Mit globalen Netzwerk-Firewall-richtlinien können Sie alle Firewallregeln im Batch aktualisieren, indem Sie sie in einem einzigen Richtlinienobjekt gruppieren. Sie können einem VPC-Netzwerk (Virtual Private Cloud) Netzwerkfirewall-Richtlinien zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen.
Spezifikationen
- Globale Netzwerk-Firewallrichtlinien sind Containerressourcen für Firewallregeln.
Jede Ressource für globale Netzwerk-Firewallrichtlinien wird in einem Projekt definiert.
- Nachdem Sie eine globale Netzwerk-Firewallrichtlinie erstellt haben, können Sie Firewallregeln in der Richtlinie hinzufügen, aktualisieren und löschen.
- Informationen zu den Regeln in globalen Netzwerk-Firewallrichtlinien finden Sie unter Firewallrichtlinienregeln.
- Um globale Netzwerk-Firewallrichtlinienregeln auf ein VPC-Netzwerk anzuwenden, müssen Sie die Firewallrichtlinie mit diesem VPC-Netzwerk verknüpfen.
- Sie können eine globale Netzwerk-Firewallrichtlinie mit mehreren VPC-Netzwerken verknüpfen. Die Firewallrichtlinie und die zugehörigen Netzwerke müssen zu demselben Projekt gehören.
- Ein VPC-Netzwerk kann nur einer globalen Netzwerk-Firewallrichtlinie zugeordnet werden.
- Ist eine Firewallrichtlinie mit keinem VPC-Netzwerk verknüpft, haben die Regeln in dieser Richtlinie keine Auswirkungen. Eine Firewallrichtlinie, die keinem Netzwerk zugeordnet ist, ist eine nicht verknüpfte globale Netzwerk-Firewallrichtlinie.
- Ist eine globale Netzwerk-Firewallrichtlinie einem oder mehreren VPC-Netzwerken zugeordnet, werden die regeln der Firewallrichtlinie so erzwungen:
- Vorhandene Regeln werden auf die entsprechenden Ressourcen in den zugehörigen VPC-Netzwerken angewendet.
- Alle Änderungen an den Regeln werden für die entsprechenden Ressourcen in den zugehörigen VPC-Netzwerken erzwungen.
- Regeln in globalen Netzwerk-Firewallrichtlinien werden zusammen mit anderen Firewallregeln erzwungen, wie unter Richtlinien- und Regelauswertungsreihenfolge beschrieben.
Mit globalen Netzwerk-Firewallrichtlinienregeln wird die Layer-7-Prüfung des übereinstimmenden Traffics konfiguriert, z. B. bei Verwendung der Einbruchsprävention.
Sie erstellen eine Firewallrichtlinienregel mit der Aktion
apply_security_profile_groupund dem Namen der Sicherheitsprofilgruppe. Der Traffic, der der Firewallrichtlinienregel entspricht, wird für die Layer-7-Prüfung transparent an den Firewall-Endpunkt weitergeleitet. Informationen zum Erstellen einer Firewallrichtlinienregel finden Sie unter Globale Netzwerk-Firewallregeln erstellen.
Details zur globalen Netzwerkfirewallrichtlinienregel
Weitere Informationen zu den Komponenten und Parametern von Regeln in einer globalen Netzwerkfirewallrichtlinie finden Sie unter Firewallrichtlinienregeln.
In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen globalen Netzwerk-Firewallrichtlinienregeln und VPC-Firewallregeln zusammengefasst:
| Globale Netzwerk-Firewallrichtlinienregeln | VPC-Firewallregeln | |
|---|---|---|
| Priorität (Zahl) | Darf innerhalb einer Richtlinie nur einmal vorkommen | Doppelte Prioritäten zulässig |
| Dienstkonten als Ziele | Ja | Ja |
| Dienstkonten als Quellen (nur Ingress-Regeln) |
Nein | Ja |
| Tag-Typ | Sicheres Tag | Netzwerk-Tag |
| Name und Beschreibung | Richtlinienname, Richtlinien- und Regelbeschreibung | Name und Beschreibung der Regel |
| Batch-Update | Ja – Funktionen zum Klonen, Bearbeiten und Ersetzen von Richtlinien | Nein |
| Wiederverwendung | Ja | Nein |
| Kontingent | Attributanzahl – basierend auf der Gesamtkomplexität jeder Regel in der Richtlinie | Regelanzahl – komplexe und einfache Firewallregeln haben die gleichen Auswirkungen auf das Kontingent |
Vordefinierte Regeln
Wenn Sie eine globale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud Next Generation Firewall vordefinierte Richtlinien mit der niedrigsten Priorität zur Richtlinie hinzu. Diese Regeln werden auf alle Verbindungen angewendet, die nicht mit einer explizit definierten Regel in der Richtlinie übereinstimmen, sodass solche Verbindungen an untergeordnete Richtlinien oder Netzwerkregeln weitergegeben werden.
Weitere Informationen zu den verschiedenen Arten vordefinierter Regeln und ihrer Eigenschaften finden Sie unter Vordefinierte Regeln.
IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung)
IAM-Rollen regeln die folgenden Aktionen in Bezug auf globale Netzwerk-Firewallrichtlinien:
- Globale Netzwerk-Firewallrichtlinie erstellen
- Richtlinie mit einem Netzwerk verknüpfen
- Vorhandene Richtlinie ändern
- Aktive Firewallregeln für ein bestimmtes Netzwerk oder eine bestimmte VM aufrufen
In der folgenden Tabelle wird beschrieben, welche Rollen für die einzelnen Aktionen erforderlich sind:
| Aktion | Erforderliche Rolle |
|---|---|
| Neue globale Netzwerk-Firewall-richtlinie erstellen | Rolle compute.securityAdmin für das Projekt, zu dem die Richtlinie gehört |
| Richtlinie mit einem Netzwerk verknüpfen | Rolle compute.networkAdmin für das Projekt, in dem die Richtlinie ausgeführt werden wird |
| Richtlinie durch Hinzufügen, Aktualisieren oder Löschen von Richtlinien-Firewallregeln ändern | Rolle compute.securityAdmin für das Projekt, in dem die Richtlinie ausgeführt werden wird |
| Richtlinie löschen | Rolle compute.networkAdmin für das Projekt, in dem die Richtlinie ausgeführt werden wird |
| Gültige Firewallregeln für ein VPC-Netzwerk aufrufen | Eine der folgenden Rollen für das Netzwerk: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Gültige Firewallregeln für eine VM in einem Netzwerk aufrufen | Eine der folgenden Rollen für die VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Die folgenden Rollen sind für globale Netzwerk-Firewallrichtlinien relevant.
| Rollenname | Beschreibung |
|---|---|
| compute.securityAdmin | Kann auf Projekt- oder Richtlinienebene gewährt werden. Wird sie für ein Projekt gewährt, können Nutzer globale Netzwerk-Firewallrichtlinien und deren Regeln erstellen, aktualisieren und löschen. Erlaubt es Nutzern auf Richtlinienebene, die Regeln der Richtlinie zu aktualisieren, allerdings darf die Richtlinie weder erstellt noch gelöscht werden. Diese Rolle erlaubt es Nutzern auch, Richtlinien mit Netzwerken zu verknüpfen. |
| compute.networkAdmin | Wird auf Projekt- oder Netzwerkebene gewährt. Bei Gewährung für ein Netzwerk können Nutzer die Liste der globalen Netzwerkfirewallrichtlinien aufrufen. |
|
compute.viewer compute.networkUser compute.networkViewer |
Nutzer können die Firewallregeln sehen, die auf das Netzwerk oder die Instanz angewendet werden. Enthält die Berechtigung compute.networks.getEffectiveFirewalls für Netzwerke und die Berechtigung compute.instances.getEffectiveFirewalls für Instanzen. |