Questa pagina mostra esempi di implementazioni di criteri firewall di rete globali e regionali. Si presuppone che tu abbia familiarità con concetti descritti in Criteri del firewall di rete globali e i criteri firewall di rete regionali.
Puoi collegare un criterio firewall di rete globale e più reti regionali a una rete VPC (Virtual Private Cloud). Un criterio firewall di rete globale si applica a tutte le subnet in tutte le regioni della rete VPC. Un criterio firewall di rete regionale si applica solo alle sottoreti della rete VPC nella regione di destinazione.
La figura 1 descrive l'ambito di un criterio firewall di rete globale e un criterio firewall di rete a livello di regione in una rete VPC.
Esempio: nega tutte le connessioni esterne tranne quelle a porte specifiche
In questo caso d'uso, un criterio firewall di rete globale blocca tutte le connessioni
da origini internet esterne, tranne che per le connessioni sulle porte di destinazione 80,
443 e 22. Una connessione a internet in entrata su porte diverse da 80,
443 o 22 è bloccata. L'applicazione delle regole è delegata all'area geografica
criterio firewall di rete per tutte le connessioni sulle porte 80, 443 o 22.
In questo esempio, a region-a si applica un criterio di firewall di rete regionale che consente il traffico interno dall'origine 10.2.0.0/16 e il traffico in entrata alle porte 443 e 80 da qualsiasi origine. La Figura 2 descrive la configurazione per questo caso d'uso.
Criterio effettivo applicato nelle VM
Questa sezione descrive il criterio firewall di rete effettivo applicabile a questo un esempio dopo aver valutato le regole nella gerarchia.
Connessioni in entrata
Qualsiasi connessione in entrata da
10.0.0.0/8corrisponde alla priorità globale più elevata regola del criterio firewall di retedelegate-internal-traffice ignora il resto delle regole del criterio firewall di rete globale. Nella rete regionale regola del criterio firewall, le connessioni in entrata da10.2.0.0/16sono consentite e le altre connessioni vengono valutate in base al traffico in entrata implicitodenypersonalizzata.Connessioni in entrata con un intervallo IP di origine diverso da
10.0.0.0/8. le porte di destinazione22,80e443sono delegati alla rete regionale a livello di regola di criterio firewall. Nella regola del criterio firewall di rete regionale, le porte80e443sono consentite, ma non la porta22.
Connessione in uscita
- Non esiste una corrispondenza tra le regole del criterio firewall di rete globale. Di conseguenza, si applicano le regole di sistema implicite, che consentono le connessioni in uscita.
Modalità di configurazione
Crea un criterio firewall di rete globale contenente la seguente regola:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Associa il criterio alla rete VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyAggiungi una regola per associare tutte le connessioni in entrata da
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyAggiungi una regola per delegare il traffico esterno da porte specifiche:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyAggiungi una regola per bloccare tutto il traffico in entrata rimanente:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyCrea un criterio firewall di rete a livello di regione:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Associa il criterio firewall di rete regionale a una rete VPC per attivare le regole dei criteri per qualsiasi VM all'interno della rete all'interno di una regione specifica:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aAggiungi una regola per consentire il traffico interno per il criterio firewall di rete regionale:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aAggiungi una regola per consentire il traffico esterno da porte specifiche:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Passaggi successivi
Per creare e modificare criteri e regole firewall di rete globale, consulta Utilizza criteri e regole del firewall di rete globale.
Per creare e modificare criteri e regole firewall di rete a livello di regione, consulta Utilizza criteri e regole firewall di rete a livello di regione.