このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

階層型ファイアウォールポリシーとルールを作成する

このページでは、階層型ファイアウォールポリシーとルールを使用して、Cloud de Confiance by S3NS 組織とフォルダ間のネットワークトラフィックを制御する方法について説明します。組織レベルまたはフォルダレベルでポリシーを定義し、特定のリソースに関連付ける方法について説明します。

このページを読む前に、階層型ファイアウォールポリシーの概要で説明されているコンセプトを理解しておいてください。階層型ファイアウォールポリシーの実装例については、階層型ファイアウォールポリシーの例をご覧ください。

制限事項

階層型ファイアウォールポリシーのルールでは、ターゲットの定義にネットワークタグを使用することはサポートされていません。代わりに、ターゲット Virtual Private Cloud（VPC）ネットワークまたはターゲットサービスアカウントを使用する必要があります。
ファイアウォールポリシーは、フォルダレベルと組織レベルで適用されますが、VPC ネットワークレベルでは適用されません。通常の VPC ファイアウォールルールは VPC ネットワークでサポートされています。
リソース（フォルダまたは組織）に関連付けることができるファイアウォールポリシーは 1 つだけですが、フォルダの下の仮想マシン（VM）インスタンスは VM を越えてリソースの階層全体からルールを継承できます。
ファイアウォールポリシールールのロギングは、allow ルールと deny ルールではサポートされますが、goto_next ルールではサポートされません。
IPv6 ホップバイホッププロトコルはファイアウォールルールでサポートされていません。

ファイアウォールポリシーのタスク

このセクションでは、階層型ファイアウォールポリシーを作成して関連付ける方法について説明します。

ファイアウォールポリシーの作成

階層型ファイアウォールポリシーを作成するときに、親を組織または組織内のフォルダに設定できます。ポリシーを作成したら、ポリシーを組織または組織内のフォルダに関連付けることができます。

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM ロールのいずれかが付与されている必要があります。

権限

compute.firewallPolicies.create

ロール

ポリシーを作成する組織またはフォルダに対する Compute 組織ファイアウォールポリシー管理者（roles/compute.orgFirewallPolicyAdmin）
ポリシーを作成する組織またはフォルダに対する Compute セキュリティ管理者（roles/compute.securityAdmin）

コンソール

Cloud de Confiance コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
プロジェクトセレクタのメニューで、組織 ID または組織内のフォルダを選択します。
[ファイアウォールポリシーを作成] をクリックします。
[ポリシー名] フィールドに、ポリシーの名前を入力します。
省略可: ポリシーのルールを作成する場合は、[続行] をクリックします。
[ルールを追加] セクションで、[ファイアウォールルールを作成] をクリックします。ファイアウォールルールの作成の詳細については、以下をご覧ください。
- VM ターゲットの上り（内向き）ルールを作成する
- VM ターゲットの下り（外向き）ルールを作成する
省略可: ポリシーをリソースに関連付ける場合は、[続行] をクリックします。
[ポリシーとリソースの関連付け] セクションで、[追加] をクリックします。

詳細については、ポリシーを組織またはフォルダに関連付けるをご覧ください。
[作成] をクリックします。

gcloud

次のコマンドを実行して、親が組織である階層型ファイアウォールポリシーを作成します。

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

次のコマンドを実行して、親が組織内のフォルダである階層型ファイアウォールポリシーを作成します。

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

次のように置き換えます。

ORG_ID: 組織の ID

組織 ID を指定して、親が組織であるポリシーを作成します。ポリシーは、組織または組織内のフォルダに関連付けることができます。
SHORT_NAME: ポリシーの名前

Google Cloud CLI で作成したポリシーには 2 つの名前があります。1 つはシステム生成名、もう 1 つはユーザーが指定した略称です。gcloud CLI を使用して既存のポリシーを更新する場合は、システム生成の名前を使用するか、略称と組織 ID を指定します。API を使用してポリシーを更新する場合は、システムが生成した名前を指定する必要があります。
FOLDER_ID: フォルダの ID

フォルダ ID を指定して、親がフォルダであるポリシーを作成します。ポリシーは、フォルダを含む組織、またはその組織内の任意のフォルダに関連付けることができます。

ポリシーを組織またはフォルダに関連付ける

階層型ファイアウォールポリシーを組織内の組織またはフォルダに関連付けると、ファイアウォールポリシーのルール（無効なルールを除く）は、関連付けられた組織またはフォルダのプロジェクトの VPC ネットワーク内のリソースに適用されます。各ルールのターゲットが適用されます。

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM ロールのいずれかが付与されている必要があります。

権限

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

ロール

ファイアウォールポリシーを適用する組織またはフォルダに対するコンピューティング組織リソース管理者（roles/compute.orgSecurityResourceAdmin）
次のいずれかのロール:
- ファイアウォールポリシーまたはファイアウォールポリシーを含む組織またはフォルダに対する Compute ネットワーク管理者（roles/compute.networkAdmin）
- ファイアウォールポリシー、またはファイアウォールポリシーを含む組織またはフォルダに対する Compute 組織ファイアウォールポリシー管理者（roles/compute.orgFirewallPolicyAdmin）
- ファイアウォールポリシー、またはファイアウォールポリシーを含む組織またはフォルダに対する Compute 組織ファイアウォールポリシーユーザー（roles/compute.orgFirewallPolicyUser ）
- ファイアウォールポリシーまたはファイアウォールポリシーを含む組織またはフォルダに対する Compute 組織セキュリティポリシー管理者（roles/compute.orgSecurityPolicyAdmin）
- ファイアウォールポリシーまたはファイアウォールポリシーを含む組織またはフォルダに対する Compute 組織セキュリティポリシーユーザー（roles/compute.orgSecurityPolicyUser）
- ファイアウォールポリシー、またはファイアウォールポリシーを含む組織またはフォルダに対する Compute セキュリティ管理者（roles/compute.securityAdmin）

コンソール

Cloud de Confiance コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
プロジェクトセレクタメニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
[関連付けを追加] をクリックします。
組織のルートを選択するか、組織内のフォルダを選択します。
[追加] をクリックします。

gcloud

デフォルトでは、すでに関連付けがある組織またはフォルダに関連付けを挿入しようとすると、そのメソッドは失敗します。--replace-association-on-target フラグを指定すると、新しい関連付けが作成されると同時に既存の関連付けが削除されます。これにより、移行時にポリシーのないリソースが設定されることがなくなります。

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

次のように置き換えます。

POLICY_NAME: ポリシーの略称またはシステムによって生成された名前
ORG_ID: 組織の ID
FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織レベルに関連付ける場合は省略します。
ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は「organization ORG_ID」または「folder FOLDER_ID」に設定されます。

ファイアウォールポリシールールのタスク

このセクションでは、階層型ファイアウォールポリシールールを作成する方法について説明します。

VM ターゲットの上り（内向き）ルールを作成する

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM ロールのいずれかが付与されている必要があります。

権限

compute.firewallPolicies.update

ロール

ポリシーを含むファイアウォールポリシー、組織、フォルダに対する Compute 組織ファイアウォールポリシー管理者（roles/compute.orgFirewallPolicyAdmin）
ポリシーを含むファイアウォールポリシー、組織、フォルダに対する Compute セキュリティ管理者（roles/compute.securityAdmin）

このセクションでは、Compute Engine インスタンスのネットワークインターフェースに適用される上り（内向き）ルールを作成する方法について説明します。

コンソール

Cloud de Confiance コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
プロジェクトセレクタのリストで、階層型ファイアウォールポリシーを含む組織またはフォルダを選択します。
必要に応じて、[階層インデックス] セクションで子フォルダを選択します。
[ファイアウォールポリシー] セクションで、ルールを作成する階層型ファイアウォールポリシーの名前をクリックします。
[ファイアウォールルール] セクションで、[ファイアウォールルールを作成] をクリックし、次の構成パラメータを指定します。
1. 優先度: ルールの数値評価順序。
  
  ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルール優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。
2. 説明: 説明を入力します（省略可）。
3. トラフィックの方向: [上り（内向き）] を選択します。
4. 一致したときのアクション: 次のいずれかを選択します。
  - 許可: ルールパラメータに一致する接続を許可します。
  - 拒否: ルールパラメータに一致する接続をブロックします。
  - 次に移動: ファイアウォールルールの評価プロセスを続行します。
  - セキュリティプロファイルグループを適用: 選択した目的に基づいて、パケットをファイアウォールエンドポイントまたはインターセプトエンドポイントグループに送信します。
    - パケットを Cloud NGFW ファイアウォールエンドポイントに送信するには、[Cloud NGFW Enterprise] を選択し、[セキュリティプロファイルグループ] を選択します。パケットの TLS インスペクションを有効にするには、[TLS インスペクションを有効にする] を選択します。
    - インバンド統合のためにパケットを Network Security Integration 傍受エンドポイントグループに送信するには、[NSI In-Band] を選択し、[セキュリティプロファイルグループ] を選択します。
5. ログ: ファイアウォールルールロギングを有効にするには [オン] を選択し、このルールのファイアウォールルールロギングを無効にするには [オフ] を選択します。
6. ターゲットネットワーク: ファイアウォールポリシーを特定の VPC ネットワーク内のターゲットに適用する場合は、[ネットワークを追加] をクリックし、[プロジェクト] と [ネットワーク] を選択します。
7. ターゲット: 次のいずれかを選択します。
  - すべてに適用: Cloud NGFW は、最も広範なインスタンスターゲットを使用します。
  - サービスアカウント: 最も広範なインスタンスターゲットを、[ターゲットサービスアカウント] で指定したサービスアカウントを使用する VM インスタンスのネットワークインターフェースに絞り込みます。
  - セキュアタグ: 最も広範なインスタンスターゲットを、指定したセキュアタグ値の少なくとも 1 つにバインドされている VM インスタンスのネットワークインターフェースに絞り込みます。[タグのスコープを選択] をクリックし、一致するタグ値を含む組織またはプロジェクトを選択します。さらにタグ値を追加するには、[タグを追加] をクリックします。
8. ソースネットワークコンテキスト: ネットワークコンテキストを指定します。
  - ネットワークコンテキストによるインバウンドトラフィックのフィルタリングをスキップするには、[すべてのネットワークコンテキスト] を選択します。
  - 特定のネットワークコンテキストへのインバウンドトラフィックをフィルタするには、[特定のネットワークコンテキスト] を選択し、ネットワークコンテキストを選択します。
    - インターネット: インバウンドトラフィックは、上り（内向き）パケットのインターネットネットワークコンテキストと一致する必要があります。
    - インターネット以外: インバウンドトラフィックは、上り（内向き）パケットのインターネット以外のネットワークコンテキストと一致する必要があります。
    - VPC 内: インバウンドトラフィックは、VPC 内ネットワークコンテキストの条件と一致する必要があります。
    - VPC ネットワーク: インバウンドトラフィックは、VPC ネットワークコンテキストの条件と一致する必要があります。少なくとも 1 つの VPC ネットワークを選択する必要があります。
      - 現在のプロジェクトを選択: ファイアウォールポリシーを含むプロジェクトから 1 つ以上の VPC ネットワークを追加できます。
      - ネットワークを手動で入力: プロジェクトと VPC ネットワークを手動で入力できます。
      - プロジェクトを選択: VPC ネットワークを選択できるプロジェクトを選択できます。
9. ソースフィルタ: 追加のソースパラメータを指定します。一部のソースパラメータは併用できません。また、選択したソースネットワークコンテキストによって、使用できるソースパラメータが制限されます。詳細については、上り（内向き）ルールの送信元と上り（内向き）ルールの送信元の組み合わせをご覧ください。
  - 送信元 IPv4 の範囲で上り（内向き）トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、0.0.0.0/0 を使用します。
  - 送信元 IPv6 の範囲で上り（内向き）トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、::/0 を使用します。
  - インバウンドトラフィックを送信元セキュアタグの値でフィルタするには、[セキュアタグ] セクションで [タグのスコープを選択] を選択します。次に、タグキーとタグ値を指定します。タグ値を追加するには、[タグを追加] をクリックします。
  - 送信元 FQDN でインバウンドトラフィックをフィルタするには、[FQDN] フィールドに FQDN を入力します。詳細については、FQDN オブジェクトをご覧ください。
  - 送信元の位置情報で上り（内向き）トラフィックをフィルタするには、[位置情報] フィールドで 1 つ以上のロケーションを選択します。詳細については、位置情報オブジェクトをご覧ください。
  - 送信元アドレスグループでインバウンドトラフィックをフィルタするには、[アドレスグループ] フィールドで 1 つ以上のアドレスグループを選択します。詳細については、ファイアウォールポリシーのアドレスグループをご覧ください。
10. 宛先: オプションの宛先パラメータを指定します。詳細については、上り（内向き）ルールの送信先をご覧ください。
  - 宛先 IP アドレスによるインバウンドトラフィックのフィルタリングをスキップするには、[なし] を選択します。
  - 宛先 IP アドレスでインバウンドトラフィックをフィルタするには、[IPv4] または [IPv6] を選択し、送信元 IPv4 範囲または送信元 IPv6 範囲に使用される形式と同じ形式を使用して、1 つ以上の CIDR を入力します。
11. プロトコルとポート: ルールと一致するトラフィックのプロトコルと宛先ポートを指定します。詳細については、プロトコルとポートをご覧ください。
12. 適用: ファイアウォールルールを適用するかどうかを指定します。
  - 有効: ルールを作成し、新しい接続にルールを適用します。
  - 無効: ルールを作成しますが、新しい接続にルールを適用しません。
[作成] をクリックします。

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

次のように置き換えます。

PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。
POLICY_NAME: ルールを作成する階層型ファイアウォールポリシーの名前。
ORG_ID: 親が組織の場合、階層型ファイアウォールポリシーを含む組織 ID。
FOLDER_ID: 親がフォルダの場合、階層型ファイアウォールポリシーを含むフォルダ ID。
DESCRIPTION: 新しいルールの説明（省略可）。
ACTION: 次のいずれかのアクションを指定します。
- allow: ルールに一致する接続を許可します。
- deny: ルールに一致する接続を拒否します。
- goto_next: ファイアウォールルールの評価プロセスを続行します。
- apply_security_profile_group: パケットをファイアウォールエンドポイントまたはインターセプトエンドポイントグループに送信します。
  - アクションが apply_security_profile_group の場合は、--security-profile-group SECURITY_PROFILE_GROUP を含める必要があります。ここで、SECURITY_PROFILE_GROUP はセキュリティプロファイルグループの名前です。
  - セキュリティプロファイルグループのセキュリティプロファイルは、インバンド統合用に Cloud NGFW ファイアウォールエンドポイントまたは Network Security Integration 傍受エンドポイントグループのいずれかを参照できます。
  - セキュリティプロファイルグループのセキュリティプロファイルが Cloud NGFW ファイアウォールエンドポイントを参照している場合は、--tls-inspect または --no-tls-inspect のいずれかを含めて、TLS インスペクションを有効または無効にします。
--enable-logging フラグと --no-enable-logging フラグは、VPC ファイアウォールルールロギングを有効または無効にします。
--disabled フラグと --no-disabled フラグは、ルールが無効（適用されない）か有効（適用される）かを制御します。
ターゲットを指定します。
- --target-resources、--target-secure-tags、--target-service-accounts の各フラグを省略すると、Cloud NGFW は最も広範なインスタンスターゲットを使用します。
- TARGET_NETWORKS: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 形式のネットワークリソース URL で指定された VPC ネットワークのカンマ区切りのリスト。--target-resources フラグは単独で使用することも、他の 1 つのターゲットフラグと組み合わせて使用することもできます。詳細については、特定のターゲットの組み合わせをご覧ください。
- TARGET_SECURE_TAGS: 最も広範なインスタンスターゲットを、少なくとも 1 つのセキュアタグ値にバインドされている VM インスタンスのネットワークインターフェースに絞り込むセキュアタグ値のカンマ区切りリスト。
- TARGET_SERVICE_ACCOUNTS: サービスアカウントのカンマ区切りのリスト。最も広範なインスタンスターゲットを、いずれかのサービスアカウントを使用する VM インスタンスのネットワークインターフェースに絞り込みます。
LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りのリスト。各レイヤ 4 構成は次のいずれかになります。
- 宛先ポートのない IP プロトコル名（tcp）または IANA IP プロトコル番号（17）。
- IP プロトコル名と宛先ポートをコロン（tcp:80）で区切ったもの。
- IP プロトコル名と宛先ポートの範囲。コロンで区切り、宛先ポートの開始と終了をダッシュで区切ります（tcp:5000-6000）。詳細については、プロトコルとポートをご覧ください。
上り（内向き）ルールの送信元を指定します。詳細については、上り（内向き）ルールの送信元の組み合わせをご覧ください。
- SRC_NETWORK_CONTEXT: 別のサポートされているソースパラメータと組み合わせて使用し、ソースの組み合わせを生成するソースネットワークコンテキストを定義します。--target-type=INSTANCES の有効な値は、INTERNET、NON_INTERNET、VPC_NETWORKS、INTRA_VPC です。詳細については、ネットワークコンテキストをご覧ください。
- SRC_VPC_NETWORKS: URL 識別子で指定された VPC ネットワークのカンマ区切りリスト。このフラグは、--src-network-context が VPC_NETWORKS の場合にのみ指定します。
- SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りのリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。
- SRC_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレスグループのカンマ区切りのリスト。リスト内のアドレスグループには、すべての IPv4 アドレスまたはすべての IPv6 アドレスを含める必要があります。両方を組み合わせることはできません。
- SRC_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りのリスト。
- SRC_SECURE_TAGS: タグのカンマ区切りのリスト。--src-network-context が INTERNET の場合、--src-secure-tags フラグは使用できません。
- SRC_COUNTRY_CODES: 2 文字の国コードのカンマ区切りのリスト。詳しくは、位置情報オブジェクトをご覧ください。--src-network-context が NON_INTERNET、VPC_NETWORKS、INTRA_VPC の場合、--src-region-codes フラグは使用できません。
必要に応じて、上り（内向き）ルールの宛先を指定します。
- DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りのリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。

VM ターゲットの下り（外向き）ルールを作成する

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM ロールのいずれかが付与されている必要があります。

権限

compute.firewallPolicies.update

ロール

ポリシーを含むファイアウォールポリシー、組織、フォルダに対する Compute 組織ファイアウォールポリシー管理者（roles/compute.orgFirewallPolicyAdmin）
ポリシーを含むファイアウォールポリシー、組織、フォルダに対する Compute セキュリティ管理者（roles/compute.securityAdmin）

次の手順は、Egress ルールを作成する方法を示しています。下り（外向き）ルールは、Compute Engine インスタンスのネットワークインターフェースであるターゲットにのみ適用されます。

コンソール

Cloud de Confiance コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
プロジェクトセレクタのリストで、階層型ファイアウォールポリシーを含む組織またはフォルダを選択します。
必要に応じて、[階層インデックス] セクションで子フォルダを選択します。
[ファイアウォールポリシー] セクションで、ルールを作成する階層型ファイアウォールポリシーの名前をクリックします。
[ファイアウォールルール] セクションで、[ファイアウォールルールを作成] をクリックし、次の構成パラメータを指定します。
1. 優先度: ルールの数値評価順序。
  
  ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルール優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。
2. 説明: 説明を入力します（省略可）。
3. トラフィックの方向: [下り（外向き）] を選択します。
4. 一致したときのアクション: 次のいずれかを選択します。
  - 許可: ルールパラメータに一致する接続を許可します。
  - 拒否: ルールパラメータに一致する接続をブロックします。
  - 次に移動: ファイアウォールルールの評価プロセスを続行します。
  - セキュリティプロファイルグループを適用: 選択した目的に基づいて、パケットをファイアウォールエンドポイントまたはインターセプトエンドポイントグループに送信します。
    - パケットを Cloud NGFW ファイアウォールエンドポイントに送信するには、[Cloud NGFW Enterprise] を選択し、[セキュリティプロファイルグループ] を選択します。パケットの TLS インスペクションを有効にするには、[TLS インスペクションを有効にする] を選択します。
    - インバンド統合のためにパケットを Network Security Integration 傍受エンドポイントグループに送信するには、[NSI In-Band] を選択し、[セキュリティプロファイルグループ] を選択します。
5. ログ: ファイアウォールルールロギングを有効にするには [オン] を選択し、このルールのファイアウォールルールロギングを無効にするには [オフ] を選択します。
6. ターゲットネットワーク: ファイアウォールポリシーを特定の VPC ネットワーク内のターゲットに適用する場合は、[ネットワークを追加] をクリックし、[プロジェクト] と [ネットワーク] を選択します。
7. ターゲット: 次のいずれかを選択します。
  - すべてに適用: Cloud NGFW は、最も広範なインスタンスターゲットを使用します。
  - サービスアカウント: 最も広範なインスタンスターゲットを、[ターゲットサービスアカウント] で指定したサービスアカウントを使用する VM インスタンスのネットワークインターフェースに絞り込みます。
  - セキュアタグ: 最も広範なインスタンスターゲットを、指定したセキュアタグ値の少なくとも 1 つにバインドされている VM インスタンスのネットワークインターフェースに絞り込みます。[タグのスコープを選択] をクリックし、一致するタグ値を含む組織またはプロジェクトを選択します。さらにタグ値を追加するには、[タグを追加] をクリックします。
8. 宛先ネットワークコンテキスト: ネットワークコンテキストを指定します。
  - ネットワークコンテキストによる送信トラフィックのフィルタリングをスキップするには、[すべてのネットワークコンテキスト] を選択します。
  - 特定のネットワークコンテキストへの送信トラフィックをフィルタするには、[特定のネットワークコンテキスト] を選択し、ネットワークコンテキストを選択します。
    - インターネット: 送信トラフィックは、下り（外向き）パケットのインターネットネットワークコンテキストと一致する必要があります。
    - 非インターネット: 発信トラフィックは、下り（外向き）パケットの非インターネットネットワークコンテキストと一致する必要があります。
9. 宛先フィルタ: 追加の宛先パラメータを指定します。一部の宛先パラメータは同時に使用できません。また、宛先ネットワークコンテキストの選択によって、使用できる宛先フィルタが制限されます。詳細については、下り（外向き）ルールの送信先と下り（外向き）ルールの送信先の組み合わせをご覧ください。
  - 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、0.0.0.0/0 を使用します。
  - 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、::/0 を使用します。
  - 送信トラフィックを送信先 FQDN でフィルタするには、[FQDN] フィールドに FQDN を入力します。詳細については、FQDN オブジェクトをご覧ください。
  - 送信トラフィックを送信先位置情報でフィルタするには、[位置情報] フィールドで 1 つ以上の場所を選択します。詳しくは、位置情報オブジェクトをご覧ください。
  - 宛先アドレスグループで送信トラフィックをフィルタするには、[アドレスグループ] フィールドから 1 つ以上のアドレスグループを選択します。詳細については、ファイアウォールポリシーのアドレスグループをご覧ください。
10. ソース: オプションのソースパラメータを指定します。詳細については、下り（外向き）ルールの送信元をご覧ください。
  - 送信元 IP アドレスによる送信トラフィックのフィルタリングをスキップするには、[なし] を選択します。
  - 送信元 IP アドレスで送信トラフィックをフィルタするには、[IPv4] または [IPv6] を選択し、送信先 IPv4 範囲または送信先 IPv6 範囲で使用されているのと同じ形式で 1 つ以上の CIDR を入力します。
11. プロトコルとポート: ルールと一致するトラフィックのプロトコルと宛先ポートを指定します。詳細については、プロトコルとポートをご覧ください。
12. 適用: ファイアウォールルールを適用するかどうかを指定します。
  - 有効: ルールを作成し、新しい接続にルールを適用します。
  - 無効: ルールを作成しますが、新しい接続にルールを適用しません。
[作成] をクリックします。

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

次のように置き換えます。

PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます（最も高い優先度は 0）。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします（100、200、300 など）。
POLICY_NAME: ルールを作成する階層型ファイアウォールポリシーの名前。
ORG_ID: 親が組織の場合、階層型ファイアウォールポリシーを含む組織 ID。
FOLDER_ID: 親がフォルダの場合、階層型ファイアウォールポリシーを含むフォルダ ID。
DESCRIPTION: 新しいルールの説明（省略可）。
ACTION: 次のいずれかのアクションを指定します。
- allow: ルールに一致する接続を許可します。
- deny: ルールに一致する接続を拒否します。
- goto_next: ファイアウォールルールの評価プロセスを続行します。
- apply_security_profile_group: パケットをファイアウォールエンドポイントまたはインターセプトエンドポイントグループに送信します。
  - アクションが apply_security_profile_group の場合は、--security-profile-group SECURITY_PROFILE_GROUP を含める必要があります。ここで、SECURITY_PROFILE_GROUP はセキュリティプロファイルグループの名前です。
  - セキュリティプロファイルグループのセキュリティプロファイルは、インバンド統合用に Cloud NGFW ファイアウォールエンドポイントまたは Network Security Integration 傍受エンドポイントグループのいずれかを参照できます。
  - セキュリティプロファイルグループのセキュリティプロファイルが Cloud NGFW ファイアウォールエンドポイントを参照している場合は、--tls-inspect または --no-tls-inspect のいずれかを含めて、TLS インスペクションを有効または無効にします。
--enable-logging フラグと --no-enable-logging フラグは、VPC ファイアウォールルールロギングを有効または無効にします。
--disabled フラグと --no-disabled フラグは、ルールが無効（適用されない）か有効（適用される）かを制御します。
ターゲットを指定します。
- --target-resources、--target-secure-tags、--target-service-accounts の各フラグを省略すると、Cloud NGFW は最も広範なインスタンスターゲットを使用します。
- TARGET_NETWORKS: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 形式のネットワークリソース URL で指定された VPC ネットワークのカンマ区切りのリスト。--target-resources フラグは単独で使用することも、他の 1 つのターゲットフラグと組み合わせて使用することもできます。詳細については、特定のターゲットの組み合わせをご覧ください。
- TARGET_SECURE_TAGS: 最も広範なインスタンスターゲットを、少なくとも 1 つのセキュアタグ値にバインドされている VM インスタンスのネットワークインターフェースに絞り込むセキュアタグ値のカンマ区切りリスト。
- TARGET_SERVICE_ACCOUNTS: サービスアカウントのカンマ区切りのリスト。最も広範なインスタンスターゲットを、いずれかのサービスアカウントを使用する VM インスタンスのネットワークインターフェースに絞り込みます。
LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りのリスト。各レイヤ 4 構成は次のいずれかになります。
- 宛先ポートのない IP プロトコル名（tcp）または IANA IP プロトコル番号（17）。
- IP プロトコル名と宛先ポートをコロン（tcp:80）で区切ったもの。
- IP プロトコル名と宛先ポートの範囲。コロンで区切り、宛先ポートの開始と終了をダッシュで区切ります（tcp:5000-6000）。詳細については、プロトコルとポートをご覧ください。
下り（外向き）ルールの送信先を指定します。詳細については、下り（外向き）ルールの送信先の組み合わせをご覧ください。
- DEST_NETWORK_CONTEXT: 別のサポートされている宛先パラメータと組み合わせて使用し、宛先の組み合わせを生成する宛先ネットワークコンテキストを定義します。有効な値は INTERNET と NON_INTERNET です。詳細については、ネットワークコンテキストをご覧ください。
- DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りのリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。
- DEST_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレスグループのカンマ区切りリスト。
- DEST_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りのリスト。
- DEST_COUNTRY_CODES: 2 文字の国コードのカンマ区切りのリスト。詳細については、位置情報オブジェクトをご覧ください。
必要に応じて、下り（外向き）ルールの送信元を指定します。
- SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りのリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。

階層型ファイアウォール ポリシーとルールを作成する

制限事項

ファイアウォール ポリシーのタスク

ファイアウォール ポリシーの作成

このタスクに必要な権限

コンソール

gcloud

ポリシーを組織またはフォルダに関連付ける

このタスクに必要な権限

コンソール

gcloud

ファイアウォール ポリシー ルールのタスク

VM ターゲットの上り（内向き）ルールを作成する

このタスクに必要な権限

コンソール

gcloud

VM ターゲットの下り（外向き）ルールを作成する

このタスクに必要な権限

コンソール

gcloud

次のステップ

階層型ファイアウォールポリシーとルールを作成する

ファイアウォールポリシーのタスク

ファイアウォールポリシーの作成

ファイアウォールポリシールールのタスク