In questa pagina si presuppone che tu abbia familiarità con i concetti descritti nella panoramica dei criteri firewall di rete regionali.
Attività dei criteri firewall
Crea un criterio firewall di rete a livello di regione
Puoi creare un criterio per qualsiasi rete VPC all'interno del tuo progetto. Dopo aver creato un criterio, puoi associarlo a qualsiasi rete VPC all'interno del tuo progetto. Dopo l'associazione, le regole del criterio diventano attive per le VM nella rete associata.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto all'interno dell'organizzazione.
Fai clic su Crea criterio firewall.
Assegna un nome al criterio.
Per Ambito di deployment, seleziona A livello di regione. Seleziona la regione in cui vuoi creare questo criterio firewall.
Se vuoi creare regole per il criterio, fai clic su Continua e poi su Aggiungi regola.
Per maggiori dettagli, consulta l'articolo sulla creazione di regole firewall.
Se vuoi associare il criterio a una rete, fai clic su Continua, quindi su Associa il criterio a reti VPC.
Per maggiori dettagli, vedi Associare un criterio a una rete VPC.
Fai clic su Crea.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME --description DESCRIPTION \ --region=REGION_NAME
Sostituisci quanto segue:
NETWORK_FIREWALL_POLICY_NAME
: un nome per il criterio.DESCRIPTION
: una descrizione del criterio.REGION_NAME
: una regione da applicare al criterio.
Associa un criterio alla rete
Associa un criterio a una rete per attivare le regole dei criteri per qualsiasi VM all'interno della rete.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla scheda Associazioni.
Fai clic su Aggiungi associazioni.
Seleziona le reti all'interno del progetto.
Fai clic su Associa.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ --name ASSOCIATION_NAME \ --firewall-policy-region=REGION_NAME [ --replace-association-on-target true ]
Sostituisci quanto segue:
POLICY_NAME
: il nome breve o il nome generato dal sistema del criterioNETWORK_NAME
: il nome della tua reteASSOCIATION_NAME
: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su "organizzazioneORG_ID
" o "cartellaFOLDER_ID
"REGION_NAME
: una regione a cui applicare il criterio
Descrivere un criterio firewall di rete a livello di regione
Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Inoltre, puoi vedere molti attributi che sono presenti in tutte le regole del criterio. Questi attributi vengono conteggiati ai fini di un limite per criterio.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio firewall di rete a livello di regione.
Fai clic sulla norma.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Aggiorna la descrizione di un criterio firewall di rete a livello di regione
L'unico campo del criterio che può essere aggiornato è il campo Descrizione.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio firewall di rete a livello di regione.
Fai clic sulla norma.
Fai clic su Modifica.
Modifica la descrizione.
Fai clic su Salva.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Elenca criteri firewall di rete a livello di regione
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
La sezione Criteri firewall di rete mostra i criteri disponibili nel tuo progetto.
gcloud
gcloud compute network-firewall-policies list --regions=LIST_OF_REGIONS
Elimina un criterio firewall di rete a livello di regione
Prima di poter eliminare tutte le associazioni in un criterio firewall di rete, devi eliminare il criterio.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sul criterio da eliminare.
Fai clic sulla scheda Associazioni.
Seleziona tutte le associazioni.
Fai clic su Rimuovi associazioni.
Dopo aver rimosso tutte le associazioni, fai clic su Elimina.
gcloud
Elenca tutte le reti associate a un criterio firewall:
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Eliminare singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo
compute.SecurityAdmin
nella rete VPC associata.gcloud compute network-firewall-policies associations delete \ --network-firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Elimina il criterio:
gcloud compute network-firewall-policies delete POLICY_NAME \ --region=REGION_NAME
Eliminare un'associazione
Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.
Tuttavia, se intendi scambiare un criterio firewall con un altro, non è necessario eliminare prima l'associazione esistente. Questo lascerebbe un periodo di tempo in cui nessuno dei criteri viene applicato. Sostituisci invece la norma esistente quando associ una nuova norma.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla scheda Associazioni.
Seleziona l'associazione che vuoi eliminare.
Fai clic su Rimuovi associazioni.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --firewall-policy-region REGION_NAME
Attività per le regole dei criteri firewall
Crea regole firewall di rete
Le regole del criterio firewall di rete devono essere create in un criterio firewall di rete a livello di regione. Le regole non sono attive finché non associ il criterio contenitore a una rete VPC.
Ogni regola del criterio firewall di rete può includere intervalli IPv4 o IPv6, ma non entrambi.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sul nome del criterio regionale.
In corrispondenza di Regole firewall, fai clic su Crea.
Compila i campi della regola:
- Priorità: l'ordine di valutazione numerica della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove
0
è la priorità più alta. Le priorità devono essere univoche per ogni regola. È buona norma assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio100
,200
,300
). - Imposta la raccolta Log su On o Off.
- Come Direzione del traffico, scegli in entrata o in uscita.
- Per Azione in caso di corrispondenza, specifica se le connessioni corrispondenti alla regola sono consentite (Allow), negate (Rifiuta) o se la valutazione della connessione viene passata alla regola firewall inferiore successiva nella gerarchia (Vai alla successiva).
- Specifica le Destinazioni della regola.
- Se vuoi che la regola venga applicata a tutte le istanze nella rete, scegli Tutte le istanze nella rete.
- Se vuoi che la regola venga applicata a determinate istanze in base a Tag, scegli Tag protetti. Fai clic su SELEZIONA AMBIENTE e seleziona l'organizzazione o il progetto in cui vuoi creare coppie chiave-valore di tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
- Se vuoi che la regola venga applicata a determinate istanze in base a un account di servizio associato, scegli Account di servizio, indica se l'account di servizio si trova nel progetto attuale o in un altro in Ambito account di servizio e scegli o digita il nome dell'account di servizio nel campo Account di servizio di destinazione.
- Per una regola In entrata, specifica il filtro Origine:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
0.0.0.0/0
per qualsiasi origine IPv4. - Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
::/0
per qualsiasi origine IPv6. - Per limitare l'origine in base ai tag, fai clic su SELEZIONA AMBITO nella sezione Tag. Seleziona l'organizzazione o il progetto in cui desideri creare i tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
- Per una regola In uscita, specifica il filtro di destinazione:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
0.0.0.0/0
per qualsiasi destinazione IPv4. - Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
::/0
per qualsiasi destinazione IPv6.
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
- (Facoltativo) Se crei una regola Ingress, specifica i FQDN di origine a cui si applica la regola. Se stai creando una regola In uscita, seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti nome di dominio, vedi Oggetti nome di dominio.
- (Facoltativo) Se vuoi creare una regola in entrata, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola In uscita, seleziona la destinazione Geolocalizzazioni a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta Oggetti di geolocalizzazione.
- (Facoltativo) Se crei una regola in entrata, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se crei una regola In uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica la regola. Per ulteriori informazioni sui gruppi di indirizzi, vedi Gruppi di indirizzi per i criteri firewall.
- (Facoltativo) Se vuoi creare una regola Ingress, seleziona gli elenchi di origine Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola In uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per maggiori informazioni su Threat Intelligence, consulta Threat Intelligence per le regole dei criteri firewall.
(Facoltativo) Per una regola Ingress, specifica i filtri per Destinazione:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
0.0.0.0/0
per qualsiasi destinazione IPv4. - Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza
::/0
per qualsiasi destinazione IPv6. Per saperne di più, consulta Destinazione per le regole in entrata.
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
(Facoltativo) Per una regola In uscita, specifica il filtro Origine:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
0.0.0.0/0
per qualsiasi origine IPv4. - Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
::/0
per qualsiasi origine IPv6. Per maggiori informazioni, consulta Origine delle regole di traffico in uscita.
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza
Per Protocolli e porte, specifica che la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica.
Fai clic su Crea.
- Priorità: l'ordine di valutazione numerica della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove
Fai clic su Aggiungi regola per aggiungere un'altra regola. Fai clic su Continua > Associa criterio a reti VPC per associare il criterio a una rete oppure fai clic su Crea per creare il criterio.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--description DESCRIPTION ]\ [--layer4-configs PROTOCOL_PORT] \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION]\ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--enable-logging | --no-enable-logging]\ [--disabled | --no-disabled]\ --firewall-policy-region=REGION_NAME
Sostituisci quanto segue:
PRIORITY
: l'ordine di valutazione numerica della regolaLe regole vengono valutate dalla priorità più alta a quella più bassa, dove
0
è la priorità più alta. Le priorità devono essere univoche per ogni regola. È buona prassi assegnare alle regole dei numeri di priorità che consentano un successivo inserimento (ad esempio100
,200
,300
).ACTION
: una delle seguenti azioni:allow
: consente le connessioni che corrispondono alla regoladeny
: nega le connessioni che corrispondono alla regolagoto_next
: passa la valutazione della connessione al livello successivo della gerarchia, una cartella o una rete
POLICY_NAME
: il nome del criterio firewall di retePROTOCOL_PORT
: un elenco separato da virgole di nomi o numeri di protocolli (tcp,17
), di protocolli e porte di destinazione (tcp:80
) o di protocolli e intervalli di porte di destinazione (tcp:5000-6000
)Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Per ulteriori informazioni, consulta la sezione su protocolli e porte.
TARGET_SECURE_TAG
: un elenco separato da virgole di tag sicuri per definire i targetSERVICE_ACCOUNT
: un elenco separato da virgole di account di servizio per definire i targetDIRECTION
: indica se la regola è una regolaingress
oegress
; l'impostazione predefinita èingress
- Includi
--src-ip-ranges
per specificare gli intervalli IP per la sorgente del traffico - Includi
--dest-ip-ranges
per specificare gli intervalli IP per la destinazione del traffico
Per ulteriori informazioni, consulta target, fonte e destinazione.
- Includi
IP_RANGES
: un elenco separato da virgole di intervalli IP in formato CIDR, che comprende tutti gli intervalli IPv4 o tutti gli intervalli IPv6, ad esempio--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: un elenco di tag separati da virgoleCOUNTRY_CODE
: un elenco separato da virgole di codici paese a due lettere- Per la direzione in entrata, specifica i codici paese di origine nel parametro
--src-region-code
. Non puoi utilizzare il parametro--src-region-code
per la direzione in uscita - Per la direzione in uscita, specifica i codici paese di destinazione nel parametro
--dest-region-code
. Non puoi utilizzare il parametro--dest-region-code
per la direzione in entrata
- Per la direzione in entrata, specifica i codici paese di origine nel parametro
LIST_NAMES
: nomi separati da virgole di elenchi di Threat Intelligence- Per la direzione in entrata, specifica gli elenchi di Threat Intelligence di origine nel parametro
--src-threat-intelligence
; non puoi utilizzare il parametro--src-threat-intelligence
per la direzione in uscita - Per la direzione in uscita, specifica gli elenchi di Threat Intelligence di destinazione nel parametro
--dest-threat-intelligence
; non puoi utilizzare il parametro--dest-threat-intelligence
per la direzione in entrata
- Per la direzione in entrata, specifica gli elenchi di Threat Intelligence di origine nel parametro
ADDR_GRP_URL
: un identificatore URL univoco per il gruppo di indirizzi- Per la direzione in entrata, specifica i gruppi di indirizzi di origine nel parametro
--src-address-groups
. Non puoi utilizzare il parametro--src-address-groups
per la direzione in uscita - Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel parametro
--dest-address-groups
. Non puoi utilizzare il parametro--dest-address-groups
per la direzione in entrata
- Per la direzione in entrata, specifica i gruppi di indirizzi di origine nel parametro
DOMAIN_NAME
: un elenco di nomi di dominio separati da virgole nel formato descritto in Formato del nome di dominio- Per la direzione in entrata, specifica i nomi di dominio di origine nel parametro
--src-fqdns
. Non puoi utilizzare il parametro--src-fqdns
per la direzione in uscita - Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel parametro
--dest-fqdns
. Non puoi utilizzare il parametro--dest-fqdns
per la direzione in entrata
- Per la direzione in entrata, specifica i nomi di dominio di origine nel parametro
--enable-logging
e--no-enable-logging
: abilita o disabilita il logging delle regole firewall per la regola specificata--disabled
: indica che la regola firewall, sebbene esista, non deve essere considerata durante l'elaborazione delle connessioni; se il flag viene omesso il flag viene abilitata oppure puoi specificare--no-disabled
REGION_NAME
: una regione a cui applicare il criterio
Aggiorna una regola
Per le descrizioni dei campi, consulta Creazione di regole firewall.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla priorità della regola.
Fai clic su Modifica.
Modifica i campi da modificare.
Fai clic su Salva.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME \ [...fields you want to modify...]
Descrivi una regola
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla priorità della regola.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Sostituisci quanto segue:
PRIORITY
: la priorità della regola che vuoi visualizzare; dato che ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regolaPOLICY_NAME
: il nome del criterio che contiene la regolaREGION_NAME
: una regione a cui applicare il criterio.
Elimina una regola da un criterio
L'eliminazione di una regola da un criterio la rimuove da tutte le VM che la ereditano.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sulla norma.
Seleziona la regola da eliminare.
Fai clic su Elimina.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Sostituisci quanto segue:
PRIORITY
: la priorità della regola che vuoi eliminare dal criterioPOLICY_NAME
: il criterio contenente la regolaREGION_NAME
: una regione a cui applicare il criterio
Clona le regole da un criterio all'altro
Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole nel criterio di origine.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.
Fai clic sul criterio da cui vuoi copiare le regole.
Fai clic su Clona nella parte superiore dello schermo.
Specifica il nome di un criterio di destinazione.
Fai clic su Continua > Associa il criterio di rete alle risorse se vuoi associare immediatamente il nuovo criterio.
Fai clic su Clona.
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --region=REGION_NAME
Sostituisci quanto segue:
POLICY_NAME
: il criterio per ricevere le regole copiateSOURCE_POLICY
: il criterio da cui copiare le regole; deve essere l'URL della risorsaREGION_NAME
: una regione a cui applicare il criterio
Ottieni criteri firewall di rete a livello di regione effettivi
Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e il criterio firewall di rete applicato a una regione specificata.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \ --region=REGION_NAME \ --network=NETWORK_NAME
Sostituisci quanto segue:
REGION_NAME
: la regione per la quale vuoi visualizzare le regole effettive.NETWORK_NAME
: la rete per la quale vuoi visualizzare le regole effettive.