Diese Seite enthält Beispiele für eine globale Netzwerk-Firewallrichtlinie und für die Implementierung von regionalen Netzwerk-Firewallrichtlinien. Es wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die unter Globale Netzwerk-Firewallrichtlinien und Regionale Netzwerk-Firewallrichtlinien beschrieben werden.
Sie können eine globale Netzwerk-Firewallrichtlinie und mehrere regionale Netzwerk-Firewallrichtlinien an ein VPC-Netzwerk (Virtual Private Cloud) anhängen. Eine globale Netzwerk-Firewallrichtlinie gilt für alle Subnetzwerke in allen Regionen des VPC-Netzwerks. Eine regionale Netzwerk-Firewallrichtlinie gilt nur für die Subnetzwerke des VPC-Netzwerks in der Zielregion.
Abbildung 1 beschreibt den Bereich einer globalen Netzwerk-Firewallrichtlinie und einer regionalen Netzwerk-Firewallrichtlinie in einem VPC-Netzwerk.
Beispiel: Alle externen Verbindungen mit Ausnahme bestimmter Ports ablehnen
In diesem Anwendungsfall blockiert eine Firewallrichtlinie alle Verbindungen von externen Internetquellen mit Ausnahme der Verbindungen an den Zielports 80, 443 und 22. Eine eingehende Internetverbindung an anderen Ports als 80, 443 oder 22 wird blockiert. Die Regelerzwingung wird für alle Verbindungen an den Ports 80, 443 oder 22 an die regionale Netzwerk-Firewallrichtlinie delegiert.
In diesem Beispiel gilt eine region-a-Netzwerkrichtlinie, die internen Traffic von der Quelle 10.2.0.0/16 und eingehenden Traffic zu den Ports 443 und 80 von jeder Quelle zulässt. Abbildung 2 beschreibt die Konfiguration für diesen Anwendungsfall.
Auf VMs angewendete geltende Richtlinie
In diesem Abschnitt wird die effektive Netzwerk-Firewallrichtlinie beschrieben, die in diesem Beispiel gilt, nachdem die Regeln in der Hierarchie ausgewertet wurden.
Eingehende Verbindungen
Alle eingehenden Verbindungen von
10.0.0.0/8entsprechen der Regel mit der höchsten Priorität der globalen Netzwerk-Firewallrichtliniedelegate-internal-trafficund umgehen die restlichen Regeln in der globalen Netzwerk-Firewallrichtlinie. In der regionalen Netzwerk-Firewallregel sind eingehende Verbindungen von10.2.0.0/16zulässig und der Rest der Verbindungen wird anhand der implizierten eingehenden Regeldenyausgewertet.Eingehende Verbindungen mit einem anderen Quell-IP-Bereich als
10.0.0.0/8und den Zielports22,80und443werden an die Ebene der regionalen Firewallrichtlinien-Regeln delegiert. In der Regel der regionalen Netzwerk-Firewallrichtlinie sind die Ports80und443zulässig, Port22jedoch nicht.
Ausgehende Verbindung
- Bei den globalen Richtlinien für Netzwerkfirewalls gibt es keine Übereinstimmung. Daher gelten die impliziten Systemregeln, die ausgehende Verbindungen zulassen.
Konfiguration
Erstellen Sie eine globale Firewallrichtlinie für das Netzwerk, die die folgende Regel enthält:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Verknüpfen Sie die Richtlinie mit dem VPC-Netzwerk:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyFügen Sie eine Regel hinzu, die allen eingehenden Verbindungen von
10.0.0.0/8entspricht:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyFügen Sie eine Regel hinzu, um externen Traffic von bestimmten Ports zu delegieren:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyFügen Sie eine Regel hinzu, um den gesamten verbleibenden eingehenden Traffic zu blockieren:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyErstellen Sie eine regionale Netzwerk-Firewallrichtlinie:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Verknüpfen Sie die regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks innerhalb einer bestimmten Region zu aktivieren:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aFügen Sie eine Regel hinzu, um internen Traffic für die regionale Netzwerk-Firewallrichtlinie zuzulassen:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aFügen Sie eine Regel hinzu, um externen Traffic von bestimmten Ports zuzulassen:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Nächste Schritte
Informationen zum Erstellen und Ändern globaler Firewallrichtlinien und -regeln finden Sie unter Globale Netzwerk-Firewallrichtlinien und -regeln verwenden.
Informationen zum Erstellen und Ändern regionaler Netzwerk-Firewallrichtlinien und -regeln finden Sie unter Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden.