Auf dieser Seite wird davon ausgegangen, dass Sie mit den in Hierarchischen Firewallrichtlinien beschriebenen Konzepten vertraut sind. Beispiele für die Implementierung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.
Beschränkungen
- Regeln für hierarchische Firewallrichtlinien unterstützen keine Quell-Tags oder Quelldienstkonten.
- Regeln für hierarchische Firewallrichtlinien unterstützen für die Definition von Zielen keine Netzwerk-Tags. Stattdessen müssen Sie ein Ziel-VPC-Netzwerk oder ein Zieldienstkonto verwenden.
- Firewallrichtlinien können auf Ordner- und Organisationsebene angewendet werden, jedoch nicht auf VPC-Netzwerkebene. Für VPC-Netzwerke werden reguläre VPC-Firewallregeln unterstützt.
- Einer Ressource (Ordner oder Organisation) kann jeweils nur eine Firewallrichtlinie zugeordnet werden. Die VM-Instanzen in einem Ordner können jedoch die Regeln aus der gesamten Ressourcenhierarchie übernehmen, die der VM übergeordnet ist.
- Logging von Firewallregeln wird für die Regeln
allow
unddeny
unterstützt, nicht aber fürgoto_next
-Regeln. - IPv6-Hop-by-Hop-Protokoll wird in Firewallregeln nicht unterstützt.
Aufgaben im Zusammenhang mit Firewallrichtlinien
Firewallrichtlinie erstellen
Sie können eine Richtlinie für jede Ressource (Organisation oder Ordner) Ihrer Organisationshierarchie erstellen. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie mit einer beliebigen Ressource Ihrer Organisation verknüpfen. Nach der Verknüpfung werden die Regeln der Richtlinie für VMs unter der zugehörigen Ressource in der Hierarchie aktiviert.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü zur Projektauswahl Ihre Organisations-ID oder einen Ordner innerhalb Ihrer Organisation aus.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie der Richtlinie einen Namen.
Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter > Regel hinzufügen.
Weitere Informationen finden Sie unter Firewallregeln erstellen.
Wenn Sie die Richtlinie mit einer Ressource verknüpfen möchten, klicken Sie auf Weiter > Richtlinie mit Ressourcen verknüpfen.
Weitere Informationen finden Sie unter Richtlinie mit der Organisation oder einem Ordner verknüpfen.
Klicken Sie auf Erstellen.
gcloud
gcloud compute firewall-policies create \ [--organization ORG_ID] | --folder FOLDER_ID] \ --short-name SHORT_NAME
Ersetzen Sie dabei Folgendes:
ORG_ID
: die ID Ihrer Organisation
Geben Sie diese ID an, wenn Sie die Richtlinie auf Organisationsebene erstellen. Diese ID gibt nur an, wo die Richtlinie gültig ist, die Richtlinie wird dadurch aber nicht automatisch mit der Organisationsressource verknüpft.FOLDER_ID
: die ID eines Ordners
Geben Sie diese ID an, wenn Sie die Richtlinie in einem bestimmten Ordner erstellen. Diese ID gibt nur an, wo die Richtlinie gültig ist; die Richtlinie wird dadurch aber nicht automatisch mit diesem Ordner verknüpft.SHORT_NAME
: ein Name für die Richtlinie
Eine Richtlinie, die mithilfe der Google Cloud CLI erstellt wird, hat zwei Namen: einen vom System generierten Namen und einen Kurznamen, den Sie selbst festlegen. Wenn Sie eine vorhandene Richtlinie über die Google Cloud-CLI aktualisieren, können Sie entweder den vom System generierten Namen oder den Kurznamen und die Organisations-ID angeben. Wenn Sie die API zum Aktualisieren der Richtlinie verwenden, müssen Sie den vom System generierten Namen angeben.
Firewallregeln erstellen
Regeln für hierarchische Firewallrichtlinien müssen in einer hierarchischen Firewallrichtlinie erstellt werden. Die Regeln sind erst aktiv, wenn Sie die zugehörige Richtlinie einer Ressource zuordnen.
Jede hierarchische Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.
Klicken Sie auf den Namen Ihrer Richtlinie.
Klicken Sie auf Regel hinzufügen.
Füllen Sie die Regelfelder aus:
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B.100
,200
,300
). - Schalten Sie die Erfassung der Logs Ein oder Aus.
- Geben Sie unter Traffic-Richtung an, ob diese Regel für eingehenden Traffic oder ausgehenden Traffic gilt.
Wählen Sie unter Aktion bei Übereinstimmung eine der folgenden Optionen aus:
- Zulassen: Ermöglicht die Verbindungen, die der Regel entsprechen.
- Ablehnen: Die Verbindungen, die der Regel entsprechen, werden abgelehnt.
- Zu nächster: Die Auswertung der Verbindung wird an die nächst niedrigere Firewallregel in der Hierarchie übergeben.
- Weiter zur L7-Prüfung: Die Pakete werden zur Layer-7-Prüfung an den konfigurierten Firewallendpunkt gesendet.
- Wählen Sie in der Liste Sicherheitsprofilgruppe den Namen einer Sicherheitsprofilgruppe aus.
- Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
Weitere Informationen dazu, wie Regeln und entsprechende Aktionen für jede Netzwerkschnittstelle der VM ausgewertet werden, finden Sie unter Reihenfolge der Richtlinien- und Regelauswertungen.
Optional: Sie können die Regel auf bestimmte Netzwerke beschränken, indem Sie diese im Feld Zielnetzwerke angeben. Klicken Sie auf NETZWERK HINZUFÜGEN und wählen Sie dann das Projekt und das Netzwerk aus. Sie können einer Regel mehrere Zielnetzwerke hinzufügen.
Optional: Sie können die Regel auf VMs einschränken, die mit Zugriff auf bestimmte Dienstkonten ausgeführt werden. Dazu geben Sie die Konten im Feld Zieldienstkonten an.
Geben Sie den Quellfilter für eine Regel für eingehenden Traffic an:
- Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jede IPv4-Quelle. - Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
::/0
für jede IPv6-Quelle.
- Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
Geben Sie den Zielfilter für eine Regel für ausgehenden Traffic an:
- Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jedes IPv4-Ziel. - Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
::/0
für jedes IPv6-Ziel.
- Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, geben Sie die Quell-FQDNs an, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-FQDNs aus, für die diese Regel gelten soll. Weitere Informationen zu Domainnamenobjekten finden Sie unter Domainnamenobjekte.
Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Standorte aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-Standorte aus, für die diese Regel gelten soll. Weitere Informationen zu Standortbestimmungs-Objekten finden Sie unter Standortbestimmungs-Objekte.
Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Quelllisten aus, für die diese Regel gilt. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Ziellisten aus, für die diese Regel gilt. Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
Optional: Geben Sie für eine Regel für eingehenden Traffic die Zielfilter an:
- Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jedes IPv4-Ziel. - Wenn Sie eingehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6-Bereiche aus und geben Sie die CIDR-Blöcke in das Feld IPv6-Zielbereiche ein. Verwenden Sie
::/0
für jedes IPv6-Ziel. Weitere Informationen finden Sie unter Ziel für Regeln für eingehenden Traffic.
- Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
Optional: Geben Sie für eine Regel für ausgehenden Traffic den Quellfilter an:
- Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
0.0.0.0/0
für jede IPv4-Quelle. - Wenn Sie ausgehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
::/0
für jede IPv6-Quelle. Weitere Informationen finden Sie unter Quelle für Regeln für ausgehenden Traffic.
- Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie
Geben Sie für Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.
Verwenden Sie
icmp
oder die Protokollnummer1
, um IPv4 ICMP anzugeben. Verwenden Sie die Protokollnummer58
, um IPv6 ICMP anzugeben. Weitere Informationen zu Protokollen finden Sie unter Protokolle und Ports.Klicken Sie auf Erstellen.
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.
Klicken Sie auf Weiter > Richtlinie mit Ressourcen verknüpfen, um die Richtlinie mit Ressourcen zu verknüpfen, oder klicken Sie auf Erstellen, um die Richtlinie zu erstellen.
gcloud
gcloud compute firewall-policies rules create PRIORITY \ [--organization ORG_ID] \ --firewall-policy POLICY_NAME \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--dest-ip-ranges IP_RANGES ] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] --action ACTION \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no--tls-inspect] \ [--layer4-configs PROTOCOL_PORT] \ [--target-resources NETWORKS] \ [--target-service-accounts SERVICE_ACCOUNTS] \ [--enable-logging | --no-enable-logging] \ [--disabled]
Ersetzen Sie dabei Folgendes:
PRIORITY
: die numerische Auswertungsreihenfolge der RegelDie Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, den Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B.100
,200
,300
).ORG_ID
: ID Ihrer OrganisationPOLICY_NAME
: entweder der Kurzname oder der vom System generierte Name der RichtlinieDIRECTION
: gibt an, ob die Regel eineINGRESS
- (Standard) oderEGRESS
-Regel ist- Fügen Sie
--src-ip-ranges
ein, um IP-Bereiche für die Traffic-Quelle anzugeben. - Fügen Sie
--dest-ip-ranges
ein, um IP-Bereiche für das Ziel des Traffics anzugeben.
Weitere Informationen finden Sie unter Ziele, Quelle und Ziel.
- Fügen Sie
SRC_NETWORK_SCOPE
: Gibt den Umfang des Quellnetzwerktraffics an, auf den die Ingress-Regel angewendet wird. Sie können dieses Argument auf einen der folgenden Werte festlegen:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Wenn Sie den Wert für dieses Argument löschen möchten, verwenden Sie einen leeren String. Ein leerer Wert steht für alle Netzwerkbereiche. Weitere Informationen finden Sie unter Netzwerkumfangstypen.
SRC_VPC_NETWORK
: eine durch Kommas getrennte Liste von VPC-NetzwerkenSie können
--src-networks
nur verwenden, wenn--src-network-scope
aufVPC_NETWORKS
gesetzt ist.DEST_NETWORK_SCOPE
: Gibt den Umfang des Zielnetzwerkverkehrs an, auf den die ausgehende Regel angewendet wird. Sie können dieses Argument auf einen der folgenden Werte festlegen:INTERNET
NON_INTERNET
Wenn Sie den Wert für dieses Argument löschen möchten, verwenden Sie einen leeren String. Ein leerer Wert steht für alle Netzwerkbereiche.
Weitere Informationen finden Sie unter Netzwerkumfangstypen.
IP_RANGES
: eine durch Kommas getrennte Liste von CIDR-formatierten IP-Bereichen, entweder alles IPv4-Bereiche oder alles IPv6-Bereiche. Beispiele:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE
: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes- Geben Sie für die Richtung des eingehenden Traffics die Quellländercodes im Flag
--src-region-code
an. Das Flag--src-region-code
kann nicht für die Ausstiegsrichtung verwendet werden oder wenn--src-network-scope
aufNON_INTERNET
,VPC_NETWORK
oderINTRA_VPC
gesetzt ist. - Geben Sie für die Richtung des ausgehenden Traffics die Ziellländercodes im Flag
--dest-region-code
an. Sie können das Flag--dest-region-code
nicht für die Einlassrichtung oder wenn--dest-network-scope
aufNON_INTERNET
gesetzt ist, verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Quellländercodes im Flag
LIST_NAMES
: eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen- Geben Sie für die Richtung des eingehenden Traffics die Google Threat Intelligence-Quelllisten im Flag
--src-threat-intelligence
an. Das Flag--src-threat-intelligence
kann nicht für die Ausstiegsrichtung verwendet werden oder wenn--src-network-scope
aufNON_INTERNET
,VPC_NETWORK
oderINTRA_VPC
gesetzt ist. - Geben Sie für die Richtung des ausgehenden Traffics die Ziellisten der Google Threat Intelligence im Flag
--dest-threat-intelligence
an. Sie können das Flag--dest-threat-intelligence
nicht für die Einlassrichtung oder wenn--dest-network-scope
aufNON_INTERNET
gesetzt ist, verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Google Threat Intelligence-Quelllisten im Flag
ADDR_GRP_URL
: eine eindeutige URL-ID für die Adressgruppe- Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Flag
--src-address-groups
an. Sie können das Flag--src-address-groups
nicht für die Richtung des ausgehenden Traffics verwenden. - Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Flag
--dest-address-groups
an. Sie können das Flag--dest-address-groups
nicht für die Richtung des eingehenden Traffics verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Flag
DOMAIN_NAME
: eine durch Kommas getrennte Liste von Domainnamen in dem Format, das unter Domainnamenformat beschrieben wird- Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Flag
--src-fqdns
an. Sie können das Flag--src-fqdns
nicht für die Richtung des ausgehenden Traffics verwenden. - Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Flag
--dest-fqdns
an. Sie können das Flag--dest-fqdns
nicht für die Richtung des eingehenden Traffics verwenden.
- Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Flag
ACTION
: eine der folgenden Aktionen:allow
: lässt Verbindungen zu, die der Regel entsprechendeny
: lehnt Verbindungen ab, die der Regel entsprechenapply_security_profile_group
: sendet die Pakete transparent für die Layer-7-Prüfung an den konfigurierten Firewallendpunktgoto_next
: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
Weitere Informationen dazu, wie Regeln und entsprechende Aktionen für jede Netzwerkschnittstelle der VM ausgewertet werden, finden Sie unter Reihenfolge der Richtlinien- und Regelauswertungen.
SECURITY_PROFILE_GROUP
: der Name einer Sicherheitsprofilgruppe, die für die Layer-7-Prüfung verwendet wird. Geben Sie dieses Argument nur an, wenn die Aktionapply_security_profile_group
ausgewählt ist.--tls-inspect
: überprüft den TLS-Traffic mithilfe der TLS-Prüfungsrichtlinie, wenn dieapply_security_profile_group
-Aktion in der Regel ausgewählt ist. Die TLS-Prüfung ist standardmäßig deaktiviert. Sie können aber auch--no-tls-inspect
angeben.PROTOCOL_PORT
: eine durch Kommas getrennte Liste von Protokollnamen oder -nummern (tcp,17
), Protokollen und Zielports (tcp:80
) oder Protokollen und Zielportbereichen (tcp:5000-6000
)Sie können keinen Port oder Portbereich ohne Protokoll angeben. Für ICMP können Sie keinen Port oder Portbereich angeben. Beispiel:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Verwenden Sie
icmp
oder die Protokollnummer1
, um IPv4 ICMP anzugeben. Verwenden Sie die Protokollnummer58
, um IPv6 ICMP anzugeben. Weitere Informationen finden Sie unter Protokolle und Ports.NETWORKS
: eine durch Kommas getrennte Liste von VPC-Netzwerkressourcen-URLs im Formathttps://www.googleapis.com/compute/v1/projects/
PROJECT_ID/global/networks/
NETWORK_NAME, wobei PROJECT_ID die Projekt-ID des Projekts mit dem VPC-Netzwerk ist, und NETWORK_NAME der Netzwerkname. Ist nichts angegeben, gilt die Regel für alle VPC-Netzwerke unter der Ressource.Weitere Informationen finden Sie unter Ziele für hierarchische Firewallrichtlinienregeln.
SERVICE_ACCOUNTS
: eine durch Kommas getrennte Liste von Dienstkonten. Die Regel wird nur auf VMs angewendet, die mit Zugriff auf das angegebene Dienstkonto ausgeführt werden.Weitere Informationen finden Sie unter Ziele für hierarchische Firewallrichtlinienregeln.
--enable-logging
und--no-enable-logging
: aktiviert bzw. deaktiviert das Logging von Firewallregeln für die betreffende Regel--disabled
: gibt an, dass die vorhandene Firewallregel bei der Verarbeitung von Verbindungen nicht berücksichtigt wird. Durch das Weglassen dieses Flags wird die Regel aktiviert oder Sie können--no-disabled
angeben.
Richtlinie mit der Organisation oder dem Ordner verknüpfen
Verknüpfen Sie eine Richtlinie mit einer Ressource, um die Richtlinienregeln für alle VMs unter der Ressource in der Hierarchie zu aktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf den Tab Verknüpfungen.
Klicken Sie auf Verknüpfung hinzufügen.
Wählen Sie den Organisationsstamm oder die Ordner innerhalb der Organisation aus.
Klicken Sie auf Hinzufügen.
gcloud
gcloud compute firewall-policies associations create \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [ --folder FOLDER_ID ] \ [ --name ASSOCIATION_NAME ] \ [ --replace-association-on-target ]
Ersetzen Sie dabei Folgendes:
POLICY_NAME
: entweder der Kurzname oder der vom System generierte Name der RichtlinieORG_ID
: ID Ihrer OrganisationFOLDER_ID
: Wenn Sie die Richtlinie mit einem Ordner verknüpfen, geben Sie diesen hier an. Lassen Sie den Platzhalter unverändert, wenn Sie die Richtlinie auf Organisationsebene verknüpfenASSOCIATION_NAME
: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name "OrganisationORG_ID
" oder "OrdnerFOLDER_ID
" festgelegt.--replace-association-on-target
Normalerweise schlägt der Vorgang fehl, wenn Sie versuchen, eine Richtlinie mit einer Ressource auf Organisations- oder Ordnerebene zu verknüpfen, für die bereits eine Verknüpfung besteht. Wenn Sie dieses Flag angeben, wird die vorhandene Verknüpfung gelöscht, sobald Sie die neue Verknüpfung erstellen. Dadurch wird verhindert, dass die Ressource während der Umstellung keine Richtlinie hat.
Richtlinie von einer Ressource in eine andere verschieben
Durch das Verschieben einer Richtlinie wird die Ressource geändert, die Inhaber der Richtlinie ist. Zum Verschieben einer Richtlinie benötigen Sie move
-Berechtigungen für sowohl die alte als auch für neue Ressourcen.
Das Verschieben einer Richtlinie wirkt sich nicht auf vorhandene Richtlinienverknüpfungen oder die Auswertung vorhandener Regeln aus. Es kann sich jedoch darauf auswirken, wer nach dem Verschieben die Berechtigung zum Ändern oder Verknüpfen der Richtlinie hat.
Console
Verwenden Sie für dieses Verfahren die Google Cloud CLI.
gcloud
gcloud compute firewall-policies move POLICY_NAME \ --organization ORG_ID \ [--folder FOLDER_ID]
Ersetzen Sie dabei Folgendes:
POLICY_NAME
: entweder der Kurzname oder der vom System generierte Name der Richtlinie, die Sie verschiebenORG_ID
: ID Ihrer Organisation (wenn Sie die Richtlinie in die Organisation verschieben, geben Sie diese ID, aber keinen Ordner an)FOLDER_ID
: Wenn Sie die Richtlinie mit einem Ordner verknüpfen, geben Sie diesen hier an. Lassen Sie den Platzhalter unverändert, wenn Sie die Richtlinie mit der Organisationsressource verknüpfen
Richtlinienbeschreibung aktualisieren
Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
Klicken Sie auf Bearbeiten.
Ändern Sie die Beschreibung.
Klicken Sie auf Speichern.
gcloud
gcloud compute firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --organization ORG_ID
Listenrichtlinien
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Für eine Organisation werden im Bereich Mit dieser Organisation verknüpfte Firewallrichtlinien die verknüpften Richtlinien angezeigt. Im Bereich Firewallrichtlinien in dieser Organisation werden die Richtlinien aufgeführt, die der Organisation gehören.
Für einen Ordner werden im Bereich Mit diesem Ordner verknüpfte oder von diesem Ordner übernommene Firewallrichtlinien die Richtlinien angezeigt, die mit dem Ordner verknüpft sind oder von diesem übernommen wurden. Im Bereich Firewallrichtlinien in diesem Ordner werden Richtlinien aufgeführt, die dem Ordner gehören.
gcloud
gcloud compute firewall-policies list \ [--organization ORG_ID | --folder FOLDER_ID]
Richtlinie beschreiben
Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln. Darüber hinaus sehen Sie viele Attribute von allen Regeln für die Richtlinie. Für diese Attribute gilt ein Limit pro Richtlinie.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Richtlinie löschen
Bevor Sie die Firewallrichtlinie einer Organisation löschen können, müssen Sie zuerst alle ihre Verknüpfungen löschen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie, die Sie löschen möchten.
Klicken Sie auf den Tab Verknüpfungen.
Wählen Sie alle Verknüpfungen aus.
Klicken Sie auf Verknüpfungen entfernen.
Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.
gcloud
Listen Sie alle Ressourcen auf, die mit einer Firewallrichtlinie verknüpft sind:
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Einzelne Verknüpfungen löschen: Zum Aufheben einer Verknüpfung benötigen Sie die Rolle
compute.orgSecurityResourceAdmin
für die verknüpfte Ressource oder den Ancestor dieser Ressource.gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAME
So löschen Sie die Richtlinie:
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
Verknüpfungen für eine Ressource auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Für die ausgewählte Ressource (Organisation oder Ordner) wird eine Liste der verknüpften und übernommenen Richtlinien angezeigt.
gcloud
gcloud compute firewall-policies associations list \ [--organization ORG_ID | --folder FOLDER_ID]
Verknüpfungen für eine Richtlinie auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
Klicken Sie auf den Tab Verknüpfungen.
Die Verknüpfungen sind in der Tabelle aufgelistet.
gcloud
gcloud compute firewall-policies describe POLICY_ID
Verknüpfung löschen
Wenn eine Firewallrichtlinie auf Organisations- oder Ordnerebene nicht mehr erzwungen werden soll, löschen Sie die Verknüpfung.
Wenn Sie jedoch eine Firewallrichtlinie durch eine andere ersetzen möchten, muss die vorhandene Verknüpfung nicht vorher gelöscht werden. Denn dadurch würde ein Zeitraum verbleiben, in dem keine der Richtlinien erzwungen wird. Ersetzen Sie daher die vorhandene Richtlinie, wenn Sie eine neue Richtlinie verknüpfen möchten.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
Klicken Sie auf den Tab Verknüpfungen.
Wählen Sie die Verknüpfung aus, die Sie löschen möchten.
Klicken Sie auf Verknüpfungen entfernen.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID
Aufgaben im Zusammenhang mit Firewallregeln
Regel in einer vorhandenen Firewallrichtlinie erstellen
Weitere Informationen finden Sie unter Firewallregeln erstellen.
Alle Regeln in einer Richtlinie auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie. Im Tab Firewallregeln sind alle Regeln aufgelistet.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \ --organization ORG_ID
Regel beschreiben
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
Klicken Sie auf die Priorität der Regel.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Ersetzen Sie dabei Folgendes:
PRIORITY
: Priorität der Regel, die Sie ansehen möchten. Da jede Regel eine eindeutige Priorität haben muss, identifiziert diese Einstellung eine Regel eindeutigORG_ID
: ID Ihrer OrganisationPOLICY_NAME
: der Kurzname oder der vom System generierte Name der Richtlinie, die die Regel enthält
Regel aktualisieren
Feldbeschreibungen finden Sie unter Firewallregeln erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
Klicken Sie auf die Priorität der Regel.
Klicken Sie auf Bearbeiten.
Ändern Sie die gewünschten Felder.
Klicken Sie auf Speichern.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [...fields you want to modify...]
Regeln von einer Richtlinie in eine andere kopieren
Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.
Klicken Sie oben auf dem Bildschirm auf Klonen.
Geben Sie den Namen der Zielrichtlinie an.
Klicken Sie auf Weiter > Richtlinie mit Ressourcen verknüpfen, wenn Sie die neue Richtlinie sofort verknüpfen möchten.
Klicken Sie auf Klonen.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \ --organization ORG_ID \ --source-firewall-policy SOURCE_POLICY
Ersetzen Sie dabei Folgendes:
POLICY_NAME
: Richtlinie, in die die kopierten Regeln eingefügt werden sollenORG_ID
: ID Ihrer OrganisationSOURCE_POLICY
: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource sein
Regel aus einer Richtlinie löschen
Durch das Löschen einer Regel aus einer Richtlinie wird die Regel aus allen VMs entfernt, die die Regel übernehmen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.
Klicken Sie auf die Richtlinie.
Wählen Sie die Regel aus, die Sie löschen möchten.
Klicken Sie auf Löschen.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Ersetzen Sie dabei Folgendes:
PRIORITY
: Priorität der Regel, die Sie aus der Richtlinie löschen möchtenORG_ID
: ID Ihrer OrganisationPOLICY_NAME
: Richtlinie, die die Regel enthält
Für ein Netzwerk geltende Firewallregeln abrufen
Hier werden alle hierarchische Firewallrichtlinien-Regeln, VPC-Firewallregeln und globale Netzwerk-Firewall-richtlinienregeln angezeigt, die auf ein bestimmtes VPC-Netzwerk angewendet werden.
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.
Klicken Sie auf Firewallrichtlinien.
Erweitern Sie jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Ersetzen Sie dabei Folgendes:
NETWORK_NAME
: Netzwerk, für das die effektiv geltenden Regeln abgerufen werden sollen
Auf der Seite Firewall können Sie auch die effektiven Firewallregeln für ein Netzwerk aufrufen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.
Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.
Für eine VM-Schnittstelle geltende Firewallregeln abrufen
Hier werden alle hierarchische Firewallrichtlinien-Regeln, VPC-Firewallregeln und globale Netzwerk-Firewallrichtlinien-Regeln angezeigt, die auf eine bestimmte Compute Engine-VM-Schnittstelle angewendet werden.
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt mit der VM aus.
Klicken Sie auf die VM.
Klicken Sie unter Netzwerkschnittstellen auf die Schnittstelle.
Effektive Firewallregeln werden unter Firewall- und Routendetails angezeigt.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Ersetzen Sie dabei Folgendes:
INSTANCE_NAME
: VM, für die geltende Regeln abgerufen werden; wenn keine Schnittstelle angegeben wurde, werden Regeln für die primäre Schnittstelle (nic0
) zurückgegeben.INTERFACE
: VM-Schnittstelle, für die geltende Regeln abgerufen werden; der Standardwert istnic0
ZONE
: Zone der VM; optional, wenn die gewünschte Zone bereits als Standardeinstellung festgelegt ist
Fehlerbehebung
Dieser Abschnitt enthält Erläuterungen zu möglichen Fehlermeldungen.
FirewallPolicy may not specify a name. One will be provided.
Sie können keinen Richtliniennamen angeben. Die hierarchischen Firewallrichtlinien „Namen“ sind numerische IDs, die von Google Cloud beim Erstellen der Richtlinie generiert werden. Sie können aber auch einen Kurznamen angeben, der in vielen Kontexten als Alias fungiert.
FirewallPolicy may not specify associations on creation.
Verknüpfungen können erst erstellt werden, nachdem hierarchische Firewallrichtlinien erstellt wurden.
Can not move firewall policy to a different organization.
hierarchische Firewall-Richtlinienverschiebungen müssen innerhalb derselben Organisation erfolgen.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.
Wenn bereits eine Ressource mit einer hierarchischen Firewallrichtlinie verknüpft ist, schlägt der Anhangsvorgang fehl, es sei denn, die Option zum Ersetzen der vorhandenen Verknüpfungen ist auf „true“ gesetzt.
Cannot have rules with the same priorities.
Die Prioritäten von Regeln dürfen innerhalb einer hierarchischen Firewallrichtlinie nur einmal vorkommen.
Direction must be specified on firewall policy rule.
Beim Erstellen hierarchischer Firewallregeln für das direkte Senden von REST-Anfragen muss die Richtung der Regel angegeben werden. Wenn Sie die Google Cloud CLI verwenden und keine Richtung angegeben ist, ist die Standardeinstellung
INGRESS
.Can not specify enable_logging on a goto_next rule.
Firewall Logging ist für Regeln mit „goto_next“-Aktionen nicht zulässig, da diese verwendet werden, um die Auswertungsreihenfolge verschiedener Firewallrichtlinien darzustellen. Ebenso sind keine Terminalaktionen wie „ALLOW“ oder „DENY“ zulässig.
Must specify at least one destination on Firewall policy rule.
Das Flag
layer4Configs
in der Firewallrichtlinienregel muss mindestens ein Protokoll oder Protokoll und Zielport angeben.Weitere Informationen zur Fehlerbehebung bei Firewallrichtlinien-Regeln finden Sie unter Fehlerbehebung bei VPC-Firewallregeln.