Regole firewall VPC

Le regole firewall Virtual Private Cloud (VPC) si applicano a un progetto e a una rete specifici. Se vuoi applicare regole firewall a più reti VPC in un'organizzazione, consulta Criteri firewall. Il resto di questa pagina riguarda solo le regole firewall VPC.

Le regole firewall VPC consentono o negano le connessioni da istanze di macchine virtuali (VM) nel tuo rete VPC. Regole firewall VPC abilitate vengono applicate sempre in modo da proteggere le istanze a prescindere dalla loro configurazione e il sistema operativo, anche se non sono stati avviati.

Ogni rete VPC funziona come un firewall distribuito. Mentre le regole firewall sono definite a livello di rete, le connessioni sono consentite negati a livello di istanza. Puoi pensare al VPC regole firewall esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze nella stessa rete.

Per ulteriori informazioni sui firewall, consulta Firewall (computing).

Best practice per le regole firewall

Durante la progettazione e la valutazione delle regole firewall, tieni presente le seguenti best practice:

  • Implementa privilegio minimo principi. Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include limitare la regola ai soli protocolli e porte necessaria.
  • Utilizza le regole dei criteri firewall gerarchici per bloccare traffico che non dovrebbe mai essere consentito a livello di organizzazione o cartella.
  • Per "consenti" di Compute Engine, limitale a VM specifiche specificando account di servizio delle VM.
  • Se devi creare regole basate sugli indirizzi IP, cerca di ridurre al minimo il numero di regole. È più facile monitorare una regola che consente il traffico verso un intervallo di 16 alle VM è più importante monitorare 16 regole separate.
  • Attiva il logging delle regole firewall e utilizzare Approfondimenti sul firewall per verificare che le regole firewall vengano utilizzate nel modo previsto. Il logging delle regole firewall può essere soggetto costi, perciò valuta la possibilità di utilizzare selettivamente.

Regole firewall in Google Cloud

Quando crei una regola firewall VPC, devi specificare rete VPC e un insieme di componenti che definiscono la regola encoder-decoder. I componenti consentono di scegliere come target determinati tipi di traffico, in base a il protocollo, le porte, le origini e le destinazioni del traffico. Per ulteriori informazioni informazioni, consulta Componenti delle regole firewall.

Puoi creare o modificare le regole firewall VPC utilizzando Console Google Cloud, Google Cloud CLI e l'API REST. Quando crei o modifichi una regola firewall, puoi specificare le istanze a cui è destinata utilizzando il parametro target della regola. Per la regola firewall vedi Altri esempi di configurazione.

Oltre alle regole firewall che crei, Google Cloud ha regole che possono influire sulle connessioni in entrata o in uscita:

  • Google Cloud blocca o limita un determinato traffico. Per ulteriori informazioni, vedi Traffico bloccato e limitato

  • Google Cloud consente sempre la comunicazione tra un'istanza VM e la sua server di metadati corrispondente all'indirizzo 169.254.169.254. Per ulteriori informazioni, vedi il traffico sempre consentito.

  • Ogni rete ha due regole firewall implicite che consentire connessioni in uscita e bloccare le connessioni in entrata. Regole firewall da te create possono prevalere su queste regole implicite.

  • La rete predefinita è precompilata con regole firewall che puoi eliminare o modificare.

Specifiche

Le regole firewall VPC hanno le seguenti caratteristiche:

  • Ogni regola firewall si applica ai messaggi in entrata (in entrata) o in uscita (in uscita) connessioni, non entrambe. Per ulteriori informazioni, vedi direzione di connessione.

  • Le regole firewall supportano le connessioni IPv4. Sono supportate anche le connessioni IPv6 in reti VPC con IPv6 abilitato. Quando specifichi un'origine o di una regola di traffico in entrata o in uscita in base all'indirizzo, puoi specificare indirizzi o blocchi IPv4 o IPv6 nella notazione CIDR.

  • Ogni regola firewall può contenere intervalli IPv4 o IPv6, ma non entrambi.

  • L'azione di ogni regola firewall è allow o deny. La regola si applica alle connessioni purché sia applicata. Per Ad esempio, puoi disabilitare una regola per la risoluzione dei problemi.

  • Quando crei una regola firewall, devi selezionare una rete VPC. Mentre la regola viene applicata a livello di istanza, la sua configurazione viene associati a una rete VPC. Ciò significa che non puoi condividere regole firewall tra le reti VPC, incluse le reti connesse da Peering di rete VPC o utilizzando Tunnel Cloud VPN.

  • Le regole firewall VPC sono stateful:

    • Quando viene consentita una connessione attraverso il firewall in entrambe le direzioni, è consentito anche il traffico di ritorno corrispondente a questa connessione. Non puoi configurare una regola firewall per negare il traffico di risposta associato.
    • Il traffico di ritorno deve corrispondere alle 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione, protocollo) del traffico di richiesta accettato ma con indirizzi e porte di origine e di destinazione invertiti.
    • Google Cloud associa i pacchetti in entrata ai corrispondenti pacchetti in uscita di pacchetti utilizzando una tabella di monitoraggio delle connessioni. Connessioni IPv4 supportare i protocolli TCP, UDP, SCTP e ICMP. Connessioni IPv6 e supportare i protocolli TCP, UDP, SCTP e ICMPv6.
    • Google Cloud implementa il monitoraggio delle connessioni indipendentemente dal fatto che se il protocollo supporta le connessioni. Se è consentita una connessione tra un'origine e una destinazione (per una regola in entrata) o tra una destinazione e una destinazione (per una regola in uscita), tutto il traffico di risposta è consentito purché perché lo stato di monitoraggio della connessione del firewall è attivo. Una regola firewall lo stato di monitoraggio è considerato attivo se viene inviato almeno un pacchetto ogni 10 minuti.
    • Quando una connessione frammentata è consentita attraverso il firewall, Google Cloud utilizza il monitoraggio delle connessioni per consentire solo il primo del traffico di ritorno. Per consentire i frammenti di ritorno successivi, devi aggiungere una regola firewall.
    • Traffico di risposta ICMP, ad esempio "TIPO ICMP 3, DESTINAZIONE NON RAGGIUNTABILE", generati in risposta a una connessione TCP/UDP consentita sia consentita attraverso il firewall. Questo comportamento è coerente con RFC 792.

  • Le regole firewall VPC non riassemblano i pacchetti TCP frammentati. Pertanto, una regola firewall applicabile al protocollo TCP può essere applicata al primo frammento perché contiene l'intestazione TCP. Regole firewall applicabili al protocollo TCP non si applicano ai successivi frammenti TCP.

  • Il numero massimo di connessioni tracciate nella tabella delle regole firewall dipende al numero di connessioni stateful supportate dal tipo di macchina in esecuzione in un'istanza Compute Engine. Se viene superato il numero massimo di connessioni monitorate, il monitoraggio viene interrotto per le connessioni con l'intervallo di inattività più lungo per consentire a nuovi monitorare le connessioni.

    Tipo di macchina dell'istanza Numero massimo di connessioni stateful
    Tipi di macchine con core condivisi 130.000
    Istanze con 1-8 vCPU 130.000 connessioni per vCPU
    Istanze con più di 8 vCPU 1.040.000 (130.000 × 8) connessioni totali

Regole implicite

Ogni rete VPC ha due regole firewall IPv4 implicite. Se IPv6 è abilitata in una rete VPC, la rete ha anche due IPv6 impliciti le regole del firewall. Queste regole non vengono mostrate nella console Google Cloud.

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, a prescindere da come vengono create le reti e dal fatto che siano in modalità automatica o reti VPC in modalità personalizzata. La rete predefinita ha le stesse regole implicite.

  • Regola di traffico in uscita IPv4 implicito. Una regola in uscita la cui azione è allow, la destinazione è 0.0.0.0/0, mentre la priorità è la più bassa possibile (65535) qualsiasi istanza invia traffico a qualsiasi destinazione, tranne il traffico bloccato da Google Cloud. Un firewall con priorità più elevata può limitare l'accesso in uscita. L'accesso a internet è consentito se nessun'altra regola firewall nega il traffico in uscita e se l'istanza ha un un indirizzo IP esterno o usa un'istanza Cloud NAT. Per ulteriori informazioni, vedi Requisiti di accesso a internet.

  • Regola di traffico in entrata IPv4 implicito. Una regola in entrata la cui azione è deny l'origine è 0.0.0.0/0 e la priorità è la più bassa possibile (65535) a tutte le istanze bloccando le connessioni in entrata che le inviano. Una regola con priorità più alta potrebbe consentire l'accesso in entrata. La rete predefinita include regole aggiuntive che sostituiscono questa, consentendo alcuni tipi di connessioni in entrata.

Se IPv6 è abilitato, la rete VPC include anche questi due regole:

  • Regola di traffico in uscita IPv6 implicito. Una regola in uscita la cui azione è allow, la destinazione è ::/0, mentre la priorità è la più bassa possibile (65535) qualsiasi istanza invia traffico a qualsiasi destinazione, tranne il traffico bloccato da Google Cloud. Un firewall con priorità più elevata può limitare l'accesso in uscita. L'accesso a internet è consentito se nessun'altra regola firewall nega il traffico in uscita e se l'istanza ha un all'indirizzo IP esterno.

  • Regola di traffico in entrata IPv6 implicito. Una regola in entrata la cui azione è deny l'origine è ::/0 e la priorità è la più bassa possibile (65535) a tutte le istanze bloccando le connessioni in entrata che le inviano. Una regola con priorità più alta potrebbe consentire l'accesso in entrata.

Le regole implicite non possono essere rimosse, ma hanno il minor numero di regole possibile le priorità. Puoi creare regole che le sostituiscono, purché le regole abbiano priorità più elevate (numeri di priorità inferiori a 65535). Poiché deny regole hanno la precedenza su allow regole con la stessa priorità, ovvero una regola allow in entrata con una priorità di 65535 non ha mai effetto.

Regole precompilate nella rete predefinita

La rete predefinita è precompilata con regole firewall che consentono l'accesso le connessioni alle istanze. Queste regole possono essere eliminate o modificate in base alle esigenze:

Nome regola Direzione Priorità Intervalli di origine Azione Protocolli e porte Descrizione
default-allow-internal ingress 65534 10.128.0.0/9 allow tcp:0-65535
udp:0-65535
icmp 		Consente le connessioni in entrata alle istanze VM da altre istanze all'interno di della stessa rete VPC.
default-allow-ssh ingress 65534 0.0.0.0/0 allow tcp:22 Consente di connetterti alle istanze con strumenti come ssh, scp o sftp.
default-allow-rdp ingress 65534 0.0.0.0/0 allow tcp:3389 Consente di connetterti alle istanze utilizzando il protocollo Microsoft Remote Desktop Protocol (RDP).
default-allow-icmp ingress 65534 0.0.0.0/0 allow icmp Ti consente di utilizzare strumenti come ping.

Puoi creare regole firewall simili per reti diverse da quella predefinita in ogni rete. Per saperne di più, consulta Configurare le regole firewall per i casi d'uso comuni.

Traffico bloccato e limitato

Separato dalle regole del firewall VPC e dal firewall gerarchico Google Cloud, Google Cloud blocca o limita il traffico come descritto in la tabella seguente.

Tipo di traffico Dettagli
Frequenza del pacchetto e larghezza di banda

Si applica a:

  • Tutti i pacchetti in uscita
  • Tutti i pacchetti in entrata
 Google Cloud tiene conto della larghezza di banda per istanza VM, l'interfaccia di rete (NIC) o l'indirizzo IP. La VM tipo di macchina definisce la velocità massima in uscita possibile; ma puoi raggiungere solo il massimo possibile velocità in uscita in situazioni specifiche.

Per maggiori dettagli, vedi Larghezza di banda della rete in consulta la documentazione di Compute Engine.
Offerte e riconoscimenti da DHCP

Si applica a:

  • Pacchetti in entrata sulla porta UDP 68 (DHCPv4)
  • Pacchetti in entrata sulla porta UDP 546 (DHCPv6)
 Google Cloud blocca le offerte e i riconoscimenti DHCP in arrivo tutte le origini tranne i pacchetti DHCP provenienti da il server dei metadati.
Protocolli supportati da indirizzi IP esterni di Google Cloud

Si applica a:

  • Pacchetti in entrata verso indirizzi IP esterni

Gli indirizzi IPv4 e IPv6 esterni accettano solo TCP, UDP, ICMP, Pacchetti IPIP, AH, ESP, SCTP e GRE. Risorse che utilizzano elementi Gli indirizzi IP impongono ulteriori restrizioni di protocollo:
Traffico SMTP (porta 25)

Si applica a:

  • Pacchetti in uscita verso indirizzi IP esterni sulla porta TCP 25

Per impostazione predefinita, Google Cloud blocca i pacchetti in uscita inviati a TCP porta 25 di destinazione di un indirizzo IP esterno (incluso un indirizzo IP esterno di un'altra risorsa Google Cloud). Tuttavia, questo traffico è non bloccati nei progetti di proprietà di determinati clienti Google Cloud. Nella console Google Cloud, pagina Reti VPC e . Nella pagina dei criteri firewall viene visualizzato un messaggio che indica che indica se la porta SMTP 25 è consentita o non consentita nel tuo progetto.

Questo blocco non si applica ai pacchetti in uscita inviati alla destinazione TCP porta 25 di un indirizzo IP interno, incluso un indirizzo IP utilizzato privatamente un indirizzo IP pubblico in una rete VPC o in una rete in ogni rete.

Se il traffico SMTP esterno in uscita sulla porta 25 è consentito nel progetto e inviare questo tipo di traffico, le seguenti risorse aggiuntive devono essere soddisfatte:

  • regole firewall in uscita nella rete VPC i criteri firewall gerarchici applicabili al VPC deve consentire il traffico in uscita verso l'indirizzo IP esterno sulla porta TCP 25. Le regole di autorizzazione in uscita implicite soddisfano questo requisito perché consentono il traffico in uscita verso risposte in entrata) da qualsiasi indirizzo IP.
  • La route applicabile per la destinazione deve utilizzare il valore predefinito e l'hop successivo del gateway internet. La generati dal sistema le route predefinite soddisfano questo requisito.
  • L'istanza che invia pacchetti all'indirizzo IP esterno deve soddisfare l'accesso a internet requisiti.

Puoi impedire il traffico SMTP esterno creando un traffico di negazione in uscita Regole firewall VPC o criteri firewall gerarchici.

Traffico sempre consentito

Per le istanze VM, le regole firewall VPC e il firewall gerarchico non si applicano a quanto segue:

  • Pacchetti inviati e ricevuti dai metadati Google Cloud server web

  • Pacchetti inviati a un indirizzo IP assegnato a una delle reti dell'istanza (NIC) in cui i pacchetti rimangono all'interno della VM stessa. Indirizzi IP assegnati al NIC di un'istanza includono:

    • L'indirizzo IPv4 interno principale del NIC
    • Qualsiasi indirizzo IPv4 interno da un intervallo IP alias di il NIC
    • Se nella subnet è configurato IPv6, uno qualsiasi degli indirizzi IPv6 assegnati il NIC
    • Un indirizzo IPv4 interno o esterno associato a una regola di forwarding. per il bilanciamento del carico o il forwarding del protocollo, se l'istanza è un backend per il bilanciatore del carico o è un'istanza di destinazione per il forwarding del protocollo
    • Indirizzi loopback
    • Indirizzi configurati come parte del software di overlay di rete eseguito l'istanza stessa

Server di metadati di Google Cloud

Google Cloud esegue un server di metadati locale insieme a ogni istanza in 169.254.169.254. Questo server è essenziale per il funzionamento dell'istanza, quindi l'istanza può accedervi indipendentemente dalle regole firewall configurate. Il server di metadati fornisce i seguenti servizi di base all'istanza:

Interazioni con i prodotti

Le seguenti sezioni descrivono come le regole firewall e il firewall gerarchico I criteri interagiscono con altri prodotti Google Cloud.

Regole firewall e bilanciatori del carico passthrough

Le regole firewall VPC e i criteri firewall gerarchici controllano i protocolli e le porte supportati dalla regola di forwarding a cui è consentito e accedono ai backend del bilanciatore del carico passthrough. Per maggiori dettagli, vedi:

Regole firewall e bilanciatori del carico proxy

Per i bilanciatori del carico delle applicazioni esterni, i bilanciatori del carico delle applicazioni interni bilanciatori del carico di rete con proxy interni e bilanciatori del carico di rete proxy esterni, VPC le regole firewall e i criteri firewall gerarchici non controllano quale protocolli e porte sono accettati dall'IP della regola di forwarding del bilanciatore del carico proxy . La regola di forwarding determina da sola i protocolli e le porte accettate dal bilanciatore del carico proxy.

Le regole firewall VPC e i criteri firewall gerarchici controllano il modo in cui questi bilanciatori del carico proxy comunicano con i rispettivi backend. Per vedi:

Regole firewall e Cloud VPN

Le regole firewall e i criteri firewall gerarchici non controllano quale i protocolli e le porte sono accettati dal gateway Cloud VPN.

I gateway Cloud VPN accettano solo pacchetti per i protocolli e le porte descritti nella sezione Cloud VPN specifiche.

Regole firewall e GKE

Google Kubernetes Engine crea e gestisce automaticamente le regole firewall quando crei per un cluster o per le risorse al suo interno (inclusi servizi e Ingress). Per Per saperne di più, consulta Firewall creato automaticamente in Google Kubernetes Engine documentazione.

Componenti delle regole firewall

Ogni regola firewall è costituita dai seguenti componenti di configurazione:

  • Una direzione dal punto di vista del target. La direzione può essere in entrata o in uscita.

  • Una priorità numerica, ovvero determina se la regola viene applicata. Solo la priorità più alta (più bassa numero di priorità) una regola i cui altri componenti corrispondono al traffico; le regole in conflitto con priorità più basse vengono ignorate.

  • Un'azione in caso di corrispondenza, allow o deny, che determina se la regola consente o blocca le connessioni.

  • Lo stato di applicazione della regola firewall: puoi abilitare e disabilitare le regole firewall senza eliminarle.

  • Un target, che definisce le istanze (incluse i cluster GKE e le istanze dell'ambiente flessibile di App Engine) a cui si applica la regola.

  • Un filtro di origine o destinazione per caratteristiche dei pacchetti.

  • Il protocollo (ad esempio TCP, UDP o ICMP) e e la porta di destinazione.

  • Un'opzione booleana logs che registra connessioni che corrispondono alla regola in Cloud Logging.

Riepilogo dei componenti

Regola in entrata (in entrata)
Priorità Azione Applicazione Parametro target Filtri di origine e di destinazione Protocolli e porte
Numero intero compreso tra 0 e 65535, inclusi; predefinita 1000 allow o deny enabled (valore predefinito) o disabled Specifica le istanze che ricevono pacchetti.

Origini delle regole in entrata

Destinazioni per le regole in entrata

Specifica un protocollo o un protocollo e una porta di destinazione.

Se non viene configurato, la regola si applica a tutti i protocolli e le porte di destinazione. Per ulteriori informazioni per ulteriori informazioni, consulta Protocolli e porte.
Regola in uscita (in uscita)
Priorità Azione Applicazione Parametro target Filtri di origine e di destinazione Protocolli e porte
Numero intero compreso tra 0 e 65535, inclusi; predefinita 1000 allow o deny enabled (valore predefinito) o disabled Specifica le istanze che inviano pacchetti.

Origini per le regole in uscita

Destinazioni per le regole in uscita

Specifica un protocollo o un protocollo e una porta di destinazione.

Se non viene configurato, la regola si applica a tutti i protocolli e le porte di destinazione. Per ulteriori informazioni per ulteriori informazioni, consulta Protocolli e porte.

Direzione del traffico

Puoi creare regole firewall che si applicano al traffico in entrata o in uscita. Un singolo non può essere applicata sia al traffico in entrata che al traffico in uscita. Tuttavia, puoi creare più regole per definire il traffico in entrata e in uscita consentito attraverso il firewall.

  • L'opzione Ingress (in entrata) descrive i pacchetti che in entrata nell'interfaccia di rete di un target.

  • Il traffico in uscita (in uscita) descrive i pacchetti che escono dall'interfaccia di rete di un target.

  • Se non specifichi una direzione, Google Cloud utilizza il traffico in entrata.

Priorità

La priorità della regola firewall è un numero intero compreso tra 0 e 65535 inclusi. Minore i numeri interi indicano priorità più elevate. Se non specifichi una priorità quando creando una regola, le viene assegnata una priorità pari a 1000.

La priorità relativa di una regola firewall determina se è applicabile quando valutata rispetto ad altri. La logica di valutazione funziona come segue:

  • La regola con priorità più alta applicabile a un target per un determinato tipo di traffico ha la precedenza. La specificità del target non è importante. Ad esempio, un livello più alto una regola di priorità in entrata per determinati protocolli e porte di destinazione per tutti i target sostituisce una regola definita in modo simile con priorità inferiore per il parametro le stesse porte e gli stessi protocolli di destinazione destinati a destinazioni specifiche.

  • La regola con priorità più alta applicabile a un determinato protocollo e a una destinazione la definizione della porta ha la precedenza, anche quando protocollo e destinazione la definizione della porta è più generale. Ad esempio, una regola in entrata con priorità più alta consentendo il traffico per tutti i protocolli e le porte di destinazione le destinazioni eseguono l'override di una regola in entrata con priorità inferiore che nega TCP 22 per lo stesso target.

  • Una regola con un'azione deny sostituisce un'altra con un'azione allow solo se le due regole hanno la stessa priorità. Utilizzando priorità relative, possibile creare allow regole che sostituiscono deny regole e deny regole che eseguono l'override di allow regole.

  • Le regole con la stessa priorità e la stessa azione hanno lo stesso risultato. Tuttavia, la regola utilizzata durante la valutazione è indeterminata. Generalmente, la regola utilizzata, tranne quando abiliti Logging delle regole firewall. Se vuoi i log per mostrare le regole firewall valutate in modo coerente in un ordine definito, assegna loro priorità univoche.

Considera l'esempio seguente in cui esistono due regole firewall:

  • Una regola in entrata dalle origini 0.0.0.0/0 (qualsiasi indirizzo IPv4) applicabile a tutte le destinazioni. tutti i protocolli e tutte le porte di destinazione, con un'azione deny e un priorità di 1000.

  • Una regola in entrata da origini 0.0.0.0/0 (qualsiasi indirizzo IPv4) applicabile a specifiche target con il tag di rete webserver, per il traffico su TCP 80, con allow un'azione.

La priorità della seconda regola determina se il traffico TCP sulla porta 80 è consentito per webserver target:

  • Se la priorità della seconda regola è impostata su un numero maggiore di 1000, ha una priorità inferiore, perciò viene applicata la prima regola che nega tutto il traffico.

  • Se la priorità della seconda regola è impostata su 1000, le due regole hanno priorità identiche, pertanto viene applicata la prima regola che nega tutto il traffico.

  • Se la priorità della seconda regola è impostata su un numero inferiore a 1000, ha una priorità maggiore, consentendo così il traffico su TCP 80 webserver target. In assenza di altre regole, la prima regola comunque nega altre tipi di traffico verso le destinazioni webserver e verranno rifiutati anche tutti il traffico, incluso TCP 80, verso istanze senza il tag di rete webserver.

L'esempio precedente mostra come utilizzare le priorità per creare allow regole e regole deny globali per implementare una best practice per la sicurezza delle il privilegio minimo.

Azione in caso di corrispondenza

Il componente di azione di una regola firewall determina se consente o blocca traffico, soggetto agli altri componenti della regola:

  • Un'azione allow consente connessioni corrispondenti all'altra specificata componenti.

  • Un'azione deny blocca le connessioni che corrispondono agli altri componenti specificati.

Applicazione

Puoi scegliere se applicare una regola firewall impostandone lo stato a enabled o disabled. Puoi impostare lo stato dell'applicazione forzata quando crea una regola o quando aggiornare una regola.

Se non imposti uno stato di applicazione quando crei una nuova regola firewall, la regola firewall viene automaticamente enabled.

Casi d'uso

La disattivazione e l'attivazione sono utili per la risoluzione dei problemi e l'esecuzione manutenzione. Valuta la possibilità di modificare l'applicazione di una regola firewall nelle seguenti situazioni:

  • Per la risoluzione dei problemi: insieme alle regole firewall Logging, puoi disattivare temporaneamente regola firewall per determinare se la regola è responsabile del blocco o dell'autorizzazione per via del traffico. Ciò è utile nei casi in cui si applicano più regole firewall lo stesso traffico. La disattivazione e l'attivazione delle regole è più utile che eliminare e ricreare le regole perché nessuno degli altri componenti della regola hanno perso.

  • Per la manutenzione: la disattivazione delle regole firewall può semplificare la manutenzione periodica. Ad esempio, potresti scegliere di abilitare una regola firewall in entrata che consenta Accesso SSH solo nei casi in cui è necessario eseguire la manutenzione mediante SSH. Quando non stai eseguendo la manutenzione, puoi disattivare la regola.

Effetti sul traffico esistente

Quando modifichi lo stato di applicazione di una regola firewall o quando crei un nuova regola enforced, la modifica si applica solo alle nuove connessioni. Le connessioni esistenti non sono interessate dalla modifica.

Protocolli e porte

Puoi restringere l'ambito di una regola firewall specificando protocolli protocolli e porte di destinazione. Puoi specificare un protocollo o una combinazione e le relative porte di destinazione. Se ometti sia i protocolli che le porte, La regola firewall è applicabile a tutto il traffico su qualsiasi protocollo e destinazione una porta. Le regole basate sulle porte di origine non sono supportate.

Non tutti i protocolli supportano le porte. Ad esempio, esistono porte per TCP e UDP, ma non per ICMP. ICMP ha diversi tipi di ICMP, ma non sono porte e non possono essere specificati in una regola firewall.

Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, è necessario utilizza la Numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e numero sia in IPv4 che in IPv6, come ICMP.

Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

La tabella seguente riassume le specifiche del protocollo valido e della porta di destinazione combinazioni per le regole firewall di Google Cloud.

Specifica Esempio Spiegazione
Nessun protocollo e nessuna porta Se non specifichi un protocollo, la regola firewall si applica a tutti e le porte di destinazione applicabili.
Protocollo tcp Se specifichi un protocollo senza informazioni sulle porte, il firewall si applica al protocollo e a tutte le porte applicabili.
Protocollo e porta singola tcp:80 Se specifichi un protocollo e una singola porta di destinazione, si applica alla porta di destinazione del protocollo.
Intervallo di protocolli e porte tcp:20-22 Se specifichi un protocollo e un intervallo di porte, la regola firewall si applica a quell'intervallo di porte di destinazione per il protocollo.
Combinazioni icmp,tcp:80
tcp:443
udp:67-69		 Puoi specificare varie combinazioni di protocolli e porte di destinazione a cui si applica la regola firewall. Per ulteriori informazioni, consulta Creare un firewall .

Target, origine, destinazione

Le destinazioni identificano le interfacce di rete delle istanze a cui la regola firewall .

Puoi specificare i parametri di origine e di destinazione applicabili al pacchetto e alle destinazioni sia per le regole firewall in entrata che in uscita. La direzione della regola firewall determina la possibile per i parametri di origine e destinazione.

Parametro target

Il parametro target identifica le interfacce di rete del di Compute Engine, inclusi nodi GKE dell'ambiente flessibile di App Engine.

Puoi definire i seguenti target per le regole sia in entrata che in uscita. La i parametri target, source e destinazione interagiscono come descritto in Origine, destinazione, destinazione.

  • Target predefinito: tutte le istanze nella rete VPC. Quando ometti una specifica di destinazione, la regola firewall si applica a tutte le istanze nella rete VPC.

  • Istanze per tag di rete di destinazione. La regola firewall si applica solo istanze con interfacce di rete nel VPC della regola firewall rete, se le istanze hanno una rete che corrisponde ad almeno uno dei i tag di rete di destinazione della regola firewall. Per il numero massimo di reti target che puoi specificare per ogni regola firewall, vedi per regola firewall. limiti.

  • Istanze per account di servizio di destinazione. La regola firewall si applica solo istanze con interfacce di rete nel VPC della regola firewall sulla rete, se le istanze usano un account di servizio corrisponde ad almeno uno degli account di servizio di destinazione della regola firewall. Per numero massimo di account di servizio di destinazione che puoi specificare per firewall vedi Limiti delle regole firewall.

Per informazioni sui vantaggi e sui limiti dei tag di rete di destinazione e account di servizio target, consulta l'articolo sul filtro per account di servizio rispetto a rete del tag.

Destinazioni e indirizzi IP per le regole in entrata

I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:

  • Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in una delle intervalli di indirizzi IP di destinazione.

  • Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP:

    • L'indirizzo IPv4 interno principale assegnato al NIC dell'istanza.

    • Eventuali intervalli IP alias configurati sulla al NIC dell'istanza.

    • L'indirizzo IPv4 esterno associato al NIC dell'istanza.

    • Se nella subnet è configurato IPv6, uno qualsiasi degli indirizzi IPv6 assegnati il NIC.

    • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico passthrough, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.

    • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, dove una destinazione fa riferimento all'istanza in esecuzione in un'istanza Compute Engine.

    • Un indirizzo IP compreso nell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza come VM dell'hop successivo (next-hop-instance o next-hop-address).

    • Un indirizzo IP nell'intervallo di destinazione di una route statica personalizzata che utilizza di un hop successivo del bilanciatore del carico di rete passthrough interno (next-hop-ilb), se la VM è un backend per dal bilanciatore del carico.

Destinazioni e indirizzi IP per le regole in uscita

L'elaborazione dei pacchetti emessi dall'interfaccia di rete di una destinazione dipende dalla configurazione dell'IP forwarding. sulla VM di destinazione. L'IP forwarding è disattivato per impostazione predefinita.

  • Se l'IP forwarding è disabilitato per la VM di destinazione, la VM può emettere pacchetti con le seguenti fonti:

    • L'indirizzo IPv4 interno principale del NIC di un'istanza.

    • Qualsiasi intervallo IP alias configurato sul NIC di un'istanza.

    • Se nella subnet è configurato IPv6, uno qualsiasi degli indirizzi IPv6 assegnati il NIC.

    • Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico passthrough o il forwarding del protocollo, se l'istanza è un per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o fa riferimento da per un'istanza di destinazione.

    Se la regola firewall in uscita include intervalli di indirizzi IP di origine, il target Le VM sono ancora limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro source può essere usato per perfezionare l'insieme. Utilizzo di un parametro source senza abilitare l'IP forwarding non espande l'insieme dei possibili pacchetti gli indirizzi di origine.

    Se la regola firewall in uscita non include un intervallo di indirizzi IP di origine, tutte gli indirizzi IP di origine menzionati in precedenza sono consentiti.

  • Quando l'IP forwarding è abilitato per la VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per visualizzare definiscono con precisione l'insieme di origini dei pacchetti consentite.

Parametro di origine

I valori dei parametri di origine dipendono dalla direzione della regola firewall.

Origini per le regole in entrata

Puoi utilizzare le seguenti origini per le regole firewall in entrata:

  • Intervallo di origine predefinito:quando ometti una specifica dell'origine in una regola in entrata, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include IPv6 fonti.

  • Intervalli IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.

  • Tag di rete di origine: uno o più tag di rete che identificano le interfacce di rete Istanze VM nella stessa rete VPC della regola firewall. Per il numero massimo di tag di rete di origine per regola firewall; consulta per firewall limiti delle regole. Per maggiori dettagli su come vengono abbinati gli indirizzi di origine dei pacchetti quando si utilizza questa origine implicita delle specifiche, consulta Come implicano i tag di rete di origine e gli account di servizio di origine dei pacchetti.

  • Account di servizio di origine:uno o più account di servizio. che identificano le interfacce di rete delle istanze VM rete VPC come regola firewall. Per il numero massimo di account di servizio di origine per regola firewall; consulta per regola firewall limiti. Per i dettagli su come funziona gli indirizzi di origine corrispondono quando si utilizza questa specifica di origine implicita, consulta Come i tag di rete di origine e gli account di servizio di origine implicano di origine.

  • Una combinazione di origine valida:per tutte le seguenti combinazioni, il valore è l'unione degli indirizzi IPv4 o IPv6 che sono esplicitamente specificati e gli intervalli di indirizzi IP impliciti dall'origine tag di rete o account di servizio di origine:

    • Una combinazione di intervalli IPv4 di origine e tag di rete di origine.
    • Una combinazione di intervalli IPv6 di origine e tag di rete di origine.
    • Una combinazione di intervalli IPv4 di origine e account di servizio di origine.
    • Una combinazione di intervalli IPv6 di origine e account di servizio di origine.

In che modo i tag di rete di origine e gli account di servizio di origine implicano l'origine dei pacchetti

Quando una regola firewall in entrata utilizza un tag di rete di origine, i pacchetti devono emessi da un'interfaccia di rete che soddisfa i seguenti criteri:

  • L'interfaccia di rete deve trovarsi nella rete VPC in cui è definita una regola firewall
  • L'interfaccia di rete deve essere associata a una VM che ha un tag di rete corrisponde ad almeno uno dei tag di rete di origine della regola firewall.

Quando una regola firewall in entrata utilizza un account di servizio di origine, i pacchetti devono essere emessi da un'interfaccia di rete che soddisfa i seguenti criteri:

  • L'interfaccia di rete deve trovarsi nella rete VPC in cui è definita una regola firewall
  • L'interfaccia di rete deve essere associata a una VM con un account di servizio che corrisponde a uno degli account di servizio di origine della regola firewall.

Oltre a specificare un'interfaccia di rete, quando una regola firewall in entrata utilizza da un tag di rete di origine o da un account di servizio di origine, i pacchetti emessi dalla rete dell'interfaccia della VM deve utilizzare uno dei seguenti indirizzi IP di origine validi:

  • L'indirizzo IPv4 interno principale di quell'interfaccia di rete.
  • Eventuali indirizzi IPv6 assegnati a quell'interfaccia di rete.

Se una regola firewall in entrata contiene anche intervalli di indirizzi IP di destinazione, l'interfaccia di rete associata a un tag di rete viene risolta sullo stesso IP dell'oggetto come intervallo IP di destinazione.

Quando si utilizzano tag di rete di origine o non sono impliciti altri indirizzi IP di origine dei pacchetti, o account di servizio di origine. Ad esempio, intervalli IP alias e IPv4 esterno indirizzo associato all'interfaccia di rete viene escluso. Per Creare regole firewall in entrata le cui origini includono intervalli di indirizzi IP alias o indirizzi IPv4 esterni, utilizza intervalli IPv4 di origine.

Origini per le regole in uscita

Puoi utilizzare le seguenti origini per le regole firewall in uscita:

  • Predefinita: applicata dal target. Se ometti il parametro source da una in uscita, le origini dei pacchetti sono definite implicitamente come descritto in e indirizzi IP per le regole in uscita.

  • Intervalli IPv4 di origine. Un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli IPv6 di origine. Un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:

  • Se a un'interfaccia VM sono assegnati indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene usato solo l'indirizzo IPv4 interno.

  • Se specifichi sia i parametri di origine sia quelli di destinazione in una regola in uscita, utilizzano la stessa versione IP per entrambi i parametri. Puoi utilizzare uno dei seguenti Intervallo di indirizzi IPv4 o IPv6, ma non entrambi. Per maggiori dettagli, vedi Destinazioni per le regole in uscita.

Parametro di destinazione

Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP, che sono supportati sia in entrata che in uscita. Il comportamento predefinito della destinazione dipende direzione della regola.

Destinazioni per le regole in entrata

Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata:

  • Predefinita: applicata dal target. Se ometti il parametro destination di una regola in entrata, le destinazioni dei pacchetti sono definite implicitamente, come descritto Destinazioni e indirizzi IP per le regole in entrata.

  • Intervalli IPv4 di destinazione. Un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli IPv6 di destinazione. Un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole in entrata:

  • Se a un'interfaccia VM sono assegnati indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene usato solo l'indirizzo IPv4 interno.

  • Se specifichi sia i parametri di origine sia quelli di destinazione in una regola in entrata, i parametri sorgente vengono risolti nella stessa versione IP di l'intervallo di indirizzi IP di destinazione. Per scoprire di più su su come definire le origini delle regole in entrata, consulta Origini per le regole in entrata.

Destinazioni per le regole in uscita

Puoi utilizzare le seguenti destinazioni per le regole firewall in uscita:

  • Intervallo di destinazione predefinito. Quando ometti una specifica della destinazione in un in uscita, Google Cloud utilizza l'intervallo di indirizzi IPv4 di destinazione predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include IPv6 destinazioni.

  • Intervalli IPv4 di destinazione. Un elenco di indirizzi IPv4 in formato CIDR.

  • Intervalli IPv6 di destinazione. Un elenco di indirizzi IPv6 in formato CIDR.

Filtro di origine e di destinazione per account di servizio

Puoi utilizzare account di servizio per creare un firewall di regole più specifiche:

  • Per le regole sia in entrata che in uscita, puoi utilizzare gli account di servizio per specificare target.

  • Per le regole in entrata, puoi specificare l'origine dei pacchetti in entrata come indirizzo IP interno principale di qualsiasi VM nella rete in cui la VM utilizza un particolare account di servizio.

L'account di servizio deve essere creato nello stesso progetto come regola firewall prima di creare una regola firewall basata su di essa. Anche se il sistema non ti impedisce di creare una regola che utilizza un servizio di un altro progetto, la regola non viene applicata non esiste nel progetto della regola firewall.

Le regole firewall che utilizzano gli account di servizio per identificare le istanze si applicano a entrambi nuove istanze create e associate al servizio account. a quelle esistenti se modifichi il servizio . La modifica dell'account di servizio associato a un'istanza richiede arrestalo e riavvialo. Puoi associare account di servizio a singole di istanze gestite e con i modelli di istanza utilizzati dall'istanza gestita gruppi di lavoro.

Filtra per account di servizio e tag di rete

Questa sezione evidenzia i punti chiave da considerare quando si decide se utilizzare account di servizio o tag di rete per definire destinazioni e origini (per il traffico ).

Se hai bisogno di un controllo rigoroso su come vengono applicate le regole firewall alle VM, utilizza gli account di servizio target e gli account di servizio di origine anziché i tag di rete e i tag tag di rete di origine:

  • Un tag di rete è un attributo arbitrario. Uno o più tag di rete possono essere associate a un'istanza da qualsiasi L'entità Identity and Access Management (IAM) con l'autorizzazione per modificarla. Le entità IAM con l'istanza Compute Engine Amministratore di un progetto dispongono di questa autorizzazione. Le entità IAM che possono modificare un'istanza possono cambiarne tag di rete, che potrebbero modificare l'insieme di regole firewall applicabili in esecuzione in un'istanza Compute Engine.

  • Un account di servizio rappresenta un'identità associata a un'istanza. Solo è possibile associare un account di servizio a un'istanza. Puoi controllare l'accesso a l'account di servizio controllando la concessione Ruolo Utente account di servizio per altro delle entità IAM. Per un'entità IAM per avviare un'istanza Utilizzando un account di servizio, l'entità deve avere il ruolo Utente account di servizio di utilizzare almeno quell'account di servizio e le autorizzazioni appropriate per creare (ad esempio, avere il ruolo Amministratore istanze Compute Engine per del progetto).

Non puoi combinare account di servizio e tag di rete in nessuna regola firewall:

  • Non puoi utilizzare account di servizio e tag di rete target insieme in nessuna una regola firewall (in entrata o in uscita).

  • Se specifichi i target in base al tag di rete o all'account di servizio di destinazione, quanto segue non sono origini valide per le regole firewall in entrata.

    Destinazioni Origini non valide
    Tag di rete di destinazione Account di servizio di origine

    Combinazione di intervalli IP di origine e account di servizio di origine
    Account di servizio di destinazione Tag di rete di origine

    Combinazione di intervalli IP di origine e tag di rete di origine

Di seguito sono riportate alcune considerazioni operative per gli account di servizio e i tag di rete:

  • La modifica di un account di servizio per un'istanza richiede l'arresto e il riavvio li annotino. Puoi aggiungere o rimuovere i tag di rete mentre l'istanza è in esecuzione.

  • Esiste un numero massimo di account di servizio di destinazione, servizio di origine di rete, account, tag di rete di destinazione e tag di rete di origine che possono essere specificati per le regole firewall. Per ulteriori informazioni, consulta la sezione Per regola firewall limiti.

  • Se identifichi le istanze in base al tag di rete, la regola firewall si applica al con l'indirizzo IP interno principale dell'istanza.

  • Le regole firewall dell'account di servizio si applicano al nodo GKE, non al nel pod GKE.

Ruoli e autorizzazioni

La tabella seguente descrive le autorizzazioni di Identity and Access Management (IAM) che di cui hai bisogno per lavorare con le regole firewall VPC.

Attività Autorizzazione obbligatoria Ruolo di esempio
Crea una regola firewall compute.firewalls.create Amministratore sicurezza Compute
(roles/compute.securityAdmin)
Elimina una regola firewall compute.firewalls.delete Amministratore sicurezza Compute
(roles/compute.securityAdmin)
Apporta modifiche alle regole firewall compute.firewalls.update Amministratore sicurezza Compute
(roles/compute.securityAdmin)
Visualizza i dettagli di una regola firewall compute.firewalls.get Visualizzatore di rete Compute
(roles/compute.networkViewer)
Visualizza un elenco di regole firewall compute.firewalls.list Visualizzatore di rete Compute
(roles/compute.networkViewer)

Casi d'uso

I seguenti casi d'uso mostrano come funzionano le regole firewall. In questi esempi, tutte le regole firewall siano abilitate.

Richieste di traffico in entrata

Le regole firewall in entrata controllano le connessioni in entrata da un'origine alla destinazione delle tue istanze VM nella tua rete VPC. L'origine di una regola in entrata può essere definito come uno dei seguenti:

  • un intervallo di indirizzi IPv4 o IPv6; il valore predefinito è qualsiasi indirizzo IPv4 (0.0.0.0/0)
  • Altre istanze nella tua rete VPC identificate dalla rete tag
  • Altre istanze nella tua rete VPC identificate dal servizio account
  • Altre istanze nella tua rete VPC identificate dall'intervallo di Indirizzo IPv4 o IPv6 e per tag di rete
  • Altre istanze nella tua rete VPC identificate dall'intervallo di Indirizzi IPv4 o IPv6 e per account di servizio

L'origine predefinita è qualsiasi indirizzo IPv4 (0.0.0.0/0). Se vuoi controllare per le connessioni in entrata per origini esterne alla rete VPC, incluse altre origini su internet, utilizza un intervallo di indirizzi IP in formato CIDR.

Le regole in entrata con un'azione allow consentono il traffico in entrata in base all'altro componenti della regola. Oltre a specificare l'origine e il target della regola, puoi limitare la regola in modo che venga applicata a specifici protocolli e porte di destinazione. Analogamente, le regole in entrata con un'azione deny può essere utilizzato per proteggere le istanze bloccando il traffico in entrata in base componenti delle regole firewall.

Esempi di traffico in entrata

La Figura 1 illustra alcuni esempi in cui le regole firewall possono controllare e le connessioni in entrata. Gli esempi utilizzano il valore target nelle assegnazioni delle regole per applicare le regole a istanze specifiche.

In questo esempio di rete VPC, il firewall in entrata prevalgono sulla regola implicita di negazione del traffico in entrata per alcune VM.
Figura 1. In questo esempio di rete VPC, Le regole firewall di autorizzazione in entrata sostituiscono la regola implicita di negazione del traffico in entrata per alcune VM (fai clic per ingrandire).

  • Una regola in entrata con priorità 1000 è applicabile alla VM 1. Questa regola consente il traffico TCP in entrata da qualsiasi origine IPv4 (0.0.0.0/0). traffico TCP da sono consentite altre istanze nella rete VPC, ai sensi delle le regole di traffico in uscita applicabili per le altre istanze. La VM 4 è in grado di comunicano con la VM 1 tramite TCP perché la VM 4 non ha un blocco delle regole in uscita tale comunicazione (è applicabile solo la regola implicita di autorizzazione in uscita). Poiché La VM 1 ha un IP esterno. Questa regola consente anche il traffico TCP in entrata host esterni su internet e dalla VM 2 tramite indirizzi IP esterni.

  • Per la VM 2 non è specificata alcuna regola firewall in entrata, quindi il traffico implicito di negazione del traffico in entrata blocca tutto il traffico in entrata. Connessioni da altre istanze in vengono bloccate sulla rete, indipendentemente dalle regole in uscita per le altre istanze. Poiché la VM 2 ha un IP esterno, esiste un percorso da seguire host su internet, ma la regola implicita di negazione del traffico in entrata blocca le anche il traffico in entrata.

  • Una regola in entrata con priorità 1000 è applicabile alla VM 3. Questa regola consente il traffico TCP da istanze nella rete con il tag di rete client, ad esempio VM 4. Il traffico TCP da VM 4 a VM 3 è consentito poiché per la VM 4 non esiste una regola di traffico in uscita che blocca tale comunicazione (solo è applicabile una regola implicita di autorizzazione in uscita). Poiché la VM 3 non dispone di una esterno, non esiste un percorso da host esterni su internet.

Casi in uscita

Le regole firewall in uscita controllano le connessioni in uscita dalle istanze di destinazione nel tuo rete VPC. Le regole in uscita con un'azione allow consentono il traffico dalle istanze basate sugli altri componenti del personalizzata. Ad esempio, puoi consentire il traffico in uscita a destinazioni specifiche, come un intervallo di indirizzi IPv4, su protocolli e porte di destinazione specificate. Analogamente, le regole in uscita con un valore deny e Action Blocks per il traffico in base agli altri componenti della regola.

Ogni regola in uscita richiede una destinazione. La destinazione predefinita è qualsiasi IPv4 (0.0.0.0/0), ma puoi creare una destinazione più specifica utilizzando di indirizzi IPv4 o IPv6 in formato CIDR. Quando specifichi un intervallo di indirizzi IP, indirizzi IP esterni, puoi controllare il traffico verso le istanze nella tua rete destinazioni al di fuori della tua rete, incluse quelle su internet.

Esempi di traffico in uscita

La Figura 2 illustra alcuni esempi in cui le regole firewall possono controllare connessioni in uscita. Gli esempi utilizzano il valore target nelle assegnazioni delle regole per applicare le regole a istanze specifiche.

In questo esempio di rete VPC, il firewall per il traffico in uscita per il rifiuto prevalgono sulla regola implicita di autorizzazione in uscita per alcune VM.
Figura 2. In questo esempio di rete VPC, le regole firewall di negazione del traffico ignorano la regola di autorizzazione implicita in uscita per alcune VM (fai clic per ingrandire).

  • Per la VM 1 non è specificata alcuna regola firewall in uscita, quindi il traffico implicito che consente il traffico in uscita consente di inviare traffico a qualsiasi destinazione. Connessioni ad altre istanze in alla rete VPC, fatte salve le regole in entrata applicabili per le altre istanze. La VM 1 è in grado di inviare traffico alla VM 4 perché La VM 4 ha una regola in entrata che consente il traffico in entrata da qualsiasi indirizzo IP intervallo. Poiché la VM 1 ha un indirizzo IP esterno, è in grado di inviare traffico agli host esterni su internet. Risposte in arrivo al traffico inviato da VM 1 sono consentiti perché le regole firewall sono stateful.

  • Una regola in uscita con priorità 1000 è applicabile alla VM 2. Questa regola nega tutto il traffico in uscita verso tutte le destinazioni IPv4 (0.0.0.0/0). Traffico in uscita ad altre istanze nella rete VPC è bloccato, indipendentemente le regole in entrata applicate alle altre istanze. Anche se la VM 2 ha un indirizzo IP esterno, questa regola firewall blocca il traffico in uscita verso host su internet.

  • Una regola in uscita con priorità 1000 è applicabile alla VM 3. Questa regola blocca il traffico TCP in uscita verso qualsiasi destinazione nell'IP di 192.168.1.0/24 intervallo. Anche se le regole in entrata per VM 4 consentono tutto il traffico in entrata, VM 3 non può inviare traffico TCP alla VM 4. Tuttavia, la VM 3 può inviare liberamente UDP traffico verso la VM 4 perché la regola in uscita si applica solo al protocollo TCP.

    Inoltre, la VM 3 può inviare tutto il traffico ad altre istanze della La rete VPC al di fuori dell'intervallo IP 192.168.1.0/24, a condizione che le altre istanze hanno regole in entrata per consentire questo traffico. Perché Non ha un indirizzo IP esterno, non ha un percorso per inviare il traffico al di fuori del VPC in ogni rete.

Passaggi successivi

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare in che modo Cloud NGFW si comporta nel mondo reale diversi scenari. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud NGFW gratuitamente