Globale Netzwerk-Firewallrichtlinien und -regeln verwenden

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über Globale Netzwerk-Firewallrichtlinien beschrieben werden.

Aufgaben im Zusammenhang mit Firewallrichtlinien

Globale Netzwerk-Firewall-richtlinie erstellen

Sie können Richtlinien für beliebige VPC-Netzwerk innerhalb Ihres Projekts erstellen. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie mit einem beliebigen VPC-Netzwerk in Ihrem Projekt verknüpfen. Nach der Verknüpfung werden die Regeln der Richtlinie für VMs im zugehörigen Netzwerk aktiviert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Projektauswahlliste Ihr Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Netzwerkfirewall-Richtlinie erstellen.

  4. Geben Sie der Richtlinie einen Namen.

  5. Wählen Sie unter Bereitstellungsbereich Global aus.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen.

    Weitere Informationen finden Sie unter Firewallregeln erstellen.

  7. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter und dann auf Richtlinie mit VPC-Netzwerken verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.

  8. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Ersetzen Sie dabei Folgendes:

  • NETWORK_FIREWALL_POLICY_NAME: Ein Name für die Richtlinie.
  • DESCRIPTION: Eine Beschreibung der Richtlinie.

Richtlinie mit dem Netzwerk verknüpfen

Verknüpfen Sie eine Richtlinie mit einem Netzwerk, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Klicken Sie auf Verknüpfungen hinzufügen.

  6. Wählen Sie die Netzwerke im Projekt aus.

  7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ersetzen Sie dabei Folgendes:

  • POLICY_NAME: Entweder der Anzeigename oder der vom System generierte Name der Richtlinie.
  • NETWORK_NAME: Der Name Ihres Netzwerks.
  • ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name network-NETWORK_NAME festgelegt.

Globale Netzwerk-Firewallrichtlinie beschreiben

Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln. Darüber hinaus sehen Sie viele Attribute von allen Regeln für die Richtlinie. Für diese Attribute gilt ein Limit pro Richtlinie.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Beschreibung einer globalen Netzwerk-Firewallrichtlinie aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf Bearbeiten.

  5. Ändern Sie den Text im Feld Beschreibung.

  6. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Globale Netzwerk-Firewallrichtlinien auflisten

Sie können eine Liste der in Ihrem Projekt verfügbaren Richtlinien aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

    Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud

gcloud compute network-firewall-policies list --global

Globale Netzwerk-Firewallrichtlinie löschen

Bevor Sie die globale Firewallrichtlinie eines Netzwerks löschen können, müssen Sie zuerst alle bestehenden Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfungen entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

  1. Listen Sie alle Netzwerke auf, die mit einer Firewallrichtlinie verknüpft sind:

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --global
    
  2. Einzelne Verknüpfungen löschen: Zum Aufheben einer Verknüpfung benötigen Sie die Rolle compute.SecurityAdmin für die globale Netzwerkfirewallrichtlinie und die Rolle „compute.networkAdmin“ für das verknüpfte VPC-Netzwerk.

    gcloud compute network-firewall-policies associations delete \
        --name ASSOCIATION_NAME \
        --firewall-policy POLICY_NAME \
        --global-firewall-policy
    
  3. So löschen Sie die Richtlinie:

    gcloud compute network-firewall-policies delete POLICY_NAME \
        --global
    

Verknüpfung löschen

Wenn eine Firewallrichtlinie in einem Netzwerk nicht mehr erzwungen werden soll, löschen Sie die Verknüpfung.

Wenn Sie jedoch eine Firewallrichtlinie durch eine andere ersetzen möchten, müssen Sie die vorhandene Verknüpfung nicht zuerst löschen. Wenn Sie diese Verknüpfung löschen, verbleibt ein Zeitraum, in dem keine der Richtlinien erzwungen wird. Ersetzen Sie daher die vorhandene Richtlinie, wenn Sie eine neue Richtlinie verknüpfen möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Verknüpfungen entfernen.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Aufgaben im Zusammenhang mit Firewallregeln

Globale Netzwerk-Firewallregeln erstellen

Regeln für globale Netzwerk-Firewallrichtlinien müssen in einer globalen Netzwerk-Firewallrichtlinie erstellt werden. Die Regeln werden erst aktiv, sobald Sie die Richtlinie, die diese Regeln enthält, einem VPC-Netzwerk zuordnen.

Jede globale Netzwerk-Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer globalen Richtlinie.

  4. Klicken Sie auf dem Tab Firewallregeln auf Erstellen.

  5. Füllen Sie die Regelfelder aus:

    1. Legen Sie im Feld Priorität die Reihenfolgenummer für die Regel fest, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).
    2. Wählen Sie unter Trafficrichtung die Option „Eingehend“ oder „Ausgehend“.
    3. Wählen Sie unter Aktion bei Übereinstimmung eine der folgenden Optionen aus:
      1. Zulassen: Ermöglicht die Verbindungen, die der Regel entsprechen.
      2. Ablehnen: Die Verbindungen, die der Regel entsprechen, werden abgelehnt.
      3. Zu nächster: Übergibt die Auswertung der Verbindung an die nächst niedrigere Firewallregel in der Hierarchie.
      4. Weiter zur L7-Prüfung: Die Pakete werden zur Layer-7-Prüfung und -prävention an den konfigurierten Firewallendpunkt gesendet.
        • Wählen Sie in der Liste Sicherheitsprofilgruppe den Namen einer Sicherheitsprofilgruppe aus.
        • Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
    4. Schalten Sie die Erfassung der Logs Ein oder Aus.
    5. Geben Sie das Ziel der Regel an. Wählen Sie für das Feld Zieltyp eine der folgenden Optionen aus:
      • Wenn diese Regel für alle Instanzen im Netzwerk gelten soll, wählen Sie Alle Instanzen im Netzwerk aus.
      • Wenn Sie die Regel auf bestimmte Instanzen anhand von Tags anwenden möchten, wählen Sie Sichere Tags aus. Klicken Sie auf Umfang auswählen und wählen Sie die Organisation oder das Projekt aus, in dem Sie Tags erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll. Klicken Sie auf TAG HINZUFÜGEN, um weitere Schlüssel/Wert-Paare hinzuzufügen.
      • Wenn Sie die Regel von einem verknüpften Konto auf bestimmte Instanzen anwenden möchten, wählen Sie Dienstkonto aus, geben Sie unter Umfang des Dienstkontos an, ob das Dienstkonto im aktuellen Projekt oder in einem anderen Projekt enthalten ist. Wählen Sie dann im Feld Zieldienstkonto den Namen des Dienstkontos aus oder geben Sie ihn ein.
    6. Geben Sie den Quellfilter für eine Regel für eingehenden Traffic an:
      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Klicken Sie im Abschnitt Tags auf BEREICH AUSWÄHLEN, um die Quelle durch Tags zu beschränken. Wählen Sie die Organisation oder das Projekt aus, für die bzw. das Sie Tags erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll. Klicken Sie auf TAG HINZUFÜGEN, um weitere Schlüssel/Wert-Paare hinzuzufügen.
    7. Geben Sie den Zielfilter für eine Ausgangsregel an:
      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
    8. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, geben Sie die Quell-FQDNs an, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-FQDNs aus, für die diese Regel gelten soll. Weitere Informationen zu Domainnamenobjekten finden Sie unter Domainnamenobjekte.
    9. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Standorte aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-Standorte aus, für die diese Regel gelten soll. Weitere Informationen zu Standortbestimmungs-Objekten finden Sie unter Standortbestimmungs-Objekte.
    10. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
    11. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Quelllisten aus, für die diese Regel gilt. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Ziellisten aus, für die diese Regel gilt. Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
    12. Optional: Geben Sie für eine Regel für eingehenden Traffic die Zielfilter an:

      • Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie eingehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6-Bereiche aus und geben Sie die CIDR-Blöcke in das Feld IPv6-Zielbereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel. Weitere Informationen finden Sie unter Ziel für Regeln für eingehenden Traffic.
    13. Optional: Geben Sie für eine Regel für ausgehenden Traffic den Quellfilter an:

      • Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie ausgehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie ::/0 für jede IPv6-Quelle. Weitere Informationen finden Sie unter Quelle für Regeln für ausgehenden Traffic.
    14. Geben Sie für Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.

    15. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

  7. Klicken Sie zum Verknüpfen der Richtlinie mit einem Netzwerk auf Weiter > Richtlinie mit VPC-Netzwerken verknüpfen oder auf Erstellen, um die Richtlinie zu erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP] \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Ersetzen Sie dabei Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel

    Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, den Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).

  • ACTION: eine der folgenden Aktionen:

    • allow: lässt Verbindungen zu, die der Regel entsprechen
    • deny: lehnt Verbindungen ab, die der Regel entsprechen
    • apply_security_profile_group: sendet die Pakete transparent für die Layer-7-Prüfung an den konfigurierten Firewallendpunkt
    • goto_next: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
  • POLICY_NAME: der Name der globalen Richtlinie für Netzwerkfirewalls

  • SECURITY_PROFILE_GROUP: der Name einer Sicherheitsprofilgruppe, die für die Layer-7-Prüfung verwendet wird. Geben Sie dieses Argument nur an, wenn die Aktion apply_security_profile_group ausgewählt ist.

  • --tls-inspect: überprüft den TLS-Traffic mithilfe der TLS-Prüfungsrichtlinie, wenn die apply_security_profile_group-Aktion in der Regel ausgewählt ist. Die TLS-Prüfung ist standardmäßig deaktiviert. Sie können aber auch --no-tls-inspect angeben.

  • TARGET_SECURE_TAG: eine durch Kommas getrennte Liste sicherer Tags, um Ziele zu definieren

  • SERVICE_ACCOUNT: eine durch Kommas getrennte Liste von Dienstkonten, um Ziele zu definieren

  • DIRECTION: gibt an, ob die Regel eine ingress- oder egress-Regel ist. Die Standardeinstellung ist ingress.

    • Fügen Sie --src-ip-ranges ein, um IP-Adressbereiche für die Traffic-Quelle anzugeben.
    • Fügen Sie --dest-ip-ranges ein, um IP-Adressbereiche für das Traffic-Ziel anzugeben.

    Weitere Informationen finden Sie unter Ziele, Quelle und Ziel.

  • SRC_NETWORK_SCOPE: Gibt den Umfang des Quellnetzwerktraffics an, auf den die Ingress-Regel angewendet wird. Sie können dieses Argument auf einen der folgenden Werte festlegen:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Wenn Sie den Wert für dieses Argument löschen möchten, verwenden Sie einen leeren String. Ein leerer Wert steht für alle Netzwerkbereiche. Weitere Informationen finden Sie unter Netzwerkumfangstypen.

  • SRC_VPC_NETWORK: eine durch Kommas getrennte Liste von VPC-Netzwerken

    Sie können --src-networks nur verwenden, wenn --src-network-scope auf VPC_NETWORKS gesetzt ist.

  • DEST_NETWORK_SCOPE: Gibt den Umfang des Zielnetzwerkverkehrs an, auf den die ausgehende Regel angewendet wird. Sie können dieses Argument auf einen der folgenden Werte festlegen:

    • INTERNET
    • NON_INTERNET

    Wenn Sie den Wert für dieses Argument löschen möchten, verwenden Sie einen leeren String. Ein leerer Wert steht für alle Netzwerkbereiche. Weitere Informationen finden Sie unter Netzwerkumfangstypen.

  • IP_RANGES: eine durch Kommas getrennte Liste von CIDR-formatierten IP-Adressbereichen, entweder alle IPv4-Adressbereiche oder alle IPv6-Adressbereiche. Beispiele:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: eine durch Kommas getrennte Liste von Tags.

    Sie können keine sicheren Quell-Tags verwenden, wenn der Netzwerkbereich auf INTERNET festgelegt ist.

  • COUNTRY_CODE: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes

    • Geben Sie für die Richtung des eingehenden Traffics die Ländercodes im Flag --src-region-code an. Das Flag --src-region-code kann nicht für die Ausstiegsrichtung verwendet werden oder wenn --src-network-scope auf NON_INTERNET, VPC_NETWORK oder INTRA_VPC gesetzt ist.
    • Für die Richtung des ausgehenden Traffics werden die Ländercodes im Flag --dest-region-code angegeben. Sie können das Flag --dest-region-code nicht für die Einlassrichtung oder wenn --dest-network-scope auf NON_INTERNET gesetzt ist, verwenden.
  • LIST_NAMES: eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen

    • Geben Sie für die Richtung des eingehenden Traffics die Google Threat Intelligence-Quelllisten im Flag --src-threat-intelligence an. Das Flag --src-threat-intelligence kann nicht für die Ausstiegsrichtung verwendet werden oder wenn --src-network-scope auf NON_INTERNET, VPC_NETWORK oder INTRA_VPC gesetzt ist.
    • Geben Sie für die Richtung des ausgehenden Traffics die Ziellisten der Google Threat Intelligence im Flag --dest-threat-intelligence an. Sie können das Flag --dest-threat-intelligence nicht für die Einlassrichtung oder wenn --dest-network-scope auf NON_INTERNET gesetzt ist, verwenden.
  • ADDR_GRP_URL: eine eindeutige URL-ID für die Adressgruppe

    • Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Flag --src-address-groups an. Sie können das Flag --src-address-groups nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Flag --dest-address-groups an. Sie können das Flag --dest-address-groups nicht für die Richtung des eingehenden Traffics verwenden.
  • DOMAIN_NAME: eine durch Kommas getrennte Liste von Domainnamen in dem Format, das unter Domainnamenformat beschrieben wird

    • Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Flag --src-fqdns an. Sie können das Flag --src-fqdns nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Flag --dest-fqdns an. Sie können das Flag --dest-fqdns nicht für die Richtung des eingehenden Traffics verwenden.
  • PROTOCOL_PORT: eine durch Kommas getrennte Liste von Protokollnamen oder -nummern (tcp,17), Protokollen und Zielports (tcp:80) oder Protokollen und Zielportbereichen (tcp:5000-6000)

    Sie können keinen Port oder Portbereich ohne Protokoll angeben. Für ICMP können Sie keinen Port oder Portbereich angeben. Beispiel: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Weitere Informationen finden Sie unter Protokolle und Ports.

  • --enable-logging und --no-enable-logging: aktiviert bzw. deaktiviert das Logging von Firewallregeln für die betreffende Regel

  • --disabled: gibt an, dass die vorhandene Firewallregel bei der Verarbeitung von Verbindungen nicht berücksichtigt wird. Durch das Weglassen dieses Flags wird die Regel aktiviert oder Sie können --no-disabled angeben.

Regel aktualisieren

Feldbeschreibungen finden Sie unter Firewallregeln erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die gewünschten Felder.

  7. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ersetzen Sie dabei Folgendes:

  • PRIORITY: Priorität der Regel, die Sie ansehen möchten. Da jede Regel eine eindeutige Priorität haben muss, identifiziert diese Einstellung eine Regel eindeutig
  • POLICY_NAME: Name der Richtlinie, die die Regel enthält

Regel aus einer Richtlinie löschen

Durch das Löschen einer Regel aus einer Richtlinie wird die Regel aus allen VMs entfernt, die die Regel übernehmen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ersetzen Sie dabei Folgendes:

  • PRIORITY: Priorität der Regel, die Sie aus der Richtlinie löschen möchten
  • POLICY_NAME: Richtlinie, die die Regel enthält

Regeln von einer Richtlinie in eine andere kopieren

Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, aus der Sie die Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter > Netzwerk-Richtlinie mit Ressourcen verknüpfen.

  7. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Ersetzen Sie dabei Folgendes:

  • POLICY_NAME: Zielrichtlinie, für die Sie die Regeln durch die geklonten Regeln ersetzen möchten.
  • SOURCE_POLICY: URL der Ressource für die Quellrichtlinie, von der Sie die Regeln klonen möchten.

Für ein Netzwerk geltende Firewallregeln abrufen

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und die globale Netzwerk-Firewallrichtlinie ansehen, die auf eine bestimmte VPC-Netzwerk angewendet werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.

  3. Klicken Sie auf Firewallrichtlinien.

  4. Erweitern Sie jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ersetzen Sie dabei Folgendes:

  • NETWORK_NAME: Netzwerk, für die Sie die gültigen Regeln anzeigen möchten.

Auf der Seite Firewall können Sie auch die effektiven Firewallregeln für ein Netzwerk aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

  3. Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Für eine VM-Schnittstelle geltende Firewallregeln abrufen

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und die Regeln für globale Netzwerk-Firewallrichtlinien aufrufen, die auf eine bestimmte Compute Engine-VM-Schnittstelle angewendet werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt mit der VM aus.

  3. Klicken Sie auf die VM.

  4. Klicken Sie unter Netzwerkschnittstellen auf die Schnittstelle.

  5. Die effektiven Firewallregeln finden Sie unter Firewall- und Routendetails.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ersetzen Sie dabei Folgendes:

  • INSTANCE_NAME: die VM, für die Sie die gültigen Regeln ansehen möchten; wenn keine Schnittstelle angegeben wurde, gibt der Befehl Regeln für die primäre Schnittstelle (nic0) zurück.
  • INTERFACE: die VM-Schnittstelle, für die Sie die gültigen Regeln anzeigen möchten; der Standardwert ist nic0.
  • ZONE: die Zone der VM; diese Zeile ist optional, wenn die gewünschte Zone bereits als Standard eingestellt ist.