Utilizzare criteri e regole firewall di rete regionali

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica dei criteri firewall di rete regionali.

Attività relative ai criteri firewall

Crea una policy firewall di rete regionale

Puoi creare un criterio per qualsiasi rete VPC all'interno del tuo progetto. Dopo aver creato un criterio, puoi associarlo a qualsiasi rete VPC all'interno del progetto. Una volta associate, le regole del criterio diventano attive per le VM nella rete associata.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore di progetti, seleziona il progetto all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Assegna un nome al criterio.

  5. In Ambito di deployment, seleziona Regionale. Seleziona la regione in cui vuoi creare questo criterio di firewall.

  6. Se vuoi creare regole per le norme, fai clic su Continua e poi su Aggiungi regola.

    Per maggiori dettagli, vedi Creare regole firewall.

  7. Se vuoi associare il criterio a una rete, fai clic su Continua e poi su Associa il criterio alle reti VPC.

    Per maggiori dettagli, vedi Associare un criterio a una rete VPC.

  8. Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Sostituisci quanto segue:

  • NETWORK_FIREWALL_POLICY_NAME: un nome per il criterio.
  • DESCRIPTION: una descrizione delle norme.
  • REGION_NAME: una regione da applicare al criterio.

Associare un criterio alla rete

Associa un criterio a una rete per attivare le regole del criterio per tutte le VM all'interno della rete.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazioni.

  6. Seleziona le reti all'interno del progetto.

  7. Fai clic su Associa.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME \
    [ --replace-association-on-target true ]

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema del criterio
  • NETWORK_NAME: il nome della tua rete
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione. Se non specificato, il nome viene impostato su network-NETWORK_NAME.
  • REGION_NAME: una regione a cui applicare il criterio

Descrivere un criterio firewall di rete a livello di regione

Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Inoltre, puoi vedere molti attributi presenti in tutte le regole del criterio. Questi attributi vengono conteggiati ai fini di un limite per norma.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio firewall di rete a livello di regione.

  3. Fai clic sul criterio.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Aggiornare la descrizione di un criterio firewall di rete a livello di regione

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio firewall di rete a livello di regione.

  3. Fai clic sul criterio.

  4. Fai clic su Modifica.

  5. Modifica la descrizione.

  6. Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Elenca i criteri firewall di rete regionali

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

    La sezione Criteri firewall di rete mostra i criteri disponibili nel tuo progetto.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Eliminare un criterio firewall di rete a livello di regione

Devi eliminare tutte le associazioni in un criterio firewall di rete prima di poterlo eliminare.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio che vuoi eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le reti associate a un criterio firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --region=REGION_NAME
    
  2. Eliminare singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo compute.SecurityAdmin nella rete VPC associata.

    gcloud compute network-firewall-policies associations delete \
        --network-firewall-policy POLICY_NAME \
        --firewall-policy-region=REGION_NAME
    
  3. Elimina il criterio:

    gcloud compute network-firewall-policies delete POLICY_NAME \
        --region=REGION_NAME
    

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi sostituire un criterio firewall con un altro, non è necessario eliminare prima l'associazione esistente. In questo modo, verrebbe lasciato un periodo di tempo in cui nessuna delle due norme viene applicata. Sostituisci invece il criterio esistente quando associ un nuovo criterio.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto o la cartella che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazioni.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Attività relative alle regole del criterio firewall

Crea regole firewall di rete

Le regole della policy firewall di rete devono essere create in una policy firewall di rete regionale. Le regole non sono attive finché non associ il criterio contenente a una rete VPC.

Ogni regola del criterio firewall di rete può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul nome delle norme regionali.

  4. In Regole firewall, fai clic su Crea.

  5. Compila i campi della regola:

    1. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi consiste nel assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad es. 100, 200, 300).
    2. Imposta la raccolta Log su On o Off.
    3. Per Direzione del traffico, scegli in entrata o in uscita.
    4. Per Azione in caso di corrispondenza, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti), negate (Nega) o se la valutazione della connessione viene passata alla regola firewall di livello inferiore successiva nella gerarchia (Vai alla successiva).
    5. Specifica i target della regola.
      • Se vuoi che la regola venga applicata a tutte le istanze della rete, scegli Tutte le istanze nella rete.
      • Se vuoi che la regola venga applicata a istanze selezionate in base ai tag, scegli Tag sicuri. Fai clic su SELEZIONA AMBITO e seleziona l'organizzazione o il progetto in cui vuoi creare coppie chiave-valore del tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
      • Se vuoi che la regola venga applicata a istanze selezionate in base a un account di servizio associato, scegli Account di servizio, indica se l'account di servizio si trova nel progetto corrente o in un altro in Ambito account di servizio e scegli o digita il nome dell'account di servizio nel campo Account di servizio di destinazione.
    6. Per una regola in entrata, specifica il Filtro di origine:
      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6.
      • Per limitare l'origine in base ai tag, fai clic su SELEZIONA AMBITO nella sezione Tag. Seleziona l'organizzazione o il progetto in cui vuoi creare i tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
    7. Per una regola in uscita, specifica il filtro Destinazione:
      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi destinazione IPv6.
    8. (Facoltativo) Se stai creando una regola In entrata, specifica i FQDN di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti nome di dominio, consulta Oggetti nome di dominio.
    9. (Facoltativo) Se stai creando una regola di importazione, seleziona le località geografiche di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta Oggetti di geolocalizzazione.
    10. (Facoltativo) Se stai creando una regola Ingresso, seleziona i Gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola In uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.
    11. (Facoltativo) Se stai creando una regola Ingresso, seleziona gli elenchi di Google Cloud Threat Intelligence di origine a cui si applica questa regola. Se stai creando una regola In uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per ulteriori informazioni su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.
    12. (Facoltativo) Per una regola Ingresso, specifica i filtri Destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per ulteriori informazioni, consulta Destinazione per le regole di ingresso.
    13. (Facoltativo) Per una regola In uscita, specifica il filtro Origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6. Per ulteriori informazioni, vedi Origine per le regole di uscita.
    14. In Protocolli e porte, specifica che la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica.

    15. Fai clic su Crea.

  6. Fai clic su Aggiungi regola per aggiungere un'altra regola. Fai clic su Continua > Associa il criterio alle reti VPC per associare il criterio a una rete oppure fai clic su Crea per creare il criterio.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerico della regola

    Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad es. 100, 200, 300).

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni che corrispondono alla regola
    • goto_next: passa la valutazione della connessione al livello successivo della gerarchia, una cartella o la rete
  • POLICY_NAME: il nome del criterio del firewall di rete

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocolli (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli e intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Per ulteriori informazioni, consulta Protocolli e porte.

  • TARGET_SECURE_TAG: un elenco separato da virgole di tag sicuri per definire i target

  • SERVICE_ACCOUNT: un elenco separato da virgole di account servizio per definire i target

  • DIRECTION: indica se la regola è una regola ingress o egress. Il valore predefinito è ingress

    • Includi --src-ip-ranges per specificare gli intervalli IP per l'origine del traffico
    • Includi --dest-ip-ranges per specificare gli intervalli IP per la destinazione del traffico

    Per ulteriori informazioni, consulta target, origine e destinazione.

  • SRC_NETWORK_SCOPE: indica l'ambito del traffico di rete di origine a cui viene applicata la regola di ingresso. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti gli ambiti di rete. Per saperne di più, vedi Informazioni sui tipi di ambito della rete.

  • SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC

    Puoi utilizzare --src-networks solo quando --src-network-scope è impostato su VPC_NETWORKS.

  • DEST_NETWORK_SCOPE: indica l'ambito del traffico di rete di destinazione a cui viene applicata la regola in uscita. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti gli ambiti di rete. Per saperne di più, vedi Informazioni sui tipi di ambito della rete.

  • IP_RANGES: un elenco separato da virgole di intervalli IP in formato CIDR, tutti gli intervalli IPv4 o tutti gli intervalli IPv6. Esempi:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: un elenco separato da virgole di tag.

    Non puoi utilizzare i tag sicuri di origine se l'ambito della rete è impostato su INTERNET.

  • COUNTRY_CODE: un elenco separato da virgole di codici paese di due lettere

    • Per la direzione di ingresso, specifica i codici paese di origine nel --src-region-code flag. Non puoi utilizzare il flag --src-region-code per la direzione di uscita o quando --src-network-scope è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, specifica i codici paese di destinazione nel --dest-region-code flag. Non puoi utilizzare il flag --dest-region-code per la direzione di ingresso o quando --dest-network-scope è impostato su NON_INTERNET.
  • LIST_NAMES: nomi degli elenchi di Google Threat Intelligence separati da virgole

    • Per la direzione di ingresso, specifica gli elenchi di Google Threat Intelligence di origine nel flag --src-threat-intelligence. Non puoi utilizzare il --src-threat-intelligence per la direzione di uscita o quando --src-network-scope è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione in uscita, specifica gli elenchi di destinazione di Google Threat Intelligence nel flag --dest-threat-intelligence. Non puoi utilizzare il flag --dest-threat-intelligence per la direzione di ingresso o quando --dest-network-scope è impostato su NON_INTERNET.
  • ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi

    • Per la direzione di ingresso, specifica i gruppi di indirizzi di origine nel --src-address-groups flag; non puoi utilizzare il --src-address-groups flag per la direzione di uscita
    • Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-address-groups. Non puoi utilizzare il flag --dest-address-groups per la direzione in entrata.
  • DOMAIN_NAME: un elenco di nomi di dominio separati da virgola nel formato descritto in Formato del nome di dominio

    • Per la direzione di ingresso, specifica i nomi di dominio di origine nel flag --src-fqdns. Non puoi utilizzare il flag --src-fqdns per la direzione di uscita.
    • Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-fqdns. Non puoi utilizzare il flag --dest-fqdns per la direzione in entrata.
  • --enable-logging e --no-enable-logging: attiva o disattiva il logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, non deve essere considerata durante l'elaborazione delle connessioni. Se ometti questo flag, la regola viene attivata oppure puoi specificare --no-disabled

  • REGION_NAME: una regione a cui applicare il criterio

Aggiornare una regola

Per le descrizioni dei campi, consulta Creare regole firewall.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi che vuoi modificare.

  7. Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Descrivere una regola

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla priorità della regola.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • POLICY_NAME: il nome del criterio che contiene la regola
  • REGION_NAME: una regione a cui applicare il criterio.

Eliminare una regola da un criterio

L'eliminazione di una regola da un criterio comporta la rimozione della regola da tutte le VM che la ereditano.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi eliminare dal criterio
  • POLICY_NAME: il criterio contenente la regola
  • REGION_NAME: una regione a cui applicare il criterio

Clonare le regole da un criterio all'altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con quelle del criterio di origine.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Policy del firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Specifica il nome di una norma di destinazione.

  6. Fai clic su Continua > Associa il criterio di rete alle risorse se vuoi associare immediatamente il nuovo criterio.

  7. Fai clic su Clona.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Sostituisci quanto segue:

  • POLICY_NAME: il criterio per ricevere le regole copiate
  • SOURCE_POLICY: il criterio da cui copiare le regole; deve essere l'URL della risorsa
  • REGION_NAME: una regione a cui applicare il criterio

Ottenere criteri firewall di rete regionali efficaci

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e il criterio firewall di rete applicato a una regione specificata.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Sostituisci quanto segue:

  • REGION_NAME: la regione per la quale vuoi visualizzare le regole effettive.
  • NETWORK_NAME: la rete per cui vuoi visualizzare le regole effettive.