I criteri firewall di rete globali consentono di aggiornare in batch tutte le regole firewall raggruppandole in un singolo oggetto dei criteri. Puoi assegnare criteri firewall di rete a una rete Virtual Private Cloud (VPC). Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni.
Specifiche
- I criteri firewall di rete globali sono risorse container per le regole firewall.
Ogni risorsa del criterio firewall della rete globale è definita all'interno di un progetto.
- Dopo aver creato un criterio firewall di rete globale, puoi aggiungere, aggiornare ed eliminare le regole firewall nel criterio.
- Per informazioni sulle specifiche delle regole nei criteri firewall di rete globali, consulta Regole dei criteri firewall.
- Per applicare le regole dei criteri firewall della rete globale a una rete VPC, devi associate il criterio firewall a quella rete VPC.
- Puoi associare un criterio firewall di rete globale a più reti VPC. Assicurati che il criterio firewall e le reti associate appartengano allo stesso progetto.
- Ogni rete VPC può essere associata a un solo criterio firewall di rete globale.
- Se il criterio firewall non è associato a nessuna rete VPC, le regole in quel criterio non hanno effetto. Un criterio firewall non associato ad alcuna rete è un criterio firewall di rete globale non associato.
- Quando un criterio firewall di rete globale è associato a una o più reti VPC, le regole dei criteri firewall vengono applicate nei modi seguenti:
- Le regole esistenti vengono applicate alle risorse applicabili nelle reti VPC associate.
- Eventuali modifiche apportate alle regole vengono applicate alle risorse applicabili nelle reti VPC associate.
- Le regole nei criteri firewall di rete globali vengono applicate insieme ad altre regole firewall come descritto in Ordine di valutazione di criteri e regole.
Le regole dei criteri firewall di rete globali vengono utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio durante l'utilizzo del servizio di prevenzione delle intrusioni.
Creerai una regola del criterio firewall con l'azione
apply_security_profile_groupe il nome del gruppo di profili di sicurezza. Il traffico che corrisponde alla regola del criterio firewall viene inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7. Per scoprire come creare una regola del criterio firewall, consulta Creare regole firewall di rete globali.
Dettagli delle regole del criterio firewall di rete globale
Per ulteriori informazioni sui componenti e sui parametri delle regole in un criterio firewall di rete globale, consulta Regole dei criteri firewall.
La seguente tabella riassume le principali differenze tra le regole dei criteri del firewall di rete globali e le regole del firewall VPC:
| Regole dei criteri firewall di rete globali | Regole firewall VPC | |
|---|---|---|
| Numero di priorità | Deve essere univoco all'interno di un criterio | Priorità duplicate consentite |
| Account di servizio come destinazioni | Sì | Sì |
| Account di servizio come origini (solo regole in entrata) |
No | Sì |
| Tipo di tag | Tag sicuro | Tag di rete |
| Nome e descrizione | Nome del criterio, descrizione del criterio e descrizione della regola | Nome e descrizione della regola |
| Aggiornamento batch | Sì: per le funzioni di clonazione, modifica e sostituzione dei criteri | No |
| Riutilizza | Sì | No |
| Quota | Conteggio degli attributi, basato sulla complessità totale di ogni regola nel criterio | Conteggio regole: le regole firewall complesse e semplici hanno lo stesso impatto in termini di quota |
Regole predefinite
Quando crei un criterio firewall di rete globale, il firewall Cloud Next Generation aggiunge al criterio regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio e vengono trasferite a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle loro caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni in merito ai criteri firewall di rete globali:
- Creazione di un criterio firewall di rete globale
- Associare un criterio a una rete
- Modificare un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni azione:
| Azione | Ruolo necessario |
|---|---|
| Crea un nuovo criterio firewall di rete globale | Ruolo compute.securityAdmin sul progetto a cui appartiene il criterio |
| Associare un criterio a una rete | Ruolo compute.networkAdmin sul progetto in cui verrà pubblicato il criterio |
| Modifica il criterio aggiungendo, aggiornando o eliminando le regole firewall dei criteri | Ruolo compute.securityAdmin sul progetto in cui verrà pubblicato il criterio |
| Elimina il criterio | Ruolo compute.networkAdmin sul progetto in cui verrà pubblicato il criterio |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I ruoli seguenti sono pertinenti per i criteri firewall di rete globali.
| Nome ruolo | Descrizione |
|---|---|
| compute.securityAdmin | Può essere concessa a livello di progetto o di criterio. Se viene concesso per un progetto, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall di rete globali e le relative regole. A livello di criterio, consente agli utenti di aggiornare le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre agli utenti di associare un criterio a una rete. |
| compute.networkAdmin | Concessa a livello di progetto o di rete. Se concesso per una rete, consente agli utenti di visualizzare l'elenco dei criteri firewall di rete globali. |
|
compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls
per le reti e compute.instances.getEffectiveFirewalls per le istanze. |