アクセス制御ポリシーを設定した後、Cloud Firewall はトラフィックパケットを 4 タプル、アプリケーションタイプ、およびドメイン名と順番に照合します。4 タプルとは、送信元アドレス、宛先アドレス、宛先ポート、およびトランスポート層プロトコルを指します。 Cloud Firewall がトラフィックのアプリケーションタイプまたはドメイン名を識別できない場合、Cloud Firewall はビジネス運用を正常に確保するためにトラフィックを自動的に許可します。識別できないトラフィックを許可したくない場合は、厳格モードを有効にできます。
Cloud Firewall のトラフィック照合ルール
アクセス制御ポリシーを設定した後、トラフィックが Cloud Firewall を通過するときに、Cloud Firewall はトラフィックパケットを 4 タプル、アプリケーションタイプ、およびドメイン名と順番に照合します。
緩和モード: トラフィックパケットに標準のアプリケーション情報またはドメイン名が含まれていない場合、Cloud Firewall はトラフィックのアプリケーションタイプまたはドメイン名を識別できない可能性があります。この場合、Cloud Firewall はトラフィックを自動的に許可します。
ポリシーのアプリケーションタイプは ANY 以外です。
ドメイン名が指定されており、ドメイン名識別モードが FQDN ベースの動的解決 (ホストと SNI フィールドを抽出) または FQDN および DNS ベースの動的解決 に設定されています。
厳格モード: Cloud Firewall は、アプリケーションタイプまたはドメイン名が識別されていないトラフィックを直接許可しません。 Cloud Firewall は、アクセス制御ポリシーにヒットするまで、優先度の低いアクセス制御ポリシーとトラフィックの照合を続けます。次に、Cloud Firewall はアクセス制御ポリシーで指定された操作を実行します。 Cloud Firewall がすべてのアクセス制御ポリシーとトラフィックを照合した後にアクセス制御ポリシーにヒットしない場合、Cloud Firewall はトラフィックを自動的に許可します。
厳格モードを有効にした後に通常のトラフィックがブロックされる場合は、必要なアプリケーション情報をリクエストパケットに追加するか、厳格モードを無効にすることをお勧めします。
デフォルトでは、新しい VPC ファイアウォールに対して厳格モードが有効になっています。
アクセス制御エンジンの厳格モードを有効または無効にする
インターネットファイアウォールおよび NAT ファイアウォールのアクセス制御エンジンのモードを設定できます。デフォルトでは、アクセス制御エンジンは [緩和モード] です。このモードでは、アプリケーションタイプまたはドメイン名が不明として識別されるトラフィックは、ワークロードへの悪影響を防ぐために自動的に許可されます。必要に応じて、モードを [厳格モード] に変更できます。
インターネットファイアウォールのアクセス制御エンジンのモードを変更する方法の詳細については、「インターネットファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。
NAT ファイアウォールのアクセス制御エンジンのモードを変更する方法の詳細については、「アクセス制御エンジンモードを設定する」をご参照ください。
よくある質問
識別できないトラフィックのログを表示するにはどうすればよいですか?
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
タブで、[アクセス制御] Rule Source を選択し、アプリケーションが識別されていません または ドメイン名が識別されていません All Pre-match Access Control Policy Statuses を選択し、[検索] をクリックします。
厳格モードのトラフィックログを表示します。ログには、時間、送信元 IP アドレス、宛先 IP アドレス、および宛先ポートなどの情報が含まれています。
関連情報
アクセス制御ポリシーのしくみの詳細については、「アクセス制御ポリシーの概要」をご参照ください。
詳細については、「インターネットファイアウォールの受信および送信アクセス制御ポリシーを作成する」をご参照ください。
トラフィックログのフィールドとトラフィックログのクエリ方法の詳細については、「ログ監査」をご参照ください。