Beispiele für globale und regionale Netzwerk-Firewallrichtlinien

Diese Seite enthält Beispiele für eine globale Netzwerk-Firewallrichtlinie und für die Implementierung von regionalen Netzwerk-Firewallrichtlinien. Es wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die unter Globale Netzwerk-Firewallrichtlinien und Regionale Netzwerk-Firewallrichtlinien beschrieben werden.

Sie können eine globale Netzwerk-Firewallrichtlinie und mehrere regionale Netzwerk-Firewallrichtlinien an ein VPC-Netzwerk (Virtual Private Cloud) anhängen. Eine globale Netzwerk-Firewallrichtlinie gilt für alle Subnetzwerke in allen Regionen des VPC-Netzwerks. Eine regionale Netzwerk-Firewallrichtlinie gilt nur für die Subnetzwerke des VPC-Netzwerks in der Zielregion.

Abbildung 1 beschreibt den Bereich einer globalen Netzwerk-Firewallrichtlinie und einer regionalen Netzwerk-Firewallrichtlinie in einem VPC-Netzwerk.

Abbildung 1. Bereich der globalen und regionalen Netzwerk-Firewallrichtlinien.
Abbildung 1. Bereich der globalen und regionalen Netzwerk-Firewallrichtlinien.

Beispiel: Alle externen Verbindungen mit Ausnahme bestimmter Ports ablehnen

In diesem Anwendungsfall blockiert eine Firewallrichtlinie alle Verbindungen von externen Internetquellen mit Ausnahme der Verbindungen an den Zielports 80, 443 und 22. Eine eingehende Internetverbindung an anderen Ports als 80, 443 oder 22 wird blockiert. Die Regelerzwingung wird für alle Verbindungen an den Ports 80, 443 oder 22 an die regionale Netzwerk-Firewallrichtlinie delegiert.

In diesem Beispiel gilt eine region-a-Netzwerkrichtlinie, die internen Traffic von der Quelle 10.2.0.0/16 und eingehenden Traffic zu den Ports 443 und 80 von jeder Quelle zulässt. Abbildung 2 beschreibt die Konfiguration für diesen Anwendungsfall.

Abbildung 2. Grafik: Alle externen Verbindungen mit Ausnahme bestimmter Zielports ablehnen
Abbildung 2. Alle externen Verbindungen mit Ausnahme bestimmter Zielports ablehnen.

Auf VMs angewendete geltende Richtlinie

In diesem Abschnitt wird die effektive Netzwerk-Firewallrichtlinie beschrieben, die in diesem Beispiel gilt, nachdem die Regeln in der Hierarchie ausgewertet wurden.

Eingehende Verbindungen

  • Alle eingehenden Verbindungen von 10.0.0.0/8 entsprechen der Regel mit der höchsten Priorität der globalen Netzwerk-Firewallrichtlinie delegate-internal-traffic und umgehen die restlichen Regeln in der globalen Netzwerk-Firewallrichtlinie. In der regionalen Netzwerk-Firewallregel sind eingehende Verbindungen von 10.2.0.0/16 zulässig und der Rest der Verbindungen wird anhand der implizierten eingehenden Regel deny ausgewertet.

  • Eingehende Verbindungen mit einem anderen Quell-IP-Bereich als 10.0.0.0/8 und den Zielports 22, 80 und 443 werden an die Ebene der regionalen Firewallrichtlinien-Regeln delegiert. In der Regel der regionalen Netzwerk-Firewallrichtlinie sind die Ports 80 und 443 zulässig, Port 22 jedoch nicht.

Ausgehende Verbindung

  • Bei den globalen Richtlinien für Netzwerkfirewalls gibt es keine Übereinstimmung. Daher gelten die impliziten Systemregeln, die ausgehende Verbindungen zulassen.

Konfiguration

  1. Erstellen Sie eine globale Firewallrichtlinie für das Netzwerk, die die folgende Regel enthält:

    gcloud compute network-firewall-policies create \
        "example-firewall-policy-global" --global \
        --description "Global network firewall policy with rules that apply to all VMs in the VPC network"
    
  2. Verknüpfen Sie die Richtlinie mit dem VPC-Netzwerk:

    gcloud compute network-firewall-policies associations create \
        --firewall-policy example-firewall-policy-global \
        --network my-example-vpc \
        --global-firewall-policy
    
  3. Fügen Sie eine Regel hinzu, die allen eingehenden Verbindungen von 10.0.0.0/8 entspricht:

    gcloud compute network-firewall-policies rules create 1000 \
        --action goto_next \
        --description "delegate-internal-traffic" \
        --layer4-configs all \
        --firewall-policy example-firewall-policy-global \
        --src-ip-ranges 10.0.0.0/8 \
        --global-firewall-policy
    
  4. Fügen Sie eine Regel hinzu, um externen Traffic von bestimmten Ports zu delegieren:

    gcloud compute network-firewall-policies rules create 2000 \
        --action goto_next \
        --description "delegate-external-traffic-spec-ports" \
        --layer4-configs tcp:80,tcp:443,tcp:22 \
        --firewall-policy example-firewall-policy-global \
        --src-ip-ranges 0.0.0.0/0 \
        --global-firewall-policy
    
  5. Fügen Sie eine Regel hinzu, um den gesamten verbleibenden eingehenden Traffic zu blockieren:

    gcloud compute network-firewall-policies rules create 3000 \
        --action deny \
        --description "block-external-traffic-spec-ports" \
        --firewall-policy example-firewall-policy-global \
        --src-ip-ranges 0.0.0.0/0 \
        --layer4-configs all \
        --global-firewall-policy
    
  6. Erstellen Sie eine regionale Netzwerk-Firewallrichtlinie:

    gcloud compute network-firewall-policies create \
        example-firewall-policy-regional --region=region-a \
        --description "Regional network firewall policy with rules that apply to all VMs in region-a"
    
  7. Verknüpfen Sie die regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks innerhalb einer bestimmten Region zu aktivieren:

    gcloud compute network-firewall-policies associations create \
        --firewall-policy example-firewall-policy-regional \
        --network my-example-vpc \
        --firewall-policy-region=region-a  
    
  8. Fügen Sie eine Regel hinzu, um internen Traffic für die regionale Netzwerk-Firewallrichtlinie zuzulassen:

    gcloud compute network-firewall-policies rules create 1000 \
        --action allow \
        --firewall-policy example-firewall-policy-regional \
        --description allow-internal-traffic \
        --direction INGRESS \
        --src-ip-ranges 10.2.0.0/16 \
        --layer4-configs all \
        --firewall-policy-region=region-a 
    
  9. Fügen Sie eine Regel hinzu, um externen Traffic von bestimmten Ports zuzulassen:

    gcloud compute network-firewall-policies rules create 2000 \
        --action allow \
        --firewall-policy example-firewall-policy-regional \
        --description allow-external-traffic-spec-ports \
        --direction INGRESS \
        --layer4-configs=tcp:80,tcp:443 \
        --src-ip-ranges 0.0.0.0/0 \
        --firewall-policy-region=region-a
    

Nächste Schritte