Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Utilizza criteri e regole del firewall di rete a livello di regione

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica dei criteri firewall di rete a livello di regione.

Attività del criterio firewall

Crea un criterio firewall di rete a livello di regione

Puoi creare un criterio per qualsiasi rete VPC all'interno del progetto. Dopo aver creato un criterio, puoi associarlo a qualsiasi rete VPC all'interno del progetto. Dopo l'associazione, le regole dei criteri diventano attive per le VM nella rete associata.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto nella tua organizzazione.

  3. Fai clic su Crea criterio firewall di rete.

  4. Assegna al criterio un nome.

  5. In Deployment scope (Ambito di deployment), seleziona Regional (Area geografica).

  6. Se vuoi creare regole per il criterio, fai clic su Continua e poi su Aggiungi regola.

    Per i dettagli, vedi Creazione di regole firewall.

  7. Se vuoi associare il criterio a una rete, fai clic su Continua, quindi fai clic su Associa.

    Per maggiori dettagli, consulta la sezione Associare un criterio a una rete VPC.

  8. Fai clic su Crea.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Specifica quanto segue:

  • NETWORK_FIREWALL_POLICY_NAME: un nome per il criterio.
  • DESCRIPTION: una descrizione del criterio.
  • REGION_NAME: un'area geografica che vuoi applicare al criterio.

Associa un criterio alla rete

Associa un criterio a una rete per attivare le regole dei criteri per qualsiasi VM all'interno di quella rete.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il tuo criterio.

  3. Fai clic sulla tua norma.

  4. Fai clic sulla scheda Associato a.

  5. Fai clic su Associa.

  6. Seleziona le reti incluse nel progetto.

  7. Fai clic su Associa.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Specifica quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema del criterio
  • NETWORK_NAME: il nome della rete
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su "organizzazione ORG_ID" o "cartella FOLDER_ID"
  • REGION_NAME: una regione per l'applicazione del criterio

Descrivere un criterio firewall di rete a livello di regione

Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Inoltre, puoi vedere molti attributi presenti in tutte le regole del criterio. Questi attributi concorrono al raggiungimento di un limite per ciascun criterio.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio firewall di rete.

  3. Fai clic sulla tua norma.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Aggiorna una descrizione di criterio firewall di rete a livello di regione

L'unico campo del criterio che può essere aggiornato è il campo Descrizione.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.

  3. Fai clic su Modifica.

  4. Modifica la Descrizione.

  5. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Elenca i criteri firewall di rete a livello di regione

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

    La sezione Criteri firewall di rete mostra i criteri disponibili nel progetto.

gcloud 

gcloud compute network-firewall-policies list
       --regions=LIST_OF_REGIONS

Elimina un criterio firewall di rete a livello di regione

Devi eliminare tutte le associazioni in un criterio firewall di rete prima di poterlo eliminare.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da eliminare.

  4. Fai clic sulla scheda Associato a.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le reti associate a un criterio firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Eliminare singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo compute.SecurityAdmin sulla rete VPC associata.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Elimina il criterio:

    gcloud compute network-firewall-policies delete POLICY_NAME
--region=REGION_NAME

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi scambiare un criterio firewall per un altro, non è necessario eliminare prima l'associazione esistente. Questo lascia un periodo di tempo in cui nessuna delle norme viene applicata. Sostituisci invece il criterio esistente quando associ un nuovo criterio.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto o la cartella che contiene il criterio.

  3. Fai clic sulla tua norma.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Attività regola criterio firewall

Creare regole firewall di rete

Le regole dei criteri firewall di rete devono essere create in un criterio firewall di rete a livello di regione. Le regole non sono attive finché non associ il criterio contenente a una rete VPC.

Ogni regola di criterio firewall di rete può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il tuo criterio.

  3. Fai clic sul nome delle tue norme.

  4. In Deployment scope (Ambito di deployment), seleziona Regional (Area geografica).

  5. Fai clic su Aggiungi regola.

  6. Compila i campi della regola:

    1. Priority (Priorità): l'ordine di valutazione numerico della regola. Le regole vengono valutate da una priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. È buona norma assegnare alle regole dei numeri di priorità che consentano l'inserimento in un secondo momento (ad esempio 100, 200, 300).
    2. Imposta la raccolta Log su On o Off.
    3. In Direzione del traffico, scegli traffico in entrata o in uscita.
    4. In Azione in caso di corrispondenza, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti), rifiutate (Nega) o se la valutazione della connessione viene passata alla regola firewall inferiore successiva nella gerarchia (Vai alla prossima).
    5. In Direzione del traffico, scegli traffico in entrata o in uscita.
    6. Specifica i Target della regola.
      • Se vuoi che la regola venga applicata a tutte le istanze della rete, scegli All instances in the network.
      • Se vuoi che la regola venga applicata a determinate istanze in base ai tag sicuri, scegli Secure tags. Fai clic su Aggiungi tag e digita nel campo Valori dei tag i valori dei tag a cui applicare la regola.
      • Se vuoi che la regola si applichi alle istanze selezionate per account di servizio associato, scegli Service account, indica se l'account di servizio è nel progetto corrente o in un altro sotto l'Ambito dell'account di servizio e scegli o digita il nome dell'account di servizio nel campo Account di servizio di destinazione.
    7. Per una regola in entrata, specifica il filtro di origine:
      • Scegli IP ranges e digita i blocchi CIDR nel campo Intervalli IP di origine per definire l'origine del traffico in entrata per intervalli di indirizzi IP. Utilizza 0.0.0.0/0 per un'origine da qualsiasi rete.
      • Per limitare l'origine per tag di rete, scegli Source tags, quindi digita i tag di rete nel campo Tag di origine. Per il limite relativo al numero di tag di origine, consulta i limiti per rete. I filtri per tag di origine sono disponibili solo se la destinazione non è specificata dall'account di servizio. Per ulteriori informazioni, consulta la pagina relativa al filtro per account di servizio e tag di rete.
      • Per limitare l'origine in base all'account di servizio, scegli Service account, indica se l'account di servizio è nel progetto corrente o in un altro nella sezione Ambito dell'account di servizio e scegli o digita il nome dell'account di servizio nel campo Account di servizio di origine. I filtri per account di servizio di origine sono disponibili solo se il target non viene specificato dal tag di rete. Per ulteriori informazioni, consulta la pagina relativa al filtro per account di servizio e tag di rete.
      • Se lo desideri, puoi specificare un secondo filtro di origine. I filtri di origine secondari non possono utilizzare gli stessi criteri del filtro di quello principale. Gli intervalli IP di origine possono essere utilizzati insieme ai tag di origine o all'account di servizio di origine. Il set di origine effettivo è l'unione degli indirizzi IP dell'intervallo di origine e delle istanze identificate dai tag di rete o dagli account di servizio. In altre parole, se l'intervallo IP di origine oppure i tag di origine (o gli account di servizio di origine) corrispondono ai criteri del filtro, l'origine è inclusa nel set di origini efficaci.
      • I tag di origine e l'account di servizio di origine non possono essere utilizzati insieme.
    8. Per una regola in uscita, specifica il filtro Destinazione:
      • Scegli IP ranges e digita i blocchi CIDR nel campo Intervalli IP di destinazione per definire la destinazione del traffico in uscita in base agli intervalli di indirizzi IP. Utilizza 0.0.0.0/0 per indicare ovunque.
    9. In Protocolli e porte, specifica che la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica.
    10. Fai clic su Crea.

  7. Fai clic su Aggiungi regola per aggiungere un'altra regola. Fai clic su Continua > Associa per associare il criterio a una rete oppure fai clic su Crea per creare il criterio.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Specifica quanto segue:

  • PRIORITY: l'ordine numerico di valutazione della regola

    La priorità delle regole è valutata da un livello di priorità più alto a quello più basso, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. È buona norma assegnare alle regole dei numeri di priorità che consentano l'inserimento in un secondo momento (ad esempio 100, 200, 300).

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni corrispondenti alla regola
    • goto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete

  • POLICY_NAME: nome del criterio firewall di rete

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli e intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per la ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Per scoprire di più, consulta protocolli e porte.

  • TARGET_SECURE_TAG: un elenco separato da virgole di tag sicuri per definire i target

  • SERVICE_ACCOUNT: un elenco separato da virgole di account di servizio per definire i target

  • DIRECTION: indica se la regola è una regola ingress o egress; il valore predefinito è ingress

    • Includi --src-ip-ranges per specificare gli intervalli IP per la sorgente del traffico
    • Includi --dest-ip-ranges per specificare gli intervalli IP per la destinazione del traffico

    Per scoprire di più, consulta target, origine e destinazione.

  • IP_RANGES: un elenco separato da virgole di intervalli IP in formato CIDR, tutti gli intervalli IPv4 o tutti gli intervalli IPv6, ad esempio:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: un elenco separato da virgole di tag sicuri con Resource Manager

  • --enable-logging e --no-enable-logging: abilita o disabilita il logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, non deve essere considerata durante l'elaborazione delle connessioni; l'omissione di questo flag abilita la regola oppure puoi specificare --no-disabled

  • REGION_NAME: una regione per l'applicazione del criterio

Aggiornare una regola

Per le descrizioni dei campi, consulta la sezione Creazione di regole firewall.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla tua norma.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi che vuoi cambiare.

  7. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Descrivi una regola

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla tua norma.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Specifica quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare; poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • POLICY_NAME: il nome del criterio che contiene la regola
  • REGION_NAME: una regione per l'applicazione del criterio.

Eliminare una regola da un criterio

L'eliminazione di una regola da un criterio ne comporta la rimozione da tutte le VM che la ereditano.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla tua norma.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Specifica quanto segue:

  • PRIORITY: la priorità della regola che vuoi eliminare dal criterio
  • POLICY_NAME: il criterio contenente la regola
  • REGION_NAME: una regione per l'applicazione del criterio

Clonare le regole da un criterio a un altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole nel criterio di origine.

Console

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai alla pagina Firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Specifica il nome di un criterio di destinazione.

  6. Fai clic su Continua > Associa se vuoi associare immediatamente la nuova norma.

  7. Fai clic su Clona.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Specifica quanto segue:

  • POLICY_NAME: il criterio per ricevere le regole copiate
  • SOURCE_POLICY: il criterio da cui copiare le regole; deve essere l'URL della risorsa
  • REGION_NAME: una regione per l'applicazione del criterio

Ottieni criteri firewall di rete a livello di area geografica efficaci

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e il criterio firewall di rete applicato a una regione specifica.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
        --region=REGION_NAME \
        --network=NETWORK_NAME

Specifica quanto segue:

  • REGION_NAME: regione per la quale vuoi visualizzare le regole effettive.
  • NETWORK_NAME: la rete per la quale vuoi visualizzare le regole effettive.