ファイアウォール ポリシー ルールの位置情報オブジェクトを使用すると、特定の地理的位置またはリージョンに基づいて外部 IPv4 トラフィックと外部 IPv6 トラフィックをフィルタできます。
位置情報オブジェクトを含むルールを上り(内向き)トラフィックと下り(外向き)トラフィックに適用できます。トラフィックの方向に基づいて、国コードに関連付けられた IP アドレスがトラフィックの送信元または宛先と照合されます。
階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーの位置情報オブジェクトを構成できます。
ファイアウォール ポリシー ルールに位置情報を追加するには、ISO 3166 alpha-2 国コードで定義されている 2 文字の国 / 地域コードを使用します。
たとえば、米国からのネットワークへの受信トラフィックのみを許可する場合は、送信元の国コードを
US、アクションをallowに設定して、上り(内向き)ファイアウォール ポリシールールを作成します。同様に、米国へのアウトバウンド トラフィックのみを許可する場合は、宛先の国コードをUS、アクションをallowに設定して、下り(外向き)ファイアウォール ポリシールールを構成します。Cloud NGFW を使用すると、米国の包括的な制裁措置の対象となる次の地域のファイアウォール ルールを構成できます。
地域 割り当てられたコード クリミア XC 「ドネツク人民共和国」(自称)および「ルハンスク人民共和国」(自称) XD 1 つのファイアウォール ルールに重複する国コードが含まれている場合、その国コードのエントリは 1 つだけ保持されます。重複するエントリは削除されます。たとえば、国コードのリスト
ca,us,usでは、ca,usのみが保持されます。Google では、IP アドレスと国コードのマッピングを使用してデータベースを保守しています。Cloud de Confiance ファイアウォールは、このデータベースを使用して、送信元と宛先のトラフィックの IP アドレスを国コードにマッピングし、位置情報オブジェクトを使用して、一致するファイアウォール ポリシー ルールを適用します。
IP アドレスの割り当てと国コードは、次の条件で変更されることがあります。
- 地理的位置間での IP アドレスの移動
- ISO 3166 alpha-2 国コードの標準の更新
これらの変更が Google のデータベースに反映されるまでにはしばらく時間がかかるため、トラフィックが中断したり、特定のトラフィックがブロックされたり、許可されることがあります。
位置情報オブジェクトを他のファイアウォール ポリシールール フィルタとともに使用する
位置情報オブジェクトは、他のソースフィルタや宛先フィルタと併用できます。ルールの方向に応じて、指定されたすべてのフィルタの結合に一致する受信トラフィックまたは送信トラフィックにファイアウォール ポリシールールが適用されます。
位置情報オブジェクトが上り(内向き)ルールの他のソースフィルタでどのように機能するかについては、上り(内向き)ルールのソースを参照してください。
位置情報オブジェクトが下り(外向き)ルールの他の宛先フィルタとどのように連携するかについては、下り(外向き)ルールの宛先をご覧ください。