します。パケットを許可するかどうかは、ファイアウォール エンドポイント(またはインターセプト エンドポイント グループ)と構成済みのセキュリティ プロファイルによって異なります。どちらの場合も、ルール評価プロセスが停止します。

詳細については、ポリシーとルールの評価順序をご覧ください。

下り(外向き)と上り(内向き)

deny アクションを含む上り(内向き)ルールでは、インスタンスへの受信接続をブロックすることで、すべてのインスタンスを保護します。優先度の高いルールにより、受信アクセスが許可される場合があります。

allow アクションを含む下り(外向き)ルールを使用すると、インスタンスはルールで指定された宛先にトラフィックを送信できます。優先度の高い拒否ファイアウォール ルールによって下り(外向き)が拒否される可能性があります。また、 Google Cloud では、特定の種類のトラフィックがブロックまたは制限されます。

ファイアウォール ルールをポリシーに追加したら、ファイアウォール ポリシーをネットワークに関連付けます。詳細については、ルールの作成と管理をご覧ください。

プロトコルとポート

ファイアウォール ルールと同様に、ファイアウォール ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ファイアウォール ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。また、指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。

ファイアウォール ルールでは、次のプロトコル名を使用できます。

  • tcp
  • udp
  • icmp(IPv4 ICMP の場合)
  • esp
  • ah
  • sctp
  • ipip

他のすべてのプロトコルには、IANA プロトコル番号を使用します。

詳細については、ファイアウォール ルールのプロトコルとポートをご覧ください。

方向

ファイアウォール ルールが適用される方向。INGRESS または EGRESS のいずれかになります。

  • INGRESS: 上り(内向き)方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り(内向き)ルールはインバウンド パケットに適用されます。パケットの送信先がターゲットになります。

    拒否アクションを含む上り(内向き)ルールでは、インスタンスへの受信接続をブロックすることで、すべてのインスタンスを保護します。優先度の高いルールにより、受信アクセスが許可される場合があります。自動的に作成されたデフォルト ネットワークには、事前設定済みの Virtual Private Cloud ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り(内向き)が許可されます。

  • EGRESS: 下り(外向き)方向とは、ターゲットから宛先に送信されるアウトバウンド トラフィックを指します。下り(外向き)ルールは新しい接続のパケットに適用されます。パケットの送信元がターゲットになります。

次のステップ