Hierarchische Firewallrichtlinien verwenden

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über hierarchische Firewallrichtlinien beschrieben werden. Beispiele für die Implementierung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Beschränkungen

  • Regeln für hierarchische Firewallrichtlinien dürfen IP-Bereiche nur verwenden, um die Quellen des eingehenden Traffics zu definieren. Quelltags und Quelldienstkonten werden nur von VPC-Firewallregeln unterstützt.
  • Regeln für hierarchische Firewallrichtlinien unterstützen für die Definition von Zielen keine Netzwerktags. Stattdessen müssen Sie ein Ziel-VPC-Netzwerk oder ein Zieldienstkonto verwenden.
  • Firewallrichtlinien können auf Ordner- und Organisationsebene angewendet werden, jedoch nicht auf VPC-Netzwerkebene. Für VPC-Netzwerke werden reguläre VPC-Firewallregeln unterstützt.
  • Einem Knoten (Ordner oder Organisation) kann jeweils nur eine Firewallrichtlinie zugeordnet werden. Die VM-Instanzen in einem Ordner können jedoch die Regeln aus der gesamten Knotenhierarchie übernehmen, die der VM übergeordnet ist.
  • Logging von Firewallregeln wird für die Regeln allow und deny unterstützt, nicht aber für goto_next-Regeln.
  • IPv6-Hop-by-Hop-Protokoll wird in Firewallregeln nicht unterstützt.

Aufgaben im Zusammenhang mit Firewallrichtlinien

Firewallrichtlinie erstellen

Sie können eine Richtlinie für jeden Knoten, jede Organisation und jeden Ordner Ihrer Organisationshierarchie erstellen. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie mit einem beliebigen Knoten Ihrer Organisation verknüpfen. Nach der Verknüpfung werden die Regeln der Richtlinie für VMs unter dem zugehörigen Knoten in der Hierarchie aktiviert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü zur Projektauswahl Ihre Organisations-ID oder einen Ordner innerhalb Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie der Richtlinie einen Namen.

  5. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen.

    Weitere Informationen finden Sie unter Firewallregeln erstellen.

  6. Wenn Sie die Richtlinie mit einem Knoten verknüpfen möchten, klicken Sie auf Weiter und dann auf Verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit der Organisation oder einem Ordner verknüpfen.

  7. Klicken Sie auf Erstellen.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Geben Sie Folgendes an:

  • ORG_ID: die ID Ihrer Organisation
    Geben Sie diese ID an, wenn Sie die Richtlinie auf Organisationsebene erstellen. Diese ID gibt nur an, wo die Richtlinie gültig ist, die Richtlinie wird dadurch aber nicht automatisch mit dem Organisationsknoten verknüpft.
  • FOLDER_ID: die ID eines Ordners
    Geben Sie diese ID an, wenn Sie die Richtlinie in einem bestimmten Ordner erstellen. Diese ID gibt nur an, wo die Richtlinie gültig ist; die Richtlinie wird dadurch aber nicht automatisch mit diesem Ordner verknüpft.
  • SHORT_NAME: ein Name für die Richtlinie
    Eine mit dem gcloud-Befehlszeilentool erstellte Richtlinie hat zwei Namen: einen vom System generierten und einen von Ihnen angegebenen Kurznamen. Wenn Sie eine vorhandene Richtlinie mit dem gcloud-Befehlszeilentool aktualisieren, können Sie entweder den vom System generierten Namen oder den Kurznamen und die Organisations-ID angeben. Wenn Sie die API zum Aktualisieren der Richtlinie verwenden, müssen Sie den vom System generierten Namen angeben.

Firewallregeln erstellen

Regeln für hierarchische Firewallrichtlinien müssen in einer hierarchischen Firewallrichtlinie erstellt werden. Die Regeln sind erst aktiv, wenn Sie die zugehörige Richtlinie einem Knoten zuordnen.

Hierarchische IPv6-Firewallregeln werden in der Google Cloud Console nicht unterstützt. Verwenden Sie stattdessen das gcloud-Befehlszeilentool oder die API.

Jede hierarchische Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie.

  4. Klicken Sie auf Regel hinzufügen.

  5. Füllen Sie die Regelfelder aus:

    1. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).
    2. Schalten Sie die Erfassung der Logs Ein oder Aus.
    3. Geben Sie unter Trafficrichtung an, ob diese Regel für eingehenden Traffic oder ausgehenden Traffic ist.
    4. Geben Sie unter Aktion bei Übereinstimmung an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen oder ob die Auswertung der Verbindung an die nächste untergeordnete Firewallregel in der Hierarchie weitergeleitet werden soll (Zu nächster).
    5. Optional: Sie können die Regel auf bestimmte Netzwerke beschränken, indem Sie diese im Feld Zielnetzwerk angeben.
    6. Optional: Sie können die Regel auf VMs einschränken, die mit Zugriff auf bestimmte Dienstkonten ausgeführt werden. Dazu geben Sie die Konten im Zieldienstkonto an.
    7. Geben Sie beim Erstellen einer Regel für eingehenden Traffic an, auf welche Quell-IP-Bereiche diese Regel angewendet werden soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, geben Sie an, auf welche Ziel-IP-Bereiche diese Regel angewendet werden soll. Geben Sie in beiden Fällen 0.0.0.0/0 für alle IP-Adressen an.
    8. Geben Sie unter Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.
    9. Klicken Sie auf Erstellen.
  6. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen. Klicken Sie auf Weiter > Zuweisen, um die Richtlinie mit einem Knoten zu verknüpfen, oder auf Erstellen, um die Richtlinie zu erstellen.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    --action ACTION \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources=NETWORKS] \
    [--target-service-accounts=SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Geben Sie Folgendes an:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität hat. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).
  • ORG_ID: ID Ihrer Organisation
  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie
  • DIRECTION: gibt an, ob die Regel eine ingress- oder egress-Regel ist. Der Standardwert ist ingress
    • Wenn DIRECTION ingress ist, geben Sie --src-ip-ranges an.
    • Wenn DIRECTION egress ist, geben Sie --dest-ip-ranges an.
  • IP_RANGES: eine durch Kommas getrennte Liste von CIDR-formatierten IP-Bereichen, entweder alles IPv4-Bereiche oder alles IPv6-Bereiche; Beispiele:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
  • ACTION: Eine der folgenden Aktionen:
    • allow: lässt Verbindungen zu, die der Regel entsprechen
    • deny: lehnt Verbindungen ab, die der Regel entsprechen
    • goto_next: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene
  • PROTOCOL_PORT: eine durch Kommas getrennte Liste von Protokollnamen oder -nummern (tcp,17), Protokollen und Zielports (tcp:80) oder Protokollen und Zielportbereichen (tcp:5000-6000)
    Sie können keinen Port oder Portbereich ohne Protokoll angeben. Für ICMP können Sie keinen Port oder Portbereich angeben. Beispiel:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
    Weitere Informationen finden Sie unter Protokolle und Ports.
  • NETWORKS: eine durch Kommas getrennte Liste der Netzwerke, auf die diese Regel angewendet wird. Ohne Angabe gilt die Regel für alle Netzwerke unter dem Knoten Weitere Informationen finden Sie unter Ziele.
  • SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten. Die Regel wird nur auf VMs angewendet, die mit Zugriff auf das angegebene Dienstkonto ausgeführt werden. Weitere Informationen finden Sie unter Ziele
  • --enable-logging und --no-enable-logging: aktiviert bzw. deaktiviert das Logging von Firewallregeln für die betreffende Regel
  • --disabled: gibt an, dass die Firewallregel bei der Verarbeitung von Verbindungen nicht berücksichtigt wird. Durch das Umgehen dieses Flags wird die Regel aktiviert oder Sie können --no-disabled angeben.

Richtlinie mit der Organisation oder dem Ordner verknüpfen

Verknüpfen Sie eine Richtlinie mit einem Knoten, um die Richtlinienregeln für alle VMs unter dem Knoten in der Hierarchie zu aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpft mit.

  5. Klicken Sie auf Verknüpfen.

  6. Wählen Sie den Organisationsstamm oder die Ordner innerhalb der Organisation aus.

  7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Geben Sie Folgendes an:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie
  • ORG_ID: ID Ihrer Organisation
  • FOLDER_ID: Wenn Sie die Richtlinie mit einem Ordner verknüpfen, geben Sie diesen hier an. Lassen Sie den Platzhalter unverändert, wenn Sie die Richtlinie auf Organisationsebene verknüpfen
  • ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name "Organisation ORG_ID" oder "Ordner FOLDER_ID" festgelegt.
  • --replace-association-on-target
    Normalerweise schlägt der Vorgang fehl, wenn Sie versuchen, eine Richtlinie mit einem Knoten auf Organisations- oder Ordnerebene zu verknüpfen, für den bereits eine Verknüpfung besteht. Wenn Sie dieses Flag angeben, wird die vorhandene Verknüpfung gelöscht, sobald Sie die neue Verknüpfung erstellen. Dadurch wird verhindert, dass der Knoten während der Umstellung keine Richtlinie hat.

Richtlinie von einem Knoten in einen anderen verschieben

Durch das Verschieben einer Richtlinie wird der Knoten geändert, der Inhaber der Richtlinie ist. Zum Verschieben einer Richtlinie benötigen Sie sowohl für den alten als auch den neuen Knoten move-Berechtigungen.

Das Verschieben einer Richtlinie wirkt sich nicht auf vorhandene Richtlinienverknüpfungen oder die Auswertung vorhandener Regeln aus. Es kann sich jedoch darauf auswirken, wer nach dem Verschieben die Berechtigung zum Ändern oder Verknüpfen der Richtlinie hat.

Console

Nutzen Sie für diesen Vorgang das gcloud-Befehlszeilentool.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Geben Sie Folgendes an:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie, die Sie verschieben
  • ORG_ID: die ID Ihrer Organisation Wenn Sie die Richtlinie in den Organisationsknoten verschieben, geben Sie diese ID an, aber keinen Ordner
  • FOLDER_ID: Wenn Sie die Richtlinie mit einem Ordner verknüpfen, geben Sie diesen hier an. Lassen Sie den Platzhalter unverändert, wenn Sie die Richtlinie mit dem Organisationsknoten verknüpfen

Richtlinienbeschreibung aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf Bearbeiten.

  4. Ändern Sie die Beschreibung.

  5. Klicken Sie auf Speichern.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Richtlinien auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

    Im Bereich Mit diesem Knoten verknüpfte oder vom Knoten übernommene Firewallrichtlinien sehen Sie, welche Richtlinien in Ihrer Ressourcenhierarchie mit diesem Knoten verknüpft sind.

    Im Bereich Firewallrichtlinien auf diesem Knoten sind Richtlinien aufgeführt, die in der Ressourcenhierarchie zu diesem Knoten gehören. Solche Richtlinien müssen nicht notwendigerweise mit diesem Knoten verknüpft sein, können aber mit diesem oder anderen Knoten verknüpft werden.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Richtlinie beschreiben

Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln. Darüber hinaus sehen Sie viele Attribute von allen Regeln für die Richtlinie. Für diese Attribute gilt ein Limit pro Richtlinie.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Richtlinie löschen

Bevor Sie die Firewallrichtlinie einer Organisation löschen können, müssen Sie zuerst alle ihre Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpft mit.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

  1. Listen Sie alle Knoten auf, die mit einer Firewallrichtlinie verknüpft sind:

    gcloud compute firewall-policies describe POLICY_NAME \
        --organization ORG_ID
    
  2. Einzelne Verknüpfungen löschen: Zum Aufheben einer Verknüpfung benötigen Sie die Rolle compute.orgSecurityResourceAdmin für den verknüpften Knoten oder den Ancestor dieses Knotens.

    gcloud compute firewall-policies associations delete NODE_NAME \
        --organization ORG_ID \
        --firewall-policy POLICY_NAME
    
  3. So löschen Sie die Richtlinie:

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

Verknüpfungen für einen Knoten auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Die verknüpften und übernommenen Richtlinien sind im Bereich Mit diesem Knoten verknüpfte oder von diesem Knoten übernommene Firewallrichtlinien aufgeführt.

gcloud

gcloud compute firewall-policies associations list \
  [--organization ORG_ID | --folder FOLDER_ID]

Verknüpfungen für eine Richtlinie auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Die Verknüpfungen sind in der Tabelle aufgelistet.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Verknüpfung löschen

Wenn eine Firewallrichtlinie auf Organisations- oder Ordnerebene nicht mehr erzwungen werden soll, löschen Sie die Verknüpfung.

Wenn Sie jedoch eine Firewallrichtlinie durch eine andere ersetzen möchten, muss die vorhandene Verknüpfung nicht vorher gelöscht werden. Denn dadurch würde ein Zeitraum verbleiben, in dem keine der Richtlinien erzwungen wird. Ersetzen Sie daher die vorhandene Richtlinie, wenn Sie eine neue Richtlinie verknüpfen möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Entfernen.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Aufgaben im Zusammenhang mit Regeln

Regel in einer vorhandenen Firewallrichtlinie erstellen

Weitere Informationen finden Sie unter Firewallregeln erstellen.

Alle Regeln in einer Richtlinie auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie. Im Tab Firewallregeln sind alle Regeln aufgelistet.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Geben Sie Folgendes an:

  • PRIORITY: Priorität der Regel, die Sie ansehen möchten. Da jede Regel eine eindeutige Priorität haben muss, identifiziert diese Einstellung eine Regel eindeutig
  • ORG_ID: ID Ihrer Organisation
  • POLICY_NAME: der Kurzname oder der vom System generierte Name der Richtlinie, die die Regel enthält

Regel aktualisieren

Feldbeschreibungen finden Sie unter Firewallregeln erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die gewünschten Felder.

  7. Klicken Sie auf Speichern.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Regeln von einer Richtlinie in eine andere klonen

Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Klicken Sie auf Weiter > Verknüpfen, wenn Sie die neue Richtlinie sofort verknüpfen möchten.

  7. Klicken Sie auf Klonen.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Geben Sie Folgendes an:

  • POLICY_NAME: Richtlinie, in die die kopierten Regeln eingefügt werden sollen
  • ORG_ID: ID Ihrer Organisation
  • SOURCE_POLICY: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource sein

Regel aus einer Richtlinie löschen

Durch das Löschen einer Regel aus einer Richtlinie wird die Regel aus allen VMs entfernt, die die Regel übernehmen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Geben Sie Folgendes an:

  • PRIORITY: Priorität der Regel, die Sie aus der Richtlinie löschen möchten
  • ORG_ID: ID Ihrer Organisation
  • POLICY_NAME: Richtlinie, die die Regel enthält

Für ein Netzwerk geltende Firewallregeln abrufen

Hier werden alle Regeln für hierarchische Firewallrichtlinien sowie VPC-Firewallregeln angezeigt, die auf ein bestimmtes VPC-Netzwerk angewendet werden.

Console

Hierarchische Firewallregeln ansehen, die für ein VPC-Netzwerk auf der Seite "VPC-Netzwerke" gelten

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur VPC-Netzwerkseite

  2. Klicken Sie auf das Netzwerk, für das Sie die Richtlinien der Firewall aufrufen möchten.

  3. Klicken Sie auf Firewallrichtlinien.

  4. Erweitern Sie jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Hierarchische Firewallregeln auf der Seite "Firewall" ansehen, die für ein VPC-Netzwerk gelten

Wenn Sie hierarchische Firewallregeln auf der Firewallseite ansehen möchten, benötigen Sie die zusätzlichen Berechtigungen compute.organizations.setSecurityPolicy und compute.organizations.listAssociations.

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Seite "Firewall"

  2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

  3. Klicken Sie auf die einzelnen Firewallrichtlinien, um die Regeln anzuzeigen, die für dieses Netzwerk gelten.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Geben Sie Folgendes an:

  • NETWORK_NAME: Netzwerk, für das die effektiv geltenden Regeln abgerufen werden sollen

Für eine VM-Schnittstelle geltende Firewallregeln abrufen

Hier werden alle Regeln für hierarchische Firewallrichtlinien und VPC-Firewallregeln angezeigt, die auf eine bestimmte Compute Engine-VM-Schnittstelle angewendet werden.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite "VM-Instanzen".

    Zur Seite "VM-Instanzen"

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt mit der VM aus.

  3. Klicken Sie auf die VM.

  4. Klicken Sie unter Netzwerkschnittstellen auf die Schnittstelle.

  5. Effektive Firewallregeln werden unter Firewall- und Routendetails angezeigt.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

Geben Sie Folgendes an:

  • INSTANCE_NAME: VM, für die geltende Regeln abgerufen werden; wenn keine Schnittstelle angegeben wurde, werden Regeln für die primäre Schnittstelle (nic0) zurückgegeben.
  • INTERFACE: VM-Schnittstelle, für die geltende Regeln abgerufen werden; der Standardwert ist nic0
  • ZONE: Zone der VM; optional, wenn die gewünschte Zone bereits als Standardeinstellung festgelegt ist

Fehlerbehebung

Dieser Abschnitt enthält Erläuterungen zu möglichen Fehlermeldungen.

FirewallPolicy darf keinen Namen angeben. Eines davon wird bereitgestellt.

Sie können keinen Richtliniennamen angeben. Die hierarchischen Firewallrichtlinien „Namen“ sind numerische IDs, die von Google Cloud beim Erstellen der Richtlinie generiert werden. Sie können aber auch einen Kurznamen angeben, der in vielen Kontexten als Alias fungiert.

FirewallPolicy legt beim Erstellen unter Umständen keine Verknüpfungen fest.

Verknüpfungen können erst erstellt werden, nachdem hierarchische Firewallrichtlinien erstellt wurden.

Die Firewallrichtlinie kann nicht in eine andere Organisation verschoben werden.

hierarchische Firewall-Richtlinienverschiebungen müssen innerhalb derselben Organisation erfolgen.

Der Anhang hat bereits eine Verknüpfung. Setzen Sie die Option zum Ersetzen der vorhandenen Verknüpfung auf „true“, wenn Sie die alte Verknüpfung ersetzen möchten.

Wenn bereits ein Knoten mit einer hierarchischen Firewallrichtlinie verknüpft ist, schlägt der Anhangsvorgang fehl, es sei denn, die Option zum Ersetzen der vorhandenen Verknüpfungen ist auf „true“ gesetzt.

Regeln mit denselben Prioritäten sind nicht zulässig.

Die Prioritäten von Regeln dürfen innerhalb einer hierarchischen Firewallrichtlinie nur einmal vorkommen.

Die Richtung muss in der Firewallregel festgelegt sein.

Beim Erstellen hierarchischer Firewallregeln für das direkte Senden von REST-Anfragen muss die Richtung der Regel angegeben werden. Wenn das gcloud-Befehlszeilentool verwendet wird und keine Richtung angegeben ist, wird standardmäßig INGRESS verwendet.

„enable_logging“ kann nicht in einer „goto_next“-Regel angegeben werden.

Firewall Logging ist für Regeln mit „goto_next“-Aktionen nicht zulässig, da diese verwendet werden, um die Auswertungsreihenfolge verschiedener Firewallrichtlinien darzustellen. Ebenso sind keine Terminalaktionen wie „ALLOW“ oder „DENY“ zulässig.

Das IP-Protokoll muss in der Firewallregel angegeben sein.

In der Konfiguration von DestinationPort der Firewallrichtlinienregel muss das Feld des Protokolls festgelegt werden, z. B. TCP, UDP und ICMP.

Der src-Bereich für die Richtung des ausgehenden Traffics darf nicht angegeben werden.

Regeln für ausgehenden Traffic können nur Ziel-IP-Bereiche enthalten.

Der Bereich für die Richtung des ausgehenden Traffics muss angegeben werden.

Regeln für ausgehenden Traffic müssen in der Regel einen Ziel-IP-Bereich angeben.

Der Bereich für die Richtung des eingehenden Traffics darf nicht angegeben werden.

Regeln für eingehenden Traffic können nur Quell-IP-Bereiche enthalten.

Der src-Bereich für die Richtung des eingehenden Traffics muss angegeben werden.

Regeln für eingehenden Traffic müssen einen Quell-IP-Bereich angeben. Das Quell-Tag und Quelldienstkonto werden für hierarchische Firewallrichtlinien nicht unterstützt.

Weitere Informationen zur Fehlerbehebung bei Firewallregeln finden Sie unter Fehlerbehebung bei VPC-Firewallregeln.

Nächste Schritte