In questa pagina si presuppone che tu abbia familiarità con i concetti descritti in Criteri firewall gerarchici. Per esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.
Limitazioni
- Le regole dei criteri firewall gerarchici non supportano i tag di origine o l'origine account di servizio.
- Le regole dei criteri firewall gerarchici non supportano l'utilizzo della rete tag per definire i target. Devi utilizzare una rete VPC di destinazione o un account di servizio di destinazione.
- I criteri firewall possono essere applicati a livello di cartella e organizzazione, ma non a livello di rete VPC. VPC normale le regole firewall sono supportate per le reti VPC.
- È possibile associare un solo criterio firewall a una risorsa (cartella o dell'organizzazione), anche se le istanze di macchina virtuale (VM) in una cartella ereditare regole dall'intera gerarchia di risorse al di sopra della VM.
- Il logging delle regole firewall è
supportato per le regole
allow
edeny
, ma non pergoto_next
le regole del caso. - Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.
Attività dei criteri firewall
Crea un criterio firewall
Puoi creare un criterio in qualsiasi risorsa (organizzazione o cartella) del tuo nella gerarchia dell'organizzazione. Dopo aver creato una norma, puoi associarla con qualsiasi risorsa della tua organizzazione. Dopo l'associazione, le regole del criterio diventano attivi per le VM all'interno della risorsa associata nella gerarchia.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o una cartella all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
Assegna un nome al criterio.
Se vuoi creare regole per le tue norme, fai clic su Continua > Aggiungi regola.
Per maggiori dettagli, vedi Creare regole firewall.
Se vuoi associare il criterio a una risorsa, fai clic su Continua > Associa criterio alle risorse.
Per maggiori dettagli, consulta Associare un criterio a un'organizzazione o a un cartella.
Fai clic su Crea.
gcloud
gcloud compute firewall-policies create \ [--organization ORG_ID] | --folder FOLDER_ID] \ --short-name SHORT_NAME
Sostituisci quanto segue:
ORG_ID
: ID della tua organizzazione
Specifica questo ID se stai creando il criterio a livello di organizzazione livello. Questo ID indica solo la posizione del criterio. non associare automaticamente il criterio alla risorsa dell'organizzazione.FOLDER_ID
: l'ID di una cartella
Specifica questo ID se stai creando il criterio in una determinata cartella. Questo L'ID indica solo la posizione del criterio. non esegue automaticamente associare il criterio a quella cartella.SHORT_NAME
: un nome per il criterio
Un criterio creato utilizzando Google Cloud CLI ha due nomi: un nome generato dal sistema e un nome breve fornito da te. Quando utilizzando Google Cloud CLI per aggiornare un criterio esistente, puoi fornire il nome generato dal sistema o il nome breve e Organization ID (ID organizzazione). Se utilizzi l'API per aggiornare il criterio, devi: fornisci il nome generato dal sistema.
Crea regole firewall
Le regole dei criteri firewall gerarchici devono essere create in un firewall gerarchico . Le regole non sono attive finché non associ il criterio contenitore a una risorsa.
Ogni regola del criterio firewall gerarchico può includere intervalli IPv4 o IPv6, ma non entrambi.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sul nome della norma.
Fai clic su Aggiungi regola.
Compila i campi della regola:
- Priorità: l'ordine di valutazione numerica della regola. Le regole sono
valutato dalla priorità più alta a quella più bassa, dove
0
è la priorità più alta la priorità. Le priorità devono essere univoche per ogni regola. Una buona prassi consiste nel assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio100
,200
,300
). - Imposta la raccolta Log su On o Off.
- Per Direzione del traffico, specifica se questa regola è una Regola in entrata o in uscita.
In Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
- Allow: consenti le connessioni che corrispondono alla regola.
- Nega: nega le connessioni che corrispondono alla regola.
- Vai a successiva: la valutazione della connessione viene passata a la successiva regola firewall inferiore nella gerarchia.
- Procedi all'ispezione L7: invia i pacchetti all'indirizzo
L'endpoint firewall configurato
per l'ispezione di livello 7.
- Nell'elenco Gruppo di profili di sicurezza: seleziona il nome di un gruppo di profili di sicurezza.
- Per abilitare l'ispezione TLS dei pacchetti, Seleziona Abilita ispezione TLS.
Per scoprire di più su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, vedi Ordine di valutazione di criteri e regole.
(Facoltativo) Puoi limitare la regola a determinate reti specificandole nel campo Reti di destinazione. Clic AGGIUNGI RETE, quindi seleziona il progetto e Rete. Puoi aggiungere più reti di destinazione a una regola.
(Facoltativo) Puoi limitare la regola alle VM in esecuzione con l'accesso a un determinato servizio account specificando gli account nel campo Account di servizio di destinazione.
Per una regola In entrata, specifica il filtro Origine:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona
IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP
. Utilizza
0.0.0.0/0
per qualsiasi origine IPv4. - Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6,
e inserire i blocchi CIDR nel campo intervallo IP
. Utilizza
::/0
per qualsiasi origine IPv6.
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona
IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP
. Utilizza
Per una regola In uscita, specifica il filtro di destinazione:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona
IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP
. Utilizza
0.0.0.0/0
per qualsiasi destinazione IPv4. - Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6,
e inserire i blocchi CIDR nel campo intervallo IP
. Utilizza
::/0
per qualsiasi destinazione IPv6.
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona
IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP
. Utilizza
(Facoltativo) Se vuoi creare una regola in entrata, specifica l'origine I FQDN a cui si applica questa regola. Se crei una rete in uscita seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti dei nomi di dominio, vedi Oggetti nome di dominio.
(Facoltativo) Se vuoi creare una regola Ingress, seleziona l'origine Le geolocalizzazioni a cui si applica questa regola. Se crei una rete in uscita seleziona la geolocalizzazione di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, vedi Oggetti di geolocalizzazione.
(Facoltativo) Se vuoi creare una regola Ingress, seleziona il i gruppi di indirizzi di origine a cui si applica questa regola. Se Creando una regola In uscita, seleziona i Gruppi di indirizzi di destinazione a cui si applica questa regola. Per ulteriori informazioni sull'indirizzo gruppi, vedi Gruppi di indirizzi per i criteri firewall.
(Facoltativo) Se vuoi creare una regola Ingress, seleziona l'origine Google Cloud Threat Intelligence elenca a cui si applica questa regola. Se crei una regola In uscita, seleziona la destinazione Google Cloud Threat Intelligence elenca a cui si applica questa regola. Per ulteriori informazioni su Threat Intelligence, vedi Intelligence sulle minacce per le regole dei criteri firewall.
(Facoltativo) Per una regola Ingress, specifica i filtri per Destinazione:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona
IPv4 e inserisci i blocchi CIDR nel campo
Intervallo IP. Utilizza
0.0.0.0/0
per qualsiasi destinazione IPv4. - Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona
Intervalli IPv6 e inserisci i blocchi CIDR nel campo
Intervalli IPv6 di destinazione. Usa
::/0
per qualsiasi IPv6 destinazione. Per saperne di più, consulta Destinazione per le regole in entrata.
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona
IPv4 e inserisci i blocchi CIDR nel campo
Intervallo IP. Utilizza
(Facoltativo) Per una regola In uscita, specifica il filtro Origine:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona
IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP
. Utilizza
0.0.0.0/0
per qualsiasi origine IPv4. - Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6,
e inserire i blocchi CIDR nel campo intervallo IP
. Utilizza
::/0
per qualsiasi origine IPv6. Per maggiori informazioni, consulta Origine delle regole di traffico in uscita.
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona
IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP
. Utilizza
Per Protocolli e porte, specifica che la regola si applica a tutti i protocolli e le porte di destinazione o specificare protocolli e porte di destinazione che si applica.
Per specificare l'ICMP IPv4, usa
icmp
o il numero di protocollo1
. Per specificare ICMP IPv6, usa il numero di protocollo58
. Per ulteriori informazioni sui protocolli, consulta Protocolli e porte.Fai clic su Crea.
- Priorità: l'ordine di valutazione numerica della regola. Le regole sono
valutato dalla priorità più alta a quella più bassa, dove
Fai clic su Aggiungi regola per aggiungere un'altra regola.
Fai clic su Continua > Associa il criterio alle risorse per associare il criterio alle risorse oppure fai clic su Crea per creare .
gcloud
gcloud compute firewall-policies rules create PRIORITY \ [--organization ORG_ID] \ --firewall-policy POLICY_NAME \ [--direction DIRECTION] \ [--src-ip-ranges IP_RANGES] \ [--dest-ip-ranges IP_RANGES ] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] --action ACTION \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no--tls-inspect] \ [--layer4-configs PROTOCOL_PORT] \ [--target-resources NETWORKS] \ [--target-service-accounts SERVICE_ACCOUNTS] \ [--enable-logging | --no-enable-logging] \ [--disabled]
Sostituisci quanto segue:
PRIORITY
: l'ordine di valutazione numerica della regolaLe regole vengono valutate dalla priorità più alta a quella più bassa, dove
0
rappresenta la priorità più alta. Le priorità devono essere univoche per ogni regola. Un buon è dare alle regole numeri di priorità che consentano l'inserimento in un secondo momento (ad esempio100
,200
,300
).ORG_ID
: ID della tua organizzazionePOLICY_NAME
: il nome breve o il nome del criterio generato dal sistemaDIRECTION
: indica se la regola è unaINGRESS
(impostazione predefinita) oEGRESS
regola- Includi
--src-ip-ranges
per specificare gli intervalli IP per la sorgente del traffico. - Includi
--dest-ip-ranges
per specificare gli intervalli IP per la destinazione del traffico.
Per ulteriori informazioni, vedi target, source e destination.
- Includi
IP_RANGES
: un elenco separato da virgole di formati CIDR Intervalli IP, tutti gli intervalli IPv4 o tutti gli intervalli IPv6, ad esempio:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE
: un elenco di due lettere separato da virgole codici paese- Per la direzione in entrata, specifica i codici paese di origine nel
Parametro
--src-region-code
; non puoi usare--src-region-code
per la direzione in uscita - Per la direzione in uscita, specifica i codici del paese di destinazione nella
Parametro
--dest-region-code
; non puoi usare--dest-region-code
parametro per la direzione in entrata
- Per la direzione in entrata, specifica i codici paese di origine nel
Parametro
LIST_NAMES
: un elenco separato da virgole di nomi di elenchi di Threat Intelligence- Per la direzione in entrata, specifica l'origine Threat Intelligence
elenchi nel parametro
--src-threat-intelligence
; non puoi usare--src-threat-intelligence
per la direzione in uscita - Per la direzione in uscita, specifica la Threat Intelligence di destinazione
elenchi nel parametro
--dest-threat-intelligence
; non puoi usare--dest-threat-intelligence
parametro per la direzione in entrata
- Per la direzione in entrata, specifica l'origine Threat Intelligence
elenchi nel parametro
ADDR_GRP_URL
: un identificatore URL univoco per il gruppo di indirizzi- Per la direzione in entrata, specifica i gruppi di indirizzi di origine nella
Parametro
--src-address-groups
; non puoi usare--src-address-groups
per la direzione in uscita - Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione
nel parametro
--dest-address-groups
; non puoi utilizzare Parametro--dest-address-groups
per la direzione in entrata
- Per la direzione in entrata, specifica i gruppi di indirizzi di origine nella
Parametro
DOMAIN_NAME
: un elenco di nomi di dominio separati da virgole nel formato descritto in Formato del nome di dominio- Per la direzione in entrata, specifica i nomi di dominio di origine nel
Parametro
--src-fqdns
; non puoi usare--src-fqdns
per la direzione in uscita - Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione
nel parametro
--dest-fqdns
; non puoi utilizzare Parametro--dest-fqdns
per la direzione in entrata
- Per la direzione in entrata, specifica i nomi di dominio di origine nel
Parametro
ACTION
: una delle seguenti azioni:allow
: consente le connessioni che corrispondono alla regoladeny
: nega le connessioni che corrispondono alla regolaapply_security_profile_group
: invia i pacchetti in modo trasparente alla L'endpoint firewall configurato per l'ispezione di livello 7goto_next
: passa la valutazione della connessione al livello successivo tra la gerarchia, ovvero una cartella o
Per scoprire di più su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, Ordine di valutazione di criteri e regole.
SECURITY_PROFILE_GROUP
: il nome di un gruppo di profili di sicurezza utilizzata per l'ispezione di livello 7; specificare questo parametro solo quando L'azioneapply_security_profile_group
è selezionata--tls-inspect
: controlla il traffico TLS utilizzando l'ispezione TLS quando viene selezionata l'azioneapply_security_profile_group
nella regola; per impostazione predefinita, l'ispezione TLS è disabilitata oppure puoi specificare--no-tls-inspect
PROTOCOL_PORT
: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17
), protocolli e porte di destinazione (tcp:80
) o protocolli intervalli di porte di destinazione (tcp:5000-6000
)Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
.Per specificare l'ICMP IPv4, usa
icmp
o il numero di protocollo1
. Per specificare ICMP IPv6, utilizza il numero di protocollo58
. Per ulteriori informazioni, vedi Protocolli e porte.NETWORKS
: un elenco di VPC separato da virgole gli URL delle risorse di rete nel formatohttps://www.googleapis.com/compute/v1/projects/
PROJECT_ID/global/networks/
NETWORK_NAME, dove PROJECT_ID è l'ID del progetto che contiene la rete VPC, mentre NETWORK_NAME è il nome della rete. Se omesso, la regola si applica a tutti i VPC all'interno della risorsa.Per ulteriori informazioni, vedi Destinazioni per le regole dei criteri firewall gerarchici.
SERVICE_ACCOUNTS
: un elenco di servizi separato da virgole account; La regola viene applicata solo alle VM in esecuzione con accesso all'account di servizio specificatoPer ulteriori informazioni, vedi Destinazioni per le regole dei criteri firewall gerarchici.
--enable-logging
e--no-enable-logging
: attiva o disattiva Logging delle regole firewall per la regola specificata--disabled
: indica che la regola firewall, sebbene esista, è da non prendere in considerazione durante l'elaborazione delle connessioni; omettere questo abilita la regola, ma puoi specificare--no-disabled
Associa un criterio all'organizzazione o alla cartella
Associa un criterio a una risorsa per attivare le regole dei criteri per qualsiasi VM sotto la risorsa nella gerarchia.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla scheda Associazioni.
Fai clic su Aggiungi associazione.
Seleziona la radice dell'organizzazione o seleziona le cartelle all'interno del dell'organizzazione.
Fai clic su Aggiungi.
gcloud
gcloud compute firewall-policies associations create \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [ --folder FOLDER_ID ] \ [ --name ASSOCIATION_NAME ] \ [ --replace-association-on-target ]
Sostituisci quanto segue:
POLICY_NAME
: il nome breve o il nome del criterio generato dal sistemaORG_ID
: ID della tua organizzazioneFOLDER_ID
: se vuoi associare il criterio a una cartella, specificalo qui; ometti se il criterio viene associato alla livello organizzazioneASSOCIATION_NAME
: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su "organizzazioneORG_ID
" o "cartellaFOLDER_ID
"--replace-association-on-target
e
Per impostazione predefinita, se tenti di inserire un'associazione in un'organizzazione o una cartella che ha già un'associazione, il metodo non va a buon fine. Se se specifichi questo flag, l'associazione esistente viene eliminata contemporaneamente che viene creata la nuova associazione. In questo modo la risorsa senza una norma durante la transizione.
Spostare un criterio da una risorsa all'altra
Lo spostamento di un criterio modifica la risorsa proprietario del criterio. Per spostare un criterio, devi
dispongono delle autorizzazioni di move
sia per la vecchia che per la nuova risorsa.
Lo spostamento di un criterio non influisce sulle associazioni dei criteri esistenti o sulle delle regole esistenti, ma ciò potrebbe influire su chi dispone delle autorizzazioni modificare o associare il criterio dopo lo spostamento.
Console
Utilizza Google Cloud CLI per questa procedura.
gcloud
gcloud compute firewall-policies move POLICY_NAME \ --organization ORG_ID \ [--folder FOLDER_ID]
Sostituisci quanto segue:
POLICY_NAME
: il nome breve o il nome generato dal sistema del criterio che stai spostandoORG_ID
: ID della tua organizzazione; se sposti il criterio all'organizzazione, specifica questo ID ma non una cartellaFOLDER_ID
: se vuoi associare il criterio a una cartella, specificalo qui; ometti se il criterio viene associato alla organizzazione
Aggiorna la descrizione di un criterio
L'unico campo del criterio che può essere aggiornato è il campo Descrizione.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic su Modifica.
Modifica la descrizione.
Fai clic su Salva.
gcloud
gcloud compute firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --organization ORG_ID
Elenco criteri
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Per un'organizzazione, i criteri firewall associati a questa organizzazione mostra i criteri associati. La Nella sezione I criteri firewall situati in questa organizzazione sono elencati i criteri di proprietà dell'organizzazione.
Per una cartella, i criteri firewall associati a questa cartella o ereditati da questa cartella mostra i criteri associati o ereditati dalla cartella. La Nella sezione I criteri firewall situati in questa cartella sono elencati i criteri che sono di proprietà della cartella.
gcloud
gcloud compute firewall-policies list \ [--organization ORG_ID | --folder FOLDER_ID]
Descrivi un criterio
Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Nella Inoltre, puoi vedere molti attributi che sono presenti in tutte le regole nel . Questi attributi vengono conteggiati ai fini di un limite per criterio.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Elimina un criterio
Devi eliminare tutte le associazioni in un criterio firewall dell'organizzazione prima di possono eliminarlo.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sul criterio da eliminare.
Fai clic sulla scheda Associazioni.
Seleziona tutte le associazioni.
Fai clic su Rimuovi associazioni.
Dopo aver rimosso tutte le associazioni, fai clic su Elimina.
gcloud
Elenca tutte le risorse associate a un criterio firewall:
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Eliminare singole associazioni. Per rimuovere l'associazione, devi avere il ruolo
compute.orgSecurityResourceAdmin
nella risorsa associata oppure predecessore di quella risorsa.gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Elimina il criterio:
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
Elenco associazioni per una risorsa
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Per la risorsa (organizzazione o cartella) selezionata, un elenco di i criteri ereditati e quelli ereditati.
gcloud
gcloud compute firewall-policies associations list \ [--organization ORG_ID | --folder FOLDER_ID]
Elenca le associazioni per un criterio
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla scheda Associazioni.
Le associazioni sono elencate nella tabella.
gcloud
gcloud compute firewall-policies describe POLICY_ID
Eliminare un'associazione
Per interrompere l'applicazione di un criterio firewall nell'organizzazione o in una cartella: elimineremo l'associazione.
Tuttavia, se intendi scambiare un criterio firewall con un altro, non necessario eliminare prima l'associazione esistente. In questo modo periodo di tempo in cui nessuna delle norme viene applicata. Sostituisci invece norme esistenti quando associ una nuova norma.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla scheda Associazioni.
Seleziona l'associazione che vuoi eliminare.
Fai clic su Rimuovi associazioni.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID
Attività per le regole dei criteri firewall
Crea una regola in un criterio firewall esistente
Consulta Creare regole firewall.
Elenco di tutte le regole in un criterio
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma. Le regole sono elencate nella scheda Regole firewall.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \ --organization ORG_ID
Descrivi una regola
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla priorità della regola.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Sostituisci quanto segue:
PRIORITY
: la priorità della regola che vuoi visualizzare; perché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regolaORG_ID
: ID della tua organizzazionePOLICY_NAME
: il nome breve o generato dal sistema del che contiene la regola
Aggiorna una regola
Per le descrizioni dei campi, consulta Creazione di regole firewall.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Fai clic sulla priorità della regola.
Fai clic su Modifica.
Modifica i campi da modificare.
Fai clic su Salva.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [...fields you want to modify...]
Clona le regole da un criterio all'altro
Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole nel criterio di origine.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sul criterio da cui vuoi copiare le regole.
Fai clic su Clona nella parte superiore dello schermo.
Specifica il nome di un criterio di destinazione.
Fai clic su Continua > Associa il criterio alle risorse se vuoi associare immediatamente il nuovo criterio.
Fai clic su Clona.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \ --organization ORG_ID \ --source-firewall-policy SOURCE_POLICY
Sostituisci quanto segue:
POLICY_NAME
: il criterio per ricevere le regole copiateORG_ID
: ID della tua organizzazioneSOURCE_POLICY
: il criterio da cui copiare le regole; deve essere l'URL della risorsa
Eliminare una regola da un criterio
L'eliminazione di una regola da un criterio la rimuove da tutte le VM l'ereditarietà della regola.
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nel menu a discesa del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sulla norma.
Seleziona la regola da eliminare.
Fai clic su Elimina.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Sostituisci quanto segue:
PRIORITY
: la priorità della regola da cui vuoi eliminare le normeORG_ID
: ID della tua organizzazionePOLICY_NAME
: il criterio contenente la regola
Ottieni regole firewall efficaci per una rete
Visualizza tutte le regole dei criteri firewall gerarchici, il firewall VPC e regole del criterio firewall di rete globale applicate a un rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sulla rete per cui vuoi visualizzare le regole del criterio firewall.
Fai clic su Criteri firewall.
Espandi ciascun criterio firewall per visualizzare le regole che si applicano a questa rete.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Sostituisci quanto segue:
NETWORK_NAME
: la rete per ottenere regole efficaci
Puoi anche visualizzare le regole firewall effettive per una rete dal Firewall .
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
I criteri firewall sono elencati nella sezione Criteri firewall ereditati da questo progetto.
Fai clic su ciascun criterio firewall per visualizzare le regole che si applicano a questa rete.
Ottieni regole firewall efficaci per un'interfaccia VM
Visualizza tutte le regole dei criteri firewall gerarchici, il firewall VPC e regole del criterio firewall di rete globale applicate a un all'interfaccia VM di Compute Engine.
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Nel menu a discesa del selettore progetti, seleziona il progetto contenente la VM.
Fai clic sulla VM.
In Interfacce di rete, fai clic sull'interfaccia.
Le regole firewall effettive vengono visualizzate in Dettagli firewall e route.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Sostituisci quanto segue:
INSTANCE_NAME
: la VM per cui ottenere regole efficaci. se nessuna interfaccia specificata, restituisce le regole per l'interfaccia principale (nic0
)INTERFACE
: l'interfaccia della VM per cui ottenere regole efficaci per: predefinita ènic0
ZONE
: la zona della VM; facoltativo se la zona scelta è già impostato come predefinito
Risoluzione dei problemi
Questa sezione contiene le spiegazioni dei messaggi di errore che potresti visualizzare.
FirewallPolicy may not specify a name. One will be provided.
Non puoi specificare un nome per il criterio. "Nomi" dei criteri firewall gerarchici sono ID numerici generati da Google Cloud al momento della creazione del criterio. Tuttavia, puoi specificare un nome breve più semplice che funga da alias in: in molti contesti.
FirewallPolicy may not specify associations on creation.
Le associazioni possono essere create solo dopo che i criteri firewall gerarchici sono è stato creato.
Can not move firewall policy to a different organization.
Gli spostamenti dei criteri firewall gerarchici devono rimanere all'interno della stessa organizzazione.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.
Se una risorsa è già collegata a un criterio firewall gerarchico, l'operazione di collegamento non va a buon fine, a meno che non sia possibile sostituire quello esistente è impostato su true.
Cannot have rules with the same priorities.
Le priorità delle regole devono essere univoche all'interno di un firewall gerarchico .
Direction must be specified on firewall policy rule.
Quando crei regole gerarchiche di criteri firewall mediante l'invio di richieste REST occorre specificare la direzione della regola. Quando utilizzi il Google Cloud CLI e non è specificata nessuna direzione; il valore predefinito è
INGRESS
.Can not specify enable_logging on a goto_next rule.
Il logging dei firewall non è consentito per le regole con l'azione goto_next perché Le azioni goto_next vengono utilizzate per rappresentare l'ordine di valutazione di criteri firewall e non sono azioni del terminale, ad esempio CONSENTI o DENY.
Must specify at least one destination on Firewall policy rule.
Il parametro
layer4Configs
nella regola del criterio firewall deve essere specificato in almeno un protocollo o un protocollo e una porta di destinazione.Per maggiori dettagli sulla risoluzione dei problemi relativi alle regole dei criteri firewall, consulta Risoluzione dei problemi relativi alle regole firewall VPC.