ファイアウォール ポリシーを使用すると、複数のファイアウォール ルールとミラーリング ルールをグループ化して、一度にまとめて更新できます。これらのルールは、Identity and Access Management(IAM)のロールで効率的に制御できます。ファイアウォール ポリシーの詳細については、ファイアウォール ポリシーの概要をご覧ください。
ファイアウォール ポリシー ルールを使用すると、接続を明示的に拒否または許可できます。ミラーリング ルールを使用すると、ミラーリングするトラフィックをフィルタできます。
このドキュメントでは、ミラーリング ルールとそのコンポーネントを含むファイアウォール ポリシーについて説明します。
ファイアウォール ポリシーを作成する
グローバル ネットワーク ファイアウォール ポリシーでミラーリング ルールを作成できます。グローバル ネットワーク ファイアウォール ポリシーには、定義されたトラフィックを明示的にミラーリングするかどうかを指定できるミラーリング ルールが含まれています。これらのポリシーを作成してネットワークに関連付ける方法については、グローバル ネットワーク ファイアウォール ポリシーとルールを使用するをご覧ください。
ファイアウォール ポリシーには、ファイアウォール ルールとパケット ミラーリング ルールの両方を含めることができます。ただし、これらのルールは独立しており、個別に評価されます。つまり、ファイアウォール ルールとパケット ミラーリング ルールの両方に同じ優先度を設定できます。詳細については、ミラーリング ルールのポリシーとルールの評価順序をご覧ください。
ミラーリング ルール
アウトオブバンドの Network Security Integration サービスである Packet Mirroring は、パケット ミラーリング ルールを使用して、コンシューマー ネットワークでミラーリングされるトラフィックを指定します。ミラーリングされたトラフィックは、プロデューサー ネットワークのデプロイ グループに送信されます。トラフィックをミラーリングするには、まずグローバル ネットワーク ファイアウォール ポリシー内にパケット ミラーリング ルールを作成する必要があります。
ミラーリング ルールのコンポーネント
通常、ミラーリング ルールはファイアウォール ポリシーと同じように機能しますが、以下のセクションで説明するようにいくつかの違いがあります。
優先度
ミラーリング ルールの優先度は 0 ~ 2,147,483,547 の整数です。小さい整数が高い優先度を示します。ミラーリング ルールの優先度は、ファイアウォール ルールの優先度と似ています。
一致したときのアクション
ミラーリング ルールは、上り(内向き)または下り(外向き)のデータパケットがミラーリングされるかどうかを決定します。ミラーリング ルールは、次のいずれかのアクションを実行できます。
パケット ミラーリング ルールでは、次の操作がサポートされています。
MIRROR: 一致するトラフィックがミラーリングされ、デプロイ グループに転送されます。DO_NOT_MIRROR: 一致するトラフィックはミラーリングされず、それ以降のパケット ミラーリング ファイアウォール ルールの評価はスキップされます。DO_NOT_MIRRORルールは、ミラーリングする必要のないフローをきめ細かくフィルタするために使用されます。GOTO_NEXT: 接続評価を下位レベルに委任するために使用できるアクション。次のいずれかの条件が満たされると、ミラーリング ルールで後続のルールの処理が許可されます。- アクションが
goto_nextの場合、評価は次のルールに進みます。そのため、複数のgoto_nextルールが互いの動作に影響することはありません。 - 受信トラフィックが既存のルールと一致しない場合、システムはデフォルトで
goto_nextアクションを実行します。これは、現在のポリシーレベルで関連するアクションが見つからなかったため、評価が次の下位レベルに進むことを意味します。
- アクションが
mirrorアクションを含むミラーリング ルールは、CUSTOM_MIRRORINGセキュリティ プロファイルを含むセキュリティ プロファイル グループを参照する必要があります。
Allow アクションを含む下り(外向き)ルールを使用すると、インスタンスはルールで指定された宛先にトラフィックを送信できます。優先度の高い拒否ファイアウォール ルールによって下り(外向き)が拒否される可能性があります。また、 Google Cloud は特定の種類のトラフィックをブロックまたは制限します。
ミラーリング ルールをポリシーに追加したら、ミラーリング ルールをネットワークに関連付けて、作成したルールを適用します。ミラーリング ルールの作成と関連付けの詳細については、ミラーリング ルールを作成して管理するをご覧ください。
プロトコルとポート
ファイアウォール ルールと同様に、ミラーリング ルールの作成時に 1 つ以上のプロトコルとポート制約を指定する必要があります。ミラーリング ルールで TCP または UDP を指定する場合は、プロトコル、プロトコルと宛先ポート、またはプロトコルと宛先ポート範囲を指定できます。ポートまたはポート範囲のみを指定することはできません。指定できるのは宛先ポートだけです。送信元ポートに基づくルールはサポートされていません。
ミラーリング ルールでは、tcp、udp、icmp(IPv4 ICMP の場合)、esp、ah、sctp、ipip のプロトコル名を使用できます。他のすべてのプロトコルには、IANA プロトコル番号を使用します。多くのプロトコルでは IPv4 と IPv6 の両方で同じ名前と番号が使用されますが、ICMP などの一部のプロトコルでは使用されません。IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP の場合は、プロトコル番号 58 を使用します。
ミラーリング ルールでは、プロトコルだけではなく、ICMP のタイプやコードの指定もサポートしていません。IPv6 ホップバイホップ プロトコルはミラーリング ルールでサポートされていません。プロトコルとポートのパラメータを指定しない場合、すべてのプロトコルと宛先ポートにルールが適用されます。
方向
ミラーリング ルールが適用される方向。INGRESS または EGRESS のいずれかを指定できます。
INGRESS: 上り(内向き)方向とは、特定の送信元から Google Cloud ターゲットに送信される受信接続を指します。上り(内向き)ルールはインバウンド パケットに適用されます。パケットの送信先がターゲットになります。拒否アクションを含む上り(内向き)ルールでは、インスタンスへの受信接続をブロックすることで、すべてのインスタンスを保護します。優先度の高いルールにより、受信アクセスが許可される場合があります。自動的に作成されたデフォルト ネットワークには、事前設定済みの Virtual Private Cloud(VPC)ファイアウォール ルールがいくつか含まれています。これらのルールにより、特定の種類のトラフィックに上り(内向き)が許可されます。
EGRESS: 下り(外向き)方向とは、ターゲットから宛先に送信されるアウトバウンド トラフィックを指します。下り(外向き)ルールは、パケットの送信元がターゲットである新しい接続のパケットに適用されます。