Mit globalen Netzwerk-Firewall-richtlinien können Sie alle Firewallregeln im Batch aktualisieren, indem Sie sie in einem einzigen Richtlinienobjekt gruppieren. Sie können einem VPC-Netzwerk (Virtual Private Cloud) Netzwerk-Firewallrichtlinien zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen.
Spezifikationen
- Globale Netzwerk-Firewallrichtlinien sind Containerressourcen für Firewallregeln.
Jede globale Netzwerk-Firewallrichtlinienressource ist in einem Projekt definiert.
- Nachdem Sie eine globale Netzwerk-Firewallrichtlinie erstellt haben, können Sie Firewallregeln in der Richtlinie hinzufügen, aktualisieren und löschen.
- Spezifikationsinformationen zu den Regeln in globalen Firewallrichtlinien für Netzwerke finden Sie unter Firewallregeln.
- Wenn Sie globale Firewallregeln für ein VPC-Netzwerk anwenden möchten, müssen Sie die Firewallrichtlinie mit diesem VPC-Netzwerk verknüpfen.
- Sie können eine globale Netzwerk-Firewallrichtlinie mit mehreren VPC-Netzwerken verknüpfen. Achten Sie darauf, dass die Firewallrichtlinie und die zugehörigen Netzwerke zum selben Projekt gehören.
- Jedes VPC-Netzwerk kann nur einer globalen Netzwerk-Firewallrichtlinie zugeordnet werden.
- Wenn die Firewallrichtlinie keinem VPC-Netzwerk zugeordnet ist, haben die Regeln in dieser Richtlinie keine Auswirkungen. Eine Firewallrichtlinie, die keinem Netzwerk zugeordnet ist, ist eine nicht verknüpfte globale Netzwerk-Firewallrichtlinie.
- Wenn eine globale Netzwerk-Firewallrichtlinie mit einem oder mehreren VPC-Netzwerken verknüpft ist, werden die Firewallrichtlinienregeln so erzwungen:
- Vorhandene Regeln werden für geltende Ressourcen in den zugehörigen VPC-Netzwerken erzwungen.
- Alle an den Regeln vorgenommenen Änderungen werden für die anwendbaren Ressourcen in den zugehörigen VPC-Netzwerken erzwungen.
Regeln in globalen Netzwerk-Firewallrichtlinien werden zusammen mit anderen Firewallregeln erzwungen, wie unter Richtlinien- und Regelauswertungsreihenfolge beschrieben.
Mit globalen Netzwerk-Firewallrichtlinienregeln wird die Layer-7-Prüfung des übereinstimmenden Traffics konfiguriert, z. B. bei Verwendung der Einbruchsprävention.
Sie erstellen eine Firewallrichtlinienregel mit der Aktion
apply_security_profile_groupund dem Namen der Sicherheitsprofilgruppe. Der Traffic, der der Firewallrichtlinienregel entspricht, wird für die Layer-7-Prüfung transparent an den Firewall-Endpunkt weitergeleitet. Informationen zum Erstellen einer Firewallrichtlinienregel finden Sie unter Globale Netzwerk-Firewallregeln erstellen.
Details zur globalen Netzwerkfirewallrichtlinienregel
Weitere Informationen zu den Komponenten und Parametern von Regeln in einer globalen Netzwerkfirewallrichtlinie finden Sie unter Firewallrichtlinienregeln.
In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen globalen Netzwerk-Firewallrichtlinienregeln und VPC-Firewallregeln zusammengefasst:
| Globale Netzwerk-Firewallrichtlinienregeln | VPC-Firewallregeln | |
|---|---|---|
| Priorität (Zahl) | Darf innerhalb einer Richtlinie nur einmal vorkommen | Doppelte Prioritäten sind zulässig |
| Dienstkonten als Ziele | Ja | Ja |
| Dienstkonten als Quellen (nur Regeln für eingehenden Traffic) |
Nein | Ja |
| Tag-Typ | Sicheres Tag | Networktag |
| Name und Beschreibung | Richtlinienname, Richtlinien- und Regelbeschreibung | Regelname und Beschreibung |
| Batch-Update | Ja – Funktionen zum Klonen, Bearbeiten und Ersetzen von Richtlinien | Nein |
| Wiederverwendung | Ja | Nein |
| Kontingent | Attributanzahl – basierend auf der Gesamtkomplexität jeder Regel in der Richtlinie | Regelanzahl – komplexe und einfache Firewallregeln haben die gleichen Auswirkungen auf das Kontingent |
Vordefinierte Regeln
Alle globalen Netzwerk-Firewallrichtlinien haben vier vordefinierte goto_next-Regeln mit der niedrigsten Priorität. Diese Regeln werden auf alle Verbindungen angewendet, die nicht mit einer explizit definierten Regel in der Richtlinie übereinstimmen, sodass solche Verbindungen an untergeordnete Richtlinien oder Netzwerkregeln weitergegeben werden.
Diese vordefinierten Regeln sind auch in regionalen Netzwerk-Firewallrichtlinien und hierarchischen Firewallrichtlinien vorhanden. Weitere Informationen finden Sie unter Vordefinierte Regeln in der Dokumentation zu hierarchischen Firewallrichtlinien.
IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung)
IAM-Rollen regeln die folgenden Aktionen in Bezug auf globale Netzwerk-Firewallrichtlinien:
- Globale Netzwerk-Firewallrichtlinie erstellen
- Richtlinie mit einem Netzwerk verknüpfen
- Vorhandene Richtlinie ändern
- Aktive Firewallregeln für ein bestimmtes Netzwerk oder eine bestimmte VM aufrufen
In der folgenden Tabelle wird beschrieben, welche Rollen für die einzelnen Aktionen erforderlich sind:
| Aktion | Erforderliche Rolle |
|---|---|
| Neue globale Netzwerk-Firewall-richtlinie erstellen | Rolle compute.securityAdmin für das Projekt, zu dem die Richtlinie gehört |
| Richtlinie mit einem Netzwerk verknüpfen | Rolle compute.networkAdmin für das Projekt, in dem sich die Richtlinie befindet |
| Richtlinie durch Hinzufügen, Aktualisieren oder Löschen von Richtlinien-Firewallregeln ändern | Rolle compute.securityAdmin für das Projekt, in dem sich die Richtlinie befindet |
| Richtlinie löschen | Rolle compute.networkAdmin für das Projekt, in dem sich die Richtlinie befindet |
| Gültige Firewallregeln für ein VPC-Netzwerk aufrufen | Eine der folgenden Rollen für das Netzwerk: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Gültige Firewallregeln für eine VM in einem Netzwerk aufrufen | Eine der folgenden Rollen für die VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Die folgenden Rollen sind für globale Netzwerk-Firewallrichtlinien relevant.
| Rollenname | Beschreibung |
|---|---|
| compute.securityAdmin | Kann auf Projekt- oder Richtlinienebene gewährt werden. Wenn sie für ein Projekt gewährt werden, können Nutzer globale Netzwerk-Firewallrichtlinien und ihre Regeln erstellen, aktualisieren und löschen. Auf Richtlinienebene können Nutzer die Richtlinienregeln aktualisieren, die Richtlinie jedoch nicht erstellen oder löschen. Mit dieser Rolle können Nutzer auch eine Richtlinie mit einem Netzwerk verknüpfen. |
| compute.networkAdmin | Wird auf Projektebene oder Netzwerkebene gewährt. Bei Gewährung für ein Netzwerk können Nutzer die Liste der globalen Netzwerkfirewallrichtlinien aufrufen. |
|
compute.viewer compute.networkUser compute.networkViewer |
Nutzer können die Firewallregeln sehen, die auf das Netzwerk oder die Instanz angewendet werden. Enthält die Berechtigung compute.networks.getEffectiveFirewalls für Netzwerke und die Berechtigung compute.instances.getEffectiveFirewalls für Instanzen. |