Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über regionale Netzwerk-Firewallrichtlinien beschrieben werden.
Aufgaben im Zusammenhang mit Firewallrichtlinien
Regionale Netzwerk-Firewallrichtlinie erstellen
Sie können Richtlinien für beliebige VPC-Netzwerk innerhalb Ihres Projekts erstellen. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie mit einem beliebigen VPC-Netzwerk in Ihrem Projekt verknüpfen. Nach der Verknüpfung werden die Regeln der Richtlinie für VMs im zugehörigen Netzwerk aktiviert.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihr Projekt innerhalb Ihrer Organisation aus.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie der Richtlinie einen Namen.
Wählen Sie unter Bereitstellungsbereich die Option Regional aus. Wählen Sie die Region aus, in der Sie diese Firewall-Richtlinie erstellen möchten.
Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen.
Weitere Informationen finden Sie unter Firewallregeln erstellen.
Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter und dann auf Richtlinie mit VPC-Netzwerken verknüpfen.
Weitere Informationen finden Sie unter Richtlinie mit einem VPC-Netzwerk verknüpfen.
Klicken Sie auf Erstellen.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Ersetzen Sie dabei Folgendes:
NETWORK_FIREWALL_POLICY_NAME
: Ein Name für die Richtlinie.DESCRIPTION
: Eine Beschreibung der Richtlinie.REGION_NAME
: Eine Region, die Sie auf die Richtlinie anwenden möchten.
Richtlinie mit dem Netzwerk verknüpfen
Verknüpfen Sie eine Richtlinie mit einem Netzwerk, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf den Tab Verknüpfungen.
Klicken Sie auf Verknüpfungen hinzufügen.
Wählen Sie die Netzwerke im Projekt aus.
Klicken Sie auf Verknüpfen.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ --name ASSOCIATION_NAME \ --firewall-policy-region=REGION_NAME \ [ --replace-association-on-target true ]
Ersetzen Sie dabei Folgendes:
POLICY_NAME
: entweder der Kurzname oder der vom System generierte Name der RichtlinieNETWORK_NAME
: der Name Ihres NetzwerksASSOCIATION_NAME
: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Namenetwork-NETWORK_NAME
festgelegt.REGION_NAME
: eine Region, auf die die Richtlinie angewendet werden soll.
Regionale Netzwerk-Firewallrichtlinie beschreiben
Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln. Darüber hinaus sehen Sie viele Attribute von allen Regeln für die Richtlinie. Für diese Attribute gilt ein Limit pro Richtlinie.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.
Klicken Sie auf die Richtlinie.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Beschreibung einer regionalen Netzwerk-Firewallrichtlinie aktualisieren
Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf Bearbeiten.
Ändern Sie die Beschreibung.
Klicken Sie auf Speichern.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Regionale Netzwerk-Firewallrichtlinien auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.
Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.
gcloud
gcloud compute network-firewall-policies list \ --regions=LIST_OF_REGIONS
Regionale Netzwerk-Firewallrichtlinie löschen
Bevor Sie die Firewallrichtlinie eines Netzwerks löschen können, müssen Sie zuerst alle bestehenden Verknüpfungen löschen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf die Richtlinie, die Sie löschen möchten.
Klicken Sie auf den Tab Verknüpfungen.
Wählen Sie alle Verknüpfungen aus.
Klicken Sie auf Verknüpfungen entfernen.
Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.
gcloud
Listen Sie alle Netzwerke auf, die mit einer Firewallrichtlinie verknüpft sind:
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Einzelne Verknüpfungen löschen: Zum Aufheben einer Verknüpfung benötigen Sie die
compute.SecurityAdmin
-Rolle für das verknüpfte VPC-Netzwerk.gcloud compute network-firewall-policies associations delete \ --network-firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
So löschen Sie die Richtlinie:
gcloud compute network-firewall-policies delete POLICY_NAME \ --region=REGION_NAME
Verknüpfung löschen
Wenn eine Firewallrichtlinie in einem Netzwerk nicht mehr erzwungen werden soll, löschen Sie die Verknüpfung.
Wenn Sie jedoch eine Firewallrichtlinie durch eine andere ersetzen möchten, muss die vorhandene Verknüpfung nicht vorher gelöscht werden. Denn dadurch würde ein Zeitraum verbleiben, in dem keine der Richtlinien erzwungen wird. Ersetzen Sie daher die vorhandene Richtlinie, wenn Sie eine neue Richtlinie verknüpfen möchten.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf den Tab Verknüpfungen.
Wählen Sie die Verknüpfung aus, die Sie löschen möchten.
Klicken Sie auf Verknüpfungen entfernen.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --firewall-policy-region REGION_NAME
Aufgaben im Zusammenhang mit Firewallregeln
Netzwerk-Firewallregeln erstellen
Regeln für Netzwerk-Firewallrichtlinien müssen in einer regionalen Netzwerk-Firewallrichtlinie erstellt werden. Die Regeln werden erst aktiv, sobald Sie die zugehörige Richtlinie einem VPC-Netzwerk zuordnen.
Jede Netzwerk-Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.
Klicken Sie auf den Namen Ihrer regionalen Richtlinie.
Klicken Sie unter Firewallregeln auf Erstellen.
Füllen Sie die Regelfelder aus:
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B.100
,200
,300
). - Schalten Sie die Erfassung der Logs Ein oder Aus.
- Wählen Sie unter Trafficrichtung die Option „Eingehend“ oder „Ausgehend“.
- Geben Sie bei Aktion bei Übereinstimmung an, ob Verbindungen, die der Regel entsprechen, zugelassen oder abgelehnt werden sollen oder ob die Auswertung der Verbindung an die nächste untergeordnete Firewallregel in der Hierarchie weitergeleitet werden soll.
- Geben Sie die Ziele der Regel an.
- Wenn diese Regel für alle Instanzen im Netzwerk gelten soll, wählen Sie Alle Instanzen im Netzwerk aus.
- Wenn Sie die Regel auf bestimmte Instanzen anhand von Tags anwenden möchten, wählen Sie Sichere Tags aus. Klicken Sie auf Umfang auswählen und wählen Sie die Organisation oder das Projekt aus, in dem Sie Tag-Schlüssel/-Wert-Paare erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll. Klicken Sie auf TAG HINZUFÜGEN, um weitere Schlüssel/Wert-Paare hinzuzufügen.
- Wenn Sie die Regel von einem verknüpften Konto auf bestimmte Instanzen anwenden möchten, wählen Sie Dienstkonto aus, geben Sie unter Umfang des Dienstkontos an, ob das Dienstkonto im aktuellen Projekt oder in einem anderen Projekt enthalten ist. Wählen Sie dann im Feld Zieldienstkonto den Namen des Dienstkontos aus oder geben Sie ihn ein.
- Geben Sie den Quellfilter für eine Regel für eingehenden Traffic an:
- Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jede IPv4-Quelle. - Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
::/0
für jede IPv6-Quelle. - Klicken Sie im Abschnitt Tags auf BEREICH AUSWÄHLEN, um die Quelle durch Tags zu beschränken. Wählen Sie die Organisation oder das Projekt aus, in dem Sie Tags erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll. Klicken Sie auf TAG HINZUFÜGEN, um weitere Schlüssel/Wert-Paare hinzuzufügen.
- Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
- Geben Sie den Zielfilter für eine Ausgangsregel an:
- Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jedes IPv4-Ziel. - Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
::/0
für jedes IPv6-Ziel.
- Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
- Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, geben Sie die Quell-FQDNs an, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-FQDNs aus, für die diese Regel gelten soll. Weitere Informationen zu Domainnamenobjekten finden Sie unter Domainnamenobjekte.
- Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Standorte aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-Standorte aus, für die diese Regel gelten soll. Weitere Informationen zu Standortbestimmungs-Objekten finden Sie unter Standortbestimmungs-Objekte.
- Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
- Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Quelllisten aus, für die diese Regel gilt. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Ziellisten aus, für die diese Regel gilt. Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
Optional: Geben Sie für eine Regel für eingehenden Traffic die Zielfilter an:
- Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IPv4 ein. Verwenden Sie
0.0.0.0/0
für jedes IPv4-Ziel. - Wenn Sie eingehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6-Bereiche aus und geben Sie die CIDR-Blöcke in das Feld IPv6-Zielbereiche ein. Verwenden Sie
::/0
für jedes IPv6-Ziel. Weitere Informationen finden Sie unter Ziel für Regeln für eingehenden Traffic.
- Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IPv4 ein. Verwenden Sie
Optional: Geben Sie für eine Regel für ausgehenden Traffic den Quellfilter an:
- Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jede IPv4-Quelle. - Wenn Sie ausgehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-bereich ein. Verwenden Sie
::/0
für jede IPv6-Quelle. Weitere Informationen finden Sie unter Quelle für Regeln für ausgehenden Traffic.
- Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
Geben Sie für Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.
Klicken Sie auf Erstellen.
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen. Klicken Sie Fortfahren> Richtlinie mit VPC-Netzwerken verknüpfen um die Richtlinie mit einem Netzwerk zu verknüpfen, oder klicken Sie auf Erstellen um die Richtlinie zu erstellen.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--description DESCRIPTION ] \ [--layer4-configs PROTOCOL_PORT] \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--enable-logging | --no-enable-logging] \ [--disabled | --no-disabled] \ --firewall-policy-region=REGION_NAME
Ersetzen Sie dabei Folgendes:
PRIORITY
: die numerische Auswertungsreihenfolge der RegelDie Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, den Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B.100
,200
,300
).ACTION
: eine der folgenden Aktionen:allow
: lässt Verbindungen zu, die der Regel entsprechendeny
: lehnt Verbindungen ab, die der Regel entsprechengoto_next
: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
POLICY_NAME
: der Name der Richtlinie für NetzwerkfirewallsPROTOCOL_PORT
: eine durch Kommas getrennte Liste von Protokollnamen oder -nummern (tcp,17
), Protokollen und Zielports (tcp:80
) oder Protokollen und Zielportbereichen (tcp:5000-6000
)Sie können keinen Port oder Portbereich ohne Protokoll angeben. Für ICMP können Sie keinen Port oder Portbereich angeben. Beispiel:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Weitere Informationen finden Sie unter Protokolle und Ports.
TARGET_SECURE_TAG
: eine durch Kommas getrennte Liste sicherer Tags, um Ziele zu definierenSERVICE_ACCOUNT
: eine durch Kommas getrennte Liste von Dienstkonten, um Ziele zu definierenDIRECTION
: gibt an, ob die Regel eineingress
- oderegress
-Regel ist. Die Standardeinstellung istingress
.- Fügen Sie
--src-ip-ranges
ein, um IP-Bereiche für die Traffic-Quelle anzugeben. - Fügen Sie
--dest-ip-ranges
ein, um IP-Bereiche für das Ziel des Traffics anzugeben.
Weitere Informationen finden Sie unter Ziele, Quelle und Ziel.
- Fügen Sie
SRC_NETWORK_SCOPE
: Gibt den Umfang des Quellnetzwerktraffics an, auf den die Ingress-Regel angewendet wird. Sie können dieses Argument auf einen der folgenden Werte festlegen:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Wenn Sie den Wert für dieses Argument löschen möchten, verwenden Sie einen leeren String. Ein leerer Wert steht für alle Netzwerkbereiche. Weitere Informationen finden Sie unter Netzwerkumfangstypen.
SRC_VPC_NETWORK
: eine durch Kommas getrennte Liste von VPC-NetzwerkenSie können
--src-networks
nur verwenden, wenn--src-network-scope
aufVPC_NETWORKS
gesetzt ist.DEST_NETWORK_SCOPE
: Gibt den Umfang des Zielnetzwerkverkehrs an, auf den die ausgehende Regel angewendet wird. Sie können dieses Argument auf einen der folgenden Werte festlegen:INTERNET
NON_INTERNET
Wenn Sie den Wert für dieses Argument löschen möchten, verwenden Sie einen leeren String. Ein leerer Wert steht für alle Netzwerkbereiche. Weitere Informationen finden Sie unter Netzwerkumfangstypen.
IP_RANGES
: eine durch Kommas getrennte Liste von CIDR-formatierten IP-Bereichen, entweder alles IPv4-Bereiche oder alles IPv6-Bereiche. Beispiele:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: eine durch Kommas getrennte Liste von Tags.Sie können keine sicheren Quell-Tags verwenden, wenn der Netzwerkbereich auf
INTERNET
festgelegt ist.COUNTRY_CODE
: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes- Geben Sie für die Richtung des eingehenden Traffics die Quellländercodes im Flag
--src-region-code
an. Das Flag--src-region-code
kann nicht für die Ausstiegsrichtung verwendet werden oder wenn--src-network-scope
aufNON_INTERNET
,VPC_NETWORK
oderINTRA_VPC
gesetzt ist. - Geben Sie für die Richtung des ausgehenden Traffics die Ziellländercodes im Flag
--dest-region-code
an. Sie können das Flag--dest-region-code
nicht für die Einlassrichtung oder wenn--dest-network-scope
aufNON_INTERNET
gesetzt ist, verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Quellländercodes im Flag
LIST_NAMES
: durch Kommas getrennte Namen von Google Threat Intelligence-Listen- Geben Sie für die Richtung des eingehenden Traffics die Google Threat Intelligence-Quelllisten im Flag
--src-threat-intelligence
an. Das Flag--src-threat-intelligence
kann nicht für die Ausstiegsrichtung verwendet werden oder wenn--src-network-scope
aufNON_INTERNET
,VPC_NETWORK
oderINTRA_VPC
gesetzt ist. - Geben Sie für die Richtung des ausgehenden Traffics die Ziellisten der Google Threat Intelligence im Flag
--dest-threat-intelligence
an. Sie können das Flag--dest-threat-intelligence
nicht für die Einlassrichtung oder wenn--dest-network-scope
aufNON_INTERNET
gesetzt ist, verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Google Threat Intelligence-Quelllisten im Flag
ADDR_GRP_URL
: eine eindeutige URL-ID für die Adressgruppe- Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Flag
--src-address-groups
an. Sie können das Flag--src-address-groups
nicht für die Richtung des ausgehenden Traffics verwenden. - Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Flag
--dest-address-groups
an. Sie können das Flag--dest-address-groups
nicht für die Richtung des eingehenden Traffics verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Flag
DOMAIN_NAME
: eine durch Kommas getrennte Liste von Domainnamen in dem Format, das unter Domainnamenformat beschrieben wird- Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Flag
--src-fqdns
an. Sie können das Flag--src-fqdns
nicht für die Richtung des ausgehenden Traffics verwenden. - Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Flag
--dest-fqdns
an. Sie können das Flag--dest-fqdns
nicht für die Richtung des eingehenden Traffics verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Flag
--enable-logging
und--no-enable-logging
: aktiviert bzw. deaktiviert das Logging von Firewallregeln für die betreffende Regel--disabled
: gibt an, dass die vorhandene Firewallregel bei der Verarbeitung von Verbindungen nicht berücksichtigt wird. Durch das Weglassen dieses Flags wird die Regel aktiviert oder Sie können--no-disabled
angeben.REGION_NAME
: eine Region, auf die die Richtlinie angewendet werden soll.
Regel aktualisieren
Feldbeschreibungen finden Sie unter Firewallregeln erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf die Priorität der Regel.
Klicken Sie auf Bearbeiten.
Ändern Sie die gewünschten Felder.
Klicken Sie auf Speichern.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME \ [...fields you want to modify...]
Regel beschreiben
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf die Priorität der Regel.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Ersetzen Sie dabei Folgendes:
PRIORITY
: Priorität der Regel, die Sie ansehen möchten. Da jede Regel eine eindeutige Priorität haben muss, identifiziert diese Einstellung eine Regel eindeutigPOLICY_NAME
: Name der Richtlinie, die die Regel enthältREGION_NAME
: eine Region, auf die die Richtlinie angewendet werden soll.
Regel aus einer Richtlinie löschen
Durch das Löschen einer Regel aus einer Richtlinie wird die Regel aus allen VMs entfernt, die die Regel übernehmen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Wählen Sie die Regel aus, die Sie löschen möchten.
Klicken Sie auf Löschen.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Ersetzen Sie dabei Folgendes:
PRIORITY
: Priorität der Regel, die Sie aus der Richtlinie löschen möchtenPOLICY_NAME
: Richtlinie, die die Regel enthältREGION_NAME
: eine Region, auf die die Richtlinie angewendet werden soll.
Regeln von einer Richtlinie in eine andere kopieren
Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.
Klicken Sie oben auf dem Bildschirm auf Klonen.
Geben Sie den Namen der Zielrichtlinie an.
Klicken Sie auf Weiter > Netzwerk-Richtlinie mit Ressourcen verknüpfen, wenn Sie die neue Richtlinie sofort verknüpfen möchten.
Klicken Sie auf Klonen.
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --region=REGION_NAME
Ersetzen Sie dabei Folgendes:
POLICY_NAME
: Richtlinie, in die die kopierten Regeln eingefügt werden sollenSOURCE_POLICY
: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource seinREGION_NAME
: eine Region, auf die die Richtlinie angewendet werden soll.
Rufen Sie die geltenden regionalen Richtlinien für Netzwerk-Firewalls ab
Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und die Netzwerk-Firewallrichtlinie ansehen, die auf eine bestimmte Region angewendet werden.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \ --region=REGION_NAME \ --network=NETWORK_NAME
Ersetzen Sie dabei Folgendes:
REGION_NAME
: Region, für die Sie die gültigen Regeln anzeigen möchten.NETWORK_NAME
: Netzwerk, für die Sie die gültigen Regeln anzeigen möchten.