Firewallrichtlinien

Mit Firewallrichtlinien können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen (Identity and Access Management). Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln (Virtual Private Cloud).

Hierarchische Firewallrichtlinien

Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer ganzen Organisation oder einzelnen Ordnern verknüpfen.

Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.

Globale Netzwerk-Firewallrichtlinien

Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen (global) gilt. Nachdem Sie eine globale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen im VPC-Netzwerk angewendet werden.

Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.

Regionale Netzwerk-Firewallrichtlinien

Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region gilt. Nachdem Sie eine regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen innerhalb dieser Region des VPC-Netzwerks angewendet werden.

Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.

Richtlinien- und Regelauswertungsreihenfolge

Regeln in hierarchischen Firewallrichtlinien, globalen Netzwerkfirewallrichtlinien, regionalen Netzwerkfirewallrichtlinien und VPC-Firewallregeln werden als Teil der VM-Paketverarbeitung der Andromeda-Netzwerkvirtualisierungs-Stack implementiert. Regeln werden für jede Netzwerkschnittstelle (NIC) der VM ausgewertet.

Die Anwendbarkeit einer Regel hängt nicht von der Genauigkeit ihrer Protokolle und der konfiguration ihrer Ports ab. Beispielsweise hat eine Regel zum Zulassen mit höherer Priorität für alle Protokolle Vorrang vor einer Regel zum Ablehnen mit niedriger Priorität, die für TCP-Port 22 spezifisch ist.

Darüber hinaus hängt die Anwendbarkeit einer Regel nicht von der Genauigkeit des Zielparameters ab. Beispielsweise hat eine Zulassungsregel mit höherer Priorität für alle VMs (alle Ziele) Vorrang, auch wenn eine Regel zum Ablehnen mit niedrigerer Priorität mit einem spezifischeren Zielparameter vorhanden ist, zum Beispiel ein bestimmtes Dienstkonto oder Tag.

Reihenfolge der Richtlinien- und Regelauswertung bestimmen

Die Reihenfolge, in der die Firewall-Richtlinien-Regeln und die VPC-Firewallregeln ausgewertet werden, wird durch das networkFirewallPolicyEnforcementOrder-Flag des VPC-Netzwerks bestimmt, das mit der NIC der VM verbunden ist.

Das networkFirewallPolicyEnforcementOrder-Flag kann die folgenden Werte haben:

  • BEFORE_CLASSIC_FIREWALL: Wenn Sie das Flag auf BEFORE_CLASSIC_FIREWALL setzen, werden die globale Netzwerk-Firewallrichtlinie und die regionale Netzwerk-Firewallrichtlinie vor den VPC-Firewallregeln in der Reihenfolge der Regelauswertung bewertet.

  • AFTER_CLASSIC_FIREWALL: Wenn Sie das Flag auf AFTER_CLASSIC_FIREWALL setzen, werden die globale Netzwerk-Firewallrichtlinie und die regionale Netzwerk-Firewallrichtlinie nach VPC-Firewallregeln in der Reihenfolge der Regelauswertung bewertet. AFTER_CLASSIC_FIREWALL ist der Standardwert des networkFirewallPolicyEnforcementOrder-Flags.

Informationen zum Ändern der Regelauswertungsreihenfolge finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.

Standardreihenfolge der Richtlinien- und Regelauswertung

Standardmäßig und wenn networkFirewallPolicyEnforcementOrder des VPC-Netzwerks, das mit der NIC der VM verbunden ist, AFTER_CLASSIC_FIREWALL ist, wertet Google Cloud die Regeln, die für die NIC der VM gelten, in folgender Reihenfolge aus:

  1. Wenn eine hierarchische Firewallrichtlinie der Organisation zugeordnet ist, die das Projekt der VM enthält, wertet Google Cloud alle anwendbaren Regeln in der hierarchischen Firewallrichtlinie aus. Da Regeln in hierarchischen Firewallrichtlinien einmalig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Layer-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird:
    • Die Regel kann den Traffic zulassen. Der Evaluierungsprozess wird beendet.
    • Die Regel kann den Traffic ablehnen. Der Evaluierungsprozess wird beendet.
    • Die Regel kann den Traffic für die Layer-7-Prüfung (apply_security_profile_group) an den Firewallendpunkt senden. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt dann vom Firewallendpunkt und vom konfigurierten Sicherheitsprofil ab. In beiden Fällen wird der Prozess der Regelauswertung beendet.
    • Die Regel kann die Verarbeitung von Regeln zulassen, die definiert sind wie in den nächsten Schritten beschrieben, wenn eine der folgenden Bedingungen zutrifft:
      • Eine Regel mit der Aktion goto_next stimmt mit dem Traffic überein.
      • Es gibt keine Regeln, die mit dem Traffic übereinstimmen. In diesem Fall gilt eine implizierte goto_next-Regel.
  2. Wenn eine hierarchische Firewallrichtlinie mit dem entferntesten (obersten) ursprünglichen Ordner des VM-Projekts verknüpft ist, wertet Google Cloud alle anwendbaren Regeln in der hierarchischen Firewallrichtlinie für diesen Ordner aus. Da Regeln in hierarchischen Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Layer-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird: allow, deny, apply_security_profile_group oder goto_next, wie im ersten Schritt beschrieben.
  3. Google Cloud wiederholt die Aktionen des vorherigen Schritts für eine hierarchische Firewallrichtlinie, die dem nächsten Ordner zugeordnet ist, der näher am Projekt der VM in der Ressourcenhierarchie liegt. Google Cloud wertet zuerst Regeln in hierarchischen Firewallrichtlinien aus, die mit dem entferntesten ursprünglichen Ordner verknüpft sind (am nächsten an der Organisation) und evaluiert dann Regeln in hierarchischen Firewallrichtlinien, die dem nächsten (untergeordneten) Ordner zugeordnet sind, der näher am Projekt der VM liegt.
  4. Wenn im VPC-Netzwerk, das von der NIC der VM verwendet wird, VPC-Firewallregeln vorhanden sind, wertet Google Cloud alle anwendbaren VPC-Firewallregeln aus.

    Im Gegensatz zu Regeln in Firewallrichtlinien:

    • VPC-Firewallrichtlinienregeln haben keine explizite goto_next- oder apply_security_profile_group-Aktion. Eine VPC-Firewallregel kann nur so konfiguriert werden, dass Traffic zugelassen oder abgelehnt wird.

    • Zwei oder mehr VPC-Firewallregeln in einem VPC-Netzwerk können dieselbe Prioritätsnummer haben. In dieser Situation haben Ablehn-Regeln Vorrang vor Zulassungs-Regeln. Weitere Informationen zur Priorität von VPC-Firewallregeln finden Sie in der Dokumentation zu VPC-Firewallregeln unter Priorität.

    Wenn für den Traffic keine VPC-Firewallregel gilt, fährt Google Cloud mit dem nächsten Schritt fort: impliziertes goto_next.

  5. Wenn eine globale Netzwerk-Firewallrichtlinie dem VPC-Netzwerk der VM-NIC zugeordnet ist, wertet Google Cloud alle anwendbaren Regeln in der Firewallrichtlinie aus. Da Regeln in Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Layer-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird: allow, deny, apply_security_profile_group oder goto_next, wie im ersten Schritt beschrieben.

  6. Wenn eine regionale Netzwerk-Firewallrichtlinie dem VPC-Netzwerk der VM-NIC und der Region der VM zugeordnet ist, wertet Google Cloud alle anwendbaren Regeln in der Firewallrichtlinie aus. Da Regeln in Firewallrichtlinien eindeutig sein müssen, bestimmt die Regel mit der höchsten Priorität, die der Richtung des Traffics und den Ebene-4-Eigenschaften entspricht, wie der Traffic verarbeitet wird: allow, deny, oder goto_next, wie im ersten Schritt beschrieben.

  7. Als letzten Schritt in der Evaluierung erzwingt Google Cloud die implizierte VPC-Firewallregeln zum Zulassen von ausgehendem Traffic und die implizierte VPC-Firewallregeln für Ablehnen von eingehendem Traffic.

Das folgende Diagramm zeigt den Ablauf der Auflösung von Firewallregeln.

Ablauf der Auflösung von Firewallregeln.
Abbildung 1. Ablauf der Auflösung von Firewallregeln (zum Vergrößern klicken)

Richtlinien- und Regelauswertungsreihenfolge ändern

In Google Cloud können Sie den Standardprozess zur Regelauswertung ändern, indem Sie die Reihenfolge der VPC-Firewallregeln und der Netzwerk-Firewallrichtlinien (sowohl global als auch regional) tauschen. In diesem Fall werden die globale Netzwerk-Firewallrichtlinie (Schritt 5) und die regionale Netzwerk-Firewallrichtlinie (Schritt 6) vor den VPC-Firewallregeln (Schritt 4) in der Regeauswertungsreihenfolge ausgewertet.

Führen Sie zum Ändern der Reihenfolge der Regelauswertung folgenden Befehl aus, um das networkFirewallPolicyEnforcementOrder-Attribut des VPC-Netzwerks auf BEFORE_CLASSIC_FIREWALL zu setzen:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Weitere Informationen finden Sie im Artikel zur Methode networks.patch.

Gültige Firewallregeln

Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale und regionale Netzwerk-Firewall-Richtlinienregeln steuern Verbindungen. Es kann hilfreich sein, alle Firewallregeln aufzurufen, die sich auf ein einzelnes Netzwerk oder eine einzelne VM-Schnittstelle auswirken.

Netzwerk-effektive Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf ein VPC-Netzwerk angewendet werden. Die Liste enthält alle folgenden Regelarten:

  • Regeln, die von hierarchischen Firewallrichtlinien übernommen werden
  • VPC-Firewallregeln
  • Aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendete Regeln

Instanz-gültige Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf die Netzwerkschnittstelle einer VM angewendet werden. Die Liste enthält alle folgenden Regelarten:

  • Regeln, die von hierarchischen Firewallrichtlinien übernommen werden
  • Von der VPC-Firewall der Schnittstelle angewendete Regeln
  • Aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendete Regeln

Die Regeln werden angefangen bei der Organisationsebene bis zu dem VPC-Netzwerk sortiert. Es werden nur Regeln angezeigt, die für die VM-Schnittstelle gelten. Regeln in anderen Richtlinien werden nicht angezeigt.

Informationen zur Anzeige der effektiven Firewallregeln innerhalb einer Region finden Sie unter Effektive Firewallrichtlinien für ein Netzwerk abrufen.

Vordefinierte Regeln

Wenn Sie eine hierarchische Firewallrichtlinie, eine globale Netzwerk-Firewallrichtlinie oder eine regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud NGFW der Richtlinie vordefinierte Regeln hinzu. Die vordefinierten Regeln, die Cloud NGFW der Richtlinie hinzufügt, hängen davon ab, wie Sie die Richtlinie erstellen.

Wenn Sie eine Firewallrichtlinie mit der Google Cloud Console erstellen, fügt Cloud NGFW der neuen Richtlinie die folgenden Regeln hinzu:

  1. Zu den nächsten Regeln für private IPv4-Bereiche
  2. Vordefinierte Threat Intelligence-Ablehnungsregeln
  3. Vordefinierte Ablehnungsregeln für Geo-Standorte
  4. Niedrigste mögliche Priorität unter den nächsten Regeln

Wenn Sie eine Firewallrichtlinie mit der Google Cloud CLI oder der API erstellen, fügt Cloud NGFW der Richtlinie nur die niedrigste mögliche Priorität zur nächsten Seite hinzu.

Alle vordefinierten Regeln in einer neuen Firewallrichtlinie verwenden absichtlich niedrige Prioritäten (hohe Prioritätsnummern), damit Sie sie überschreiben können. Dazu erstellen Sie Regeln mit höheren Prioritäten. Mit Ausnahme der niedrigsten möglichen Priorität zu den nächsten Regeln können Sie auch die vordefinierten Regeln anpassen.

Zu den nächsten Regeln für private IPv4-Bereiche

  • Einer Ausgangsregel mit den IPv4-Zielbereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Aktion 1000 und goto_next-Aktion.

  • Eine Regel für eingehenden Traffic mit den Quell-IPv4-Bereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Priorität 1001 und goto_next-Aktion.

Vordefinierte Threat Intelligence-Ablehnungsregeln

  • Eine Regel für eingehenden Traffic mit der Threat Intelligence-Quellliste iplist-tor-exit-nodes, der Priorität 1002 und der Aktion deny.

  • Eine Regel für eingehenden Traffic mit der Threat Intelligence-Quellliste iplist-known-malicious-ips, der Priorität 1003 und der Aktion deny.

  • Einer Ausgangsregel mit der Threat Intelligence-Liste iplist-known-malicious-ips, der Priorität 1004 und der Aktion deny.

Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence für Firewallrichtlinienregeln.

Vordefinierte Ablehnungsregeln für Geo-Standorte

  • Eine Regel für eingehenden Traffic mit Quellen, die den geografischen Standorten CU, IR, KP, SY, XC und XD entsprechen, der Priorität 1005 und der deny-Aktion.

Weitere Informationen zu geografischen Standorten finden Sie unter Geostandortobjekte.

Niedrigste mögliche Priorität zur nächsten Regel

Folgende Regeln können nicht geändert oder gelöscht werden:

  • Regel für ausgehenden Traffic mit dem IPv6-Zielbereich ::/0, der Aktion 2147483644 und der Aktion goto_next.

  • Einer Eingangsregel mit dem IPv6-Quellbereich ::/0, der Priorität 2147483645 und der Aktion goto_next.

  • Einer Regel für ausgehenden Traffic mit dem IPv4-Zielbereich 0.0.0.0/0, der Priorität 2147483646 und der Aktion goto_next.

  • Einer Eingangsregel mit dem IPv4-Quellbereich 0.0.0.0/0, der Priorität 2147483647 und der Aktion goto_next.

Nächste Schritte