Globale Netzwerk-Firewallrichtlinien

Mit globalen Netzwerk-Firewall-richtlinien können Sie alle Firewallregeln im Batch aktualisieren, indem Sie sie in einem einzigen Richtlinienobjekt gruppieren. Sie können einem VPC-Netzwerk (Virtual Private Cloud) Netzwerkfirewall-Richtlinien zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen.

Spezifikationen

  • Globale Netzwerk-Firewallrichtlinien sind Containerressourcen für Firewallregeln. Jede Ressource für globale Netzwerk-Firewallrichtlinien wird in einem Projekt definiert.
    • Nachdem Sie eine globale Netzwerk-Firewallrichtlinie erstellt haben, können Sie Firewallregeln in der Richtlinie hinzufügen, aktualisieren und löschen.
    • Informationen zu den Spezifikationen der Regeln in globalen Netzwerk-Firewallrichtlinien finden Sie unter Firewallrichtlinienregeln.
  • Um globale Netzwerk-Firewallrichtlinienregeln auf ein VPC-Netzwerk anzuwenden, müssen Sie die Firewallrichtlinie mit diesem VPC-Netzwerk verknüpfen.
    • Sie können eine globale Netzwerk-Firewallrichtlinie mit mehreren VPC-Netzwerken verknüpfen. Die Firewallrichtlinie und die zugehörigen Netzwerke müssen zu demselben Projekt gehören.
    • Ein VPC-Netzwerk kann nur einer globalen Netzwerk-Firewallrichtlinie zugeordnet werden.
    • Ist eine Firewallrichtlinie mit keinem VPC-Netzwerk verknüpft, haben die Regeln in dieser Richtlinie keine Auswirkungen. Eine Firewallrichtlinie, die keinem Netzwerk zugeordnet ist, ist eine nicht verknüpfte globale Netzwerk-Firewallrichtlinie.
  • Ist eine globale Netzwerk-Firewallrichtlinie einem oder mehreren VPC-Netzwerken zugeordnet, werden die regeln der Firewallrichtlinie so erzwungen:
    • Vorhandene Regeln werden auf die entsprechenden Ressourcen in den zugehörigen VPC-Netzwerken angewendet.
    • Alle Änderungen an den Regeln werden auf die entsprechenden Ressourcen in den zugehörigen VPC-Netzwerken angewendet.
  • Regeln in globalen Netzwerk-Firewallrichtlinien werden zusammen mit anderen Firewallregeln erzwungen, wie unter Richtlinien- und Regelauswertungsreihenfolge beschrieben.
  • Mit globalen Netzwerk-Firewallrichtlinienregeln wird die Layer-7-Prüfung des übereinstimmenden Traffics konfiguriert, z. B. bei Verwendung der Einbruchsprävention.

    Sie erstellen eine Firewallrichtlinienregel mit der Aktion apply_security_profile_group und dem Namen der Sicherheitsprofilgruppe. Der Traffic, der der Firewallrichtlinienregel entspricht, wird für die Layer-7-Prüfung transparent an den Firewall-Endpunkt weitergeleitet. Informationen zum Erstellen einer Firewallrichtlinienregel finden Sie unter Globale Netzwerk-Firewallregeln erstellen.

Details zur globalen Netzwerkfirewallrichtlinienregel

Weitere Informationen zu den Komponenten und Parametern von Regeln in einer globalen Netzwerkfirewallrichtlinie finden Sie unter Firewallrichtlinienregeln.

In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen globalen Netzwerk-Firewallrichtlinienregeln und VPC-Firewallregeln zusammengefasst:

Globale Netzwerk-Firewallrichtlinienregeln VPC-Firewallregeln
Priorität (Zahl) Darf innerhalb einer Richtlinie nur einmal vorkommen Doppelte Prioritäten sind zulässig
Dienstkonten als Ziele Ja Ja
Dienstkonten als Quellen
(nur Ingress-Regeln)
Nein Ja
Tag-Typ Sicheres Tag Netzwerk-Tag
Name und Beschreibung Richtlinienname, Richtlinien- und Regelbeschreibung Name und Beschreibung der Regel
Batch-Update Ja – Funktionen zum Klonen, Bearbeiten und Ersetzen von Richtlinien Nein
Wiederverwendung Ja Nein
Kontingent Attributanzahl – basierend auf der Gesamtkomplexität jeder Regel in der Richtlinie Regelanzahl – komplexe und einfache Firewallregeln haben die gleichen Auswirkungen auf das Kontingent

Vordefinierte Regeln

Wenn Sie eine globale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud Next Generation Firewall vordefinierte Richtlinien mit der niedrigsten Priorität zur Richtlinie hinzu. Diese Regeln werden auf alle Verbindungen angewendet, die nicht mit einer explizit definierten Regel in der Richtlinie übereinstimmen, sodass solche Verbindungen an untergeordnete Richtlinien oder Netzwerkregeln weitergegeben werden.

Weitere Informationen zu den verschiedenen Arten vordefinierter Regeln und ihrer Eigenschaften finden Sie unter Vordefinierte Regeln.

IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung)

IAM-Rollen regeln die folgenden Aktionen in Bezug auf globale Netzwerk-Firewallrichtlinien:

  • Globale Netzwerk-Firewallrichtlinie erstellen
  • Richtlinie mit einem Netzwerk verknüpfen
  • Vorhandene Richtlinie ändern
  • Aktive Firewallregeln für ein bestimmtes Netzwerk oder eine bestimmte VM aufrufen

In der folgenden Tabelle wird beschrieben, welche Rollen für die einzelnen Aktionen erforderlich sind:

Aktion Erforderliche Rolle
Neue globale Netzwerk-Firewall-richtlinie erstellen Rolle compute.securityAdmin für das Projekt, zu dem die Richtlinie gehört
Richtlinie mit einem Netzwerk verknüpfen Rolle compute.networkAdmin für das Projekt, in dem die Richtlinie ausgeführt werden wird
Richtlinie durch Hinzufügen, Aktualisieren oder Löschen von Richtlinien-Firewallregeln ändern Rolle compute.securityAdmin für das Projekt, in dem die Richtlinie ausgeführt werden wird
Richtlinie löschen Rolle compute.networkAdmin für das Projekt, in dem die Richtlinie ausgeführt werden wird
Gültige Firewallregeln für ein VPC-Netzwerk aufrufen Eine der folgenden Rollen für das Netzwerk:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Gültige Firewallregeln für eine VM in einem Netzwerk aufrufen Eine der folgenden Rollen für die VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Die folgenden Rollen sind für globale Netzwerk-Firewallrichtlinien relevant.

Rollenname Beschreibung
compute.securityAdmin Kann auf Projekt- oder Richtlinienebene gewährt werden. Wird sie für ein Projekt gewährt, können Nutzer globale Netzwerk-Firewallrichtlinien und deren Regeln erstellen, aktualisieren und löschen. Erlaubt es Nutzern auf Richtlinienebene, die Regeln der Richtlinie zu aktualisieren, allerdings darf die Richtlinie weder erstellt noch gelöscht werden. Diese Rolle erlaubt es Nutzern auch, Richtlinien mit Netzwerken zu verknüpfen.
compute.networkAdmin Wird auf Projekt- oder Netzwerkebene gewährt. Bei Gewährung für ein Netzwerk können Nutzer die Liste der globalen Netzwerkfirewallrichtlinien aufrufen.
compute.viewer
compute.networkUser
compute.networkViewer
Nutzer können die Firewallregeln sehen, die auf das Netzwerk oder die Instanz angewendet werden.
Enthält die Berechtigung compute.networks.getEffectiveFirewalls für Netzwerke und die Berechtigung compute.instances.getEffectiveFirewalls für Instanzen.