Questa pagina mostra esempi di implementazioni di criteri firewall gerarchici. it presuppone che tu abbia familiarità con i concetti descritti in Criteri firewall gerarchici.
Esempio 1: consentire a Prober di accedere a tutte le VM
In questo caso d'uso, tutte le istanze di macchine virtuali (VM) in un'organizzazione devono
la scansione e l'inventario mediante probe di un determinato indirizzo IP
(10.100.0.1
) a una porta di destinazione specifica (123
). La sicurezza dell'organizzazione
assicura che nessun amministratore di rete o altra
può bloccare quella porta su qualsiasi istanza VM dell'organizzazione.
In questo esempio si presuppone che non sia stato eseguito il deployment di criteri firewall a livello di cartella.
La configurazione della configurazione per questo caso d'uso è descritta nel seguente diagramma.
Criterio effettivo applicato nelle VM
In questo esempio, il criterio firewall della VM applicato delle regole nella gerarchia è la seguente.
Connessioni in entrata
Le connessioni in entrata con l'IP di origine
10.100.0.1
e la porta di destinazione123
sono consentito, come definito nelle norme. In caso di corrispondenza con il criterio dell'organizzazione, connessioni del probe sono consentite e non vengono valutate altre regole nella gerarchia.Per qualsiasi connessione in entrata diversa dall'IP di origine
10.100.0.1
e porta di destinazione123
, non c'è corrispondenza; pertanto la regola in entrata predefinita nelle regole firewall VPC si applica, negando la connessione.
Connessione in uscita
- Non esiste una corrispondenza nelle regole definite dalla gerarchia. Di conseguenza, l'impostazione predefinita si applica una regola di traffico in uscita nelle regole firewall VPC, consentendo e connessioni a Internet.
Modalità di configurazione
Crea un criterio firewall che contenga la regola:
gcloud compute firewall-policies create \ --organization=123456789012 \ --short-name="example-firewall-policy" \ --description="rules that apply to all VMs in the organization"
Aggiungi la regola al criterio firewall:
gcloud compute firewall-policies rules create 1000 \ --action=allow \ --description="allow-scan-probe" \ --layer4-configs=tcp:123 \ --firewall-policy=example-firewall-policy \ --organization=123456789012 \ --src-ip-ranges=10.100.0.1/32
Associa il criterio firewall all'organizzazione:
gcloud compute firewall-policies associations create \ --firewall-policy=example-firewall-policy \ --organization=123456789012
Esempio 2: negare tutte le connessioni esterne tranne alcune porte
In questo caso d'uso, un criterio firewall blocca tutte le connessioni dall'esterno
da origini internet, ad eccezione delle connessioni sulle porte di destinazione 80
, 443
e
22
. Una connessione a internet in entrata su qualsiasi porta diversa da 80
, 443
e
22
è bloccato indipendentemente dalle regole firewall a livello di VPC
a livello di rete. Per tutte le connessioni sulla porta 80
, 443
o 22
, il criterio
delega all'amministratore della sicurezza VPC il comportamento
che vuoi applicare nella rispettiva rete VPC.
La configurazione della configurazione per questo caso d'uso è descritta nel seguente diagramma.
Criterio effettivo applicato nelle VM
In questo esempio, il criterio firewall della VM applicato delle regole nella gerarchia è la seguente.
Connessioni in entrata
Qualsiasi connessione in entrata da
10.0.0.0/8
corrisponde a quella più alta regola di priorità a livello di organizzazionedelegate-internal-traffic
e ignora le altre regole del criterio dell'organizzazione da valutare in base e regole firewall configurate a livello di rete VPC. Nella Regola firewall VPC, le connessioni da10.2.0.0/16
sono consentite, mentre le altre connessioni vengono valutate in base al traffico implicito in entrata che èdeny
.Connessioni in entrata con un intervallo IP di origine diverso da
10.0.0.0/8
per le porte di destinazione22
,80
e443
sono delegati al livello successivo, dove sono consentite le porte80
e443
, ma non22
.Tutte le altre connessioni vengono bloccate.
Connessioni in uscita
- Non esiste una corrispondenza nelle regole definite dalla gerarchia. Di conseguenza, l'impostazione predefinita si applica una regola di traffico in uscita nelle regole firewall VPC, consentendo e connessioni a Internet.
Modalità di configurazione
Crea un criterio firewall che contenga la regola:
gcloud compute firewall-policies create \ --organization=123456789012 \ --short-name="example-firewall-policy" \ --description="rules that apply to all VMs in the organization"
Aggiungi una regola per delegare le connessioni interne al proprietario del progetto:
gcloud compute firewall-policies rules create 1000 \ --action=goto_next \ --description="delegate-internal-traffic" \ --organization=123456789012 \ --firewall-policy="example-firewall-policy" \ --src-ip-ranges=10.0.0.0/8
Aggiungi una regola per delegare le regole per le connessioni esterne alle porte
80
/443
/22
alle proprietario del progetto:gcloud compute firewall-policies rules create 2000 \ --action=goto_next \ --description="delegate-external-traffic-spec-ports" \ --src-ip-ranges=0.0.0.0/0 \ --layer4-configs=tcp:80,tcp:443,tcp:22 \ --organization=123456789012 \ --firewall-policy="example-firewall-policy"
Aggiungi una regola per negare tutte le altre connessioni esterne:
gcloud compute firewall-policies rules create 3000 \ --action=deny \ --description="block-other-external-traffic-spec-ports" \ --organization=123456789012 \ --firewall-policy="example-firewall-policy" \ --src-ip-ranges=0.0.0.0/0
Associa il criterio firewall all'organizzazione:
gcloud compute firewall-policies associations create \ --organization=123456789012 \ --firewall-policy="example-firewall-policy"
Nel progetto, aggiungi una regola firewall per consentire le connessioni interne dal subnet designata:
gcloud compute firewall-rules create allow-internal-traffic \ --action=allow \ --priority=1000 \ --source-ranges=10.2.0.0/16
Nel progetto, aggiungi una regola firewall per consentire la comunicazione TCP esterna
80
/443
connessioni:gcloud compute firewall-rules create allow-external-traffic \ --action=allow \ --priority=2000 \ --rules=tcp:80,tcp:443
Esempio 3: negare le connessioni in uscita tranne che da una rete VPC specifica
In questo caso d'uso, l'amministratore della sicurezza dell'organizzazione non consente il traffico in uscita
connessioni in qualsiasi rete VPC, tranne le connessioni
proveniente dalla rete VPC myvpc
. L'amministratore
delega la decisione di aprire il traffico in uscita al server pubblico 203.0.113.1
alla
amministratore della sicurezza di myvpc
.
In questo esempio si presuppone che non sia stato eseguito il deployment di criteri firewall a livello di cartella. La configurazione della configurazione per questo caso d'uso è descritta nel seguente diagramma.
Criterio effettivo applicato nelle VM
In questo esempio, il criterio firewall della VM applicato delle regole nella gerarchia è la seguente.
Connessioni in entrata
- Non esiste una corrispondenza nelle regole definite dalla gerarchia. Di conseguenza, l'impostazione predefinita Si applica la regola in entrata nelle regole del firewall VPC, negando il traffico in entrata e connessioni a Internet.
Connessioni in uscita
Sono consentite tutte le connessioni in uscita destinate a
203.0.113.1
. il resto delle connessioni vengono negate. Tutte le connessioni in uscita destinate203.0.113.1
corrispondono alla regoladelegate-egress-my-vpc
e ignora il resto di e le regole del criterio dell'organizzazione.Le connessioni in uscita vengono quindi valutate in base alle regole del firewall configurato in
myvpc
. La regola predefinita consente le connessioni in uscita. Lablock-egress-traffic-sepc-ports
regola nel criterio a livello di organizzazione nega le altre connessioni.
Modalità di configurazione
Crea un criterio firewall che contenga la regola:
gcloud compute firewall-policies create \ --organization=123456789012 \ --short-name="example-firewall-policy" \ --description="rules that apply to all VMs in the organization"
Aggiungi una regola per delegare determinate connessioni in uscita:
gcloud compute firewall-policies rules create 1000 \ --action=goto_next \ --description="delegate-egress-myvpc" \ --dest-ip-ranges=203.0.113.1/32 --direction=egress --organization=123456789012 \ --short-name="example-firewall-policy" \ --target-resources=projects/PROJECT_ID/networks/myvpc
Aggiungi una regola per negare tutte le altre connessioni in uscita:
gcloud compute firewall-policies rules create 2000 \ --action=deny \ --description="block-egress-external-traffic-spec-ports" \ --direction=egress \ --dest-ip-ranges=0.0.0.0/0 \ --organization=123456789012 \ --short-name="example-firewall-policy"
Associa il criterio firewall all'organizzazione:
gcloud compute firewall-policies associations create \ --organization=123456789012 \ --short-name="example-firewall-policy"
Esempio 4: configurare regole a livello di organizzazione e specifiche per la cartella
In questo caso d'uso, un amministratore della sicurezza non consente connessioni in entrata
tutte le VM nell'organizzazione, ad eccezione di quelle dell'intervallo aggiunto a
lista consentita: 203.0.113.0/24
. L'amministratore delega ulteriori decisioni
su cosa fare con i collegamenti da 203.0.113.0/24
a
amministratori della sicurezza
a livello di cartella.
Esistono due cartelle diverse:
- Folder1, in cui il criterio consente connessioni solo alle porte
80
e443
sulle VM di backend e le altre porte sono bloccati. - Folder2, in cui il criterio applica in modo forzato che nessuna VM nella Cartella 2 può
blocca qualsiasi porta di destinazione per il traffico proveniente dall'indirizzo IP
203.0.113.1
. La L'amministratore della sicurezza della cartella 2 delega altre decisioni al Amministratore della sicurezza VPC, che decide di aprire le porte80
,443
e22
e non autorizzare le altre porte.
La configurazione della configurazione per questo caso d'uso è descritta nel seguente diagramma.
Criterio effettivo applicato nelle VM
In questo esempio, il criterio firewall della VM applicato delle regole nella gerarchia è la seguente.
Per le VM appartenenti a my-vpc
Tutte le connessioni in entrata da
203.0.113.0/24
con porte di destinazione TCP80
e443
sono consentiti. Qualsiasi altra connessione in entrata viene negata.Tutte le connessioni in uscita sono accettate in base alla regola firewall VPC applicata perché non esiste una corrispondenza con le regole dei criteri firewall di livello superiore.
Per le VM appartenenti a vpc2
Tutte le connessioni in entrata da
203.0.113.1
sono consentite. Connessioni in entrata da altre origini203.0.113.0/24
diverse da203.0.113.1
sono consentite solo alle porte80
,443
e22
. Tutte le altre connessioni in entrata vengono negate.Tutte le connessioni in uscita sono accettate in base alla regola firewall VPC applicata perché non esiste una corrispondenza con le regole dei criteri firewall di livello superiore.
Modalità di configurazione
Crea un criterio firewall che contenga le regole per Org_A:
gcloud compute firewall-policies create \ --organization=100000000000 \ --short-name="example-firewall-policy-org-a" \ --description="rules that apply to all VMs in the organization"
Aggiungi una regola per delegare il traffico in entrata da
203.0.113.0/24
al proprietario del progetto:gcloud compute firewall-policies rules create 1000 \ --action=goto_next \ --description="delegate-ingress" \ --organization=100000000000 \ --short-name="example-firewall-policy-org-a" \ --src-ip-ranges=203.0.113.0/24
Aggiungi una regola per negare tutte le altre connessioni esterne:
gcloud compute firewall-policies rules create 2000 \ --action=deny --description="block-ingress-external-traffic" --organization=100000000000 \ --short-name="example-firewall-policy-org-a" \ --src-ip-ranges=0.0.0.0/0
Associa il criterio firewall all'organizzazione:
gcloud compute firewall-policies associations create \ --organization=100000000000 \ --short-name="example-firewall-policy-org-a"
Crea un criterio firewall che contenga le regole per la cartella 1:
gcloud compute firewall-policies create \ --organization=100000000000 \ --short-name="example-firewall-policy-folder1" \ --description="rules that apply to all VMs under Folder1"
Aggiungi una regola per consentire tutto il traffico HTTP(S) in entrata:
gcloud compute firewall-policies rules create 1000 \ --action=allow \ --description="allow-http-s-ingress" \ --layer4-configs=tcp:80,tcp:443 \ --organization=100000000000 \ --short-name="example-firewall-policy-folder1"
Aggiungi una regola per negare il traffico in entrata su tutte le altre porte o tutti i protocolli:
gcloud compute firewall-policies rules create 2000 \ --action=deny \ --description="block-ingress-external-traffic" \ --organization=100000000000 \ --short-name="example-firewall-policy-folder1" \ --src-ip-ranges=0.0.0.0/0
Associa il criterio firewall alla Cartella1:
gcloud compute firewall-policies associations create \ --organization=100000000000 \ --short-name="example-firewall-policy-folder1" \ --folder=200000000000
Crea un criterio firewall che contenga le regole per la cartella 2:
gcloud compute firewall-policies create \ --organization=100000000000 \ --short-name="example-firewall-policy-folder2" \ --description="rules that apply to all VMs under Folder2"
Aggiungi una regola per consentire il traffico in entrata da
203.0.113.1
:gcloud compute firewall-policies rules create 1000 \ --action=allow \ --description="allow-vul-scan-ingress" \ --organization=100000000000 \ --short-name="example-firewall-policy-folder2" \ --src-ip-ranges=203.0.113.1/32
Associa il criterio firewall alla cartella 2:
gcloud compute firewall-policies associations create \ --organization=100000000000 \ --short-name="example-firewall-policy-folder2" \ --folder=300000000000
Aggiungi una regola firewall per consentire il traffico in entrata della connessione HTTP(S):
gcloud compute firewall-rules create allow-internal-traffic \ --action=allow \ --rules=tcp:80,tcp:443,tcp:22
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, consulta Utilizzare criteri firewall gerarchici.