Utilizza criteri e regole firewall di rete a livello di regione

In questa pagina si presuppone che tu abbia familiarità con i concetti descritti in Panoramica dei criteri firewall di rete regionali.

Attività dei criteri firewall

Crea un criterio firewall di rete a livello di regione

Puoi creare un criterio per qualsiasi rete VPC all'interno del tuo progetto. Dopo creare un criterio, puoi associarlo a qualsiasi rete VPC all'interno del progetto. Dopo l'associazione, le regole del criterio diventano attive per le VM nella rete associata.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il tuo progetto. all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Assegna un nome al criterio.

  5. Per Ambito di deployment, seleziona A livello di regione. Seleziona la regione in cui vuoi creare questo criterio firewall.

  6. Se vuoi creare regole per le tue norme, fai clic su Continua, quindi fai clic su Aggiungi regola.

    Per maggiori dettagli, consulta l'articolo sulla creazione di regole firewall.

  7. Se vuoi associare il criterio a una rete, fai clic su Continua, quindi fai clic su Associa il criterio alle reti VPC.

    Per maggiori dettagli, consulta la sezione Associare un criterio a una rete VPC.

  8. Fai clic su Crea.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Sostituisci quanto segue:

  • NETWORK_FIREWALL_POLICY_NAME: un nome per il criterio.
  • DESCRIPTION: una descrizione del criterio.
  • REGION_NAME: una regione da applicare al criterio.

Associa un criterio alla rete

Associa un criterio a una rete per attivare le regole dei criteri per qualsiasi VM all'interno di quella rete.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene le tue norme.

  3. Fai clic sulla norma.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazioni.

  6. Seleziona le reti all'interno del progetto.

  7. Fai clic su Associa.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome del criterio generato dal sistema
  • NETWORK_NAME: il nome della tua rete
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione; if non specificato, il nome è impostato su "organizzazione ORG_ID" o "cartella FOLDER_ID"
  • REGION_NAME: una regione a cui applicare il criterio

Descrivere un criterio firewall di rete a livello di regione

Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Nel Inoltre, puoi vedere molti attributi che sono presenti in tutte le regole nel . Questi attributi vengono conteggiati ai fini di un limite per criterio.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio firewall di rete a livello di regione.

  3. Fai clic sulla norma.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Aggiorna la descrizione di un criterio firewall di rete a livello di regione

L'unico campo del criterio che può essere aggiornato è il campo Descrizione.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio firewall di rete a livello di regione.

  3. Fai clic sulla norma.

  4. Fai clic su Modifica.

  5. Modifica la descrizione.

  6. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Elenca criteri firewall di rete a livello di regione

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

    La sezione Criteri firewall di rete mostra i criteri disponibili in del progetto.

gcloud 

gcloud compute network-firewall-policies list
    --regions=LIST_OF_REGIONS

Elimina un criterio firewall di rete a livello di regione

Devi eliminare tutte le associazioni in un criterio firewall di rete prima di possono eliminarlo.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le reti associate a un criterio firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Eliminare singole associazioni. Per rimuovere l'associazione, devi avere il ruolo compute.SecurityAdmin sulla rete VPC associata.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Elimina il criterio:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi scambiare un criterio firewall con un altro, non necessario eliminare prima l'associazione esistente. In questo modo periodo di tempo in cui nessuna delle norme viene applicata. Sostituisci invece norme esistenti quando associ una nuova norma.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il tuo progetto. o la cartella che contiene il criterio.

  3. Fai clic sulla norma.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazioni.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Attività per le regole dei criteri firewall

Crea regole firewall di rete

Le regole del criterio firewall di rete devono essere create in un firewall di rete a livello di regione . Le regole non sono attive finché non associ il criterio contenitore a una rete VPC.

Ogni regola del criterio firewall di rete può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene le tue norme.

  3. Fai clic sul nome del criterio regionale.

  4. In corrispondenza di Regole firewall, fai clic su Crea.

  5. Compila i campi della regola:

    1. Priorità: l'ordine di valutazione numerica della regola. Le regole sono valutato dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta la priorità. Le priorità devono essere univoche per ogni regola. Una buona prassi consiste nel assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
    2. Imposta la raccolta Log su On o Off.
    3. Come Direzione del traffico, scegli in entrata o in uscita.
    4. In Azione in caso di corrispondenza, specifica se le connessioni corrispondono se la regola è consentita (Allow), negata (Nega) oppure la valutazione della connessione viene passata al firewall inferiore successivo regola della gerarchia (Vai alla successiva).
    5. Specifica le Destinazioni della regola.
      • Se vuoi che la regola venga applicata a tutte le istanze nella rete, Scegli Tutte le istanze nella rete.
      • Se vuoi che la regola venga applicata solo a determinate istanze Tag, scegli Tag protetti. Fai clic su SELEZIONA AMBITO e seleziona l'organizzazione o il progetto in per le quali desideri creare coppie chiave-valore Tag. Inserisci il coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
      • Se vuoi che la regola venga applicata a determinate istanze in base a un account di servizio, scegli Account di servizio, indica se l'account di servizio si trova nel progetto corrente o in un altro una in Ambito account di servizio e scegliere o digitare il servizio nel campo Account di servizio di destinazione.
    6. Per una regola In entrata, specifica il filtro Origine:
      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP . Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, e inserire i blocchi CIDR nel campo intervallo IP . Utilizza ::/0 per qualsiasi origine IPv6.
      • Per limitare l'origine in base ai tag, fai clic su SELEZIONA AMBITO in Tag . Seleziona l'organizzazione o il progetto in cui vuoi creare Tag. Inserisci le coppie chiave-valore a cui . Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
    7. Per una regola In uscita, specifica il filtro di destinazione:
      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP . Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, e inserire i blocchi CIDR nel campo intervallo IP . Utilizza ::/0 per qualsiasi destinazione IPv6.
    8. (Facoltativo) Se vuoi creare una regola in entrata, specifica l'origine I FQDN a cui si applica questa regola. Se crei una rete in uscita seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti dei nomi di dominio, vedi Oggetti nome di dominio.
    9. (Facoltativo) Se vuoi creare una regola in entrata, seleziona l'origine Le geolocalizzazioni a cui si applica questa regola. Se crei una rete in uscita seleziona la geolocalizzazione di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, vedi Oggetti di geolocalizzazione.
    10. (Facoltativo) Se vuoi creare una regola Ingress, seleziona il i gruppi di indirizzi di origine a cui si applica questa regola. Se Creando una regola In uscita, seleziona i Gruppi di indirizzi di destinazione a cui si applica questa regola. Per ulteriori informazioni sull'indirizzo gruppi, vedi Gruppi di indirizzi per i criteri firewall.
    11. (Facoltativo) Se vuoi creare una regola Ingress, seleziona l'origine Google Cloud Threat Intelligence elenca a cui si applica questa regola. Se crei una regola In uscita, seleziona la destinazione Google Cloud Threat Intelligence elenca a cui si applica questa regola. Per ulteriori informazioni su Threat Intelligence, vedi Intelligence sulle minacce per le regole dei criteri firewall.

    12. (Facoltativo) Per una regola Ingress, specifica i filtri per Destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Usa ::/0 per qualsiasi IPv6 destinazione. Per saperne di più, consulta Destinazione per le regole in entrata.

    13. (Facoltativo) Per una regola In uscita, specifica il filtro Origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP . Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, e inserisci i blocchi CIDR nell'intervallo IP . Utilizza ::/0 per qualsiasi origine IPv6. Per maggiori informazioni, consulta Origine delle regole di traffico in uscita.

    14. Per Protocolli e porte, specifica che la regola si applica a tutti i protocolli e le porte di destinazione o specificare protocolli e porte di destinazione che si applica.

    15. Fai clic su Crea.

  6. Fai clic su Aggiungi regola per aggiungere un'altra regola. Clic Continua > Associa criterio alle reti VPC per associare il criterio a una rete oppure fai clic su Crea per creare il .

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerica della regola

    Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 rappresenta la priorità più alta. Le priorità devono essere univoche per ogni regola. Un buon è dare alle regole numeri di priorità che consentano l'inserimento in un secondo momento (ad esempio 100, 200, 300).

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni che corrispondono alla regola
    • goto_next: passa la valutazione della connessione al livello successivo tra la gerarchia, ovvero una cartella o

  • POLICY_NAME: il nome del criterio firewall di rete

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non è possibile specificare una porta o un intervallo di porte, ad esempio:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Per ulteriori informazioni, consulta la sezione su protocolli e porte.

  • TARGET_SECURE_TAG: un elenco di tag sicuri separati da virgole per definire i target

  • SERVICE_ACCOUNT: un elenco di servizi separato da virgole account per definire i target

  • DIRECTION: indica se la regola è una ingress o egressregola; il valore predefinito è ingress

    • Includi --src-ip-ranges per specificare gli intervalli IP per la sorgente del traffico
    • Includi --dest-ip-ranges per specificare gli intervalli IP per la destinazione del traffico

    Per ulteriori informazioni, consulta target, fonte e destinazione.

  • IP_RANGES: un elenco separato da virgole di formati CIDR Intervalli IP, tutti gli intervalli IPv4 o tutti gli intervalli IPv6, ad esempio:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: un elenco separato da virgole di Tag

  • COUNTRY_CODE: un elenco di due lettere separato da virgole codici paese

    • Per la direzione in entrata, specifica i codici paese di origine nel Parametro --src-region-code; non puoi usare --src-region-code per la direzione in uscita
    • Per la direzione in uscita, specifica i codici del paese di destinazione nella Parametro --dest-region-code; non puoi usare --dest-region-code parametro per la direzione in entrata

  • LIST_NAMES: nomi separati da virgole di elenchi di Threat Intelligence

    • Per la direzione in entrata, specifica l'origine Threat Intelligence elenchi nel parametro --src-threat-intelligence; non puoi usare --src-threat-intelligence per la direzione in uscita
    • Per la direzione in uscita, specifica la Threat Intelligence di destinazione elenchi nel parametro --dest-threat-intelligence; non puoi usare --dest-threat-intelligence parametro per la direzione in entrata

  • ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi

    • Per la direzione in entrata, specifica i gruppi di indirizzi di origine nella Parametro --src-address-groups; non puoi usare --src-address-groups per la direzione in uscita
    • Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel parametro --dest-address-groups; non puoi utilizzare Parametro --dest-address-groups per la direzione in entrata

  • DOMAIN_NAME: un elenco di nomi di dominio separati da virgole nel formato descritto in Formato del nome di dominio

    • Per la direzione in entrata, specifica i nomi di dominio di origine nel Parametro --src-fqdns; non puoi usare --src-fqdns per la direzione in uscita
    • Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel parametro --dest-fqdns; non puoi utilizzare Parametro --dest-fqdns per la direzione in entrata

  • --enable-logging e --no-enable-logging: attiva o disattiva Logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, è da non prendere in considerazione durante l'elaborazione delle connessioni; omettere questo abilita la regola, ma puoi specificare --no-disabled

  • REGION_NAME: una regione a cui applicare il criterio

Aggiorna una regola

Per le descrizioni dei campi, consulta Creazione di regole firewall.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi da modificare.

  7. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Descrivi una regola

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare; perché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • POLICY_NAME: il nome del criterio che contiene la regola
  • REGION_NAME: una regione a cui applicare il criterio.

Elimina una regola da un criterio

L'eliminazione di una regola da un criterio la rimuove da tutte le VM l'ereditarietà della regola.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma.

  4. Seleziona la regola da eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola da cui vuoi eliminare le norme
  • POLICY_NAME: il criterio contenente la regola
  • REGION_NAME: una regione a cui applicare il criterio

Clona le regole da un criterio all'altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole nel criterio di origine.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Specifica il nome di un criterio di destinazione.

  6. Fai clic su Continua > Associa il criterio di rete alle risorse. se vuoi associare immediatamente il nuovo criterio.

  7. Fai clic su Clona.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Sostituisci quanto segue:

  • POLICY_NAME: il criterio per ricevere le regole copiate
  • SOURCE_POLICY: il criterio da cui copiare le regole; deve essere l'URL della risorsa
  • REGION_NAME: una regione a cui applicare il criterio

Ottieni criteri firewall di rete a livello di regione effettivi

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, e il criterio firewall di rete applicato a una regione specificata.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Sostituisci quanto segue:

  • REGION_NAME: la regione per la quale vuoi visualizzare i dati le regole effettive.
  • NETWORK_NAME: la rete per cui vuoi visualizzare i contenuti le regole effettive.