Questa pagina mostra esempi di implementazioni dei criteri firewall di rete globali e di implementazione di criteri firewall di rete a livello di regione. Si presume che tu abbia familiarità con i concetti descritti in Criteri firewall di rete globali e Criteri firewall di rete a livello di regione.
Puoi collegare un criterio firewall di rete globale e più criteri firewall di rete a livello di regione a una rete Virtual Private Cloud (VPC). Un criterio firewall di rete globale si applica a tutte le subnet in tutte le regioni della rete VPC. Un criterio firewall di rete a livello di regione si applica solo alle subnet della rete VPC nella regione di destinazione.
La Figura 1 descrive l'ambito di un criterio firewall di rete globale e un criterio firewall di rete a livello di regione in una rete VPC.
Esempio: negare tutte le connessioni esterne tranne che verso porte specifiche
In questo caso d'uso, un criterio firewall di rete globale blocca tutte le connessioni da
origini internet esterne, ad eccezione delle connessioni sulle porte di destinazione 80, 443 e 22. Una connessione a internet in entrata su porte diverse da 80, 443 o 22 è bloccata. L'applicazione delle regole è delegata al criterio firewall di rete a livello di regione per qualsiasi connessione sulle porte 80, 443 o 22.
In questo esempio, un criterio firewall di rete a livello di regione si applica a region-a, che consente il traffico interno dall'origine 10.2.0.0/16 e il traffico in entrata verso le porte 443 e 80 da qualsiasi origine. La Figura 2 descrive la configurazione della configurazione per questo caso d'uso.
Criterio effettivo applicato nelle VM
Questa sezione descrive il criterio firewall di rete effettivo applicabile a questo esempio dopo aver valutato le regole nella gerarchia.
Connessioni in entrata
Tutte le connessioni in entrata da
10.0.0.0/8soddisfano la regola del criterio firewall di rete globale con la massima prioritàdelegate-internal-traffice ignorano il resto delle regole nel criterio firewall di rete globale. Nella regola del criterio firewall di rete a livello di regione, sono consentite le connessioni in entrata da10.2.0.0/16, mentre il resto delle connessioni viene valutato in base alla regoladenyin entrata implicita.Le connessioni in entrata con un intervallo IP di origine diverso da
10.0.0.0/8e le porte di destinazione22,80e443sono delegate al livello di regola del criterio firewall di rete dell'area geografica. Nella regola del criterio firewall di rete a livello di regione, sono consentite le porte80e443, ma non la porta22.
Connessione in uscita
- Non esiste una corrispondenza tra le regole dei criteri firewall di rete globali. Pertanto, si applicano le regole di sistema implicite, che consentono le connessioni in uscita.
Modalità di configurazione
Crea un criterio firewall di rete globale che contenga la regola seguente:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Associa il criterio alla rete VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyAggiungi una regola per la corrispondenza con qualsiasi connessione in entrata da
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyAggiungi una regola per delegare il traffico esterno da porte specifiche:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyAggiungi una regola per bloccare tutto il traffico in entrata rimanente:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyCrea un criterio firewall di rete a livello di regione:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Associa il criterio firewall di rete a livello di regione a una rete VPC per attivare le regole del criterio per qualsiasi VM all'interno di quella rete all'interno di una regione specifica:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aAggiungi una regola per consentire il traffico interno per il criterio firewall di rete a livello di regione:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aAggiungi una regola per consentire il traffico esterno da porte specifiche:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Passaggi successivi
Per creare e modificare i criteri e le regole firewall di rete globali, vedi Utilizzare i criteri e le regole firewall di rete globali.
Per creare e modificare i criteri e le regole firewall di rete a livello di regione, consulta Utilizzare i criteri e le regole firewall di rete a livello di regione.