Regole firewall VPC

Le regole firewall VPC (Virtual Private Cloud) si applicano a un determinato progetto e rete. Se vuoi applicare regole firewall a più reti VPC in un'organizzazione, consulta Criteri firewall. Il resto di questa pagina illustra solo le regole firewall VPC.

Le regole firewall VPC consentono di consentire o negare le connessioni da o verso le istanze di macchine virtuali (VM) nella rete VPC. Le regole firewall abilitate per il VPC vengono applicate sempre in modo da proteggere le istanze indipendentemente dalla configurazione e dal sistema operativo, anche se non sono state avviate.

Ogni rete VPC funziona come un firewall distribuito. Sebbene le regole firewall siano definite a livello di rete, le connessioni vengono consentite o negate a livello di istanza. Puoi considerare le regole firewall VPC come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze all'interno della stessa rete.

Per ulteriori informazioni sui firewall, consulta Firewall (calcolo).

Best practice per le regole firewall

Durante la progettazione e la valutazione delle regole firewall, tieni a mente le seguenti best practice:

Implementa i principi del privilegio minimo. Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione della regola solo ai protocolli e alle porte necessari.
Utilizza le regole dei criteri firewall gerarchici per bloccare il traffico che non dovrebbe mai essere consentito a livello di organizzazione o cartella.
Per le regole di "autorizzazione", limitale a VM specifiche specificando l'account di servizio delle VM.
Se devi creare regole basate sugli indirizzi IP, prova a ridurre al minimo il numero di regole. È più facile monitorare una regola che consente il traffico verso un intervallo di 16 VM anziché monitorare 16 regole separate.
Attiva il logging delle regole firewall e utilizza Firewall Insights per verificare che le regole firewall vengano utilizzate nel modo previsto. Il logging delle regole firewall può comportare costi, pertanto ti consigliamo di utilizzarlo in modo selettivo.

Regole firewall in Google Cloud

Quando crei una regola firewall VPC, devi specificare una rete VPC e un insieme di componenti che definiscono l'azione della regola. I componenti consentono di scegliere come target determinati tipi di traffico in base al protocollo, alle porte di destinazione, alle origini e alle destinazioni del traffico. Per ulteriori informazioni, vedi Componenti delle regole firewall.

Puoi creare o modificare le regole firewall VPC utilizzando la console Google Cloud, Google Cloud CLI e l'API REST. Quando crei o modifichi una regola firewall, puoi specificare le istanze a cui deve essere applicata utilizzando il parametro target della regola. Per esempi di regole firewall, vedi Altri esempi di configurazione.

Oltre alle regole firewall che crei, Google Cloud ha altre regole che possono influire sulle connessioni in entrata (in entrata) o in uscita (in uscita):

Google Cloud blocca o limita determinati tipi di traffico. Per saperne di più, vedi Traffico bloccato e limitato.
Google Cloud consente sempre la comunicazione tra un'istanza VM e il server di metadati corrispondente su 169.254.169.254. Per ulteriori informazioni, consulta la sezione Traffico sempre consentito.
Ogni rete ha due regole firewall implicite che consentono le connessioni in uscita e bloccano le connessioni in entrata. Le regole firewall che crei possono eseguire l'override di queste regole implicite.
La rete predefinita è precompilata con regole firewall che puoi eliminare o modificare.

Specifiche

Le regole firewall VPC hanno le seguenti caratteristiche:

Ogni regola firewall si applica alle connessioni in entrata (in entrata) o in uscita (in uscita), non a entrambe. Per ulteriori informazioni, consulta la pagina relativa alla direzione di connessione.
Le regole firewall supportano le connessioni IPv4. Le connessioni IPv6 sono supportate anche nelle reti VPC in cui è abilitato IPv6. Quando specifichi un'origine o una destinazione per una regola in entrata o in uscita in base all'indirizzo, puoi specificare indirizzi o blocchi IPv4 o IPv6 nella notazione CIDR.
Ogni regola firewall può contenere intervalli IPv4 o IPv6, ma non entrambi.
L'azione di ogni regola firewall è allow o deny. La regola si applica alle connessioni purché sia applicata. Ad esempio, puoi disabilitare una regola per la risoluzione dei problemi.
Quando crei una regola firewall, devi selezionare una rete VPC. Mentre la regola viene applicata a livello di istanza, la sua configurazione è associata a una rete VPC. Ciò significa che non puoi condividere le regole firewall tra le reti VPC, incluse le reti connesse tramite peering di rete VPC o utilizzando tunnel Cloud VPN.
Le regole firewall VPC sono stateful:
- Se viene consentita una connessione attraverso il firewall in entrambe le direzioni, è consentito anche il traffico di ritorno che corrisponde a questa connessione. Non puoi configurare una regola firewall per negare il traffico di risposte associato.
- Il traffico restituito deve corrispondere alle 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione, protocollo) del traffico di richieste accettate, ma con indirizzi e porte di origine e di destinazione invertiti.
- Google Cloud associa i pacchetti in arrivo ai pacchetti in uscita corrispondenti utilizzando una tabella di monitoraggio delle connessioni. Le connessioni IPv4 supportano i protocolli TCP, UDP, SCTP e ICMP. Le connessioni IPv6 supportano i protocolli TCP, UDP, SCTP e ICMPv6.
- Google Cloud implementa il monitoraggio delle connessioni indipendentemente dal fatto che il protocollo supporti le connessioni. Se è consentita una connessione tra un'origine e una destinazione (per una regola in entrata) o tra una destinazione e una destinazione (per una regola in uscita), tutto il traffico di risposta è consentito purché lo stato di monitoraggio delle connessioni del firewall sia attivo. Lo stato di monitoraggio di una regola firewall viene considerato attivo se viene inviato almeno un pacchetto ogni 10 minuti.
- Quando una connessione frammentata è consentita attraverso il firewall, Google Cloud utilizza il monitoraggio delle connessioni per consentire solo il primo frammento di traffico di ritorno. Per consentire i frammenti restituiti successivamente, devi aggiungere una regola firewall.
- Il traffico di risposta ICMP, ad esempio "ICMP TYPE 3, DESTINATION UNREACHABLE", generato in risposta a una connessione TCP/UDP consentita, è consentito attraverso il firewall. Questo comportamento è coerente con lo standard RFC 792.
Le regole firewall VPC non riassemblano i pacchetti TCP frammentati. Pertanto, una regola firewall applicabile al protocollo TCP può essere applicata solo al primo frammento perché contiene l'intestazione TCP. Le regole firewall applicabili al protocollo TCP non si applicano ai successivi frammenti TCP.

Il numero massimo di connessioni monitorate nella tabella delle regole firewall dipende dal numero di connessioni stateful supportate dal tipo di macchina dell'istanza. Se viene superato il numero massimo di connessioni monitorate, il monitoraggio viene interrotto per le connessioni con l'intervallo di inattività più lungo per consentire il monitoraggio delle nuove connessioni.

Tipo di macchina dell'istanza	Numero massimo di connessioni stateful
Tipi di macchine con core condivisi	130.000
Istanze con 1-8 vCPU	130.000 connessioni per vCPU
Istanze con più di 8 vCPU	1.040.000 (130.000 × 8) connessioni totali

Regole implicite

Ogni rete VPC ha due regole firewall IPv4 implicite. Se IPv6 è abilitato in una rete VPC, la rete ha anche due regole firewall IPv6 implicite. Queste regole non vengono visualizzate nella console Google Cloud.

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, indipendentemente da come vengono create le reti e dal fatto che siano reti VPC in modalità automatica o personalizzata. La rete predefinita ha le stesse regole implicite.

Regola di traffico in uscita IPv4 implicito. Una regola in uscita la cui azione è allow, la destinazione è 0.0.0.0/0 e la priorità è la più bassa possibile (65535) consente a qualsiasi istanza di inviare traffico a qualsiasi destinazione, tranne il traffico bloccato da Google Cloud. Una regola firewall con priorità più elevata potrebbe limitare l'accesso in uscita. L'accesso a internet è consentito se nessun'altra regola firewall ne impedisce il traffico in uscita e se l'istanza ha un indirizzo IP esterno o utilizza un'istanza Cloud NAT. Per ulteriori informazioni, consulta la sezione Requisiti di accesso a internet.
Regola di negazione del traffico in entrata IPv4 implicito. Una regola in entrata la cui azione è deny, l'origine è 0.0.0.0/0 e la priorità è la più bassa possibile (65535) protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più alta potrebbe consentire l'accesso in entrata. La rete predefinita include alcune regole aggiuntive che sostituiscono questa, consentendo determinati tipi di connessioni in entrata.

Se IPv6 è abilitato, la rete VPC presenta anche queste due regole implicite:

Regola di traffico in uscita IPv6 implicito. Una regola in uscita la cui azione è allow, la destinazione è ::/0 e la priorità è la più bassa possibile (65535) consente a qualsiasi istanza di inviare traffico a qualsiasi destinazione, tranne il traffico bloccato da Google Cloud. Una regola firewall con priorità più elevata potrebbe limitare l'accesso in uscita. L'accesso a internet è consentito se nessun'altra regola firewall ne impedisce il traffico in uscita e se l'istanza ha un indirizzo IP esterno.
Regola di negazione del traffico in entrata IPv6 implicito. Una regola in entrata la cui azione è deny, l'origine è ::/0 e la priorità è la più bassa possibile (65535) protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più alta potrebbe consentire l'accesso in entrata.

Le regole implicite non possono essere rimosse, ma hanno le priorità più basse possibili. Puoi creare regole che le sostituiscono a condizione che abbiano priorità più elevate (numeri di priorità inferiori a 65535). Poiché le regole deny hanno la precedenza su allow regole con la stessa priorità, una regola allow in entrata con priorità 65535 non ha mai effetto.

Regole precompilate nella rete predefinita

La rete predefinita è precompilata con regole firewall che consentono le connessioni in entrata alle istanze. Queste regole possono essere eliminate o modificate secondo necessità:

Nome regola	Direzione	Priorità	Intervalli di origine	Azione	Protocolli e porte	Descrizione
`default-allow-internal`	`ingress`	`65534`	`10.128.0.0/9`	`allow`	`tcp:0-65535 udp:0-65535 icmp`	Consente le connessioni in entrata alle istanze VM da altre istanze all'interno della stessa rete VPC.
`default-allow-ssh`	`ingress`	`65534`	`0.0.0.0/0`	`allow`	`tcp:22`	Consente di connetterti alle istanze con strumenti come `ssh`, `scp` o `sftp`.
`default-allow-rdp`	`ingress`	`65534`	`0.0.0.0/0`	`allow`	`tcp:3389`	Consente di connetterti alle istanze utilizzando il protocollo Microsoft Remote Desktop Protocol (RDP).
`default-allow-icmp`	`ingress`	`65534`	`0.0.0.0/0`	`allow`	`icmp`	Ti consente di utilizzare strumenti come `ping`.

Puoi creare regole firewall simili per reti diverse da quella predefinita. Per ulteriori informazioni, consulta Configurare le regole firewall per i casi d'uso comuni.

Traffico bloccato e limitato

Separato dalle regole firewall VPC e dai criteri firewall gerarchici, Google Cloud blocca o limita alcuni tipi di traffico come descritto nella tabella seguente.

Tipo di traffico	Dettagli
Frequenza pacchetti e larghezza di banda Si applica a: Tutti i pacchetti in uscita Tutti i pacchetti in entrata	Google Cloud prende in considerazione la larghezza di banda per istanza VM, per ogni interfaccia di rete (NIC) o indirizzo IP. Il tipo di macchina di una VM definisce la velocità massima di traffico in uscita possibile; tuttavia, è possibile raggiungere questa velocità massima di traffico in uscita solo in situazioni specifiche. Per i dettagli, consulta Larghezza di banda di rete nella documentazione di Compute Engine.
Offerte e riconoscimenti DHCP Si applica a: Pacchetti in entrata sulla porta UDP 68 (DHCPv4) Pacchetti in entrata sulla porta UDP 546 (DHCPv6)	Google Cloud blocca le offerte e i riconoscimenti DHCP in entrata da tutte le origini ad eccezione dei pacchetti DHCP provenienti dal server di metadati.
Protocolli supportati da indirizzi IP esterni di Google Cloud Si applica a: Pacchetti in entrata verso indirizzi IP esterni	Gli indirizzi IPv4 e IPv6 esterni accettano solo pacchetti TCP, UDP, ICMP, IPIP, AH, ESP, SCTP e GRE. Le risorse che utilizzano indirizzi IP esterni impongono limitazioni di protocollo aggiuntive: Le regole di forwarding per forwarding del protocollo, Application Load Balancer esterni, bilanciatori del carico di rete proxy esterni e bilanciatori del carico di rete passthrough esterni elaborano solo i protocolli e le porte configurati nella regola di forwarding. I gateway Cloud VPN accettano solo protocolli VPN.
Traffico SMTP (porta 25) Si applica a: Pacchetti in uscita verso indirizzi IP esterni sulla porta TCP 25	Per impostazione predefinita, Google Cloud blocca i pacchetti in uscita inviati alla porta di destinazione TCP 25 di un indirizzo IP esterno (incluso un indirizzo IP esterno di un'altra risorsa Google Cloud). Tuttavia, questo traffico non è bloccato nei progetti di proprietà di determinati clienti Google Cloud. Nella console Google Cloud, la pagina Reti VPC e la pagina Criteri firewall mostrano entrambi un messaggio che indica se la porta SMTP 25 è consentita o non consentita nel progetto. Questo blocco non si applica ai pacchetti in uscita inviati alla porta TCP 25 di destinazione di un indirizzo IP interno, incluso un indirizzo IP pubblico utilizzato privatamente in una rete VPC o on-premise. Se nel progetto è consentito il traffico in uscita SMTP esterno sulla porta 25 e vuoi inviare questo tipo di traffico, è necessario che siano soddisfatte le seguenti condizioni aggiuntive: Le regole firewall in uscita nella rete VPC e i criteri firewall gerarchici applicabili alla rete VPC devono consentire il traffico in uscita verso l'indirizzo IP esterno sulla porta TCP 25. Le regole di autorizzazione in uscita previste soddisfano questo requisito perché consentono il traffico in uscita verso qualsiasi indirizzo IP e le risposte in entrata stabilite. La route applicabile per la destinazione deve utilizzare l'hop successivo del gateway Internet predefinito. Le route predefinite generate dal sistema soddisfano questo requisito. L'istanza che invia pacchetti all'indirizzo IP esterno deve soddisfare i requisiti di accesso a internet. Puoi impedire il traffico SMTP esterno creando regole firewall VPC di negazione per il traffico in uscita o criteri firewall gerarchici.

Tipo di traffico

Dettagli

Frequenza pacchetti e larghezza di banda

Si applica a:

Tutti i pacchetti in uscita
Tutti i pacchetti in entrata

Google Cloud prende in considerazione la larghezza di banda per istanza VM, per ogni interfaccia di rete (NIC) o indirizzo IP. Il tipo di macchina di una VM definisce la velocità massima di traffico in uscita possibile; tuttavia, è possibile raggiungere questa velocità massima di traffico in uscita solo in situazioni specifiche.

Per i dettagli, consulta Larghezza di banda di rete nella documentazione di Compute Engine.

Offerte e riconoscimenti DHCP

Si applica a:

Pacchetti in entrata sulla porta UDP 68 (DHCPv4)
Pacchetti in entrata sulla porta UDP 546 (DHCPv6)

Google Cloud blocca le offerte e i riconoscimenti DHCP in entrata da tutte le origini ad eccezione dei pacchetti DHCP provenienti dal server di metadati.

Protocolli supportati da indirizzi IP esterni di Google Cloud

Si applica a:

Pacchetti in entrata verso indirizzi IP esterni

Gli indirizzi IPv4 e IPv6 esterni accettano solo pacchetti TCP, UDP, ICMP, IPIP, AH, ESP, SCTP e GRE. Le risorse che utilizzano indirizzi IP esterni impongono limitazioni di protocollo aggiuntive:

Le regole di forwarding per forwarding del protocollo, Application Load Balancer esterni, bilanciatori del carico di rete proxy esterni e bilanciatori del carico di rete passthrough esterni elaborano solo i protocolli e le porte configurati nella regola di forwarding.
I gateway Cloud VPN accettano solo protocolli VPN.

Traffico SMTP (porta 25)

Si applica a:

Pacchetti in uscita verso indirizzi IP esterni sulla porta TCP 25

Per impostazione predefinita, Google Cloud blocca i pacchetti in uscita inviati alla porta di destinazione TCP 25 di un indirizzo IP esterno (incluso un indirizzo IP esterno di un'altra risorsa Google Cloud). Tuttavia, questo traffico non è bloccato nei progetti di proprietà di determinati clienti Google Cloud. Nella console Google Cloud, la pagina Reti VPC e la pagina Criteri firewall mostrano entrambi un messaggio che indica se la porta SMTP 25 è consentita o non consentita nel progetto.

Questo blocco non si applica ai pacchetti in uscita inviati alla porta TCP 25 di destinazione di un indirizzo IP interno, incluso un indirizzo IP pubblico utilizzato privatamente in una rete VPC o on-premise.

Se nel progetto è consentito il traffico in uscita SMTP esterno sulla porta 25 e vuoi inviare questo tipo di traffico, è necessario che siano soddisfatte le seguenti condizioni aggiuntive:

Le regole firewall in uscita nella rete VPC e i criteri firewall gerarchici applicabili alla rete VPC devono consentire il traffico in uscita verso l'indirizzo IP esterno sulla porta TCP 25. Le regole di autorizzazione in uscita previste soddisfano questo requisito perché consentono il traffico in uscita verso qualsiasi indirizzo IP e le risposte in entrata stabilite.
La route applicabile per la destinazione deve utilizzare l'hop successivo del gateway Internet predefinito. Le route predefinite generate dal sistema soddisfano questo requisito.
L'istanza che invia pacchetti all'indirizzo IP esterno deve soddisfare i requisiti di accesso a internet.

Puoi impedire il traffico SMTP esterno creando regole firewall VPC di negazione per il traffico in uscita o criteri firewall gerarchici.

Traffico sempre consentito

Per le istanze VM, le regole firewall VPC e i criteri firewall gerarchici non si applicano a quanto segue:

Pacchetti inviati e ricevuti dal server di metadati Google Cloud
Pacchetti inviati a un indirizzo IP assegnato a una delle interfacce di rete (NIC) dell'istanza in cui i pacchetti rimangono all'interno della VM stessa. Gli indirizzi IP assegnati al NIC di un'istanza includono:
- L'indirizzo IPv4 interno principale del NIC
- Qualsiasi indirizzo IPv4 interno da un intervallo IP alias del NIC
- Se nella subnet è configurato IPv6, qualsiasi indirizzo IPv6 assegnato al NIC
- Un indirizzo IPv4 interno o esterno associato a una regola di forwarding, per il bilanciamento del carico o il forwarding del protocollo, se l'istanza è un backend per il bilanciatore del carico o è un'istanza di destinazione per il forwarding del protocollo
- Indirizzi loopback
- Indirizzi configurati come parte del software di overlay di rete in esecuzione all'interno dell'istanza stessa

Server di metadati Google Cloud

Google Cloud esegue un server di metadati locale insieme a ogni istanza all'indirizzo 169.254.169.254. Questo server è fondamentale per il funzionamento dell'istanza, in modo che l'istanza possa accedervi indipendentemente dalle regole firewall che configuri. Il server di metadati fornisce i seguenti servizi di base all'istanza:

DHCP
risoluzione DNS, seguendo l'ordine di risoluzione dei nomi DNS per la rete VPC.
Metadati dell'istanza
Protocollo NTP (Network Time Protocol)

Interazioni con i prodotti

Le seguenti sezioni descrivono in che modo le regole firewall e i criteri firewall gerarchici interagiscono con altri prodotti Google Cloud.

Regole firewall e bilanciatori del carico passthrough

Le regole firewall VPC e i criteri firewall gerarchici controllano a quali porte e protocolli supportati dalla regola di forwarding è consentito l'accesso ai backend del bilanciatore del carico passthrough. Per maggiori dettagli, vedi:

Regole firewall e bilanciatori del carico del proxy

Per gli Application Load Balancer esterni, gli Application Load Balancer interni, i bilanciatori del carico di rete proxy interni e i bilanciatori del carico di rete con proxy esterno, le regole firewall VPC e i criteri firewall gerarchici non controllano quali protocolli e porte sono accettati dall'indirizzo IP della regola di forwarding del bilanciatore del carico del proxy. La regola di forwarding determina da sola i protocolli e le porte accettati dal bilanciatore del carico del proxy.

Le regole firewall VPC e i criteri firewall gerarchici controllano il modo in cui questi bilanciatori del carico proxy comunicano con i rispettivi backend. Per maggiori dettagli, consulta:

Regole firewall e Cloud VPN

Le regole firewall e i criteri firewall gerarchici non controllano quali protocolli e porte sono accettati dal gateway Cloud VPN.

I gateway Cloud VPN accettano pacchetti solo per i protocolli e le porte descritti nelle specifiche di Cloud VPN.

Regole firewall e GKE

Google Kubernetes Engine crea e gestisce automaticamente le regole firewall quando crei un cluster o delle risorse nel cluster (inclusi servizi e Ingress). Per ulteriori informazioni, consulta Regole firewall create automaticamente nella documentazione di Google Kubernetes Engine.

Componenti delle regole firewall

Ogni regola firewall è costituita dai seguenti componenti di configurazione:

Una direzione dal punto di vista del target. La direzione può essere in entrata o in uscita.
Una priorità numerica, che determina se la regola viene applicata. Viene applicata solo la regola di priorità più alta (numero di priorità più bassa) i cui altri componenti corrispondono al traffico; le regole in conflitto con priorità più basse vengono ignorate.
Un'azione sulla corrispondenza, allow o deny, che determina se la regola consente o blocca le connessioni.
Lo stato di applicazione della regola firewall: puoi abilitare e disabilitare le regole firewall senza eliminarle.
Un target, che definisce le istanze (inclusi i cluster GKE e le istanze dell'ambiente flessibile di App Engine) a cui si applica la regola.
Un filtro di origine o destinazione per le caratteristiche del pacchetto.
Il protocollo (come TCP, UDP o ICMP) e la porta di destinazione.
Un'opzione booleana di logs che registra le connessioni che corrispondono alla regola in Cloud Logging.

Riepilogo componenti

Regola in entrata (in entrata)
Priorità	Azione	Applicazione forzata	Parametro target	Filtri di origine e destinazione	Protocolli e porte
Numero intero da `0` a `65535` incluso; valore predefinito `1000`	`allow` o `deny`	`enabled` (valore predefinito) o `disabled`	Specifica le istanze che ricevono i pacchetti.	Origini delle regole in entrata Destinazioni per le regole in entrata	Specifica un protocollo o un protocollo e una porta di destinazione. Se non viene impostata, la regola si applica a tutti i protocolli e le porte di destinazione. Per saperne di più, consulta Protocolli e porte.
Regola in uscita (in uscita)
Priorità	Azione	Applicazione forzata	Parametro target	Filtri di origine e destinazione	Protocolli e porte
Numero intero da `0` a `65535` incluso; valore predefinito `1000`	`allow` o `deny`	`enabled` (valore predefinito) o `disabled`	Specifica le istanze che inviano i pacchetti.	Origini delle regole in uscita Destinazioni per le regole in uscita	Specifica un protocollo o un protocollo e una porta di destinazione. Se non viene impostata, la regola si applica a tutti i protocolli e le porte di destinazione. Per saperne di più, consulta Protocolli e porte.

Direzione del traffico

Puoi creare regole firewall che si applicano al traffico in entrata o in uscita. Non è possibile applicare una singola regola al traffico in entrata e in uscita. Tuttavia, puoi creare più regole per definire il traffico in entrata e in uscita che consenti o neghi attraverso il firewall.

Ingress (in entrata) descrive i pacchetti che entrano nell'interfaccia di rete di un target.
Il traffico in uscita (in uscita) descrive i pacchetti che lasciano un'interfaccia di rete di un target.
Se non specifichi una direzione, Google Cloud utilizza il traffico in entrata.

Priorità

La priorità della regola firewall è un numero intero compreso tra 0 e 65535 inclusi. Numeri interi più bassi indicano priorità più elevate. Se non specifichi una priorità durante la creazione di una regola, le verrà assegnata una priorità 1000.

La priorità relativa di una regola firewall determina se è applicabile quando viene valutata rispetto ad altri. La logica di valutazione funziona come segue:

Ha la precedenza la regola con priorità più alta applicabile a un target per un determinato tipo di traffico. La specificità del target non è importante. Ad esempio, una regola in entrata con priorità più elevata per determinati protocolli e porte di destinazione destinati a tutti i target esegue l'override di una regola definita in modo simile con priorità più bassa per le stesse porte e protocolli di destinazione destinati a destinazioni specifiche.
La regola con priorità più elevata applicabile per un determinato protocollo e definizione della porta di destinazione ha la precedenza, anche quando la definizione del protocollo e della porta di destinazione è più generica. Ad esempio, una regola in entrata con priorità più elevata che consente il traffico per tutti i protocolli e le porte di destinazione destinati a determinati target sostituisce una regola in entrata con priorità più bassa che nega il protocollo TCP 22 per gli stessi target.
Una regola con un'azione deny sostituisce un'altra con un'azione allow solo se le due regole hanno la stessa priorità. Utilizzando le priorità relative, è possibile creare regole allow che eseguono l'override delle regole deny e delle regole deny che eseguono l'override delle regole allow.
Le regole con la stessa priorità e la stessa azione hanno lo stesso risultato. Tuttavia, la regola utilizzata durante la valutazione è indeterminata. Normalmente, non importa quale regola viene utilizzata, tranne quando abiliti il logging delle regole firewall. Se vuoi che i tuoi log mostrino le regole firewall che vengono valutate in un ordine coerente e ben definito, assegna loro priorità univoche.

Considera il seguente esempio in cui esistono due regole firewall:

Una regola in entrata dalle origini 0.0.0.0/0 (qualsiasi indirizzo IPv4) applicabile a tutti i target, tutti i protocolli e tutte le porte di destinazione, con un'azione deny e una priorità di 1000.
Una regola in entrata dalle origini 0.0.0.0/0 (qualsiasi indirizzo IPv4) applicabile a target specifici con il tag di rete webserver per il traffico su TCP 80, con un'azione allow.

La priorità della seconda regola determina se il traffico TCP sulla porta 80 è consentito per le destinazioni webserver:

Se la priorità della seconda regola è impostata su un numero maggiore di 1000, ha una priorità inferiore, pertanto viene applicata la prima regola che nega tutto il traffico.
Se la priorità della seconda regola è impostata su 1000, le due regole hanno priorità identiche, pertanto viene applicata la prima regola che nega tutto il traffico.
Se la priorità della seconda regola è impostata su un numero inferiore a 1000, ha una priorità maggiore, il che consente il traffico su TCP 80 per i target webserver. In assenza di altre regole, la prima regola rifiuta comunque altri tipi di traffico verso le destinazioni webserver e nega anche tutto il traffico, incluso TCP 80, verso le istanze senza il tag di rete webserver.

L'esempio precedente mostra come utilizzare le priorità per creare regole allow selettive e regole deny globali per implementare una best practice per la sicurezza del privilegio minimo.

Azione in caso di corrispondenza

Il componente di azione di una regola firewall determina se consente o blocca il traffico, in base agli altri componenti della regola:

Un'azione allow consente connessioni che corrispondono agli altri componenti specificati.
Un'azione deny blocca le connessioni che corrispondono agli altri componenti specificati.

Applicazione forzata

Puoi scegliere se applicare una regola firewall impostandone lo stato su enabled o disabled. Puoi impostare lo stato di applicazione quando crei una regola o quando aggiorni una regola.

Se non imposti uno stato di applicazione forzata quando crei una nuova regola firewall, la regola firewall verrà automaticamente enabled.

Casi d'uso

La disabilitazione e l'attivazione sono utili per la risoluzione dei problemi e per l'esecuzione di manutenzione. Valuta la possibilità di modificare l'applicazione forzata di una regola firewall nelle seguenti situazioni:

Per la risoluzione dei problemi: insieme al logging delle regole firewall, puoi disabilitare temporaneamente una regola firewall per determinare se la regola è responsabile del blocco o dell'autorizzazione del traffico. Questa soluzione è utile quando allo stesso traffico si applicano più regole firewall. Disattivare e abilitare le regole è più utile dell'eliminazione e della ricreazione di regole perché nessuno degli altri componenti della regola è andato perso.
Per manutenzione: la disattivazione delle regole firewall può semplificare la manutenzione periodica. Ad esempio, puoi scegliere di abilitare una regola firewall in entrata che consente l'accesso SSH solo nei momenti in cui è necessario eseguire la manutenzione tramite SSH. Se non esegui la manutenzione, puoi disabilitare la regola.

Effetti sul traffico esistente

Quando modifichi lo stato di applicazione di una regola firewall o quando crei una nuova regola enforced, la modifica si applica solo alle nuove connessioni. Le connessioni esistenti non sono interessate dalla modifica.

Protocolli e porte

Puoi restringere l'ambito di una regola firewall specificando i protocolli o i protocolli e le porte di destinazione. Puoi specificare un protocollo o una combinazione di protocolli e delle relative porte di destinazione. Se ometti entrambi i protocolli e le porte, la regola firewall è applicabile a tutto il traffico su qualsiasi protocollo e qualsiasi porta di destinazione. Le regole basate sulle porte di origine non sono supportate.

Non tutti i protocolli supportano le porte. Ad esempio, esistono porte per TCP e UDP, ma non per ICMP. ICMP ha tipi ICMP diversi, ma non sono porte e non possono essere specificati in una regola firewall.

Nelle regole firewall puoi utilizzare i seguenti nomi di protocollo: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, devi utilizzare i numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e numero sia in IPv4 sia in IPv6, al contrario di alcuni, ad esempio ICMP.

Il protocollo IPv6 Hop-by-Hop non è supportato nelle regole firewall.

La tabella seguente riassume le combinazioni valide delle specifiche del protocollo e della porta di destinazione per le regole firewall di Google Cloud.

Specifica	Esempio	Spiegazione
Nessun protocollo e porta	—	Se non specifichi un protocollo, la regola firewall si applica a tutti i protocolli e alle porte di destinazione applicabili.
Protocollo	`tcp`	Se specifichi un protocollo senza informazioni sulla porta, la regola firewall si applica a quel protocollo e a tutte le porte applicabili.
Protocollo e porta singola	`tcp:80`	Se specifichi un protocollo e una singola porta di destinazione, la regola firewall si applica alla porta di destinazione del protocollo in questione.
Intervallo di protocollo e porte	`tcp:20-22`	Se specifichi un protocollo e un intervallo di porte, la regola firewall si applica all'intervallo di porte di destinazione del protocollo in questione.
Combinazioni	`icmp,tcp:80` `tcp:443` `udp:67-69`	Puoi specificare varie combinazioni di protocolli e porte di destinazione a cui si applica la regola firewall. Per maggiori informazioni, consulta Creare regole firewall.

Destinazione, origine, destinazione

Le destinazioni identificano le interfacce di rete delle istanze a cui si applica la regola firewall.

Puoi specificare i parametri di origine e di destinazione che si applicano alle origini o alle destinazioni dei pacchetti per le regole firewall in entrata e in uscita. La direzione della regola firewall determina i possibili valori per i parametri di origine e di destinazione.

Parametro target

Il parametro target identifica le interfacce di rete delle istanze di Compute Engine, inclusi i nodi GKE e le istanze dell'ambiente flessibile di App Engine.

Puoi definire le seguenti destinazioni sia per le regole in entrata che in uscita. I parametri target, sorgente e destinazione interagiscono come descritto in Origine, destinazione, destinazione.

Target predefinito: tutte le istanze nella rete VPC. Quando ometti una specifica di destinazione, la regola firewall viene applicata a tutte le istanze nella rete VPC.
Istanze per tag di rete di destinazione. La regola firewall si applica solo alle istanze nella rete VPC con un tag di rete corrispondente. Per il numero massimo di tag di rete di destinazione che è possibile applicare per ogni regola firewall, consulta Quote delle risorse VPC.
Istanze per account di servizio di destinazione. La regola firewall si applica solo alle istanze nella rete VPC che utilizzano un account di servizio specifico. Per il numero massimo di account di servizio di destinazione che puoi applicare per ogni regola firewall, consulta Quote delle risorse VPC.

Per informazioni sui vantaggi e sulle limitazioni dei tag di rete di destinazione e degli account di servizio di destinazione, consulta Applicazione di filtri per account di servizio e tag di rete.

Destinazioni e indirizzi IP per le regole in entrata

I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:

Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti esplicitamente.
Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP:
- L'indirizzo IPv4 interno principale assegnato al NIC dell'istanza.
- Qualsiasi intervallo IP alias configurato sul NIC dell'istanza.
- L'indirizzo IPv4 esterno associato al NIC dell'istanza.
- Se nella subnet è configurato IPv6, qualsiasi indirizzo IPv6 assegnato al NIC.
- Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico passthrough, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.
- Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, in cui un'istanza di destinazione fa riferimento all'istanza.
- Un indirizzo IP nell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza come VM dell'hop successivo (next-hop-instance o next-hop-address).
- Un indirizzo IP nell'intervallo di destinazione di una route statica personalizzata che utilizza un hop successivo di un bilanciatore del carico di rete passthrough interno (next-hop-ilb), se la VM è un backend per il bilanciatore del carico.

Destinazioni e indirizzi IP per le regole in uscita

L'elaborazione dei pacchetti emessi dall'interfaccia di rete di una destinazione dipende dalla configurazione di inoltro IP sulla VM di destinazione. L'inoltro IP è disabilitato per impostazione predefinita.

Quando l'IP forwarding è disabilitato per la VM di destinazione, la VM può emettere pacchetti con le seguenti origini:
- L'indirizzo IPv4 interno principale del NIC di un'istanza.
- Qualsiasi intervallo IP alias configurato sul NIC di un'istanza.
- Se nella subnet è configurato IPv6, qualsiasi indirizzo IPv6 assegnato al NIC.
- Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico passthrough o il forwarding del protocollo, se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o viene fatto riferimento da un'istanza di destinazione.
Se la regola firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono ancora limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro di origine può essere utilizzato per perfezionare il set (funzionalità di anteprima). L'utilizzo di un parametro di origine senza abilitare l'inoltro IP non espande l'insieme dei possibili indirizzi di origine dei pacchetti.

Se la regola firewall in uscita non include un intervallo di indirizzi IP di origine, sono consentiti tutti gli indirizzi IP di origine menzionati in precedenza.
Se l'IP forwarding è abilitato per la VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per definire in modo più preciso l'insieme di origini pacchetto consentite.

Parametro di origine

I valori dei parametri di origine dipendono dalla direzione della regola firewall.

Origini per le regole in entrata

Puoi utilizzare le seguenti origini per le regole firewall in entrata:

Intervallo di origine predefinito: quando ometti una specifica di origine in una regola in entrata, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include origini IPv6.
Intervalli IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.
Intervalli IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.
Tag di rete di origine:uno o più tag di rete che identificano le interfacce di rete delle istanze VM nella stessa rete VPC della regola firewall. Per il numero massimo di tag di rete di origine per regola firewall, consulta Quote delle risorse VPC. Per maggiori dettagli sugli indirizzi di origine dei pacchetti quando si utilizza questa specifica dell'origine implicita, consulta In che modo i tag di rete di origine e gli account di servizio di origine implicano le origini dei pacchetti.
Account di servizio di origine: uno o più account di servizio che identificano le interfacce di rete delle istanze VM nella stessa rete VPC della regola firewall. Per il numero massimo di account di servizio di origine per regola firewall, consulta Quote delle risorse VPC. Per maggiori dettagli sugli indirizzi di origine dei pacchetti quando si utilizza questa specifica di origine implicita, consulta In che modo i tag di rete di origine e gli account di servizio di origine implicano le origini dei pacchetti.
Una combinazione di origine valida: per tutte le seguenti combinazioni, il set di origine effettivo è l'unione degli indirizzi IPv4 o IPv6 specificati esplicitamente e gli intervalli di indirizzi IP impliciti dal tag di rete di origine o dall'account di servizio di origine:
- Una combinazione di intervalli IPv4 di origine e tag di rete di origine.
- Una combinazione di intervalli IPv6 di origine e tag di rete di origine.
- Una combinazione di intervalli IPv4 di origine e account di servizio di origine.
- Una combinazione di intervalli IPv6 di origine e account di servizio di origine.

In che modo i tag di rete di origine e gli account di servizio di origine implicano le origini dei pacchetti

Quando una regola firewall in entrata utilizza un tag di rete di origine, i pacchetti devono essere emessi da un'interfaccia di rete che soddisfa i seguenti criteri:

L'interfaccia di rete utilizza la stessa rete VPC della regola firewall.
L'interfaccia di rete è associata a una VM con un tag di rete che corrisponde al tag di rete di origine della regola firewall.

Quando una regola firewall in entrata utilizza un account di servizio di origine, i pacchetti devono essere emessi da un'interfaccia di rete che soddisfa i seguenti criteri:

L'interfaccia di rete utilizza la stessa rete VPC della regola firewall.
L'interfaccia di rete è associata a una VM con un account di servizio che corrisponde all'account di servizio di origine della regola firewall.

Oltre a specificare un'interfaccia di rete, quando una regola firewall in entrata utilizza un tag di rete di origine o un account di servizio di origine, i pacchetti emessi dall'interfaccia di rete della VM devono utilizzare uno dei seguenti indirizzi IP di origine validi:

L'indirizzo IPv4 interno principale dell'interfaccia di rete.
Gli indirizzi IPv6 assegnati a quell'interfaccia di rete.

Se una regola firewall in entrata contiene anche intervalli di indirizzi IP di destinazione, l'interfaccia di rete associata a un tag di rete viene risolta con la stessa versione IP dell'intervallo IP di destinazione.

Nessun altro indirizzo IP di origine del pacchetto è implicito quando si utilizzano i tag di rete di origine o gli account di servizio di origine. Ad esempio, sono esclusi gli intervalli IP alias e gli indirizzi IPv4 esterni associati all'interfaccia di rete. Se devi creare regole firewall in entrata le cui origini includono intervalli di indirizzi IP alias o indirizzi IPv4 esterni, utilizza gli intervalli IPv4 di origine.

Origini per le regole in uscita

Puoi utilizzare le seguenti origini per le regole firewall in uscita:

Predefinita (impliata dal target). Se ometti il parametro di origine da una regola in uscita, le origini dei pacchetti vengono definite in modo implicito come descritto in Destinazioni e indirizzi IP per le regole in uscita.
Intervalli IPv4 di origine. Un elenco di indirizzi IPv4 in formato CIDR.
Intervalli IPv6 di origine. Un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:

Se l'interfaccia di una VM ha indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene utilizzato solo l'indirizzo IPv4 interno.
Se specifichi parametri di origine e di destinazione in una regola in uscita, utilizza la stessa versione IP per entrambi i parametri. Puoi utilizzare un intervallo di indirizzi IPv4 o un intervallo di indirizzi IPv6, ma non entrambi. Per maggiori dettagli, consulta Destinazioni per le regole per il traffico in uscita.

Parametro destinazione

Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP, che sono supportati dalle regole in entrata e in uscita. Il comportamento predefinito della destinazione dipende dalla direzione della regola.

Destinazioni per le regole in entrata

Per le regole firewall in entrata puoi utilizzare le seguenti destinazioni:

Predefinita (impliata dal target). Se ometti il parametro di destinazione da una regola in entrata, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Destinazioni e indirizzi IP per le regole in entrata.
Intervalli IPv4 di destinazione. Un elenco di indirizzi IPv4 in formato CIDR.
Intervalli IPv6 di destinazione. Un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole in entrata:

Se l'interfaccia di una VM ha indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene utilizzato solo l'indirizzo IPv4 interno.
Se specifichi parametri di origine e di destinazione in una regola in entrata, i parametri di origine vengono risolti nella stessa versione IP dell'intervallo di indirizzi IP di destinazione. Per scoprire di più su come definire le origini per le regole in entrata, consulta Origini delle regole in entrata.

Destinazioni per le regole in uscita

Puoi utilizzare le seguenti destinazioni per le regole firewall in uscita:

Intervallo di destinazione predefinito. Quando ometti una specifica di destinazione in una regola di uscita, Google Cloud utilizza l'intervallo di indirizzi IPv4 di destinazione predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include le destinazioni IPv6.
Intervalli IPv4 di destinazione. Un elenco di indirizzi IPv4 in formato CIDR.
Intervalli IPv6 di destinazione. Un elenco di indirizzi IPv6 in formato CIDR.

Filtro di origine e destinazione per account di servizio

Puoi utilizzare gli account di servizio per creare regole firewall di natura più specifica:

Per le regole sia in entrata che in uscita, puoi utilizzare gli account di servizio per specificare i target.
Per le regole in entrata, puoi specificare l'origine dei pacchetti in entrata come indirizzo IP interno principale di qualsiasi VM nella rete in cui la VM utilizza un determinato account di servizio.

L'account di servizio deve essere creato nello stesso progetto della regola firewall prima di creare una regola firewall che si basa su di esso. Anche se il sistema non ti impedisce di creare una regola che utilizza un account di servizio di un progetto diverso, la regola non viene applicata se l'account di servizio non esiste nel progetto della regola firewall.

Le regole firewall che utilizzano gli account di servizio per identificare le istanze si applicano sia alle nuove istanze create e associate all'account di servizio sia alle istanze esistenti se modifichi gli account di servizio. La modifica dell'account di servizio associato a un'istanza richiede l'arresto e il riavvio dell'istanza. Puoi associare gli account di servizio a singole istanze e ai modelli di istanza utilizzati dai gruppi di istanze gestite.

Filtra per account di servizio e tag di rete

Questa sezione evidenzia i punti chiave da considerare per decidere se utilizzare account di servizio o tag di rete per definire le destinazioni e le origini (per le regole in entrata).

Se hai bisogno di un controllo rigoroso su come vengono applicate le regole firewall alle VM, utilizza gli account di servizio di destinazione e gli account di servizio di origine anziché i tag di rete di destinazione e i tag di rete di origine:

Un tag di rete è un attributo arbitrario. Uno o più tag di rete possono essere associati a un'istanza da qualsiasi entità Identity and Access Management (IAM) che disponga dell'autorizzazione per la modifica. Le entità IAM con il ruolo Amministratore istanze Compute Engine in un progetto hanno questa autorizzazione. Le entità IAM che possono modificare un'istanza possono modificare i relativi tag di rete, il che potrebbe modificare l'insieme di regole firewall applicabili per l'istanza.
Un account di servizio rappresenta un'identità associata a un'istanza. È possibile associare un solo account di servizio a un'istanza. Puoi controllare l'accesso all'account di servizio controllando la concessione del ruolo Utente account di servizio per altre entità IAM. Affinché un'entità IAM possa avviare un'istanza utilizzando un account di servizio, deve disporre del ruolo Utente account di servizio per utilizzare almeno quell'account di servizio e avere le autorizzazioni appropriate per creare istanze (ad esempio, disporre del ruolo Amministratore istanze Compute Engine per il progetto).

Non puoi combinare e abbinare account di servizio e tag di rete in nessuna regola firewall:

Non puoi utilizzare account di servizio di destinazione insieme ai tag di rete di destinazione in qualsiasi regola firewall (in entrata o in uscita).

Se specifichi le destinazioni in base al tag di rete o all'account di servizio di destinazione, di seguito sono riportate le origini non valide per le regole firewall in entrata.

Destinazioni	Origini non valide
Tag di rete di destinazione	Account di servizio di origine Combinazione di intervalli IP di origine e account di servizio di origine
Account di servizio di destinazione	Tag di rete di origine Combinazione di intervalli IP di origine e tag di rete di origine

Di seguito sono riportate alcune considerazioni operative per gli account di servizio e i tag di rete:

Per modificare un account di servizio per un'istanza è necessario arrestarlo e riavviarlo. L'aggiunta o la rimozione di tag di rete può essere eseguita mentre l'istanza è in esecuzione.
Esiste un numero massimo di account di servizio di destinazione, account di servizio di origine, tag di rete di destinazione e tag di rete di origine che possono essere specificati per le regole firewall. Per ulteriori informazioni, consulta Quote delle risorse VPC.
Se identifichi le istanze in base al tag di rete, la regola firewall si applica all'indirizzo IP interno principale dell'istanza.
Le regole firewall dell'account di servizio si applicano al nodo GKE, non al pod GKE.

Ruoli e autorizzazioni

La tabella seguente descrive le autorizzazioni di Identity and Access Management (IAM) necessarie per utilizzare le regole firewall VPC.

Attività	Autorizzazione obbligatoria	Ruolo di esempio
Crea una regola firewall	`compute.firewalls.create`	Amministratore sicurezza Compute (`roles/compute.securityAdmin`)
Elimina una regola firewall	`compute.firewalls.delete`	Amministratore sicurezza Compute (`roles/compute.securityAdmin`)
Apporta modifiche alle regole firewall	`compute.firewalls.update`	Amministratore sicurezza Compute (`roles/compute.securityAdmin`)
Visualizza i dettagli di una regola firewall	`compute.firewalls.get`	Visualizzatore di rete Compute (`roles/compute.networkViewer`)
Visualizza un elenco di regole firewall	`compute.firewalls.list`	Visualizzatore di rete Compute (`roles/compute.networkViewer`)

Casi d'uso

I seguenti casi d'uso mostrano come funzionano le regole firewall. In questi esempi, tutte le regole firewall sono abilitate.

Richieste di traffico in entrata

Le regole firewall in entrata controllano le connessioni in entrata da un'origine alle istanze di destinazione nella rete VPC. L'origine di una regola in entrata può essere definita come uno dei seguenti:

Un intervallo di indirizzi IPv4 o IPv6; il valore predefinito è qualsiasi indirizzo IPv4 (0.0.0.0/0).
Altre istanze nella rete VPC identificate da tag di rete
Altre istanze nella tua rete VPC identificate dall'account di servizio
Altre istanze nella rete VPC identificate dall'intervallo di indirizzi IPv4 o IPv6 e dal tag di rete
Altre istanze nella rete VPC identificate da un intervallo di indirizzi IPv4 o IPv6 e dall'account di servizio

L'origine predefinita è qualsiasi indirizzo IPv4 (0.0.0.0/0). Se vuoi controllare le connessioni in arrivo per le origini esterne alla tua rete VPC, incluse altre origini su Internet, utilizza un intervallo di indirizzi IP in formato CIDR.

Le regole in entrata con un'azione allow consentono il traffico in entrata in base agli altri componenti della regola. Oltre a specificare l'origine e la destinazione della regola, puoi limitare la regola in modo che venga applicata a protocolli e porte di destinazione specifici. Allo stesso modo, le regole in entrata con un'azione deny possono essere utilizzate per proteggere le istanze bloccando il traffico in entrata in base ai componenti della regola firewall.

Esempi di traffico in entrata

La Figura 1 illustra alcuni esempi in cui le regole firewall possono controllare le connessioni in entrata. Gli esempi utilizzano il parametro target nelle assegnazioni di regole per applicare regole a istanze specifiche.

In questo esempio di rete VPC, le regole firewall di autorizzazione in entrata sostituiscono la regola implicita di negazione del traffico in entrata per alcune VM. — **Figura 1.** In questo esempio di rete VPC, le regole firewall di autorizzazione in entrata eseguono l'override della regola di negazione implicita per il traffico in entrata per alcune VM (fai clic per ingrandire).

Una regola in entrata con priorità 1000 è applicabile alla VM 1. Questa regola consente il traffico TCP in entrata da qualsiasi origine IPv4 (0.0.0.0/0). Il traffico TCP da altre istanze nella rete VPC è consentito, soggetto alle regole in uscita applicabili per queste altre istanze. La VM 4 è in grado di comunicare con la VM 1 su TCP perché la VM 4 non ha regole di traffico in uscita che bloccano tali comunicazioni (è applicabile solo la regola di autorizzazione in uscita implicita). Poiché la VM 1 ha un IP esterno, questa regola consente anche il traffico TCP in entrata da host esterni su internet e dalla VM 2 tramite indirizzi IP esterni.
La VM 2 non ha una regola firewall in entrata specificata, quindi la regola implicita di negazione del traffico in entrata blocca tutto il traffico in entrata. Le connessioni da altre istanze nella rete vengono bloccate, a prescindere dalle regole in uscita per le altre istanze. Poiché la VM 2 ha un IP esterno, esiste un percorso da host esterni su internet, ma la regola di negazione implicita del traffico in entrata blocca anche il traffico esterno in entrata.
Una regola in entrata con priorità 1000 è applicabile alla VM 3. Questa regola consente il traffico TCP dalle istanze nella rete con il tag di rete client, ad esempio VM 4. Il traffico TCP dalla VM 4 alla VM 3 è consentito perché la VM 4 non ha una regola in uscita che blocchi tali comunicazioni (è applicabile solo la regola di autorizzazione in uscita prevista). Poiché la VM 3 non ha un IP esterno, non esiste un percorso da host esterni su internet.

Casi in uscita

Le regole firewall in uscita controllano le connessioni in uscita dalle istanze di destinazione nella rete VPC. Le regole in uscita con un'azione allow consentono il traffico dalle istanze in base agli altri componenti della regola. Ad esempio, puoi consentire il traffico in uscita verso destinazioni specifiche, come un intervallo di indirizzi IPv4, sui protocolli e sulle porte di destinazione che specifichi. Allo stesso modo, le regole in uscita con un'azione deny bloccano il traffico in base agli altri componenti della regola.

Ogni regola in uscita richiede una destinazione. La destinazione predefinita è qualsiasi indirizzo IPv4 (0.0.0.0/0), ma puoi creare una destinazione più specifica utilizzando un intervallo di indirizzi IPv4 o IPv6 in formato CIDR. Quando specifichi un intervallo di indirizzi IP, puoi controllare il traffico verso le istanze nella tua rete e verso destinazioni esterne alla rete, incluse le destinazioni su internet.

Esempi di traffico in uscita

La Figura 2 illustra alcuni esempi in cui le regole firewall possono controllare le connessioni in uscita. Gli esempi utilizzano il parametro target nelle assegnazioni di regole per applicare regole a istanze specifiche.

In questo esempio di rete VPC, le regole firewall di negazione del traffico in uscita sostituiscono la regola implicita di autorizzazione del traffico in uscita per alcune VM. — **Figura 2.** In questo esempio di rete VPC, le regole firewall di negazione del traffico in uscita sostituiscono la regola implicita di autorizzazione del traffico in uscita per alcune VM (fai clic per ingrandire).

La VM 1 non ha una regola firewall in uscita specificata, pertanto la regola di autorizzazione del traffico in uscita implicita consente di inviare traffico a qualsiasi destinazione. Le connessioni ad altre istanze nella rete VPC sono consentite, soggette alle regole in entrata applicabili per le altre istanze. La VM 1 è in grado di inviare traffico alla VM 4 perché la VM 4 ha una regola in entrata che consente il traffico in entrata da qualsiasi intervallo di indirizzi IP. Poiché la VM 1 ha un indirizzo IP esterno, è in grado di inviare traffico a host esterni su internet. Le risposte in entrata al traffico inviato dalla VM 1 sono consentite perché le regole firewall sono stateful.
Una regola in uscita con priorità 1000 è applicabile alla VM 2. Questa regola nega tutto il traffico in uscita verso tutte le destinazioni IPv4 (0.0.0.0/0). Il traffico in uscita verso altre istanze nella rete VPC è bloccato, indipendentemente dalle regole in entrata applicate alle altre istanze. Anche se la VM 2 ha un indirizzo IP esterno, questa regola firewall blocca il traffico in uscita verso host esterni su internet.
Una regola in uscita con priorità 1000 è applicabile alla VM 3. Questa regola blocca il suo traffico TCP in uscita verso qualsiasi destinazione nell'intervallo IP 192.168.1.0/24. Anche se le regole in entrata per la VM 4 consentono tutto il traffico in entrata, la VM 3 non può inviare il traffico TCP alla VM 4. Tuttavia, la VM 3 è gratuita di inviare traffico UDP alla VM 4 perché la regola in uscita si applica solo al protocollo TCP.

Inoltre, la VM 3 può inviare qualsiasi traffico ad altre istanze nella rete VPC al di fuori dell'intervallo IP 192.168.1.0/24, purché le altre istanze abbiano regole in entrata per consentire questo tipo di traffico. Poiché non ha un indirizzo IP esterno, non ha un percorso per inviare il traffico all'esterno della rete VPC.

Passaggi successivi

Per creare e utilizzare le regole firewall, consulta Utilizzare le regole firewall VPC.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud Firewall in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud Firewall gratuitamente