Tabelle firewall

Una tabella firewall elenca le regole per filtrare il traffico di rete da e verso le risorse cloud private. Le regole del firewall controllano il traffico di rete tra una rete o un indirizzo IP di origine e una rete o un indirizzo IP di destinazione.

Dopo aver configurato la tabella firewall e le regole firewall, puoi collegare la tabella a una subnet per applicare le regole corrispondenti. Puoi applicare una tabella firewall a più subnet, ma una subnet può essere associata a una sola tabella firewall.

Le tabelle firewall vengono utilizzate per controllare l'accesso agli indirizzi IP esterni. Per tutti gli altri controlli di accesso, gestisci le impostazioni del firewall nei data center NSX-T. Per i dettagli, consulta Firewall in modalità gestore.

Creazione di una tabella firewall

  1. Accedi al portale Google Cloud VMware Engine
  2. Vai a Tabelle firewall > di rete.
  3. Fai clic su Crea nuova tabella firewall.
  4. Inserisci un nome per la tabella.
  5. Se vuoi, aggiungi regole firewall. Ogni tabella firewall inizia con un insieme di regole firewall predefinite
  6. Fai clic su Fine per salvare la tabella firewall.

Collegamento di una tabella firewall a una subnet

Dopo aver definito una tabella firewall, puoi specificare le subnet soggette alle regole della tabella.

  1. Nella pagina Tabelle firewall > di rete, seleziona una tabella firewall.
  2. Seleziona la scheda Subnet collegate.
  3. Fai clic su Collega a una subnet.
  4. Seleziona il cloud privato a cui vuoi allegare la tabella firewall.
  5. Seleziona la subnet NsxtEdgeUplink1 del cloud privato.
  6. Fai clic su Invia.
  7. Ripeti i passaggi precedenti per la subnet NsxtEdgeUplink2 di quel cloud privato.

Regole firewall

Le regole del firewall determinano il modo in cui il firewall tratta tipi specifici di traffico. La scheda Regole di una tabella firewall selezionata elenca tutte le regole associate.

Per creare una regola firewall, segui questi passaggi:

  1. Vai a Tabelle firewall > di rete.
  2. Seleziona la tabella firewall.
  3. Fai clic su Crea nuova regola.
  4. Imposta le proprietà della regola firewall che ti interessano.
  5. Fai clic su Fine per salvare la regola e aggiungerla all'elenco delle regole per la tabella firewall.

Regole stateful

Una regola firewall stateful monitora le connessioni che la attraversano. Una regola stateful crea un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato della connessione del flusso di dati. Utilizza questo tipo di regola per gli indirizzi IP pubblici per filtrare il traffico da Internet.

Regole firewall predefinite

Ogni tabella firewall ha le seguenti regole predefinite per i firewall:

Priorità Nome Direzione Tipo di traffico Protocollo Origine Porta di origine Destinazione Porta di destinazione Azione
65000 consenti-tcp-a-internet In uscita IP pubblico o traffico Internet TCP Qualsiasi Qualsiasi Qualsiasi Qualsiasi Consenti
65001 consenti-udp-a-internet In uscita IP pubblico o traffico Internet UDP Qualsiasi Qualsiasi Qualsiasi Qualsiasi Consenti
65002 allow-icmp-a-internet In uscita IP pubblico o traffico Internet ICMP Qualsiasi Qualsiasi Qualsiasi Qualsiasi Consenti
65100 nega tutto da Internet In entrata IP pubblico o traffico Internet Tutti i protocolli Qualsiasi Qualsiasi Qualsiasi Qualsiasi Rifiuta
65101 consenti alla rete intranet In uscita Traffico VPN o interno al cloud privato Tutti i protocolli Qualsiasi Qualsiasi Qualsiasi Qualsiasi Consenti
65102 consenti-tutto-da-intranet In entrata Traffico VPN o interno al cloud privato Tutti i protocolli Qualsiasi Qualsiasi Qualsiasi Qualsiasi Consenti

Proprietà delle regole firewall

La seguente tabella descrive le proprietà in una regola firewall:

Proprietà Descrizione
Nome Un nome che identifica in modo univoco la regola firewall e il suo scopo.
Priorità Un numero compreso tra 100 e 4096, dove 100 rappresenta la priorità massima. Le regole vengono elaborate in ordine di priorità. Quando il traffico rileva una corrispondenza di regola, l'elaborazione delle regole si interrompe. Le regole con priorità inferiori hanno gli stessi attributi delle regole con priorità maggiori non vengono elaborate. Fai attenzione a evitare regole in conflitto.
Protocollo Protocollo Internet coperto dalla regola.
Direzione Se la regola si applica al traffico in entrata o in uscita. Devi definire regole separate per il traffico in entrata e in uscita.
Azione Consenti o nega per il tipo di traffico definito nella regola.
Origine Un blocco di indirizzi IP, routing senza dominio (CIDR) senza classe (ad esempio 10.0.0.0/24) o Qualsiasi. Se specifichi un intervallo, un tag di servizio o un gruppo di sicurezza dell'applicazione, puoi creare meno regole di sicurezza.
Intervallo porte di origine Porta da cui ha origine il traffico di rete. Puoi specificare una singola porta o un intervallo di porte, ad esempio 443 o 8000-8080. Se specifichi un intervallo, puoi ridurre il numero di regole di sicurezza.
Destinazione Un indirizzo IP, un blocco CIDR (ad esempio 10.0.0.0/24) o uno qualsiasi. Specificando un intervallo, un tag di servizio o un gruppo di sicurezza dell'applicazione puoi creare meno regole di sicurezza.
Intervallo porte di destinazione Porta verso la quale scorre il traffico di rete. Puoi specificare una singola porta o un intervallo di porte, ad esempio 443 o 8000-8080. Se specifichi un intervallo, puoi ridurre il numero di regole di sicurezza.