Utilizzo di criteri e regole firewall gerarchici

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica dei criteri firewall gerarchici. Per visualizzare esempi di implementazioni di criteri firewall gerarchici, vedi Esempi di criteri firewall gerarchici.

Limitazioni

  • Le regole dei criteri firewall gerarchici non supportano l'utilizzo di tag di rete per definire le destinazioni. Devi utilizzare una rete Virtual Private Cloud (VPC) di destinazione o un account di servizio di destinazione.
  • I criteri firewall possono essere applicati a livello di cartella e organizzazione, ma non a livello di rete VPC. Le regole firewall VPC standard sono supportate per le reti VPC.
  • A una risorsa (cartella o organizzazione) può essere associato un solo criterio firewall, anche se le istanze di macchine virtuali (VM) in una cartella possono ereditare le regole dall'intera gerarchia di risorse sopra la VM.
  • Il logging delle regole firewall è supportato per le regole allow e deny, ma non per le regole goto_next.
  • Il protocollo hop-by-hop IPv6 non è supportato nelle regole firewall.

Attività relative alle policy firewall

Crea una policy firewall

Puoi creare un criterio per qualsiasi risorsa (organizzazione o cartella) della gerarchia della tua organizzazione. Dopo aver creato una policy, puoi associarla a qualsiasi risorsa della tua organizzazione. Una volta associata, le regole della policy diventano attive per le VM nella risorsa associata nella gerarchia.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o una cartella all'interno dell'organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Nel campo Nome, inserisci un nome per la policy.

  5. Se vuoi creare regole per il tuo criterio, fai clic su Continua > Aggiungi regola.

    Per saperne di più, consulta Creare regole firewall.

  6. Se vuoi associare la policy a una risorsa, fai clic su Continua > Associa policy alle risorse.

    Per maggiori informazioni, consulta Associare una policy all'organizzazione o alla cartella.

  7. Fai clic su Crea.

gcloud 

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Sostituisci quanto segue:

  • ORG_ID: l'ID della tua organizzazione

    Specifica questo ID se stai creando la policy a livello di organizzazione. Questo ID indica solo dove risiede il criterio, ma non lo associa automaticamente alla risorsa dell'organizzazione.

  • FOLDER_ID: l'ID di una cartella

    Specifica questo ID se stai creando la policy in una determinata cartella. Questo ID indica solo dove si trova il criterio; non lo associa automaticamente a quella cartella.

  • SHORT_NAME: un nome per la policy

    Una policy creata utilizzando Google Cloud CLI ha due nomi: un nome generato dal sistema e un nome breve fornito da te. Quando utilizzi gcloud CLI per aggiornare una policy esistente, puoi fornire il nome generato dal sistema o il nome breve e l'ID organizzazione. Quando utilizzi l'API per aggiornare la policy, devi fornire il nome generato dal sistema.

Crea regole firewall

Le regole dei criteri firewall gerarchici devono essere create in un criterio firewall gerarchico. Le regole non sono attive finché non associ la norma contenente a una risorsa.

Ogni regola della policy firewall gerarchica può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sul nome della norma.

  4. Fai clic su Aggiungi regola.

  5. Compila i campi della regola:

    1. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona pratica è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
    2. Imposta la raccolta Log su On o Off.
    3. Per Direzione del traffico, specifica se questa regola è una regola Ingress o Egress.
    4. Per Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
      1. Consenti: consente le connessioni che corrispondono alla regola.
      2. Nega: nega le connessioni che corrispondono alla regola.
      3. Vai al successivo: passa la valutazione della connessione alla regola firewall successiva di livello inferiore nella gerarchia.
      4. Procedi all'ispezione L7: invia i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7.
        • Nell'elenco Gruppo di profili di sicurezza, seleziona il nome di un gruppo di profili di sicurezza.
        • Per abilitare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS. Per saperne di più su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, consulta Ordine di valutazione di policy e regole.
    5. (Facoltativo) Puoi limitare la regola a determinate reti specificandole nel campo Reti di destinazione. Fai clic su AGGIUNGI RETE, quindi seleziona il progetto e la rete. Puoi aggiungere più reti di destinazione a una regola.
    6. (Facoltativo) Puoi limitare la regola alle VM in esecuzione con accesso a determinati service account specificando gli account nel campo Service account di destinazione.

    7. Per una regola in entrata, specifica il filtro Origine:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6.

    8. Per una regola Egress, specifica il Filtro di destinazione:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi destinazione IPv6.

    9. (Facoltativo) Se stai creando una regola in entrata, specifica i nomi di dominio completi (FQDN) di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona i nomi di dominio completi di destinazione a cui si applica questa regola. Per saperne di più sugli oggetti basati sul nome di dominio, consulta Oggetti FQDN.

    10. (Facoltativo) Se stai creando una regola di ingresso, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta la sezione Oggetti di geolocalizzazione.

    11. (Facoltativo) Se stai creando una regola di ingresso, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le policy firewall.

    12. (Facoltativo) Se stai creando una regola di ingresso, seleziona gli elenchi di origini Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola di uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

    13. (Facoltativo) Per una regola Ingress, specifica i filtri Destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per saperne di più, consulta Destinazioni per le regole di ingresso.

    14. (Facoltativo) Per una regola Egress, specifica il filtro Origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6 e poi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6. Per saperne di più, consulta Origini per le regole di uscita.

    15. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica la regola.

      Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare ICMP IPv6, utilizza il numero di protocollo 58. Per ulteriori informazioni sui protocolli, vedi Protocolli e porte.

    16. Fai clic su Crea.

  6. Fai clic su Aggiungi regola per aggiungere un'altra regola.

  7. Fai clic su Continua > Associa policy alle risorse per associare la policy alle risorse oppure fai clic su Crea per creare la policy.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerico della regola

    Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).

  • ORG_ID: l'ID della tua organizzazione

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy

  • DIRECTION: indica se la regola è una regola INGRESS (valore predefinito) o EGRESS

    • Includi --src-ip-ranges per specificare gli intervalli IP per l'origine del traffico.
    • Includi --dest-ip-ranges per specificare gli intervalli IP per la destinazione del traffico.

    Per maggiori informazioni, consulta target, origini e destinazioni.

  • SRC_NETWORK_TYPE: indica il tipo di traffico di rete di origine a cui viene applicata la regola di ingresso. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti i tipi di rete. Per saperne di più, consulta Tipi di rete.

  • SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC

    Puoi utilizzare --src-networks solo quando --src-network-type è impostato su VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica il tipo di traffico di rete di destinazione a cui viene applicata la regola di uscita. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti i tipi di rete. Per saperne di più, consulta Tipi di rete.

  • IP_RANGES: un elenco separato da virgole di intervalli IP in formato CIDR, tutti gli intervalli IPv4 o tutti gli intervalli IPv6. Esempi:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE: un elenco separato da virgole di codici paese di due lettere

    • Per la direzione di ingresso, specifica i codici paese di origine nel flag --src-region-code. Non puoi utilizzare il flag --src-region-code per la direzione di uscita o quando --src-network-type è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, specifica i codici paese di destinazione nel flag --dest-region-code; non puoi utilizzare il flag --dest-region-code per la direzione di ingresso

  • LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence

    • Per la direzione in entrata, specifica gli elenchi di Google Threat Intelligence di origine nel flag --src-threat-intelligence. Non puoi utilizzare il flag --src-threat-intelligence per la direzione di uscita o quando --src-network-type è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, specifica gli elenchi di Google Threat Intelligence di destinazione nel flag --dest-threat-intelligence; non puoi utilizzare il flag --dest-threat-intelligence per la direzione di ingresso

  • ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi

    • Per la direzione in entrata, specifica i gruppi di indirizzi di origine nel flag --src-address-groups; non puoi utilizzare il flag --src-address-groups per la direzione in uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-address-groups; non puoi utilizzare il flag --dest-address-groups per la direzione di ingresso

  • DOMAIN_NAME: un elenco separato da virgole di nomi di dominio nel formato descritto in Formato del nome di dominio

    • Per la direzione in entrata, specifica i nomi dei domini di origine nel flag --src-fqdns; non puoi utilizzare il flag --src-fqdns per la direzione in uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-fqdns; non puoi utilizzare il flag --dest-fqdns per la direzione di ingresso

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni che corrispondono alla regola
    • apply_security_profile_group: invia i pacchetti in modo trasparente all'endpoint firewall configurato per l'ispezione del livello 7
    • goto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete

    Per ulteriori informazioni su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, consulta Ordine di valutazione di policy e regole.

  • SECURITY_PROFILE_GROUP: il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione del livello 7; specifica questo argomento solo quando è selezionata l'azione apply_security_profile_group

  • --tls-inspect: ispeziona il traffico TLS utilizzando la policy di ispezione TLS quando l'azione apply_security_profile_group è selezionata nella regola; per impostazione predefinita, l'ispezione TLS è disattivata oppure puoi specificare --no-tls-inspect

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli e intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare ICMP IPv6, utilizza il numero di protocollo 58. Per ulteriori informazioni, consulta Protocolli e porte.

  • NETWORKS: un elenco separato da virgole di URL di risorse di rete VPC nel formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto del progetto che contiene la rete VPC
    • NETWORK_NAME: il nome della rete; se omesso, la regola si applica a tutte le reti VPC nella risorsa

    Per ulteriori informazioni, vedi Target.

  • SERVICE_ACCOUNTS: un elenco di service account separati da virgole; la regola viene applicata solo alle VM in esecuzione con accesso al account di servizio specificato

    Per ulteriori informazioni, vedi Target.

  • --enable-logging e --no-enable-logging: attiva o disattiva il logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, non deve essere presa in considerazione durante l'elaborazione delle connessioni; l'omissione di questo flag attiva la regola oppure puoi specificare --no-disabled

Associa un criterio all'organizzazione o alla cartella

Associa un criterio a una risorsa per attivare le regole del criterio per tutte le VM sotto la risorsa nella gerarchia.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazione.

  6. Seleziona la radice dell'organizzazione o le cartelle all'interno dell'organizzazione.

  7. Fai clic su Aggiungi.

gcloud

Per impostazione predefinita, se tenti di inserire un'associazione a un'organizzazione o a una cartella che ha già un'associazione, il metodo non riesce. Se specifichi il flag --replace-association-on-target, l'associazione esistente viene eliminata contemporaneamente alla creazione della nuova associazione. In questo modo, la risorsa non rimane senza criteri durante la transizione.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy
  • ORG_ID: l'ID della tua organizzazione
  • FOLDER_ID: se stai associando la policy a una cartella, specificala qui; omettila se stai associando la policy al livello dell'organizzazione
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome viene impostato su "organizzazione ORG_ID" o "cartella FOLDER_ID"

Spostare una policy da una risorsa a un'altra

Lo spostamento di un criterio modifica la risorsa che ne è proprietaria. Per spostare una policy, devi disporre delle autorizzazioni move sia per le risorse precedenti che per quelle nuove.

Lo spostamento di un criterio non influisce sulle associazioni esistenti o sulla valutazione delle regole esistenti, ma potrebbe influire su chi dispone delle autorizzazioni per modificare o associare il criterio dopo lo spostamento.

Console

Utilizza Google Cloud CLI per questa procedura.

gcloud 

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy che stai spostando
  • ORG_ID: l'ID della tua organizzazione; se sposti la policy nell'organizzazione, specifica questo ID, ma non specificare una cartella
  • FOLDER_ID: se stai associando la policy a una cartella, specificala qui; omettila se stai associando la policy all'organizzazione

Aggiorna la descrizione di una policy

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic su Modifica.

  5. Modifica la descrizione.

  6. Fai clic su Salva.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Elenco dei criteri

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

    Per un'organizzazione, la sezione Policy firewall associate a questa organizzazione mostra le policy associate. La sezione Criteri firewall situati in questa organizzazione elenca i criteri di cui l'organizzazione è proprietaria.

    Per una cartella, la sezione Criteri firewall associati a questa cartella o ereditati da questa cartella mostra i criteri associati o ereditati dalla cartella. La sezione Criteri firewall situati in questa cartella elenca i criteri di cui la cartella è proprietaria.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descrivere una norma

Puoi visualizzare tutti i dettagli di un criterio, comprese tutte le relative regole firewall. Inoltre, puoi vedere molti attributi presenti in tutte le regole del criterio. Questi attributi vengono conteggiati ai fini di un limite per norma.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminare una norma

Prima di poter eliminare una policy firewall dell'organizzazione, devi eliminare tutte le associazioni.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla norma che vuoi eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le risorse associate a un criterio firewall:

    gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

  2. Elimina singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo Amministratore risorse dell'organizzazione Compute (roles/compute.orgSecurityResourceAdmin) nella risorsa associata o in una risorsa principale.

    gcloud compute firewall-policies associations delete RESOURCE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

  3. Elimina la policy:

    gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Elenca le associazioni per una risorsa

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Per la risorsa selezionata (organizzazione o cartella), viene visualizzato un elenco delle policy associate e ereditate.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Elenca le associazioni per una policy

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Le associazioni sono elencate nella tabella.

gcloud 

gcloud compute firewall-policies describe POLICY_ID

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall all'organizzazione o a una cartella, elimina l'associazione.

Tuttavia, se intendi sostituire un criterio firewall con un altro, non devi prima eliminare l'associazione esistente. L'eliminazione di questa associazione lascerebbe un periodo di tempo in cui non viene applicato alcun criterio. Sostituisci invece la policy esistente quando associ una nuova policy.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazioni.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Attività delle regole dei criteri firewall

Crea una regola in una policy firewall esistente

Consulta Creare regole firewall.

Elenco di tutte le regole in un criterio

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy. Le regole sono elencate nella scheda Regole firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Descrivere una regola

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • ORG_ID: l'ID della tua organizzazione
  • POLICY_NAME: il nome breve o generato dal sistema della policy che contiene la regola

Aggiornare una regola

Per le descrizioni dei campi, consulta Crea regole firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi che vuoi cambiare.

  7. Fai clic su Salva.

gcloud 

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonare le regole da un criterio a un altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole del criterio di origine.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sul criterio da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Fornisci il nome di una norma di destinazione.

  6. Fai clic su Continua > Associa norma alle risorse se vuoi associare immediatamente la nuova norma.

  7. Fai clic su Clona.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Sostituisci quanto segue:

  • POLICY_NAME: la policy in cui ricevere le regole copiate
  • ORG_ID: l'ID della tua organizzazione
  • SOURCE_POLICY: la policy da cui copiare le regole; deve essere l'URL della risorsa

Eliminare una regola da una policy

L'eliminazione di una regola da una policy comporta la rimozione della regola da tutte le VM che la ereditano.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi eliminare dal criterio
  • ORG_ID: l'ID della tua organizzazione
  • POLICY_NAME: il criterio contenente la regola

Recupera le regole firewall effettive per una rete

Mostra tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali applicate a una rete VPC specificata.

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sulla rete per cui vuoi visualizzare le regole dei criteri firewall.

  3. Fai clic su Criteri firewall.

  4. Espandi ogni policy firewall per visualizzare le regole che si applicano a questa rete.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci quanto segue:

  • NETWORK_NAME: la rete per cui ottenere le regole effettive

Puoi anche visualizzare le regole firewall effettive per una rete dalla pagina Firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Le policy firewall sono elencate nella sezione Policy firewall ereditate da questo progetto.

  3. Fai clic su ogni criterio firewall per visualizzare le regole che si applicano a questa rete.

Recupera le regole firewall effettive per un'interfaccia VM

Mostra tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali applicate a un'interfaccia VM Compute Engine specificata.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene la VM.

  3. Fai clic sulla VM.

  4. In Interfacce di rete, fai clic sull'interfaccia.

  5. Le regole firewall effettive vengono visualizzate in Dettagli firewall e route.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Sostituisci quanto segue:

  • INSTANCE_NAME: la VM per cui ottenere le regole effettive; se non viene specificata alcuna interfaccia, vengono restituite le regole per l'interfaccia principale (nic0)
  • INTERFACE: l'interfaccia VM per cui ottenere le regole effettive; il valore predefinito è nic0
  • ZONE: la zona della VM; facoltativo se la zona scelta è già impostata come predefinita

Risoluzione dei problemi

Questa sezione contiene le spiegazioni dei messaggi di errore che potresti riscontrare.

  • FirewallPolicy may not specify a name. One will be provided.

    Non puoi specificare un nome per la policy. I "nomi" delle policy firewall gerarchiche sono ID numerici generati da Google Cloud al momento della creazione della policy. Tuttavia, puoi specificare un nome breve più intuitivo che funge da alias in molti contesti.

  • FirewallPolicy may not specify associations on creation.

    Le associazioni possono essere create solo dopo la creazione dei criteri firewall gerarchici.

  • Can not move firewall policy to a different organization.

    Gli spostamenti dei criteri firewall gerarchici devono rimanere all'interno della stessa organizzazione.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Se una risorsa è già collegata a una policy firewall gerarchica, l'operazione di collegamento non riesce a meno che l'opzione di sostituzione delle associazioni esistenti non sia impostata su true.

  • Cannot have rules with the same priorities.

    Le priorità delle regole devono essere univoche all'interno di un criterio firewall gerarchico.

  • Direction must be specified on firewall policy rule.

    Quando crei regole di policy firewall gerarchiche inviando richieste REST direttamente, devi specificare la direzione della regola. Quando utilizzi Google Cloud CLI e non viene specificata alcuna direzione, il valore predefinito è INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    Il logging del firewall non è consentito per le regole con l'azione goto_next perché le azioni goto_next vengono utilizzate per rappresentare l'ordine di valutazione di diverse policy del firewall e non sono azioni terminali, ad esempio ALLOW o DENY.

  • Must specify at least one destination on Firewall policy rule.

    Il flag layer4Configs nella regola della policy firewall deve specificare almeno un protocollo o un protocollo e una porta di destinazione.

    Per ulteriori informazioni sulla risoluzione dei problemi relativi alle regole dei criteri firewall, consulta Risoluzione dei problemi relativi alle regole firewall VPC.

Passaggi successivi