Regole dei criteri firewall

Quando crei una regola del criterio firewall, specifichi un insieme di componenti che e definire cosa fa la regola. Questi componenti specificano la direzione del traffico, e caratteristiche del livello 4, come il protocollo e la porta di destinazione (se il protocollo utilizza le porte).

Ogni regola del criterio firewall si applica al traffico in entrata (in entrata) o in uscita (in uscita) connessioni, non entrambe.

Regole in entrata

La direzione in entrata si riferisce alle connessioni in entrata inviate da origini specifiche alle destinazioni di Google Cloud. Le regole in entrata si applicano ai pacchetti in entrata, dove dei pacchetti è la destinazione.

Una regola in entrata con un'azione deny protegge tutte le istanze bloccando le istanze in entrata connessione con loro. Una regola di priorità più elevata potrebbe consentire l'accesso in entrata. Un rete predefinita creata automaticamente include alcuni Firewall VPC , che consentono il traffico in entrata determinati tipi di traffico.

Regole in uscita

La direzione in uscita si riferisce al traffico in uscita inviato da un target a una destinazione. Le regole in uscita si applicano ai pacchetti per le nuove connessioni in cui del pacchetto è la destinazione.

Una regola in uscita con un'azione allow consente a un'istanza di inviare traffico destinazioni specificate nella regola. Il traffico in uscita può essere negato da una priorità più alta deny regole firewall. Google Cloud inoltre blocca limita determinati tipi di traffico.

Componenti delle regole del criterio firewall

Regole nel firewall gerarchico policy, firewall di rete globale criteri e la rete regionale i criteri firewall utilizzano descritti in questa sezione. Il termine criterio firewall si riferisce a uno di questi tre tipi di criteri. Per ulteriori informazioni informazioni sui tipi di criteri firewall, consulta Firewall .

Le regole dei criteri firewall generalmente funzionano come firewall VPC , ma esistono alcune differenze, come descritto nelle sezioni seguenti.

Priorità

La priorità di una regola in un criterio firewall è un numero intero compreso tra 0 e 2.147.483.647, inclusivi. Numeri interi più bassi indicano priorità più alte. La la priorità di una regola in un criterio firewall è simile alla priorità di una Firewall VPC personalizzata, con le seguenti differenze:

• Ogni regola in un criterio firewall deve avere una priorità univoca.
• La priorità di una regola in un criterio firewall è l'ID univoco della regola identificativo dell'utente. Le regole nei criteri firewall non utilizzano nomi per l'identificazione.
• La priorità di una regola in un criterio firewall definisce l'ordine di valutazione all'interno del criterio firewall stesso. le regole firewall VPC criteri firewall gerarchici, criteri firewall di rete globali, e i criteri firewall di rete a livello di regione vengono valutati come descritto in Criteri e la valutazione delle regole .

Azione in caso di corrispondenza

Una regola in un criterio firewall può avere una delle seguenti azioni:

• allow consente il traffico e interrompe ulteriori valutazioni delle regole.
• deny non consente il traffico e interrompe ulteriori valutazioni delle regole.

• apply_security_profile_group intercetta il traffico in modo trasparente e la invia al firewall configurato endpoint per l'ispezione di livello 7.

• goto_next continua con la regola valutazione e il processo di sviluppo.

Applicazione

Puoi scegliere se applicare una regola del criterio firewall impostandone lo stato da attivare o disattivare. Puoi impostare lo stato di applicazione quando crei una regola quando aggiorni una regola.

Se non imposti uno stato di applicazione quando crei una nuova regola firewall, la regola firewall viene abilitata automaticamente.

Protocolli e porte

Come per le regole firewall VPC, devi specificare una o più il protocollo e i vincoli di porta quando crei una regola. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione il protocollo e un intervallo di porte di destinazione; non puoi specificare solo una porta di porte predefinite. Inoltre, puoi specificare solo le porte di destinazione. Regole basate sull'origine e non sono supportate.

Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, usa il protocollo IANA numeri.

Molti protocolli utilizzano lo stesso nome e numero sia in IPv4 che in IPv6, come ICMP. Per specificare IPv4 ICMP, usa icmp o il protocollo numero 1. Per ICMP IPv6, utilizza il numero di protocollo 58.

Le regole firewall non supportano la specifica di tipi e codici ICMP, ma solo del protocollo.

Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

Se non specifichi i parametri di protocollo e porta, la regola si applica a tutti protocolli e porte di destinazione.

Logging

Il logging per le regole di criterio firewall funziona come per VPC Logging delle regole firewall ad eccezione di quanto segue:

• Il campo di riferimento include l'ID del criterio firewall e un numero che indica il livello della risorsa a cui è associato il criterio. Ad esempio, 0 significa che il criterio viene applicato a un'organizzazione, mentre 1 indica che il criterio viene applicata a una cartella di primo livello nell'organizzazione.

• I log per le regole di criterio firewall includono un campo target_resource che identifica le reti VPC a cui si applica la regola.

• Il logging può essere abilitato solo per allow, deny e apply_security_profile_group regole; non può essere abilitato per goto_next le regole del caso.

Target, origine, destinazione

I parametri di destinazione identificano le interfacce di rete delle istanze a cui un server si applica una regola firewall.

Puoi specificare sia i parametri sorgente sia i parametri di destinazione applicabili verso le origini o le destinazioni dei pacchetti per il firewall in entrata e in uscita le regole del caso. La direzione della regola firewall determina i possibili valori per il i parametri di origine e di destinazione.

I parametri di destinazione, origine e destinazione funzionano insieme.

Destinazioni

Il parametro target identifica le interfacce di rete di Compute Engine inclusi i nodi GKE e App Engine flessibile di Compute Engine.

Puoi definire i target per le regole sia in entrata che in uscita. Opzioni di destinazione valide dipendono dal tipo di criterio firewall.

Destinazioni per le regole dei criteri firewall gerarchici

Le regole dei criteri firewall gerarchici supportano le seguenti destinazioni:

• Target più ampio predefinito:quando ometti la specifica del target in una regola firewall gerarchica, la regola firewall si applica a tutti le istanze in tutte le reti VPC in tutti i progetti Nodo Resource Manager (cartella o organizzazione) associato al firewall . Questo è l'insieme di target più ampio.

• Reti specifiche: se specifichi uno o più VPC usando il parametro target-resources, l'insieme più ampio di di destinazione è ristretto alle VM con un'interfaccia di rete in almeno una delle alle reti VPC specificate.

• Istanze identificate dall'account di servizio: se specifichi una o più di servizio usando il parametro target-service-accounts, l'insieme più ampio di target è ristretto alle VM che usano uno dei valori account di servizio.

• Reti e istanze specifiche identificate dall'account di servizio:se specificare sia il parametro target-resources che Parametro target-service-accounts, l'insieme di target più ampio è stato ristretto alle VM che soddisfano entrambi i seguenti criteri:

  • Le VM hanno un'interfaccia di rete in una delle reti VPC.
  • Le VM utilizzano uno degli account di servizio specificati.

Destinazioni per le regole dei criteri firewall di rete globali

Le regole dei criteri firewall di rete globali supportano le seguenti destinazioni:

• Target predefinito—tutte le istanze nella rete VPC: Se ometti la specifica della destinazione in un criterio firewall di rete globale , la regola firewall si applica alle istanze che hanno un'interfaccia di rete nella rete VPC associata al criterio. Le istanze possono trovarsi in qualsiasi regione. Questo è l'insieme di target più ampio.

• Istanze per destinazione secure tag: se specifichi tag di destinazione con il parametro target-secure-tags, l'insieme di target più ampio è per includere solo le VM associate ai tag.

• Istanze per account di servizio di destinazione: se specifichi gli account di servizio con il parametro target-service-accounts, l'insieme di target più ampio è a includere solo le VM che utilizzano uno dei servizi specificati .

Target per le regole dei criteri firewall di rete a livello di regione

Le regole dei criteri firewall di rete regionali supportano le seguenti destinazioni:

• Target predefinito: tutte le istanze nella regione e nel VPC network: quando ometti la specifica di destinazione in una rete a livello di regione una regola di criterio firewall, la regola firewall si applica alle istanze con nell'interfaccia di rete della rete VPC associata . Le istanze devono trovarsi nella stessa regione del criterio. Questo è l'insieme più ampio di obiettivi.

• Istanze per destinazione secure tag: se specifichi tag di destinazione con il parametro target-secure-tags, l'insieme di target più ampio è per includere solo le VM associate ai tag.

• Istanze per account di servizio di destinazione: se specifichi gli account di servizio con il parametro target-service-accounts, l'insieme di target più ampio è a includere solo le VM che utilizzano uno dei servizi specificati .

Destinazioni e indirizzi IP per le regole in entrata

I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:

• Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, del pacchetto deve rientrare in una delle destinazioni definite in modo esplicito di indirizzi IP esterni.

• Se la regola firewall in entrata non include un indirizzo IP di destinazione di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP indirizzi:

  • L'indirizzo IPv4 interno principale assegnato al NIC dell'istanza.

  • Eventuali intervalli di indirizzi IP alias configurati sulla al NIC dell'istanza.

  • L'indirizzo IPv4 esterno associato al NIC dell'istanza.

  • Se nella subnet è configurato IPv6, uno qualsiasi degli indirizzi IPv6 assegnati al NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzato per il bilanciamento del carico passthrough, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, dove all'istanza fa riferimento un dell'istanza di destinazione.

  • Un indirizzo IP nell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza (next-hop-instance o next-hop-address) come hop successivo VM.

  • Un indirizzo IP nell'intervallo di destinazione di una route statica personalizzata che utilizza un bilanciatore del carico di rete passthrough interno (next-hop-ilb) come hop successivo se la VM è un backend per quel bilanciatore del carico.

Destinazioni e indirizzi IP per le regole in uscita

L'elaborazione dei pacchetti emessi dall'interfaccia di rete di una destinazione dipende sulla configurazione di IP forwarding sulla VM di destinazione. L'IP forwarding è disattivato per impostazione predefinita.

• Se l'IP forwarding è disabilitato per la VM di destinazione, la VM può emettere pacchetti con le seguenti fonti:

  • L'indirizzo IPv4 interno principale del NIC di un'istanza.

  • Qualsiasi intervallo di indirizzi IP alias configurato sul NIC di un'istanza.

  • Se nella subnet è configurato IPv6, uno qualsiasi degli indirizzi IPv6 assegnati al NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding. per il bilanciamento del carico passthrough o il forwarding del protocollo. È valido se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno a cui fa riferimento un'istanza di destinazione.

  Se la regola firewall in uscita include intervalli di indirizzi IP di origine, il target Le VM sono ancora limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro source può essere utilizzato per perfezionare l'insieme. Utilizzo di una fonte senza attivare l'IP forwarding non espande l'insieme di possibili indirizzi di origine dei pacchetti.

  Se la regola firewall in uscita non include un intervallo di indirizzi IP di origine, sono consentiti tutti gli indirizzi IP di origine menzionati in precedenza.

• Quando l'IP forwarding è abilitato per la VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per visualizzare definiscono con precisione l'insieme di origini dei pacchetti consentite.

Origini

I valori dei parametri di origine dipendono da quanto segue:

• Il tipo di criterio firewall che contiene la regola firewall
• La direzione della regola firewall

Origini per le regole in entrata nei criteri firewall gerarchici

Puoi utilizzare le seguenti origini per le regole in entrata nel firewall gerarchico norme:

• Intervallo di origine predefinito:quando ometti una specifica di origine in un traffico in entrata regola, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include IPv6 fonti.

• Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.

• Geolocalizzazioni:un elenco di una o più posizioni geografiche di origine. specificati come codici paese o regione di due lettere per filtrare il traffico in entrata. Per ulteriori informazioni, consulta la sezione Oggetti di geolocalizzazione.

• Elenchi di Threat Intelligence:un elenco di uno o più Threat Intelligence predefiniti. nomi degli elenchi. Per ulteriori informazioni, consulta Threat Intelligence for firewall delle norme.

• Gruppi di indirizzi di origine: un elenco di uno o più gruppi di indirizzi di origine. che comprendono CIDR IPv4 o CIDR IPv6. Per ulteriori informazioni per i gruppi di indirizzi, vedi Gruppi di indirizzi per firewall .

• Nomi di domini di origine:un elenco di uno o più nomi di domini di origine. Per ulteriori informazioni informazioni sui nomi di dominio, vedi Nome di dominio per il firewall .

• Una combinazione di origine valida. Puoi specificare varie combinazioni di nelle origini precedenti nelle regole in entrata. Il set di origini effettive è un insieme di queste combinazioni.

  Quando specifichi una combinazione di origini in una regola in entrata, la regola viene applicata a un pacchetto che corrisponde ad almeno uno dei parametri di origine criteri.

  Quando definisci le combinazioni di origine per una regola, segui queste linee guida:

  • Non utilizzare sia gli intervalli di indirizzi IPv4 di origine sia gli intervalli di indirizzi IPv6 di origine nella stessa regola.
  • Non utilizzare un gruppo di indirizzi di origine che contiene CIDR IPv4 con un altro gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
  • Non utilizzare intervalli di indirizzi IPv4 di origine e un gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
  • Non utilizzare intervalli di indirizzi IPv6 di origine e un gruppo di indirizzi di origine che contiene CIDR IPv4 nella stessa regola.

Origini per le regole in entrata nei criteri firewall di rete

Puoi utilizzare le seguenti origini per le regole in entrata nelle istanze globali e a livello di regione criteri firewall di rete:

• Intervallo di origine predefinito:quando ometti una specifica di origine in un traffico in entrata regola, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include IPv6 fonti.

• Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.

• Geolocalizzazioni:un elenco di una o più posizioni geografiche di origine. specificati come codici paese o regione di due lettere per filtrare il traffico in entrata. Per ulteriori informazioni, consulta la sezione Oggetti di geolocalizzazione.

• Elenchi di Threat Intelligence:un elenco di uno o più Threat Intelligence predefiniti. nomi degli elenchi. Per ulteriori informazioni, consulta Threat Intelligence for firewall delle norme.

• Gruppi di indirizzi di origine: un elenco di uno o più gruppi di indirizzi di origine. che comprendono CIDR IPv4 o CIDR IPv6. Per ulteriori informazioni per i gruppi di indirizzi, vedi Gruppi di indirizzi per firewall .

• Nomi di domini di origine:un elenco di uno o più nomi di domini di origine. Per ulteriori informazioni informazioni sui nomi di dominio, vedi Nome di dominio per il firewall .

• Tag protetti di origine:uno o più tag protetti che identificano le interfacce di rete delle istanze VM Rete VPC a cui si applica il criterio firewall di rete oppure in una rete VPC connessa alla rete del criterio firewall mediante il peering di rete VPC. Inoltre, se il criterio è a livello di regione criterio firewall di rete, le istanze VM devono trovarsi nella stessa regione .

• Una combinazione di origine valida. Puoi specificare varie combinazioni di nelle origini precedenti nelle regole in entrata. Il set di origini effettive è un insieme di queste combinazioni.

  Quando specifichi una combinazione di origini in una regola in entrata, la regola viene applicata a un pacchetto che corrisponde ad almeno uno dei parametri di origine criteri.

  Quando definisci le combinazioni di origine per una regola, segui queste linee guida:

  • Non utilizzare sia gli intervalli di indirizzi IPv4 di origine sia gli intervalli di indirizzi IPv6 di origine nella stessa regola.
  • Non utilizzare un gruppo di indirizzi di origine che contiene CIDR IPv4 con un altro gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
  • Non utilizzare intervalli di indirizzi IPv4 di origine e un gruppo di indirizzi di origine che contiene CIDR IPv6 nella stessa regola.
  • Non utilizzare intervalli di indirizzi IPv6 di origine e un gruppo di indirizzi di origine che contiene CIDR IPv4 nella stessa regola.

In che modo i tag sicuri di origine implicano l'origine dei pacchetti

Le regole in entrata nei criteri firewall di rete globali e regionali possono specificare usando tag sicuri. Ogni tag sicuro è associato a un singolo tag VPC Google Cloud. Il tag sicuro può essere associato a una VM solo se questa VM ha un'interfaccia di rete nella stessa rete VPC a cui associato al tag sicuro.

Le regole dei criteri firewall con tag sicuri vengono applicate come segue:

• Le regole in entrata in un criterio di rete globale si applicano ai pacchetti emessi di rete di una VM associata al tag, dove la VM incontra uno dei i seguenti criteri:

  • L'interfaccia di rete della VM utilizza la stessa rete VPC il criterio firewall.
  • L'interfaccia di rete della VM utilizza una rete VPC connessa alla rete VPC del criterio firewall peering di rete VPC.

• Le regole in entrata in un criterio di rete regionale si applicano ai pacchetti emessi interfaccia di rete di una VM associata al tag, dove la VM si trova nella stessa regione poiché il criterio firewall soddisfa uno dei seguenti criteri:

  • L'interfaccia di rete della VM utilizza la stessa rete VPC il criterio firewall.
  • L'interfaccia di rete della VM utilizza una rete VPC connessa alla rete VPC del criterio firewall peering di rete VPC.

Oltre a specificare un'interfaccia di rete, i seguenti indirizzi IP di origine sono risolte:

• L'indirizzo IPv4 interno principale di quell'interfaccia di rete
• Eventuali indirizzi IPv6 assegnati all'interfaccia di rete

Se una regola firewall in entrata contiene anche l'indirizzo IP di destinazione di rete, l'interfaccia di rete associata a un tag sicuro è risolto nella stessa versione IP dell'intervallo IP di destinazione.

Quando si utilizzano tag di origine protetti, nessun altro indirizzo IP di origine dei pacchetti viene risolto. Ad esempio, intervalli di indirizzi IP alias e indirizzi IPv4 esterni associati a l'interfaccia di rete viene esclusa. Se devi creare regole firewall in entrata le cui origini includono intervalli di indirizzi IP alias o indirizzi IPv4 esterni, utilizza intervalli di indirizzi IPv4 di origine.

Origini per le regole in uscita

Puoi utilizzare le seguenti origini per le regole in uscita in un firewall gerarchico e firewall di rete:

• Predefinito—implicito dal target: se ometti il parametro source da una in uscita, le origini dei pacchetti sono definite implicitamente, come descritto in e indirizzi IP per le regole in uscita.

• Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:

• Se a un'interfaccia VM sono assegnati indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene usato solo l'indirizzo IPv4 interno.

• Se hai un intervallo di indirizzi IP di origine e una destinazione nella regola in uscita, la destinazione vengono risolti nella stessa versione IP della versione IP di origine.

  Ad esempio, in una regola in uscita, hai un intervallo di indirizzi IPv4 nella e un oggetto FQDN nel nome del parametro destination. Se il nome di dominio completo si risolve sia in IPv4 che in IPv6 solo l'indirizzo IPv4 risolto viene utilizzato durante l'applicazione della regola.

Destinazioni

Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP, che sono supportati regole sia in entrata che in uscita nel firewall gerarchico e di rete criteri. Il comportamento predefinito della destinazione dipende dalla direzione della regola.

Destinazioni per le regole in entrata

Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata in entrambi criteri firewall gerarchici e di rete:

• Predefinito—implicito dal target: se ometti il parametro destinazione da una in entrata, le destinazioni dei pacchetti sono definite implicitamente, come descritto Destinazioni e indirizzi IP per le regole in entrata.

• Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 nel CIDR. formato.

• Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 nel CIDR. formato.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole in entrata:

• Se a un'interfaccia VM sono assegnati indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene usato solo l'indirizzo IPv4 interno.

• Se hai definito parametri di origine e di destinazione in un traffico , i parametri di origine vengono risolti nella stessa versione IP di la versione IP di destinazione. Per saperne di più su come definire un'origine per per le regole in entrata, consulta Origini per le regole in entrata nel firewall gerarchico policy e Origini per le regole in entrata nella rete criteri firewall.

  Ad esempio, in una regola in entrata, è presente un intervallo di indirizzi IPv6 nel parametro destination e un codice paese di geolocalizzazione nel parametro source. Durante l'applicazione della regola, solo l'IPv6 mappato viene utilizzato per il codice paese di origine specificato.

Destinazioni per le regole in uscita

Puoi utilizzare le seguenti destinazioni per le regole firewall in uscita in criteri firewall gerarchici e di rete:

• Intervallo di destinazione predefinito:quando ometti una specifica della destinazione in una regola in uscita, Google Cloud utilizza l'indirizzo IPv4 di destinazione predefinito nell'intervallo 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include Destinazioni IPv6.

• Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 nel CIDR. formato.

• Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 nel CIDR. formato.

• Geolocalizzazioni:un elenco di una o più località geografiche di destinazione. specificati come codici paese o regione di due lettere per filtrare il traffico in entrata. Per ulteriori informazioni, consulta la sezione Oggetti di geolocalizzazione.

• Elenchi di Threat Intelligence: un elenco di uno o più elenchi predefiniti. Threat Intelligence elenca i nomi. Per ulteriori informazioni, vedi Threat Intelligence per il criterio firewall .

• Gruppi di indirizzi di destinazione: un elenco di uno o più indirizzi di destinazione. gruppi costituiti da CIDR IPv4 o CIDR IPv6. Per ulteriori informazioni Per informazioni sui gruppi di indirizzi, vedi Gruppi di indirizzi per firewall .

• Nomi di dominio di destinazione: un elenco di uno o più domini di destinazione. names. Per ulteriori informazioni sui nomi di dominio, vedi Nome di dominio per criteri firewall.

• Una combinazione di destinazione valida. Puoi specificare varie combinazioni di le destinazioni precedenti nelle regole in entrata. La destinazione effettiva è l'unione di queste combinazioni.

  Quando specifichi una combinazione di destinazioni in una regola in uscita, la regola viene applicato a un pacchetto che corrisponde ad almeno una delle destinazioni dei parametri.

  Quando definisci le combinazioni di destinazione per una regola, segui queste linee guida:

  • Non utilizzare sia gli intervalli di indirizzi IPv4 di destinazione sia l'IPv6 di destinazione di indirizzi IP esterni nella stessa regola.
  • Non utilizzare un gruppo di indirizzi di destinazione che contiene CIDR IPv4 con un altro gruppo di indirizzi di destinazione che contiene CIDR IPv6 nello stesso personalizzata.
  • Non utilizzare intervalli di indirizzi IPv4 di destinazione e un indirizzo di destinazione che contiene CIDR IPv6 nella stessa regola.
  • Non utilizzare intervalli di indirizzi IPv6 di destinazione e un indirizzo di destinazione che contiene CIDR IPv4 nella stessa regola.

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri firewall per filtrare gli indirizzi IPv4 esterni e traffico IPv6 esterno in base a posizioni geografiche o regioni specifiche.

Puoi applicare regole con oggetti di geolocalizzazione al traffico in entrata e in uscita. In base alla direzione del traffico, gli indirizzi IP associati al traffico i codici paese vengono abbinati alla sorgente o alla destinazione del traffico.

• Puoi configurare oggetti di geolocalizzazione per criteri firewall gerarchici, criteri firewall di rete globali e criteri firewall di rete a livello di regione.

• Per aggiungere geolocalizzazioni alle regole del criterio firewall, utilizza il paese di due lettere o i codici regione come definiti nel paese ISO 3166 alpha-2 codici.

  Ad esempio, se vuoi consentire il traffico in entrata solo dagli Stati Uniti verso crea una regola del criterio firewall in entrata con il codice paese di origine impostato su US e l'azione impostata su allow. Analogamente, se vuoi consentire per il traffico in uscita solo verso gli Stati Uniti, configura una regola di criterio firewall in uscita con il codice paese di destinazione impostato su US e l'azione impostata su allow.

• Cloud Next Generation Firewall ti consente di configurare le regole del firewall per gli elementi seguenti: territori soggetti a sanzioni complete degli Stati Uniti:

  Territori	Codice assegnato
  Crimea	XC
  Le cosiddette repubbliche popolari di Donetsk e Lugansk	XD

• Se una singola regola firewall include codici paese duplicati, viene conservata una sola voce per quel codice paese. La voce duplicata è rimosso. Ad esempio, nell'elenco dei codici paese ca,us,us, solo ca,us è vengono mantenuti.

• Google gestisce un database con indirizzi IP e mappature dei codici paese. I firewall Google Cloud utilizzano questo database per mappare gli indirizzi IP il traffico di origine e di destinazione al codice paese, quindi applica regola del criterio firewall corrispondente agli oggetti di geolocalizzazione.

• A volte, le assegnazioni degli indirizzi IP e i codici paese cambiano a causa di le seguenti condizioni:

  • Spostamento di indirizzi IP tra località geografiche
  • Aggiornamenti per il paese ISO 3166 alpha-2 codici standard

  Poiché occorre un po' di tempo prima che queste modifiche vengano applicate nei potresti notare interruzioni del traffico e cambiamenti di comportamento per determinati tipi di traffico.

Usa oggetti di geolocalizzazione con altri filtri delle regole di criterio firewall

Puoi utilizzare oggetti di geolocalizzazione insieme ad altri filtri di origine o di destinazione. In base alla direzione della regola, la regola del criterio firewall viene applicata al del traffico in entrata o in uscita che corrisponde all'unione di tutte le filtri corretti.

Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di origine in per le regole in entrata, consulta Origini per le regole in entrata nel firewall gerarchico policy e Origini per le regole in entrata nel firewall di rete criteri.

Per informazioni su come funzionano gli oggetti di geolocalizzazione con altre destinazioni nelle regole in uscita. Consulta Destinazioni per il traffico in uscita .

Informazioni sulle minacce per le regole dei criteri firewall

Le regole dei criteri firewall ti consentono di proteggere la rete consentendo o bloccando del traffico in base ai dati di Threat Intelligence. I dati di Threat Intelligence includono elenchi di indirizzi IP in base alle seguenti categorie:

• Nodi di uscita Tor: Tor è open source software che consente la comunicazione anonima. Per escludere gli utenti che si nascondono la propria identità, bloccare gli indirizzi IP dei nodi di uscita Tor (endpoint in cui dalla rete Tor).
• Indirizzi IP dannosi noti:gli indirizzi IP noti per essere l'origine degli attacchi alle applicazioni web. Per migliorare la sicurezza della tua applicazione. bloccare questi indirizzi IP,
• Motori di ricerca: indirizzi IP a cui puoi consentire di abilitare l'indicizzazione del sito.
• Intervalli di indirizzi IP del cloud pubblico: questa categoria può essere bloccata per impedire a strumenti automatizzati dannosi di navigare nelle applicazioni web o consentire se se il servizio utilizza altri cloud pubblici. Questa categoria è ulteriormente suddivisa in le seguenti sottocategorie:
  • Intervalli di indirizzi IP utilizzati da Amazon Web Services
  • Intervalli di indirizzi IP utilizzati da Microsoft Azure
  • Intervalli di indirizzi IP utilizzati da Google Cloud
  • Intervalli di indirizzi IP utilizzati dai servizi Google

Gli elenchi di dati di Threat Intelligence possono includere indirizzi IPv4, indirizzi IPv6 o entrambi. Per configurare Threat Intelligence nelle regole del criterio firewall, utilizza il Threat Intelligence predefinito elenca i nomi in base alla categoria che si desidera consentire o bloccare. Questi elenchi vengono aggiornati continuamente per proteggere i servizi nuove minacce senza ulteriori passaggi di configurazione. I nomi di elenco validi sono i seguenti: .

Nome elenco	Descrizione
iplist-tor-exit-nodes	Corrisponde agli indirizzi IP dei nodi di uscita TOR
iplist-known-malicious-ips	Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web
iplist-search-engines-crawlers	Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
iplist-vpn-providers	Corrisponde agli indirizzi IP che appartengono a provider VPN con bassa reputazione
iplist-anon-proxies	Corrisponde agli indirizzi IP che appartengono a proxy anonimi aperti
iplist-crypto-miners	Corrisponde agli indirizzi IP che appartengono a siti di mining di criptovaluta
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	Corrisponde agli indirizzi IP che appartengono ai cloud pubblici Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud Corrisponde agli intervalli di indirizzi IP utilizzati dai servizi Google

Utilizza Threat Intelligence con altri filtri di regole dei criteri firewall

Per definire una regola del criterio firewall con Threat Intelligence, segui questi linee guida:

• Per le regole in uscita, specifica la destinazione utilizzando una o più destinazioni Informazioni sulle minacce elencate.

• Per le regole in entrata, specifica l'origine utilizzando una o più origini Informazioni sulle minacce elencate.

• È possibile configurare elenchi di Threat Intelligence per il firewall gerarchico criteri, criteri firewall di rete globali e firewall di rete a livello di regione criteri.

• Puoi utilizzare questi elenchi insieme ad altri filtri per regole di origine o di destinazione componenti.

  Per informazioni su come funzionano gli elenchi di Threat Intelligence con altre fonti nelle regole in entrata, consulta Origini per regole in entrata nella gerarchia criteri firewall e Origini per le regole in entrata in criteri firewall di rete.

  Per informazioni su come funzionano gli elenchi di Threat Intelligence con altri filtri di destinazione nelle regole in uscita. Consulta Destinazioni per il traffico in uscita .

• Il logging del firewall viene eseguito a livello di regola. Per semplificare il debug e l'analisi dell'effetto regole firewall, non includere più elenchi di Threat Intelligence in un un'unica regola firewall.

• È possibile aggiungere più elenchi di Threat Intelligence a una regola di criterio firewall. Ogni nome di elenco incluso nella regola viene conteggiato come un unico attributo, indipendentemente del numero di indirizzi IP o intervalli di indirizzi IP inclusi nell'elenco. Ad esempio, se hai incluso iplist-tor-exit-nodes, Elenco iplist-known-malicious-ips e iplist-search-engines-crawlers nella regola del criterio firewall, il numero di attributi della regola per viene aumentato di tre. Per ulteriori informazioni sull'attributo della regola totali, consulta Quote e limiti.

Creazione di eccezioni agli elenchi di Threat Intelligence

Se esistono regole che si applicano agli elenchi di Threat Intelligence, puoi utilizzare le seguenti tecniche per creare regole di eccezione applicabili a determinati IP indirizzi IP all’interno di un elenco di Threat Intelligence:

• Lista consentita selettiva:supponi di avere un firewall in entrata o in uscita che nega i pacchetti da o verso un elenco di Threat Intelligence. Per consentire pacchetti da o verso un indirizzo IP selezionato all’interno di quella Threat Intelligence crea un firewall di autorizzazione separato per il traffico in entrata o in uscita che specifica l'indirizzo IP di eccezione come origine o destinazione.

• Lista bloccata selettiva:supponi di avere un firewall in entrata o in uscita che consente l'invio di pacchetti da o a un elenco di Threat Intelligence. Per rifiutare pacchetti da o verso un indirizzo IP selezionato all’interno di quella Threat Intelligence elenco, crea una regola firewall di negazione per il traffico in entrata o in uscita con priorità più elevata che specifica l'indirizzo IP dell'eccezione come origine o destinazione.

Gruppi di indirizzi per i criteri firewall

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o di indirizzi IP in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire le origini o le destinazioni a cui fanno riferimento molte regole firewall. I gruppi di indirizzi possono essere aggiornato senza modificare le regole firewall che le utilizzano. Per ulteriori informazioni Per informazioni sui gruppi di indirizzi, vedi Gruppi di indirizzi per firewall .

Puoi definire gruppi di indirizzi di origine e di destinazione per il traffico in entrata e in uscita regole firewall.

Per informazioni su come funzionano i gruppi di indirizzi di origine con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nel firewall gerarchico policy e Origini per le regole in entrata nel firewall di rete criteri.

Per informazioni su come funzionano i gruppi di indirizzi di destinazione con altre destinazioni nelle regole in uscita. Consulta Destinazioni per il traffico in uscita .

Oggetti FQDN

Utilizza gli oggetti del nome di dominio completo (FQDN) nelle regole del criterio firewall per filtrare il traffico in entrata o in uscita da o verso domini specifici.

Puoi applicare regole di criterio firewall che utilizzano oggetti FQDN sia per il traffico in entrata e il traffico in uscita. In base alla direzione del traffico, l'IP gli indirizzi associati ai nomi di dominio vengono confrontati con l'origine o destinazione del traffico.

• Puoi configurare gli oggetti FQDN nelle regole del criterio firewall per criteri firewall, criteri firewall di rete globali e rete regionale e i criteri firewall.

• Devi specificare gli oggetti FQDN nel FQDN standard sintassi

  Per ulteriori informazioni sui formati dei nomi di dominio, vedi Nome di dominio standard.

• A intervalli periodici, Cloud NGFW aggiorna le regole dei criteri firewall contenenti oggetti FQDN con i risultati di risoluzione dei nomi di dominio più recenti.

• I nomi di dominio specificati nelle regole del criterio firewall vengono risolti in IP gli indirizzi IP in base alla risoluzione dei nomi VPC di Cloud DNS. Cloud DNS invia una notifica a Cloud NGFW in caso di modifiche al nome di dominio di risoluzione dei problemi, noto anche come sistema dei nomi di dominio (DNS) record.

• Se due nomi di dominio si risolvono con lo stesso indirizzo IP, la regola del criterio firewall si applica a quell'indirizzo IP, non a un solo dominio. In altre parole, il nome di dominio completo sono entità di livello 3.

• Se l'oggetto FQDN nella regola del criterio firewall in uscita include un dominio che contiene CNAME nel record DNS, devi configurare la regola del criterio firewall in uscita con tutti i nomi di dominio che le VM possono e tutti i potenziali alias, per garantire l'affidabilità comportamento della regola firewall. Se le tue VM eseguono query su CNAME non configurati in la regola del criterio firewall in uscita, il criterio potrebbe non funzionare durante la modifica dei record.

• Puoi anche utilizzare nomi DNS interni di Compute Engine nelle regole del criterio firewall di rete. Tuttavia, assicurati che la tua rete sia non configurato per utilizzare un server dei nomi alternativo nel server in uscita .

• Se vuoi aggiungere nomi di dominio personalizzati nel criterio firewall di rete puoi utilizzare le regole gestite da Cloud DNS per la risoluzione dei nomi di dominio. Tuttavia, assicurati che la tua rete non sia configurata per utilizzare un nome alternativo server nel criterio del server in uscita. Per ulteriori informazioni sulla zona vedi Creare, modificare ed eliminare zone.

Limitazioni

Le seguenti limitazioni si applicano al firewall sia in entrata che in uscita che utilizzano oggetti FQDN:

• Gli oggetti FQDN non supportano il carattere jolly (*) e i nomi di dominio di primo livello (root). Ad esempio, *.example.com. e .org non sono supportati.

Puoi utilizzare oggetti FQDN nelle regole di criterio firewall in entrata. Devi prendere le seguenti limitazioni in considerazione quando si definiscono gli oggetti FQDN per il traffico in entrata regole:

• Un nome di dominio può risolvere un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6 indirizzi IP esterni. Query DNS che si risolvono a più di 32 IPv4 e 32 IPv6 vengono troncati per includere solo 32 indirizzi IPv4 o IPv6 di questi gli indirizzi IP risolti. Pertanto, non includere nomi di dominio che si risolvono in più di 32 indirizzi IPv4 e IPv6 nelle regole del criterio firewall in entrata.

• Alcune query sui nomi di dominio hanno risposte univoche in base alla posizione del che ha inviato la richiesta al cliente. La località da cui il DNS della regola del criterio firewall che viene eseguita è la regione Google Cloud che contiene VM a cui si applica la regola del criterio firewall.

• Non utilizzare regole in entrata che utilizzano oggetti FQDN se la risoluzione del nome di dominio sono estremamente variabili o la risoluzione dei nomi di dominio utilizza un tipo di il bilanciamento del carico. Ad esempio, molti nomi di dominio Google utilizzano una definizione di bilanciamento del carico.

Utilizza oggetti FQDN con altri filtri delle regole di criteri firewall

In una regola del criterio firewall, puoi definire oggetti FQDN insieme ad altre origini o filtri di destinazione.

Per informazioni su come funzionano gli oggetti FQDN con altri filtri di origine nella sezione per le regole in entrata, consulta Origini per le regole in entrata nel firewall gerarchico policy e Origini per le regole in entrata nel firewall di rete criteri.

Per informazioni su come funzionano gli oggetti FQDN con altri filtri di destinazione in per le regole in uscita, consulta Destinazioni per le regole in uscita.

Formato del nome di dominio

I firewall VPC supportano il formato del nome di dominio come definito nella specifica RFC 1035 , RFC 1123 e RFC 4343.

Per aggiungere nomi di dominio alle regole del criterio firewall, segui questa formattazione linee guida:

• Il nome di dominio deve contenere almeno due etichette descritte di seguito:

  • Ogni etichetta corrisponde a espressioni regolari che includono solo questi caratteri: [a-z]([-a-z0-9][a-z0-9])?..
  • Ogni etichetta ha una lunghezza compresa tra 1 e 63 caratteri.
  • Le etichette sono concatenate da un punto (.).

• La lunghezza codificata massima del nome di dominio non deve superare i 255 byte (ottetti).

• Puoi anche aggiungere un nome di dominio internazionalizzato (IDN, Internationalized Domain Name) alle regole del criterio firewall.

• I nomi di dominio devono essere in formato Unicode o Punycode.

• Se specifichi un IDN in formato Unicode, il firewall di Google Cloud lo converte nel formato Punycode prima dell'elaborazione. In alternativa, puoi utilizzare il convertitore IDN Strumento per ottenere la rappresentazione Punycode dell'IDN.

• Il firewall di Google Cloud non supporta nomi di dominio equivalenti in la stessa regola di criterio firewall. Dopo aver convertito il nome di dominio in Punycode, se i due nomi di dominio differiscono al massimo di un punto finale, considerato equivalente.

Scenari di eccezione del nome di dominio completo

Quando utilizzi oggetti FQDN nelle regole del criterio firewall, potresti riscontrare le seguenti eccezioni durante la risoluzione dei nomi DNS:

• Nome di dominio non valido: se specifichi uno o più nomi di dominio che utilizzano una formato non valido durante la creazione di una regola del criterio firewall, viene visualizzato un errore. La regola del criterio firewall non può essere creata a meno che non siano presenti tutti i nomi di dominio formattata correttamente.

• Il nome di dominio non esiste (NXDOMAIN): se il nome di dominio non esiste. esiste, Google Cloud ignora l'oggetto FQDN dal criterio firewall personalizzata.

• Nessuna risoluzione dell'indirizzo IP: se il nome di dominio non si risolve su alcun IP , l'oggetto FQDN viene ignorato.

• Il server Cloud DNS non è raggiungibile:se un server DNS non è raggiungibile. raggiungibile, le regole del criterio firewall che utilizzano oggetti FQDN si applicano solo se i risultati di risoluzione DNS precedentemente memorizzati nella cache. Il nome di dominio completo della regola vengono ignorati se non ci sono risultati di risoluzione DNS memorizzati nella cache o se i risultati DNS memorizzati nella cache sono scaduti.

Passaggi successivi

• Criteri firewall gerarchici
• Criteri firewall di rete globali
• Criteri firewall di rete a livello di regione