Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über regionale Netzwerk-Firewallrichtlinien beschrieben werden.

Aufgaben im Zusammenhang mit Firewallrichtlinien

Regionale Netzwerk-Firewallrichtlinie erstellen

Sie können Richtlinien für beliebige VPC-Netzwerk innerhalb Ihres Projekts erstellen. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie mit einem beliebigen VPC-Netzwerk in Ihrem Projekt verknüpfen. Nach der Verknüpfung werden die Regeln der Richtlinie für VMs im zugehörigen Netzwerk aktiviert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü zur Projektauswahl Ihr Projekt innerhalb Ihrer Organisation aus.

  3. Klicken Sie auf Netzwerk-Firewallrichtlinie erstellen.

  4. Geben Sie der Richtlinie einen Namen.

  5. Wählen Sie unter Bereitstellungsbereich die Option Regional aus.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen.

    Weitere Informationen finden Sie unter Firewallregeln erstellen.

  7. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter und dann auf Verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit einem VPC-Netzwerk verknüpfen.

  8. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Ersetzen Sie Folgendes:

  • NETWORK_FIREWALL_POLICY_NAME: Ein Name für die Richtlinie.
  • DESCRIPTION: Eine Beschreibung der Richtlinie.
  • REGION_NAME: Eine Region, die Sie auf die Richtlinie anwenden möchten.

Richtlinie mit dem Netzwerk verknüpfen

Verknüpfen Sie eine Richtlinie mit einem Netzwerk, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpft mit.

  5. Klicken Sie auf Verknüpfen.

  6. Wählen Sie die Netzwerke im Projekt aus.

  7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Ersetzen Sie Folgendes:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie
  • NETWORK_NAME: der Name Ihres Netzwerks
  • ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name "Organisation ORG_ID" oder "Ordner FOLDER_ID" festgelegt.
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regionale Netzwerk-Firewallrichtlinie beschreiben

Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln. Darüber hinaus sehen Sie viele Attribute von allen Regeln für die Richtlinie. Für diese Attribute gilt ein Limit pro Richtlinie.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Beschreibung einer regionalen Netzwerk-Firewallrichtlinie aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf Bearbeiten.

  4. Ändern Sie die Beschreibung.

  5. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Regionale Netzwerk-Firewallrichtlinien auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

    Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud

gcloud compute network-firewall-policies list
       --regions=LIST_OF_REGIONS

Regionale Netzwerk-Firewallrichtlinie löschen

Bevor Sie die Firewallrichtlinie eines Netzwerks löschen können, müssen Sie zuerst alle bestehenden Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpft mit.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

  1. Listen Sie alle Netzwerke auf, die mit einer Firewallrichtlinie verknüpft sind:

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --region=REGION_NAME
    
  2. Einzelne Verknüpfungen löschen: Zum Aufheben einer Verknüpfung benötigen Sie die compute.SecurityAdmin-Rolle für das verknüpfte VPC-Netzwerk.

    gcloud compute network-firewall-policies associations delete \
        --network-firewall-policy POLICY_NAME \
        --firewall-policy-region=REGION_NAME
    
  3. So löschen Sie die Richtlinie:

    gcloud compute network-firewall-policies delete POLICY_NAME
    --region=REGION_NAME
    

Verknüpfung löschen

Wenn Sie die Durchsetzung einer Firewallrichtlinie für ein Netzwerk beenden möchten, löschen Sie die Verknüpfung.

Wenn Sie jedoch eine Firewallrichtlinie durch eine andere ersetzen möchten, muss die vorhandene Verknüpfung nicht vorher gelöscht werden. Denn dadurch würde ein Zeitraum verbleiben, in dem keine der Richtlinien erzwungen wird. Ersetzen Sie daher die vorhandene Richtlinie, wenn Sie eine neue Richtlinie verknüpfen möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihr Projekt oder den Ordner aus, der die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Entfernen.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Aufgaben im Zusammenhang mit Firewallregeln

Netzwerk-Firewallregeln erstellen

Regeln für Netzwerkfirewallrichtlinien müssen in einer regionalen Netzwerkfirewallrichtlinie erstellt werden. Die Regeln werden erst aktiv, sobald Sie die zugehörige Richtlinie einem VPC-Netzwerk zuordnen.

Jede Netzwerk-Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Firewall

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie.

  4. Wählen Sie unter Bereitstellungsbereich die Option Regional aus.

  5. Klicken Sie auf Regel hinzufügen.

  6. Füllen Sie die Regelfelder aus:

    1. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).
    2. Schalten Sie die Erfassung der Logs Ein oder Aus.
    3. Wählen Sie unter Trafficrichtung die Option "Eingehend" oder "Ausgehend".
    4. Geben Sie unter Aktion bei Übereinstimmung an, ob Verbindungen, die der Regel entsprechen, zugelassen oder abgelehnt werden sollen oder ob die Auswertung der Verbindung an die nächste untergeordnete Firewallregel in der Hierarchie weitergeleitet werden soll.
    5. Wählen Sie unter Trafficrichtung die Option "Eingehend" oder "Ausgehend".
    6. Geben Sie die Ziele der Regel an.
      • Wenn diese Regel für alle Instanzen im Netzwerk gelten soll, wählen Sie Alle Instanzen im Netzwerk aus.
      • Wenn Sie die Regel auf bestimmte Instanzen anhand von sicheren Tags anwenden möchten, wählen Sie Sichere Tags aus. Klicken Sie auf Tags hinzufügen und geben Sie dann die Tag-Werte, auf die die Regel angewendet werden soll, in das Feld Tag-Werte ein.
      • Wenn Sie die Regel von einem verknüpften Konto auf bestimmte Instanzen anwenden möchten, wählen Sie Dienstkonto aus, geben Sie unter Umfang des Dienstkontos an, ob das Dienstkonto im aktuellen Projekt oder in einem anderen Projekt enthalten ist. Wählen Sie dann im Feld Zieldienstkonto den Namen des Dienstkontos aus oder geben Sie ihn ein.
    7. Geben Sie den Quellfilter für eine Eingangsregel an:
      • Wählen Sie IP-Bereiche aus und geben Sie die CIDR-Blöcke in das Feld Quell-IP-Bereiche ein, um die Quelle für eingehenden Traffic durch IP-Adressbereiche zu definieren. Verwenden Sie 0.0.0.0/0 für eine Quelle aus einem beliebigen Netzwerk.
      • Wenn Sie Quellen nach Netzwerktag begrenzen möchten, wählen Sie Quelltags aus und geben Sie dann die Netzwerktags in das Feld Quelltags ein. Das Limit für die Anzahl der Quelltags finden Sie unter Limits pro Netzwerk. Das Filtern nach Quelltag ist nur verfügbar, wenn das Ziel nicht durch ein Dienstkonto angegeben ist. Weitere Informationen finden Sie unter Nach Dienstkonto oder Netzwerktag filtern.
      • Wenn Sie die Quellen nach Dienstkonto begrenzen möchten, wählen Sie Dienstkonto aus. Geben Sie dann im Feld Umfang des Dienstkontos an, ob sich das Dienstkonto im aktuellen oder in einem anderen Projekt befindet. Danach geben Sie den Namen des Dienstkontos im Feld Quelldienstkonto ein. Das Filtern nach Quelldienstkonto ist nur verfügbar, wenn das Ziel nicht durch ein Netzwerktag angegeben ist. Weitere Informationen finden Sie unter Nach Dienstkonto oder Netzwerktag filtern.
      • Geben Sie ggf. einen zweiten Quellfilter an. Sekundäre Quellfilter können nicht die gleichen Filterkriterien wie primäre Quellfilter verwenden. Quell-IP-Bereiche können in Kombination mit Quelltags oder einem Quelldienstkonto verwendet werden. Das effektive Source-Set ist die Vereinigung der Quellbereichs-IP-Adressen und der durch Netzwerktags oder Dienstkonten identifizierten Instanzen. Das heißt, wenn entweder der Quell-IP-Bereich oder die Quelltags (oder Quelldienstkonten) den Filterkriterien entsprechen, wird die Quelle in den effektiven Satz von Quellen aufgenommen.
      • Quelltags und Quelldienstkonto können nicht zusammen verwendet werden.
    8. Geben Sie den Zielfilter für eine Ausgangsregel an:
      • Wählen Sie IP-Bereiche aus und geben Sie dann die CIDR-Blöcke in das Feld Ziel-IP-Bereiche ein, um das Ziel für ausgehenden Traffic nach IP-Adressbereichen zu definieren. Geben Sie 0.0.0.0/0 ein, um alle Bereiche einzubeziehen.
    9. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, geben Sie die Quell-FQDNs an, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-FQDNs aus, für die diese Regel gelten soll. Weitere Informationen zu Domainnamenobjekten finden Sie unter Domainnamenobjekte.
    10. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Standorte aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-Standorte aus, für die diese Regel gelten soll. Weitere Informationen zu Standortbestimmungs-Objekten finden Sie unter Standortbestimmungs-Objekte.
    11. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Network Threat Intelligence-Quelllisten aus, für die diese Regel gilt. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Network Threat Intelligence-Ziellisten aus, für die diese Regel gilt. Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.
    12. Geben Sie unter Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.
    13. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen. Klicken Sie auf Weiter > Verknüpfen, um die Richtlinie mit einem Netzwerk zu verknüpfen, oder auf Erstellen, um die Richtlinie zu erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel

    Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, den Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).

  • ACTION: eine der folgenden Aktionen:

    • allow: lässt Verbindungen zu, die der Regel entsprechen
    • deny: lehnt Verbindungen ab, die der Regel entsprechen
    • goto_next: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
  • POLICY_NAME: der Name der Richtlinie für Netzwerkfirewalls

  • PROTOCOL_PORT: eine durch Kommas getrennte Liste von Protokollnamen oder -nummern (tcp,17), Protokollen und Zielports (tcp:80) oder Protokollen und Zielportbereichen (tcp:5000-6000)

    Sie können keinen Port oder Portbereich ohne Protokoll angeben. Für ICMP können Sie keinen Port oder Portbereich angeben. Beispiel:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Weitere Informationen finden Sie unter Protokolle und Ports.

  • TARGET_SECURE_TAG: eine durch Kommas getrennte Liste sicherer Tags, um Ziele zu definieren

  • SERVICE_ACCOUNT: eine durch Kommas getrennte Liste von Dienstkonten, um Ziele zu definieren

  • DIRECTION: gibt an, ob die Regel eine ingress- oder egress-Regel ist. Die Standardeinstellung ist ingress.

    • Fügen Sie --src-ip-ranges ein, um IP-Bereiche für die Traffic-Quelle anzugeben.
    • Fügen Sie --dest-ip-ranges ein, um IP-Bereiche für das Ziel des Traffics anzugeben.

    Weitere Informationen finden Sie unter Ziele, Quelle und Ziel.

  • IP_RANGES: eine durch Kommas getrennte Liste von CIDR-formatierten IP-Bereichen, entweder alles IPv4-Bereiche oder alles IPv6-Bereiche. Beispiele:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: eine durch Kommas getrennte Liste von Tags

  • COUNTRY_CODE: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes

    • Geben Sie für die Richtung des eingehenden Traffics die Quellländercodes im Parameter --src-region-code an. Sie können den Parameter --src-region-code nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Ziellländercodes im Parameter --dest-region-code an. Sie können den Parameter --dest-region-code nicht für die Richtung des eingehenden Traffics verwenden.
  • LIST_NAMES: durch Kommas getrennte Namen von Threat Intelligence-Listen

    • Geben Sie für die Richtung des eingehenden Traffics die Threat Intelligence-Quelllisten im Parameter --src-threat-intelligence an. Sie können den Parameter --src-threat-intelligence nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Threat Intelligence-Ziellisten im Parameter --dest-threat-intelligence an. Sie können den Parameter --dest-threat-intelligence nicht für die Richtung des eingehenden Traffics verwenden.
  • ADDR_GRP_URL: eine eindeutige URL-ID für die Adressgruppe

    • Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Parameter --src-address-groups an. Sie können den Parameter --src-address-groups nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Parameter --dest-address-groups an. Sie können den Parameter --dest-address-groups nicht für die Richtung des eingehenden Traffics verwenden.
  • DOMAIN_NAME: eine durch Kommas getrennte Liste von Domainnamen in dem Format, das unter Domainnamenformat beschrieben wird

    • Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Parameter --src-fqdns an. Sie können den Parameter --src-fqdns nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Parameter --dest-fqdns an. Sie können den Parameter --dest-fqdns nicht für die Richtung des eingehenden Traffics verwenden.
  • --enable-logging und --no-enable-logging: aktiviert bzw. deaktiviert das Logging von Firewallregeln für die betreffende Regel

  • --disabled: gibt an, dass die vorhandene Firewallregel bei der Verarbeitung von Verbindungen nicht berücksichtigt wird. Durch das Weglassen dieses Flags wird die Regel aktiviert oder Sie können --no-disabled angeben.

  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regel aktualisieren

Feldbeschreibungen finden Sie unter Firewallregeln erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die gewünschten Felder.

  7. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ersetzen Sie Folgendes:

  • PRIORITY: Priorität der Regel, die Sie ansehen möchten. Da jede Regel eine eindeutige Priorität haben muss, identifiziert diese Einstellung eine Regel eindeutig
  • POLICY_NAME: Name der Richtlinie, die die Regel enthält
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regel aus einer Richtlinie löschen

Durch das Löschen einer Regel aus einer Richtlinie wird die Regel aus allen VMs entfernt, die die Regel übernehmen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ersetzen Sie Folgendes:

  • PRIORITY: Priorität der Regel, die Sie aus der Richtlinie löschen möchten
  • POLICY_NAME: Richtlinie, die die Regel enthält
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regeln von einer Richtlinie in eine andere kopieren

Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Klicken Sie auf Weiter > Verknüpfen, wenn Sie die neue Richtlinie sofort verknüpfen möchten.

  7. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Ersetzen Sie Folgendes:

  • POLICY_NAME: Richtlinie, in die die kopierten Regeln eingefügt werden sollen
  • SOURCE_POLICY: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource sein
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Rufen Sie die geltenden regionalen Richtlinien für Netzwerk-Firewalls ab

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und die Netzwerk-Firewallrichtlinie ansehen, die auf eine bestimmte Region angewendet werden.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
        --region=REGION_NAME \
        --network=NETWORK_NAME

Ersetzen Sie Folgendes:

  • REGION_NAME: Region, für die Sie die gültigen Regeln anzeigen möchten.
  • NETWORK_NAME: Netzwerk, für das Sie die gültigen Regeln aufrufen möchten.