Regole dei criteri firewall

Quando crei una regola del criterio firewall, specifichi un insieme di componenti che definiscono la funzione della regola. Questi componenti specificano la direzione del traffico, l'origine, la destinazione e le caratteristiche di livello 4 come protocollo e porta di destinazione (se il protocollo utilizza le porte).

Ogni regola del criterio firewall si applica alle connessioni in entrata (in entrata) o in uscita (in uscita), non a entrambe.

Regole in entrata

La direzione in entrata si riferisce alle connessioni in entrata inviate da origini specifiche a destinazioni Google Cloud. Le regole in entrata si applicano ai pacchetti in entrata, dove la loro destinazione è la destinazione.

Una regola in entrata con un'azione deny protegge tutte le istanze bloccando le connessioni in entrata a queste ultime. Una regola con priorità più elevata potrebbe consentire l'accesso in entrata. Una rete predefinita creata automaticamente include alcune regole firewall VPC precompilate, che consentono il traffico in entrata per determinati tipi di traffico.

Regole in uscita

La direzione in uscita si riferisce al traffico in uscita inviato da un target a una destinazione. Le regole in uscita si applicano ai pacchetti per le nuove connessioni in cui l'origine del pacchetto è la destinazione.

Una regola in uscita con un'azione allow consente a un'istanza di inviare traffico alle destinazioni specificate nella regola. Il traffico in uscita può essere negato da regole firewall deny con priorità più elevata. Google Cloud inoltre blocca o limita determinati tipi di traffico.

Componenti delle regole dei criteri firewall

Le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali utilizzano i componenti descritti in questa sezione. Il termine criteri firewall fa riferimento a uno di questi tre tipi di criteri. Per ulteriori informazioni sui tipi di criteri firewall, consulta i criteri firewall.

Le regole dei criteri firewall in genere funzionano come le regole firewall VPC, ma presentano alcune differenze, descritte nelle sezioni seguenti.

Priorità

La priorità di una regola in un criterio firewall è un numero intero compreso tra 0 e 2.147.483.647 inclusi. I numeri interi più bassi indicano livelli più elevati di priorità. La priorità di una regola in un criterio firewall è simile alla priorità di una regola firewall VPC, con le seguenti differenze:

  • Ogni regola di un criterio firewall deve avere una priorità univoca.
  • La priorità di una regola in un criterio firewall funge da identificatore univoco della regola. Le regole nei criteri firewall non utilizzano i nomi per l'identificazione.
  • La priorità di una regola in un criterio firewall definisce l'ordine di valutazione all'interno dello stesso criterio firewall. Le regole e le regole firewall VPC nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete a livello di regione vengono valutate come descritto in Ordine di valutazione di criteri e regole.

Azione in caso di corrispondenza

Una regola in un criterio firewall può comportare una delle seguenti quattro azioni:

  • allow consente il traffico e interrompe l'ulteriore valutazione delle regole.
  • deny non consente il traffico e interrompe l'ulteriore valutazione delle regole.
  • apply_security_profile_group intercetta il traffico in modo trasparente e lo invia all'endpoint firewall configurato per l'ispezione di livello 7.
  • goto_next continua il processo di valutazione delle regole.

Applicazione

Puoi scegliere se applicare una regola del criterio firewall impostandone lo stato su Attivato o Disattivato. Puoi impostare lo stato di applicazione quando crei una regola o ne aggiorni una.

Se non imposti uno stato di applicazione forzata quando crei una nuova regola firewall, quest'ultima viene abilitata automaticamente.

Protocolli e porte

Analogamente alle regole firewall VPC, quando crei una regola devi specificare uno o più vincoli relativi a protocolli e porte. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione oppure il protocollo e un intervallo di porte di destinazione; non puoi specificare solo un intervallo di porte o porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate sulle porte di origine non sono supportate.

Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, utilizza i numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e numero sia in IPv4 sia in IPv6, ma alcuni, come ICMP, non lo fanno. Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per ICMP IPv6, utilizza il numero di protocollo 58.

Le regole firewall non supportano la specifica di tipi e codici ICMP, ma solo il protocollo.

Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

Se non specifichi i parametri di protocollo e porta, la regola si applica a tutti i protocolli e alle porte di destinazione.

Logging

Il logging per le regole dei criteri firewall funziona come per il logging delle regole firewall VPC, ad eccezione di quanto segue:

  • Il campo di riferimento include l'ID del criterio firewall e un numero che indica il livello della risorsa a cui è associato il criterio. Ad esempio, 0 significa che il criterio viene applicato a un'organizzazione, mentre 1 significa che il criterio viene applicato a una cartella di primo livello all'interno dell'organizzazione.

  • I log per le regole dei criteri firewall includono un campo target_resource che identifica le reti VPC a cui si applica la regola.

  • Il logging può essere abilitato solo per le regole allow, deny e apply_security_profile_group. Non può essere abilitato per le regole goto_next.

Destinazione, origine, destinazione

I parametri di destinazione identificano le interfacce di rete delle istanze a cui si applica una regola firewall.

Puoi specificare sia i parametri di origine sia i parametri di destinazione che si applicano alle origini o alle destinazioni dei pacchetti per le regole firewall in entrata e in uscita. La direzione della regola firewall determina i possibili valori per i parametri di origine e destinazione.

I parametri target, source e destination funzionano insieme.

Destinazioni

Il parametro target identifica le interfacce di rete delle istanze di Compute Engine, inclusi i nodi GKE e le istanze dell'ambiente flessibile di App Engine.

Puoi definire i target sia per le regole in entrata che in uscita. Le opzioni di destinazione valide dipendono dal tipo di criterio firewall.

Destinazioni per le regole dei criteri firewall gerarchici

Le regole dei criteri firewall gerarchici supportano le seguenti destinazioni:

  • Destinazione più ampia predefinita: se ometti la specifica di destinazione in una regola di criterio firewall gerarchica, la regola firewall si applica a tutte le istanze di tutte le reti VPC in tutti i progetti nel nodo Resource Manager (cartella o organizzazione) associato al criterio firewall. Si tratta dell'insieme più ampio di target.

  • Reti specifiche: se specifichi una o più reti VPC utilizzando il parametro target-resources, l'insieme più ampio di target viene limitato alle VM con un'interfaccia di rete in almeno una delle reti VPC specificate.

  • Istanze identificate dall'account di servizio: se specifichi uno o più account di servizio utilizzando il parametro target-service-accounts, il set di destinazioni più ampio viene limitato alle VM che utilizzano uno degli account di servizio specificati.

  • Reti e istanze specifiche identificate dall'account di servizio: se specifichi sia il parametro target-resources sia il parametro target-service-accounts, l'insieme di target più ampio viene limitato alle VM che soddisfano entrambi i seguenti criteri:

    • Le VM hanno un'interfaccia di rete in una delle reti VPC specificate.
    • Le VM utilizzano uno degli account di servizio specificati.

Destinazioni per le regole dei criteri firewall della rete globale

Le regole dei criteri firewall di rete globali supportano le seguenti destinazioni:

  • Destinazione predefinita: tutte le istanze nella rete VPC: quando ometti la specifica di destinazione in una regola del criterio firewall di rete globale, la regola firewall si applica alle istanze che hanno un'interfaccia di rete nella rete VPC associata al criterio. Le istanze possono trovarsi in qualsiasi regione. Si tratta dell'insieme più ampio di target.

  • Istanze per tag sicuri di destinazione: se specifichi tag di destinazione con il parametro target-secure-tags, il set più ampio di target viene ristretto per includere solo le VM associate ai tag.

  • Istanze per account di servizio di destinazione: se specifichi account di servizio con il parametro target-service-accounts, il set più ampio di destinazioni viene ristretto per includere solo le VM che utilizzano uno degli account di servizio specificati.

Destinazioni per le regole dei criteri firewall di rete a livello di regione

Le regole dei criteri firewall di rete regionali supportano le seguenti destinazioni:

  • Destinazione predefinita: tutte le istanze nella regione e nella rete VPC: quando ometti la specifica di destinazione in una regola del criterio firewall di rete a livello di regione, la regola firewall si applica alle istanze che hanno un'interfaccia di rete nella rete VPC associata al criterio. Le istanze devono trovarsi nella stessa regione del criterio. Questo è l'insieme più ampio di target.

  • Istanze per tag sicuri di destinazione: se specifichi tag di destinazione con il parametro target-secure-tags, il set più ampio di target viene ristretto per includere solo le VM associate ai tag.

  • Istanze per account di servizio di destinazione: se specifichi account di servizio con il parametro target-service-accounts, il set più ampio di destinazioni viene ristretto per includere solo le VM che utilizzano uno degli account di servizio specificati.

Destinazioni e indirizzi IP per le regole in entrata

I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:

  • Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti esplicitamente.

  • Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP:

    • L'indirizzo IPv4 interno principale assegnato al NIC dell'istanza.

    • Qualsiasi intervallo di indirizzi IP alias configurato nel NIC dell'istanza.

    • L'indirizzo IPv4 esterno associato al NIC dell'istanza.

    • Se nella subnet è configurato IPv6, qualsiasi indirizzo IPv6 assegnato al NIC.

    • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico passthrough, dove l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.

    • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzato per il forwarding del protocollo, in cui l'istanza di destinazione fa riferimento all'istanza.

    • Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza (next-hop-instance o next-hop-address) come VM dell'hop successivo.

    • Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza un bilanciatore del carico di rete passthrough interno (next-hop-ilb) come hop successivo se la VM è un backend per il bilanciatore del carico.

Destinazioni e indirizzi IP per le regole in uscita

L'elaborazione dei pacchetti emessi dall'interfaccia di rete di una destinazione dipende dalla configurazione di inoltro IP sulla VM di destinazione. L'IP forwarding è disabilitato per impostazione predefinita.

  • Se l'IP forwarding è disabilitato nella VM di destinazione, la VM può inviare pacchetti con le seguenti origini:

    • L'indirizzo IPv4 interno principale del NIC di un'istanza.

    • Qualsiasi intervallo di indirizzi IP alias configurato sul NIC di un'istanza.

    • Se nella subnet è configurato IPv6, qualsiasi indirizzo IPv6 assegnato al NIC.

    • Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico passthrough o il forwarding del protocollo. Questo valore è valido se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno oppure è a cui fa riferimento un'istanza di destinazione.

    Se la regola firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono comunque limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro di origine può essere utilizzato per perfezionare questo insieme. L'utilizzo di un parametro di origine senza abilitare l'IP forwarding non espande il set di possibili indirizzi di origine dei pacchetti.

    Se la regola firewall in uscita non include un intervallo di indirizzi IP di origine, sono consentiti tutti gli indirizzi IP di origine menzionati in precedenza.

  • Se nella VM di destinazione è abilitato l'IP forwarding, la VM può inviare pacchetti con indirizzi di origine arbitrari. Puoi usare il parametro source per definire con maggiore precisione l'insieme di origini pacchetti consentite.

Origini

I valori dei parametri di origine dipendono da quanto segue:

  • Il tipo di criterio firewall che contiene la regola firewall
  • La direzione della regola firewall

Origini per le regole in entrata nei criteri firewall gerarchici

Puoi utilizzare le seguenti origini per le regole in entrata nei criteri firewall gerarchici:

  • Intervallo di origine predefinito: quando ometti una specifica di origine in una regola in entrata, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include le origini IPv6.

  • Intervalli di indirizzi IPv4 di origine:un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli di indirizzi IPv6 di origine:un elenco di indirizzi IPv6 in formato CIDR.

  • Località geografiche: un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere per filtrare il traffico in entrata. Per ulteriori informazioni, consulta la sezione Oggetti di geolocalizzazione.

  • Elenchi di Informazioni sulle minacce: un elenco di uno o più nomi di elenco predefiniti di Informazioni sulle minacce. Per ulteriori informazioni, consulta Intelligence sulle minacce per le regole dei criteri firewall.

  • Gruppi di indirizzi di origine:un elenco di uno o più gruppi di indirizzi di origine costituiti da CIDR IPv4 o CIDR IPv6. Per maggiori informazioni sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

  • Nomi di dominio di origine:un elenco di uno o più nomi di dominio di origine. Per ulteriori informazioni sui nomi di dominio, consulta Nome di dominio per i criteri firewall.

  • Una combinazione di origini valida: puoi specificare varie combinazioni delle origini precedenti nelle regole in entrata. L'insieme di origine effettivo è l'unione di queste combinazioni.

    Quando specifichi una combinazione di origini in una regola in entrata, la regola viene applicata a un pacchetto che corrisponde ad almeno uno dei criteri del parametro di origine.

    Segui queste linee guida quando definisci le combinazioni di sorgenti per una regola:

    • Non utilizzare sia intervalli di indirizzi IPv4 di origine sia intervalli di indirizzi IPv6 di origine nella stessa regola.
    • Non utilizzare un gruppo di indirizzi di origine che contiene CIDR IPv4 con un altro gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
    • Non utilizzare intervalli di indirizzi IPv4 di origine e un gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
    • Non utilizzare intervalli di indirizzi IPv6 di origine e un gruppo di indirizzi di origine che contenga CIDR IPv4 nella stessa regola.

Origini per le regole in entrata nei criteri firewall di rete

Puoi utilizzare le seguenti origini per le regole in entrata nei criteri firewall di rete globali e a livello di regione:

  • Intervallo di origine predefinito: quando ometti una specifica di origine in una regola in entrata, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include le origini IPv6.

  • Intervalli di indirizzi IPv4 di origine:un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli di indirizzi IPv6 di origine:un elenco di indirizzi IPv6 in formato CIDR.

  • Località geografiche: un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere per filtrare il traffico in entrata. Per ulteriori informazioni, consulta la sezione Oggetti di geolocalizzazione.

  • Elenchi di Informazioni sulle minacce: un elenco di uno o più nomi di elenco predefiniti di Informazioni sulle minacce. Per ulteriori informazioni, consulta Intelligence sulle minacce per le regole dei criteri firewall.

  • Gruppi di indirizzi di origine:un elenco di uno o più gruppi di indirizzi di origine costituiti da CIDR IPv4 o CIDR IPv6. Per maggiori informazioni sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

  • Nomi di dominio di origine:un elenco di uno o più nomi di dominio di origine. Per ulteriori informazioni sui nomi di dominio, consulta Nome di dominio per i criteri firewall.

  • Tag protetti di origine:uno o più tag sicuri che identificano le interfacce di rete delle istanze VM nella stessa rete VPC a cui si applica il criterio firewall di rete o in una rete VPC connessa alla rete del criterio firewall utilizzando il peering di rete VPC. Inoltre, se il criterio è un criterio firewall di rete a livello di regione, le istanze VM devono trovarsi nella stessa regione del criterio.

  • Una combinazione di origini valida: puoi specificare varie combinazioni delle origini precedenti nelle regole in entrata. L'insieme di origine effettivo è l'unione di queste combinazioni.

    Quando specifichi una combinazione di origini in una regola in entrata, la regola viene applicata a un pacchetto che corrisponde ad almeno uno dei criteri del parametro di origine.

    Segui queste linee guida quando definisci le combinazioni di sorgenti per una regola:

    • Non utilizzare sia intervalli di indirizzi IPv4 di origine sia intervalli di indirizzi IPv6 di origine nella stessa regola.
    • Non utilizzare un gruppo di indirizzi di origine che contiene CIDR IPv4 con un altro gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
    • Non utilizzare intervalli di indirizzi IPv4 di origine e un gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
    • Non utilizzare intervalli di indirizzi IPv6 di origine e un gruppo di indirizzi di origine che contenga CIDR IPv4 nella stessa regola.

Come i tag di origine sicuri implicano le origini pacchetto

Le regole in entrata nei criteri firewall di rete globali e regionali possono specificare le origini utilizzando tag protetti. Ogni tag sicuro è associato a una singola rete VPC. Il tag sicuro può essere associato a una VM solo se la VM ha un'interfaccia di rete nella stessa rete VPC a cui è associato il tag sicuro.

Le regole dei criteri firewall con tag sicuri vengono applicate come segue:

  • Le regole in entrata in un criterio di rete globale si applicano ai pacchetti emessi dall'interfaccia di rete di una VM associata al tag, dove la VM soddisfa uno dei seguenti criteri:

    • L'interfaccia di rete della VM utilizza la stessa rete VPC del criterio firewall.
    • L'interfaccia di rete della VM utilizza una rete VPC connessa alla rete VPC del criterio firewall tramite peering di rete VPC.

  • Le regole in entrata in un criterio di rete a livello di regione si applicano ai pacchetti emessi dall'interfaccia di rete di una VM associata al tag, dove la VM nella stessa regione del criterio firewall soddisfa uno dei seguenti criteri:

    • L'interfaccia di rete della VM utilizza la stessa rete VPC del criterio firewall.
    • L'interfaccia di rete della VM utilizza una rete VPC connessa alla rete VPC del criterio firewall tramite peering di rete VPC.

Oltre a specificare un'interfaccia di rete, vengono risolti i seguenti indirizzi IP di origine:

  • L'indirizzo IPv4 interno principale di quell'interfaccia di rete
  • Qualsiasi indirizzo IPv6 assegnato a quell'interfaccia di rete

Se una regola firewall in entrata contiene anche intervalli di indirizzi IP di destinazione, l'interfaccia di rete associata a un tag sicuro viene risolta alla stessa versione IP dell'intervallo IP di destinazione.

Quando si utilizzano tag di origine protetti, nessun altro indirizzo IP di origine pacchetto viene risolto. Ad esempio, gli intervalli di indirizzi IP alias e gli indirizzi IPv4 esterni associati all'interfaccia di rete sono esclusi. Se devi creare regole firewall in entrata le cui origini includono intervalli di indirizzi IP alias o indirizzi IPv4 esterni, utilizza gli intervalli di indirizzi IPv4 di origine.

Origini per le regole in uscita

Puoi utilizzare le seguenti origini per le regole in uscita sia nei criteri firewall gerarchici sia nei criteri firewall di rete:

  • Predefinita, implicita dalla destinazione:se ometti il parametro di origine da una regola in uscita, le origini pacchetto vengono definite implicitamente come descritto in Destinazioni e indirizzi IP per le regole in uscita.

  • Intervalli di indirizzi IPv4 di origine:un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli di indirizzi IPv6 di origine:un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:

  • Se l'interfaccia di una VM ha indirizzi IPv4 interni ed esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.

  • Se hai un intervallo di indirizzi IP di origine e parametri di destinazione nella regola in uscita, i parametri di destinazione vengono risolti nella stessa versione IP della versione dell'IP di origine.

    Ad esempio, in una regola in uscita, il parametro di origine contiene un intervallo di indirizzi IPv4 e un oggetto FQDN nel parametro di destinazione. Se il nome di dominio completo si risolve sia in indirizzi IPv4 sia in indirizzi IPv6, durante l'applicazione della regola viene utilizzato solo l'indirizzo IPv4 risolto.

Destinazioni

Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP supportati dalle regole in entrata e in uscita nei criteri firewall gerarchici e di rete. Il comportamento predefinito della destinazione dipende dalla direzione della regola.

Destinazioni per le regole in entrata

Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata nei criteri firewall gerarchici e di rete:

  • Predefinita, implicita dalla destinazione:se ometti il parametro di destinazione da una regola in entrata, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Destinazioni e indirizzi IP per le regole in entrata.

  • Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole in entrata:

  • Se l'interfaccia di una VM ha indirizzi IPv4 interni ed esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.

  • Se in una regola in entrata sono stati definiti sia parametri di origine sia parametri di destinazione, questi vengono risolti nella stessa versione IP della versione dell'IP di destinazione. Per scoprire di più su come definire un'origine per le regole in entrata, consulta Origini delle regole in entrata nei criteri firewall gerarchici e Origini delle regole in entrata nei criteri firewall di rete.

    Ad esempio, in una regola in entrata, il parametro destination contiene un intervallo di indirizzi IPv6 e un codice paese di geolocalizzazione nel parametro source. Durante l'applicazione della regola, per il codice paese di origine specificato viene utilizzato solo l'indirizzo IPv6 mappato.

Destinazioni per le regole in uscita

Puoi utilizzare le seguenti destinazioni per le regole firewall in uscita nei criteri firewall gerarchici e di rete:

  • Intervallo di destinazione predefinito: quando ometti una specifica di destinazione in una regola in uscita, Google Cloud utilizza l'intervallo di indirizzi IPv4 di destinazione predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include le destinazioni IPv6.

  • Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 in formato CIDR.

  • Località geografiche: un elenco di una o più località geografiche di destinazione specificate come codici paese o regione di due lettere per filtrare il traffico in entrata. Per ulteriori informazioni, consulta la sezione Oggetti di geolocalizzazione.

  • Elenchi di Informazioni sulle minacce: un elenco di uno o più nomi di elenchi predefiniti di Informazioni sulle minacce. Per ulteriori informazioni, consulta Informazioni sulle minacce alle regole dei criteri firewall.

  • Gruppi di indirizzi di destinazione:un elenco di uno o più gruppi di indirizzi di destinazione costituiti da CIDR IPv4 o CIDR IPv6. Per scoprire di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

  • Nomi di dominio di destinazione: un elenco di uno o più nomi di dominio di destinazione. Per ulteriori informazioni sui nomi di dominio, vedi Nome di dominio per i criteri firewall.

  • Una combinazione di destinazione valida: puoi specificare varie combinazioni delle destinazioni precedenti nelle regole in entrata. L'insieme di destinazioni effettive è l'unione di queste combinazioni.

    Quando specifichi una combinazione di destinazioni in una regola in uscita, la regola viene applicata a un pacchetto che corrisponde ad almeno uno dei criteri del parametro di destinazione.

    Quando definisci le combinazioni di destinazione per una regola, segui queste linee guida:

    • Non utilizzare sia gli intervalli di indirizzi IPv4 di destinazione sia gli intervalli di indirizzi IPv6 di destinazione nella stessa regola.
    • Non utilizzare un gruppo di indirizzi di destinazione che contiene CIDR IPv4 con un altro gruppo di indirizzi di destinazione che contiene CIDR IPv6 nella stessa regola.
    • Non utilizzare intervalli di indirizzi IPv4 di destinazione e un gruppo di indirizzi di destinazione che contiene CIDR IPv6 nella stessa regola.
    • Non utilizzare intervalli di indirizzi IPv6 di destinazione e un gruppo di indirizzi di destinazione che contiene CIDR IPv4 nella stessa regola.

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri firewall per filtrare il traffico IPv4 esterno e il traffico IPv6 esterno in base a località geografiche o regioni specifiche.

Puoi applicare regole con oggetti di geolocalizzazione al traffico in entrata e in uscita. In base alla direzione del traffico, gli indirizzi IP associati ai codici paese vengono abbinati all'origine o alla destinazione del traffico.

  • Puoi configurare oggetti di geolocalizzazione per criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete a livello di regione.

  • Per aggiungere geolocalizzazioni alle regole dei criteri firewall, utilizza i codici paese o regione di due lettere come definiti nei codici paese ISO 3166 alpha-2.

    Ad esempio, se vuoi consentire il traffico in entrata nella rete solo dagli Stati Uniti, crea una regola del criterio firewall in entrata con il codice paese di origine impostato su US e l'azione impostata su allow. Analogamente, se vuoi consentire il traffico in uscita solo verso gli Stati Uniti, configura una regola del criterio firewall in uscita con il codice paese di destinazione impostato su US e l'azione impostata su allow.

  • Il firewall Cloud Next Generation consente di configurare regole firewall per i seguenti territori soggetti a sanzioni complete negli Stati Uniti:

    Territori Codice assegnato
    Crimea XC
    Le cosiddette repubbliche popolari di Donetsk e Lugansk XD

  • Se in un'unica regola firewall sono presenti codici paese duplicati, viene conservata una sola voce per quel codice paese. La voce duplicata viene rimossa. Ad esempio, nell'elenco dei codici paese ca,us,us, viene conservato solo ca,us.

  • Google gestisce un database con indirizzi IP e mappature dei codici paese. I firewall di Google Cloud utilizzano questo database per mappare gli indirizzi IP del traffico di origine e di destinazione al codice paese, quindi applicano la regola del criterio firewall corrispondente con gli oggetti di geolocalizzazione.

  • A volte, le assegnazioni di indirizzi IP e i codici paese cambiano a causa delle seguenti condizioni:

    Poiché è necessario un po' di tempo prima che queste modifiche vengano riportate nel database di Google, potresti notare alcune interruzioni del traffico e cambiamenti nel comportamento di determinati tipi di traffico che sono bloccati o consentiti.

Utilizza oggetti di geolocalizzazione con altri filtri delle regole dei criteri firewall

Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. A seconda della direzione della regola, la regola del criterio firewall viene applicata al traffico in entrata o in uscita che corrisponde all'unione di tutti i filtri specificati.

Per informazioni su come gli oggetti di geolocalizzazione funzionano con altri filtri di origine nelle regole in entrata, consulta Origini delle regole in entrata nei criteri firewall gerarchici e Origini delle regole in entrata nei criteri firewall di rete.

Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

Informazioni sulle minacce per le regole dei criteri firewall

Le regole dei criteri firewall ti consentono di proteggere la rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence. I dati di Threat Intelligence includono elenchi di indirizzi IP basati sulle seguenti categorie:

  • Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita di Tor (endpoint in cui il traffico esce dalla rete Tor).
  • Indirizzi IP dannosi noti: indirizzi IP che sono notoriamente l'origine degli attacchi alle applicazioni web. Per migliorare la strategia di sicurezza della tua applicazione, blocca questi indirizzi IP.
  • Motori di ricerca: indirizzi IP a cui puoi consentire l'indicizzazione dei siti.
  • Intervalli di indirizzi IP del cloud pubblico: questa categoria può essere bloccata per evitare che strumenti automatizzati dannosi possano navigare nelle applicazioni web oppure consentita se il servizio utilizza altri cloud pubblici. Questa categoria è ulteriormente suddivisa nelle seguenti sottocategorie:
    • Intervalli di indirizzi IP utilizzati da Amazon Web Services
    • Intervalli di indirizzi IP utilizzati da Microsoft Azure
    • Intervalli di indirizzi IP utilizzati da Google Cloud
    • Intervalli di indirizzi IP utilizzati dai servizi Google

Gli elenchi di dati di Threat Intelligence possono includere indirizzi IPv4, indirizzi IPv6 o entrambi. Per configurare Threat Intelligence nelle regole dei criteri firewall, utilizza i nomi predefiniti degli elenchi di Threat Intelligence basati sulla categoria che vuoi consentire o bloccare. Questi elenchi vengono continuamente aggiornati per proteggere i servizi dalle nuove minacce senza ulteriori passaggi di configurazione. Di seguito sono riportati i nomi degli elenchi validi.

Nome elenco Descrizione
iplist-tor-exit-nodes Corrisponde agli indirizzi IP dei nodi di uscita TOR
iplist-known-malicious-ips Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web
iplist-search-engines-crawlers Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
iplist-vpn-providers Corrisponde agli indirizzi IP che appartengono a provider VPN con bassa reputazione
iplist-anon-proxies Corrisponde agli indirizzi IP che appartengono a proxy anonimi aperti
iplist-crypto-miners Corrisponde agli indirizzi IP che appartengono a siti di mining di criptovalute
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
  • iplist-public-clouds-google-services
 Corrisponde agli indirizzi IP appartenenti a cloud pubblici
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure
  • Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud
  • Corrisponde agli intervalli di indirizzi IP utilizzati dai servizi Google

Usa Threat Intelligence con altri filtri delle regole dei criteri firewall

Per definire una regola del criterio firewall con Threat Intelligence, segui queste linee guida:

  • Per le regole in uscita, specifica la destinazione utilizzando uno o più elenchi di intelligence sulle minacce di destinazione.

  • Per le regole in entrata, specifica l'origine utilizzando uno o più elenchi di intelligence sulle minacce di origine.

  • Puoi configurare elenchi di Threat Intelligence per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete a livello di regione.

  • Puoi utilizzare questi elenchi insieme ad altri componenti di filtro delle regole di origine o di destinazione.

    Per informazioni su come gli elenchi di Threat Intelligence funzionano con altri filtri di origine nelle regole in entrata, consulta Origini delle regole in entrata nei criteri firewall gerarchici e Origini delle regole in entrata nei criteri firewall di rete.

    Per informazioni su come gli elenchi di Threat Intelligence interagiscono con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

  • Il logging del firewall viene eseguito a livello di regola. Per semplificare il debug e l'analisi dell'effetto delle regole firewall, non includere più elenchi di Threat Intelligence in un'unica regola firewall.

  • Puoi aggiungere più elenchi di Informazioni sulle minacce a una regola del criterio firewall. Ogni nome di elenco incluso nella regola viene conteggiato come un solo attributo indipendentemente dal numero di indirizzi IP o intervalli di indirizzi IP inclusi nell'elenco. Ad esempio, se hai incluso i nomi degli elenchi iplist-tor-exit-nodes, iplist-known-malicious-ips e iplist-search-engines-crawlers nella regola del criterio firewall, il numero di attributi della regola per criterio firewall viene aumentato di tre. Per ulteriori informazioni sul conteggio degli attributi della regola, consulta Quote e limiti.

Creazione di eccezioni agli elenchi di Informazioni sulle minacce

Se disponi di regole applicabili agli elenchi di Threat Intelligence, puoi utilizzare le seguenti tecniche per creare regole di eccezione applicabili a determinati indirizzi IP all'interno di un elenco di Threat Intelligence:

  • Lista consentita selettiva: supponi di avere una regola firewall in entrata o in uscita che nega i pacchetti da o verso un elenco di Threat Intelligence. Per consentire i pacchetti da o verso un indirizzo IP selezionato all'interno dell'elenco di Threat Intelligence, crea una regola firewall di autorizzazione in entrata o in uscita separata con priorità più elevata che specifichi l'indirizzo IP dell'eccezione come origine o destinazione.

  • Lista bloccata selettiva: supponi di avere una regola firewall in entrata o in uscita che consente i pacchetti da o verso un elenco di Threat Intelligence. Per negare i pacchetti da o verso un indirizzo IP selezionato all'interno dell'elenco di Threat Intelligence, crea una regola firewall di negazione per il traffico in entrata o in uscita con priorità più elevata che specifichi l'indirizzo IP dell'eccezione come origine o destinazione.

Gruppi di indirizzi per i criteri firewall

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o intervalli di indirizzi IPv6 in formato CIDR. Puoi usare i gruppi di indirizzi per definire destinazioni o destinazioni coerenti a cui fanno riferimento molte regole firewall. I gruppi di indirizzi possono essere aggiornati senza modificare le regole firewall che li utilizzano. Per scoprire di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

Puoi definire i gruppi di indirizzi di origine e di destinazione rispettivamente per le regole firewall in entrata e in uscita.

Per informazioni su come i gruppi di indirizzi di origine funzionano con altri filtri di origine nelle regole in entrata, consulta Origini delle regole in entrata nei criteri firewall gerarchici e Origini delle regole in entrata nei criteri firewall di rete.

Per informazioni su come i gruppi di indirizzi di destinazione funzionano con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

Oggetti FQDN

Utilizza gli oggetti dei nomi di dominio completi (FQDN) nelle regole dei criteri firewall per filtrare il traffico in entrata o in uscita da o verso domini specifici.

Puoi applicare regole dei criteri firewall che utilizzano oggetti FQDN sia al traffico in entrata sia al traffico in uscita. In base alla direzione del traffico, gli indirizzi IP associati ai nomi di dominio vengono confrontati con l'origine o la destinazione del traffico.

  • Puoi configurare oggetti FQDN nelle regole dei criteri firewall per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete a livello di regione.

  • Devi specificare gli oggetti di nome di dominio completi nella sintassi del nome di dominio completo standard

    Per ulteriori informazioni sui formati dei nomi di dominio, vedi Formato del nome di dominio.

  • A intervalli periodici, Cloud NGFW aggiorna le regole dei criteri firewall che contengono oggetti FQDN con i risultati di risoluzione dei nomi di dominio più recenti.

  • I nomi di dominio specificati nelle regole dei criteri firewall vengono risolti in indirizzi IP in base all'ordine di risoluzione dei nomi VPC di Cloud DNS. Cloud DNS notifica a Cloud NGFW eventuali modifiche nei risultati di risoluzione del nome di dominio, noti anche come record DNS (Domain Name System).

  • Se due nomi di dominio si risolvono con lo stesso indirizzo IP, la regola del criterio firewall si applica a quell'indirizzo IP, non solo a un dominio. In altre parole, gli oggetti FQDN sono entità di livello 3.

  • Se l'oggetto FQDN nella regola del criterio firewall in uscita include un dominio che contiene CNAME nel record DNS, devi configurare la regola del criterio firewall in uscita con tutti i nomi di dominio su cui le VM possono eseguire query, inclusi tutti i potenziali alias, per garantire un comportamento affidabile delle regole firewall. Se le VM eseguono query su CNAME non configurati nella regola del criterio firewall in uscita, il criterio potrebbe non funzionare durante la modifica dei record DNS.

  • Puoi anche utilizzare i nomi DNS interni di Compute Engine nelle regole dei criteri del firewall di rete. Tuttavia, assicurati che la rete non sia configurata per l'utilizzo di un server dei nomi alternativo nei criteri del server in uscita.

  • Se vuoi aggiungere nomi di dominio personalizzati nelle regole dei criteri firewall di rete, puoi utilizzare le zone gestite di Cloud DNS per la risoluzione dei nomi di dominio. Tuttavia, assicurati che la tua rete non sia configurata per l'utilizzo di un server dei nomi alternativo nel criterio del server in uscita. Per maggiori informazioni sulla gestione delle zone, consulta Creare, modificare ed eliminare zone.

Limitazioni

Le seguenti limitazioni sono applicabili alle regole firewall in entrata e in uscita che utilizzano oggetti FQDN:

  • Gli oggetti di nome di dominio completo non supportano i nomi di dominio con caratteri jolly (*) e di primo livello (principale). Ad esempio, *.example.com. e .org non sono supportati.

Puoi utilizzare oggetti FQDN nelle regole del criterio firewall in entrata. Devi tenere in considerazione le seguenti limitazioni quando definisci gli oggetti di nome di dominio completo per le regole in entrata:

  • Un nome di dominio può risolvere fino a un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6. Le query DNS che si risolvono in più di 32 indirizzi IPv4 e 32 indirizzi IPv6 vengono troncate per includere solo 32 indirizzi IPv4 o IPv6 di questi indirizzi IP risolti. Pertanto, non includere nomi di dominio che si risolvono in più di 32 indirizzi IPv4 e IPv6 nelle regole dei criteri firewall in entrata.

  • Alcune query sui nomi di dominio hanno risposte uniche basate sulla posizione del client autore della richiesta. La località da cui viene eseguita la risoluzione DNS della regola del criterio firewall è la regione Google Cloud che contiene la VM a cui si applica la regola del criterio firewall.

  • Non utilizzare regole in entrata che usano oggetti FQDN se i risultati di risoluzione dei nomi di dominio sono molto variabili o se la risoluzione dei nomi di dominio utilizza una forma di bilanciamento del carico basato su DNS. Ad esempio, molti nomi di dominio Google utilizzano uno schema di bilanciamento del carico basato su DNS.

Usa oggetti FQDN con altri filtri delle regole dei criteri firewall

In una regola del criterio firewall, puoi definire oggetti FQDN insieme ad altri filtri di origine o destinazione.

Per informazioni su come gli oggetti FQDN funzionano con altri filtri di origine nelle regole in entrata, consulta Origini delle regole in entrata nei criteri firewall gerarchici e Origini delle regole in entrata nei criteri firewall di rete.

Per informazioni su come gli oggetti FQDN funzionano con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

Formato del nome di dominio

I firewall VPC supportano il formato del nome di dominio definito in RFC 1035, RFC 1123 e RFC4343.

Per aggiungere nomi di dominio alle regole dei criteri firewall, segui queste linee guida di formattazione:

  • Il nome di dominio deve contenere almeno due etichette descritte come segue:

    • Ogni etichetta corrisponde a espressioni regolari che includono solo questi caratteri: [a-z]([-a-z0-9][a-z0-9])?..
    • Ogni etichetta ha una lunghezza compresa tra 1 e 63 caratteri.
    • Le etichette sono concatenate da un punto (.).

  • La lunghezza massima codificata del nome di dominio non deve superare i 255 byte (ottetti).

  • Puoi anche aggiungere un nome di dominio internazionalizzato (IDN) alle regole dei criteri firewall.

  • I nomi di dominio devono essere in formato Unicode o Punycode.

  • Se specifichi un IDN in formato Unicode, il firewall di Google Cloud lo converte nel formato Punycode prima dell'elaborazione. In alternativa, puoi utilizzare lo strumento di conversione IDN per ottenere la rappresentazione Punycode di IDN.

  • Il firewall Google Cloud non supporta nomi di dominio equivalenti nella stessa regola del criterio firewall. Dopo aver convertito il nome di dominio in Punycode, se i due nomi di dominio differiscono al massimo da un punto finale, vengono considerati equivalenti.

Scenari di eccezioni per i nomi di dominio completi

Quando utilizzi oggetti FQDN nelle regole dei criteri firewall, potresti riscontrare le seguenti eccezioni durante la risoluzione dei nomi DNS:

  • Nome di dominio non valido: se specifichi uno o più nomi di dominio che utilizzano un formato non valido durante la creazione di una regola del criterio firewall, viene visualizzato un errore. La regola del criterio firewall non può essere creata a meno che tutti i nomi di dominio non siano formattati correttamente.

  • Il nome di dominio non esiste (NXDOMAIN): se il nome di dominio non esiste, Google Cloud ignora l'oggetto FQDN dalla regola del criterio firewall.

  • Nessuna risoluzione degli indirizzi IP: se il nome di dominio non corrisponde a nessun indirizzo IP, l'oggetto FQDN viene ignorato.

  • Il server Cloud DNS non è raggiungibile: se un server DNS non è raggiungibile, le regole del criterio firewall che utilizzano oggetti FQDN si applicano solo se sono disponibili i risultati di risoluzione DNS precedentemente memorizzati nella cache. Gli oggetti FQDN della regola vengono ignorati se non ci sono risultati di risoluzione DNS memorizzati nella cache o se i risultati del DNS memorizzati nella cache sono scaduti.

Passaggi successivi