I criteri firewall di rete globali consentono di aggiornare in batch tutte le regole firewall tramite raggruppandole in un unico oggetto di criteri. Puoi assegnare i criteri del firewall di rete a una rete Virtual Private Cloud (VPC). Queste norme contengono regole che possono consentire o negare esplicitamente le connessioni.
Specifiche
- I criteri firewall di rete globali sono risorse container per le regole firewall.
Ogni risorsa del criterio firewall di rete globale è definita all'interno di un progetto.
- Dopo aver creato un criterio firewall di rete globale, puoi aggiungere: aggiornare ed eliminare le regole firewall nel criterio.
- Per informazioni sulle specifiche delle regole del firewall di rete globale criteri, consulta Criterio firewall .
- Per applicare le regole del criterio firewall di rete globale a una rete VPC, devi associare il criterio firewall alla rete VPC.
- Puoi associare un criterio firewall di rete globale a più reti VPC. Assicurati che il criterio del firewall e le reti associate appartengano allo stesso progetto.
- Ogni rete VPC può essere associata a un solo criterio del firewall di rete globale.
- Se il criterio firewall non è associato a nessuna rete VPC, le regole al suo interno non hanno alcun effetto. Un criterio firewall non associato a nessuna rete è un criterio firewall di rete globale non associato.
- Quando un criterio firewall di rete globale è associato a una o più reti VPC, le regole del criterio firewall vengono applicate nei seguenti modi:
- Le regole esistenti vengono applicate in base ai requisiti di risorse nelle reti VPC associate.
- Eventuali modifiche apportate alle regole vengono applicate alle risorse applicabili nelle reti VPC associate.
- Le regole nei criteri firewall di rete globali vengono applicate insieme ad altre regole firewall come descritto in Valutazione di criteri e regole ordine.
Le regole dei criteri firewall di rete globale vengono utilizzate per configurare l'ispezione del livello 7 del traffico corrispondente, ad esempio durante l'utilizzo del servizio di prevenzione delle intrusioni.
Crea una regola di criterio firewall con l'azione
apply_security_profile_groupe il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene inoltrato in modo trasparente a l'endpoint firewall per l'ispezione di livello 7. Per apprendere come creare una regola di criterio firewall consulta Creare regole firewall di rete globale.
Dettagli della regola del criterio firewall di rete globale
Per ulteriori informazioni sui componenti e sui parametri delle regole in un criterio firewall di rete globale, consulta Regole del criterio firewall.
La seguente tabella riassume le principali differenze tra la rete globale regole del criterio firewall e regole firewall VPC:
| Regole del criterio firewall di rete globale | Regole firewall VPC | |
|---|---|---|
| Numero di priorità | Deve essere univoco all'interno di un criterio | Sono consentite priorità duplicate |
| Account di servizio come destinazioni | Sì | Sì |
| Service account come origini (solo regole di ingresso) |
No | Sì |
| Tipo di tag | Tag sicuro | Tag di rete |
| Nome e descrizione | Nome, descrizione della norma e delle regole | Nome e descrizione della regola |
| Aggiornamento batch | Sì, per le funzioni di clonazione, modifica e sostituzione dei criteri | No |
| Riutilizza | Sì | No |
| Quota | Conteggio degli attributi: basato sulla complessità totale di ciascuna regola nel norme | Numero di regole: regole firewall complesse e semplici hanno lo stesso impatto sulla quota |
Regole predefinite
Quando crei un criterio firewall di rete globale, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa per il criterio. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola esplicitamente definita nel criterio. la trasmissione di queste connessioni a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni per quanto riguarda Criteri firewall di rete globali:
- Creazione di un criterio firewall di rete globale
- Associare un criterio a una rete
- Modifica di un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni azione:
| Azione | Ruolo necessario |
|---|---|
| Crea un nuovo criterio firewall di rete globale | Ruolo compute.securityAdmin nel progetto a cui appartiene il criterio |
| Associare un criterio a una rete | compute.networkAdmin nel progetto in cui verrà pubblicato il criterio |
| Modifica il criterio aggiungendo, aggiornando o eliminando le regole del firewall del criterio | Ruolo compute.securityAdmin nel progetto in cui verrà implementato il criterio |
| Elimina il criterio | compute.networkAdmin nel progetto in cui verrà pubblicato il criterio |
| Visualizzare le regole firewall effettive per una rete VPC | Uno qualsiasi dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizzare le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I seguenti ruoli sono pertinenti ai criteri firewall di rete globali.
| Nome ruolo | Descrizione |
|---|---|
| compute.securityAdmin | Possono essere concesse a livello di progetto o criterio. Se concesso per un progetto, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall di rete globale e le relative regole. A livello di criterio, consente agli utenti di aggiornare le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre agli utenti di associare un criterio a una rete. |
| compute.networkAdmin | Concesso a livello di progetto o di rete. Se la richiesta viene concessa per una rete, Consente agli utenti di visualizzare l'elenco dei criteri firewall di rete globali. |
|
compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls per le reti e compute.instances.getEffectiveFirewalls per le istanze. |