Mit Firewallrichtlinien können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen (Identity and Access Management). Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln (Virtual Private Cloud).
Hierarchische Firewallrichtlinien
Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen.
Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.
Globale Netzwerk-Firewallrichtlinien
Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen gilt (global). Nachdem Sie eine globale Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen im VPC-Netzwerk angewendet werden.
Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.
Regionale Netzwerk-Firewallrichtlinien
Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region gilt. Nachdem Sie eine regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen innerhalb dieser Region des VPC-Netzwerks angewendet werden.
Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.
Reihenfolge der Richtlinien- und Regelauswertungen
Regeln in hierarchischen Firewallrichtlinien, globalen Netzwerkfirewallrichtlinien, regionalen Netzwerkfirewallrichtlinien und VPC-Firewallregeln werden als Teil der VM-Paketverarbeitung der Andromeda-Netzwerkvirtualisierungs-Stack implementiert. Regeln werden für jede Netzwerkschnittstelle (NIC) der VM ausgewertet.
Die Anwendbarkeit einer Regel hängt nicht von der Genauigkeit ihrer Protokolle und der konfiguration ihrer Ports ab. Beispielsweise hat eine Regel zum Zulassen mit höherer Priorität für alle Protokolle Vorrang vor einer Regel zum Ablehnen mit niedriger Priorität, die für TCP
-Port 22 spezifisch ist.
Darüber hinaus hängt die Anwendbarkeit einer Regel nicht von der Genauigkeit des Zielparameters ab. Beispielsweise hat eine Zulassungsregel mit höherer Priorität für alle VMs (alle Ziele) Vorrang, auch wenn eine Regel zum Ablehnen mit niedrigerer Priorität mit einem spezifischeren Zielparameter vorhanden ist, zum Beispiel ein bestimmtes Dienstkonto oder Tag.
Richtlinien- und Regelauswertungsreihenfolge bestimmen
Die Reihenfolge, in der die Firewallrichtlinienregeln und VPC-Firewallregeln ausgewertet werden, wird durch das Flag networkFirewallPolicyEnforcementOrder
des VPC-Netzwerks bestimmt, das mit der NIC der VM verbunden ist. “
Das Flag networkFirewallPolicyEnforcementOrder
kann die folgenden beiden Werte haben:
BEFORE_CLASSIC_FIREWALL
: Wenn Sie das Flag aufBEFORE_CLASSIC_FIREWALL
setzen, werden die globale Netzwerk-Firewallrichtlinie und die regionale Netzwerk-Firewallrichtlinie vor VPC-Firewallregeln in der Regelauswertungsreihenfolge festlegen.AFTER_CLASSIC_FIREWALL
: Wenn Sie das Flag aufAFTER_CLASSIC_FIREWALL
setzen, werden die globale Netzwerk-Firewallrichtlinie und die regionale Netzwerk-Firewallrichtlinie nach VPC-Firewallregeln in der Regelauswertungsreihenfolge festlegen.AFTER_CLASSIC_FIREWALL
ist der Standardwert des FlagsnetworkFirewallPolicyEnforcementOrder
.
Informationen zum Ändern der Regelauswertungsreihenfolge finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.
Standardrichtlinien- und Regelauswertungsreihenfolge
Standardmäßig und wenn networkFirewallPolicyEnforcementOrder
des VPC-Netzwerks, das an die NIC der VM angehängt ist, AFTER_CLASSIC_FIREWALL
ist, wertet Google Cloud die Regeln, die für die NIC der VM gelten, in der folgenden Reihenfolge aus:
- Wenn eine hierarchische Firewallrichtlinie der Organisation zugeordnet ist, die das Projekt der VM enthält, wertet Google Cloud alle anwendbaren Regeln in der hierarchischen Firewallrichtlinie aus. Da Regeln in hierarchischen Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und der Layer-4-Eigenschaften entspricht, die Verarbeitung des Traffics.
- Die Regel kann den Traffic zulassen. Der Evaluierungsprozess wird beendet.
- Die Regel kann den Traffic ablehnen. Der Evaluierungsprozess wird beendet.
- Die Regel kann den Traffic für die Layer-7-Prüfung (
apply_security_profile_group
) an den Firewallendpunkt senden. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt dann vom Firewallendpunkt und vom konfigurierten Sicherheitsprofil ab. In beiden Fällen wird der Prozess der Regelauswertung beendet. - Die Regel kann die Verarbeitung von Regeln zulassen, die definiert sind wie in den nächsten Schritten beschrieben, wenn eine der folgenden Bedingungen zutrifft:
- Eine Regel mit der Aktion
goto_next
stimmt mit dem Traffic überein. - Es stimmen keine Regeln mit dem Traffic überein. In diesem Fall gilt eine implizierte
goto_next
-Regel.
- Eine Regel mit der Aktion
- Wenn eine hierarchische Firewallrichtlinie mit dem entferntesten (obersten) ursprünglichen Ordner des VM-Projekts verknüpft ist, wertet Google Cloud alle anwendbaren Regeln in der hierarchischen Firewallrichtlinie für diesen Ordner aus. Da Regeln in hierarchischen Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Layer-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird:
allow
,deny
,apply_security_profile_group
odergoto_next
, wie im ersten Schritt beschrieben. - Google Cloud wiederholt die Aktionen des vorherigen Schritts für eine hierarchische Firewallrichtlinie, die dem nächsten Ordner zugeordnet ist, der näher am Projekt der VM in der Ressourcenhierarchie liegt. Google Cloud wertet zuerst Regeln in hierarchischen Firewallrichtlinien aus, die mit dem entferntesten ursprünglichen Ordner verknüpft sind (am nächsten an der Organisation) und evaluiert dann Regeln in hierarchischen Firewallrichtlinien, die dem nächsten (untergeordneten) Ordner zugeordnet sind, der näher am Projekt der VM liegt.
Wenn in dem von der NIC der VM verwendeten VPC-Netzwerk VPC-Firewallregeln vorhanden sind, wertet Google Cloud alle anwendbaren VPC-Firewallregeln aus.
Im Gegensatz zu Regeln in Firewallrichtlinien:
VPC-Firewallrichtlinienregeln haben keine explizite
goto_next
- oderapply_security_profile_group
-Aktion. Eine VPC-Firewallregel kann nur so konfiguriert werden, dass Traffic zugelassen oder abgelehnt wird.Zwei oder mehr VPC-Firewallregeln in einem VPC-Netzwerk können dieselbe Prioritätsnummer haben. In dieser Situation haben Ablehn-Regeln Vorrang vor Zulassungs-Regeln. Weitere Informationen zur Priorität von VPC-Firewallregeln finden Sie in der Dokumentation zu VPC-Firewallregeln unter Priorität.
Wenn für den Traffic keine VPC-Firewallregel gilt, fährt Google Cloud mit dem nächsten Schritt fort: impliziertes
goto_next
.Wenn eine globale Netzwerk-Firewallrichtlinie dem VPC-Netzwerk der VM-NIC zugeordnet ist, wertet Google Cloud alle anwendbaren Regeln in der Firewallrichtlinie aus. Da Regeln in Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Layer-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird:
allow
,deny
,apply_security_profile_group
odergoto_next
, wie im ersten Schritt beschrieben.Wenn eine regionale Netzwerk-Firewallrichtlinie dem VPC-Netzwerk der VM-NIC und der Region der VM zugeordnet ist, wertet Google Cloud alle anwendbaren Regeln in der Firewallrichtlinie aus. Da Regeln in Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Ebene-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird:
allow
,deny
, odergoto_next
, wie im ersten Schritt beschrieben.Als letzten Schritt in der Evaluierung erzwingt Google Cloud die implizierte VPC-Firewallregeln zum Zulassen von ausgehendem Traffic und die implizierte VPC-Firewallregeln für Ablehnen von eingehendem Traffic.
Das folgende Diagramm zeigt den Ablauf der Auflösung von Firewallregeln.
Richtlinien- und Regelauswertungsreihenfolge ändern
Google Cloud bietet Ihnen die Möglichkeit, den Standardprozess für die Auswertung von Regeln zu ändern. Ersetzen Sie dazu die Reihenfolge der VPC-Firewallregeln und Netzwerk-Firewallrichtlinien (sowohl global als auch regional). In diesem Fall werden die globale Netzwerk-Firewallrichtlinie (Schritt 5) und die regionale Netzwerk-Firewallrichtlinie (Schritt 6) vor den VPC-Firewallregeln (Schritt 4) in der Regeauswertungsreihenfolge ausgewertet.
Führen Sie zum Ändern der Regelauswertungsreihenfolge den folgenden Befehl aus, um das Attribut networkFirewallPolicyEnforcementOrder
des VPC-Netzwerks auf BEFORE_CLASSIC_FIREWALL
festzulegen:
gcloud compute networks update VPC-NETWORK-NAME \ --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL
Weitere Informationen finden Sie im Artikel zur Methode networks.patch
.
Gültige Firewallregeln
Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale und regionale Netzwerk-Firewall-Richtlinienregeln steuern Verbindungen. Es kann hilfreich sein, alle Firewallregeln aufzurufen, die sich auf ein einzelnes Netzwerk oder eine einzelne VM-Schnittstelle auswirken.
Netzwerk-gültige Firewallregeln
Sie können alle Firewallregeln aufrufen, die auf ein VPC-Netzwerk angewendet werden. Die Liste enthält die folgenden Arten von Regeln:
- Regeln von hierarchischen Firewallrichtlinien übernommen
- VPC-Firewallregeln
- Regeln, die von den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden
Instanz-gültige Firewallregeln
Sie können alle Firewallregeln aufrufen, die auf die Netzwerkschnittstelle einer VM angewendet werden. Die Liste enthält die folgenden Arten von Regeln:
- Regeln von hierarchischen Firewallrichtlinien übernommen
- Regeln, die von der VPC-Firewall der Schnittstelle angewendet werden
- Regeln, die von den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden
Die Regeln werden angefangen bei der Organisationsebene bis zu dem VPC-Netzwerk sortiert. Es werden nur Regeln angezeigt, die für die VM-Schnittstelle gelten. Regeln in anderen Richtlinien werden nicht angezeigt.
Informationen zur Anzeige der effektiven Firewallregeln innerhalb einer Region finden Sie unter Effektive Firewallrichtlinien für ein Netzwerk abrufen.
Vordefinierte Regeln
Wenn Sie eine hierarchische Firewallrichtlinie, eine globale Netzwerk-Firewallrichtlinie oder eine regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud NGFW der Richtlinie vordefinierte Regeln hinzu. Die vordefinierten Regeln, die Cloud NGFW der Richtlinie hinzufügt, hängen davon ab, wie Sie die Richtlinie erstellen.
Wenn Sie eine Firewallrichtlinie mit der Google Cloud Console erstellen, fügt Cloud NGFW der neuen Richtlinie die folgenden Regeln hinzu:
- Zu den nächsten Regeln für private IPv4-Bereiche
- Vordefinierte Threat Intelligence-Ablehnungsregeln
- Vordefinierte Ablehnungsregeln für Geo-Standorte
- Niedrigste mögliche Priorität unter den nächsten Regeln
Wenn Sie eine Firewallrichtlinie mit der Google Cloud CLI oder der API erstellen, fügt Cloud NGFW der Richtlinie nur die niedrigste mögliche Priorität zur nächsten Seite hinzu.
Alle vordefinierten Regeln in einer neuen Firewallrichtlinie verwenden absichtlich niedrige Prioritäten (hohe Prioritätsnummern), damit Sie sie überschreiben können. Dazu erstellen Sie Regeln mit höheren Prioritäten. Mit Ausnahme der niedrigsten möglichen Priorität zu den nächsten Regeln können Sie auch die vordefinierten Regeln anpassen.
Zu den nächsten Regeln für private IPv4-Bereiche
Einer Ausgangsregel mit den IPv4-Zielbereichen
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, Aktion1000
undgoto_next
-Aktion.Eine Regel für eingehenden Traffic mit den Quell-IPv4-Bereichen
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, Priorität1001
undgoto_next
-Aktion.
Vordefinierte Threat Intelligence-Ablehnungsregeln
Eine Regel für eingehenden Traffic mit der Threat Intelligence-Quellliste
iplist-tor-exit-nodes
, der Priorität1002
und der Aktiondeny
.Eine Regel für eingehenden Traffic mit der Threat Intelligence-Quellliste
iplist-known-malicious-ips
, der Priorität1003
und der Aktiondeny
.Einer Ausgangsregel mit der Threat Intelligence-Liste
iplist-known-malicious-ips
, der Priorität1004
und der Aktiondeny
.
Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence für Firewallrichtlinienregeln.
Vordefinierte Ablehnungsregeln für Geo-Standorte
- Eine Regel für eingehenden Traffic mit Quellen, die den geografischen Standorten
CU
,IR
,KP
,SY
,XC
undXD
entsprechen, der Priorität1005
und derdeny
-Aktion.
Weitere Informationen zu geografischen Standorten finden Sie unter Geostandortobjekte.
Niedrigste mögliche Priorität zur nächsten Regel
Folgende Regeln können nicht geändert oder gelöscht werden:
Regel für ausgehenden Traffic mit dem IPv6-Zielbereich
::/0
, der Aktion2147483644
und der Aktiongoto_next
.Einer Eingangsregel mit dem IPv6-Quellbereich
::/0
, der Priorität2147483645
und der Aktiongoto_next
.Einer Regel für ausgehenden Traffic mit dem IPv4-Zielbereich
0.0.0.0/0
, der Priorität2147483646
und der Aktiongoto_next
.Einer Eingangsregel mit dem IPv4-Quellbereich
0.0.0.0/0
, der Priorität2147483647
und der Aktiongoto_next
.
Nächste Schritte
- Informationen zum Erstellen und Ändern von hierarchischen Firewallrichtlinien und -regeln finden Sie unter Hierarchische Firewallrichtlinien verwenden.
- Beispiele für die Implementierung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.
- Informationen zum Erstellen und Ändern globaler Firewallrichtlinien und -regeln finden Sie unter globale Netzwerk-Firewallrichtlinien verwenden.
- Informationen zum Erstellen und Ändern regionaler Netzwerk-Firewallrichtlinien und -regeln finden Sie unter Regionale Netzwerk-Firewallrichtlinien verwenden.