Utilizzare criteri e regole firewall di rete globali

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica delle policy firewall di rete globali.

Attività relative alle policy firewall

Crea una policy del firewall di rete globale

Puoi creare un criterio per qualsiasi rete Virtual Private Cloud (VPC) all'interno del tuo progetto. Dopo aver creato una policy, puoi associarla a qualsiasi rete VPC all'interno del tuo progetto. Una volta associata, le regole della policy diventano attive per le istanze di macchine virtuali (VM) nella rete associata.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nell'elenco del selettore di progetti, seleziona il tuo progetto all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Nel campo Nome, inserisci un nome per la policy.

  5. In Ambito di deployment, seleziona Globale.

  6. Per creare regole per la tua policy, fai clic su Continua e poi su Aggiungi regola.

    Per saperne di più, consulta Creare regole firewall di rete globali.

  7. Se vuoi associare la policy a una rete, fai clic su Continua, poi su Associa policy a reti VPC.

    Per saperne di più, consulta Associare una policy alla rete.

  8. Fai clic su Crea.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Sostituisci quanto segue:

  • NETWORK_FIREWALL_POLICY_NAME: un nome per la policy
  • DESCRIPTION: una descrizione della policy

Associa un criterio alla rete

Associa un criterio a una rete per attivare le regole del criterio per tutte le VM all'interno di quella rete.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazioni.

  6. Seleziona le reti all'interno del progetto.

  7. Fai clic su Associa.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy.
  • NETWORK_NAME: il nome della tua rete.
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su network-NETWORK_NAME.

Descrivi una policy firewall di rete globale

Puoi visualizzare tutti i dettagli di un criterio, comprese tutte le relative regole firewall. Inoltre, puoi visualizzare molti attributi in tutte le regole del criterio. Questi attributi vengono conteggiati ai fini del limite per ogni limite delle norme.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio firewall di rete globale.

  3. Fai clic sulla policy.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Aggiorna la descrizione di una policy firewall di rete globale

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio firewall di rete globale.

  3. Fai clic sulla policy.

  4. Fai clic su Modifica.

  5. Nel campo Descrizione, modifica il testo.

  6. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Elenca i criteri firewall di rete globali

Puoi visualizzare un elenco delle policy disponibili nel tuo progetto.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

    La sezione Criteri firewall di rete mostra i criteri disponibili nel tuo progetto.

gcloud 

gcloud compute network-firewall-policies list --global

Elimina una policy del firewall di rete globale

Prima di poter eliminare una policy firewall di rete globale, devi eliminare tutte le associazioni.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma che vuoi eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le reti associate a un criterio firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

  2. Elimina singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo compute.SecurityAdmin nel criterio firewall di rete globale e del ruolo compute.networkAdmin nella rete VPC associata.

    gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

  3. Elimina la norma:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi sostituire un criterio firewall con un altro, non devi prima eliminare l'associazione esistente. L'eliminazione di questa associazione lascerebbe un periodo di tempo in cui non viene applicato alcun criterio. Sostituisci invece la policy esistente quando associ una nuova policy.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazioni.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Attività delle regole dei criteri firewall

Crea regole firewall di rete globali

Le regole della policy firewall di rete globale devono essere create in una policy firewall di rete globale. Le regole non sono attive finché non associ la policy che le contiene a una rete VPC.

Ogni regola del policy firewall di rete globale può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul nome della norma globale.

  4. Nella scheda Regole firewall, fai clic su Crea.

  5. Compila i campi della regola:

    1. Nel campo Priorità, imposta il numero d'ordine per la regola, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona pratica è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
    2. Per Direzione del traffico, scegli in entrata o in uscita.
    3. Per Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
      1. Consenti: consente le connessioni che corrispondono alla regola.
      2. Nega: nega le connessioni che corrispondono alla regola.
      3. Vai al successivo: passa la valutazione della connessione alla regola firewall successiva di livello inferiore nella gerarchia.
      4. Procedi all'ispezione L7: invia i pacchetti all'endpoint firewall configurato per l'ispezione e la prevenzione di livello 7.
        • Nell'elenco Gruppo di profili di sicurezza, seleziona il nome di un gruppo di profili di sicurezza.
        • Per abilitare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS.
    4. Imposta la raccolta Log su On o Off.
    5. Specifica il target della regola. Scegli una delle seguenti opzioni per il campo Tipo di target:
      • Se vuoi che la regola venga applicata a tutte le istanze nella rete, scegli Tutte le istanze nella rete.
      • Se vuoi che la regola venga applicata a istanze selezionate in base ai tag, scegli Tag sicuri. Fai clic su SELEZIONA AMBITO e seleziona l'organizzazione o il progetto in cui vuoi creare i tag. Inserisci le coppie chiave-valore a cui applicare la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
      • Se vuoi che la regola venga applicata alle istanze selezionate in base al account di servizio associato, scegli prima Service account, poi, in Ambito service account, indica se il account di servizio si trova nel progetto corrente o in un altro e, nel campo Service account di destinazione, scegli o digita il nome del account di servizio.

    6. Per una regola in entrata, specifica il filtro di origine:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6.
      • Per limitare l'origine in base ai tag, nella sezione Tag, fai clic su SELEZIONA AMBITO. Seleziona l'organizzazione o il progetto per cui vuoi creare tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.

    7. Per una regola in uscita, specifica il filtro di destinazione:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi destinazione IPv6.

    8. (Facoltativo) Se stai creando una regola in entrata, specifica i nomi di dominio completi (FQDN) di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona i FQDN di destinazione a cui si applica questa regola. Per saperne di più sugli oggetti basati sul nome di dominio, consulta Oggetti FQDN.

    9. (Facoltativo) Se stai creando una regola di ingresso, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta la sezione Oggetti di geolocalizzazione.

    10. (Facoltativo) Se stai creando una regola in entrata, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le policy firewall.

    11. (Facoltativo) Se stai creando una regola di ingresso, seleziona gli elenchi di origini Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola di uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

    12. (Facoltativo) Per una regola in entrata, specifica i filtri di destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per saperne di più, consulta Destinazioni per le regole di ingresso.

    13. (Facoltativo) Per una regola di uscita, specifica il filtro di origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6 e poi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6. Per saperne di più, consulta Origini per le regole di uscita.

    14. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica la regola.

    15. Fai clic su Crea.

  6. Fai clic su Aggiungi regola per aggiungere un'altra regola.

  7. Per associare la policy a una rete, fai clic su Continua > Associa policy a reti VPC, oppure fai clic su Crea per creare la policy.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerico della regola

    Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni che corrispondono alla regola
    • apply_security_profile_group: invia i pacchetti in modo trasparente all'endpoint firewall configurato per l'ispezione del livello 7.
    • goto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete

  • POLICY_NAME: il nome della policy di firewall di rete globale

  • SECURITY_PROFILE_GROUP: il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione del livello 7; specifica questo argomento solo quando è selezionata l'azione apply_security_profile_group

  • --tls-inspect: ispeziona il traffico TLS utilizzando la policy di ispezione TLS quando l'azione apply_security_profile_group è selezionata nella regola; per impostazione predefinita, l'ispezione TLS è disattivata oppure puoi specificare --no-tls-inspect

  • TARGET_SECURE_TAG: un elenco separato da virgole di tag protetti per definire i target

  • SERVICE_ACCOUNT: un elenco separato da virgole di service account per definire i target

  • DIRECTION: indica se la regola è una regola INGRESS o EGRESS; il valore predefinito è INGRESS

    • Includi --src-ip-ranges per specificare gli intervalli di indirizzi IP per l'origine del traffico.
    • Includi --dest-ip-ranges per specificare gli intervalli di indirizzi IP per la destinazione del traffico.

    Per saperne di più, consulta target, origine e destinazione.

  • SRC_NETWORK_TYPE: indica il tipo di traffico di rete di origine a cui viene applicata la regola di ingresso. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti i tipi di rete. Per saperne di più, consulta Tipi di rete.

  • SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC

    Puoi utilizzare --src-networks solo quando --src-network-type è impostato su VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica il tipo di traffico di rete di destinazione a cui viene applicata la regola di uscita. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti i tipi di rete. Per saperne di più, consulta Tipi di rete.

  • IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR, tutti gli intervalli di indirizzi IPv4 o tutti gli intervalli di indirizzi IPv6, ad esempio:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: un elenco separato da virgole di tag.

    Non puoi utilizzare i tag sicuri della sorgente se il tipo di rete è impostato su INTERNET.

  • COUNTRY_CODE: un elenco separato da virgole di codici paese di due lettere

    • Per la direzione di ingresso, specifica i codici paese nel flag --src-region-code. Non puoi utilizzare il flag --src-region-code per la direzione di uscita o quando --src-network-type è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, i codici paese sono specificati nel flag --dest-region-code; non puoi utilizzare il flag --dest-region-code per la direzione di ingresso

  • LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence

    • Per la direzione in entrata, specifica gli elenchi di Google Threat Intelligence di origine nel flag --src-threat-intelligence. Non puoi utilizzare il flag --src-threat-intelligence per la direzione di uscita o quando --src-network-type è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, specifica gli elenchi di Google Threat Intelligence di destinazione nel flag --dest-threat-intelligence; non puoi utilizzare il flag --dest-threat-intelligence per la direzione di ingresso.

  • ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi

    • Per la direzione in entrata, specifica i gruppi di indirizzi di origine nel flag --src-address-groups; non puoi utilizzare il flag --src-address-groups per la direzione in uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-address-groups; non puoi utilizzare il flag --dest-address-groups per la direzione di ingresso

  • DOMAIN_NAME: un elenco separato da virgole di nomi di dominio nel formato descritto in Formato del nome di dominio

    • Per la direzione in entrata, specifica i nomi dei domini di origine nel flag --src-fqdns; non puoi utilizzare il flag --src-fqdns per la direzione in uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-fqdns; non puoi utilizzare il flag --dest-fqdns per la direzione di ingresso

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli e intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Per saperne di più, consulta protocolli e porte.

  • --enable-logging e --no-enable-logging: attiva o disattiva il logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, non deve essere presa in considerazione durante l'elaborazione delle connessioni; l'omissione di questo flag attiva la regola oppure puoi specificare --no-disabled

Aggiornare una regola

Per le descrizioni dei campi, consulta Crea regole firewall di rete globali.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi che vuoi cambiare.

  7. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Descrivere una regola

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • POLICY_NAME: il nome della policy che contiene la regola

Eliminare una regola da una policy

L'eliminazione di una regola da una policy comporta la rimozione della regola da tutte le VM che la ereditano.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi eliminare dal criterio
  • POLICY_NAME: il criterio contenente la regola

Clonare le regole da un criterio a un altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole del criterio di origine.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Fornisci il nome di una norma di destinazione.

  6. Se vuoi associare immediatamente la nuova policy, fai clic su Continua > Associa policy di rete alle risorse.

  7. Fai clic su Clona.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Sostituisci quanto segue:

  • POLICY_NAME: la policy di destinazione su cui vuoi sostituire le regole con quelle clonate.
  • SOURCE_POLICY: l'URL della risorsa per la policy di origine da cui vuoi clonare le regole.

Recupera le regole firewall effettive per una rete

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e i criteri firewall di rete globali applicati a una rete VPC specificata.

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sulla rete per cui vuoi visualizzare le regole dei criteri firewall.

  3. Fai clic su Criteri firewall.

  4. Espandi ogni policy firewall per visualizzare le regole che si applicano a questa rete.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci quanto segue:

  • NETWORK_NAME: la rete per cui vuoi visualizzare le regole effettive.

Puoi anche visualizzare le regole firewall effettive per una rete dalla pagina Firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Le policy firewall sono elencate nella sezione Policy firewall ereditate da questo progetto.

  3. Fai clic su ogni criterio firewall per visualizzare le regole che si applicano a questa rete.

Recupera le regole firewall effettive per un'interfaccia VM

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali applicate a un'interfaccia VM Compute Engine specificata.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene la VM.

  3. Fai clic sulla VM.

  4. In Interfacce di rete, fai clic sull'interfaccia.

  5. Visualizza le regole firewall effettive in Dettagli firewall e route.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Sostituisci quanto segue:

  • INSTANCE_NAME: la VM per cui vuoi visualizzare le regole effettive; se non viene specificata alcuna interfaccia, il comando restituisce le regole per l'interfaccia principale (nic0).
  • INTERFACE: l'interfaccia VM per cui vuoi visualizzare le regole effettive; il valore predefinito è nic0.
  • ZONE: la zona della VM; questa riga è facoltativa se la zona scelta è già impostata come predefinita.