I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante i ruoli IAM (Identity and Access Management). Questi criteri contengono regole che possono consentire o negare esplicitamente le connessioni, esegui le regole firewall VPC (Virtual Private Cloud).
Criteri firewall gerarchici
I criteri firewall gerarchici consentono di raggruppare le regole in un oggetto criterio applicabili a molte reti VPC in uno o più progetti. Puoi associare criteri firewall gerarchici a un'intera organizzazione o a singole cartelle.
Per le specifiche e i dettagli dei criteri firewall gerarchici, consulta Criteri firewall gerarchici.
Criteri firewall di rete globali
I criteri firewall di rete globali ti consentono di raggruppare le regole in un oggetto criterio applicabile a tutte le regioni (a livello globale). Dopo aver associato un criterio firewall di rete globale a una rete VPC, le regole del criterio possono essere applicate alle risorse della rete VPC.
Per le specifiche e i dettagli dei criteri firewall di rete globali, consulta Criteri firewall di rete globali.
Criteri firewall di rete regionali
I criteri firewall di rete regionali ti consentono di raggruppare le regole in un oggetto criterio applicabile a una regione specifica. Dopo aver associato un firewall di rete a livello di regione con una rete VPC, le regole del criterio possono essere applicate all'interno della regione della rete VPC.
Per le specifiche e i dettagli dei criteri firewall a livello di regione, consulta Criteri firewall di rete regionali.
Ordine di valutazione di criteri e regole
Regole per i criteri firewall gerarchici, per i criteri firewall di rete i criteri firewall di rete regionali e le regole firewall VPC implementata come parte dell'elaborazione dei pacchetti VM della rete Andromeda virtualizzazione . Le regole vengono valutate per ogni interfaccia di rete (NIC) della VM.
L'applicabilità di una regola non dipende dalla specificità della configurazione dei protocolli e delle porte. Ad esempio, una regola di autorizzazione con priorità più alta per tutti i protocolli ha la precedenza su una regola di rifiuto con priorità inferiore specifica per la porta TCP
22.
Inoltre, l'applicabilità di una regola non dipende dalla specificità del target . Ad esempio, una regola di autorizzazione con priorità più alta per tutte le VM (tutte target) ha la precedenza anche se esiste una regola di negazione a priorità inferiore un parametro target più specifico; ad esempio un tag o un account di servizio specifico.
Determinare l'ordine di valutazione di criteri e regole
L'ordine in cui le regole del criterio firewall e il firewall VPC
di regole vengono valutate è determinato
networkFirewallPolicyEnforcementOrder
della rete VPC collegata al NIC della VM.
Il flag networkFirewallPolicyEnforcementOrder
può avere i seguenti due elementi
valori:
BEFORE_CLASSIC_FIREWALL
: se imposti il flag suBEFORE_CLASSIC_FIREWALL
, il criterio firewall di rete globale e il criterio firewall di rete regionale vengono valutati prima delle regole firewall VPC nell'ordine di valutazione delle regole.AFTER_CLASSIC_FIREWALL
: se imposti il flag suAFTER_CLASSIC_FIREWALL
, il criterio firewall di rete globale e la rete regionale I criteri firewall vengono valutati dopo le regole firewall VPC nel di valutazione delle regole.AFTER_CLASSIC_FIREWALL
è il valore predefinito del parametro FlagnetworkFirewallPolicyEnforcementOrder
.
Per modificare l'ordine di valutazione delle regole, consulta Modificare l'ordine di valutazione di criteri e regole.
Ordine di valutazione predefinito di criteri e regole
Per impostazione predefinita, e quando networkFirewallPolicyEnforcementOrder
del
La rete VPC collegata al NIC della VM è AFTER_CLASSIC_FIREWALL
,
Google Cloud valuta le regole applicabili al NIC della VM nel seguente modo
ordine:
- Se all'organizzazione è associato un criterio firewall gerarchico
contiene il progetto della VM, Google Cloud valuta tutte le regole applicabili
nel criterio firewall gerarchico. Poiché le regole nel firewall gerarchico
I criteri devono essere univoci, ovvero la regola con priorità più alta che corrisponde alla direzione
e le caratteristiche di livello 4 determinano la
elaborati:
- La regola può consentire il traffico. Il processo di valutazione si interrompe.
- La regola può rifiutare il traffico. Il processo di valutazione si interrompe.
- La regola può inviare il traffico per l'ispezione di livello 7
(
apply_security_profile_group
) al firewall endpoint. La decisione di consentire o rilasciare il pacchetto, questo dipende dall'endpoint firewall e profilo di sicurezza configurato. In entrambi i casi, il processo di valutazione della regola si interrompe. - La regola può consentire l'elaborazione di regole definite come descritto nel prossimo
passaggi se una delle seguenti condizioni è vera:
- Una regola con un'azione
goto_next
corrisponde al traffico. - Nessuna regola corrisponde al traffico. In questo caso, una regola implicita
goto_next
.
- Una regola con un'azione
- Se un criterio firewall gerarchico è associato alla cartella principale più distante (in alto) del progetto della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico per quella cartella. Poiché
le regole nei criteri firewall gerarchici devono essere univoche, la priorità massima
regola che corrisponde alla direzione del traffico e alle caratteristiche di livello 4
determina la modalità di elaborazione del traffico:
allow
,deny
,apply_security_profile_group
ogoto_next
, come descritto nei primo passaggio. - Google Cloud ripete le azioni del passaggio precedente per un criterio di firewall gerarchico associato alla cartella successiva più vicina al progetto della VM nella gerarchia delle risorse. Google Cloud valuta innanzitutto le regole nei criteri firewall gerarchici associati al predecessore della cartella più distante (la più vicina all'organizzazione), quindi valuta le regole nei criteri firewall gerarchici associati con la cartella successiva (figlio) più vicina al progetto della VM.
Se esistono regole firewall VPC nel VPC utilizzata dal NIC della VM, Google Cloud valuta tutti i le regole firewall VPC.
A differenza delle regole nei criteri firewall:
Le regole firewall VPC non hanno
goto_next
o elementi esplicitiapply_security_profile_group
azione. Una regola del firewall VPC può essere configurata solo per consentire o negare il traffico.Due o più regole firewall VPC in un VPC possono condividere lo stesso numero di priorità. In tal caso, le regole di negazione hanno la precedenza sulle regole di autorizzazione. Per ulteriori dettagli su Priorità delle regole firewall VPC, consulta Priorità nel documentazione sulle regole firewall VPC.
Se nessuna regola firewall VPC si applica al traffico, Google Cloud va al passaggio successivo, implicito
goto_next
.Se un criterio firewall di rete globale è associato al rete VPC del NIC della VM, Google Cloud valuta tutti regole applicabili nel criterio firewall. Poiché le regole nei criteri firewall deve essere univoco, la regola di priorità più alta che corrisponde alla direzione e le caratteristiche del livello 4 determinano la modalità di visualizzazione del traffico, elaborati:
allow
,deny
,apply_security_profile_group
ogoto_next
, come descritto nel primo passaggio.Se un criterio firewall di rete regionale è associato al rete VPC del NIC e della regione della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall. Poiché le regole nei criteri firewall devono essere univoche, viene applicata la regola con priorità più alta che corrisponde alla direzione del traffico, mentre le caratteristiche del livello 4 la modalità di elaborazione del traffico (
allow
,deny
ogoto_next
) come descritti nel primo passaggio.Come fase finale della valutazione, Google Cloud applica la firewall VPC di autorizzazione in uscita e di negazione implicita in entrata .
Il seguente diagramma mostra il flusso di risoluzione per le regole del firewall.
Modifica l'ordine di valutazione di criteri e regole
Google Cloud offre la possibilità di modificare la valutazione delle regole predefinite scambiando l'ordine delle regole del firewall VPC criteri firewall di rete (globali e a livello di regione). Quando effettui questo scambio, Criterio firewall di rete globale (passaggio 5) e criterio firewall di rete regionale (passaggio 6) vengono valutati prima delle regole del firewall VPC (passaggio 4) nella ordine di valutazione delle regole.
Per modificare l'ordine di valutazione delle regole, esegui il seguente comando per impostare l'attributo networkFirewallPolicyEnforcementOrder
della rete VPC su BEFORE_CLASSIC_FIREWALL
:
gcloud compute networks update VPC-NETWORK-NAME \ --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL
Per ulteriori informazioni, consulta il metodo networks.patch
.
Regole firewall effettive
regole firewall gerarchiche, regole firewall VPC le regole dei criteri firewall di rete globali e a livello di regione controllano le connessioni. Puoi può essere utile vedere tutte le regole firewall che interessano una singola rete o interfaccia VM.
Regole firewall effettive
Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:
- Regole ereditate dai criteri firewall gerarchici
- Regole firewall VPC
- Regole applicate dai criteri firewall di rete globali e regionali
Regole firewall effettive
Puoi visualizzare tutte le regole firewall applicate alla rete di una VM a riga di comando. L'elenco include tutti i seguenti tipi di regole:
- Regole ereditate dai criteri firewall gerarchici
- Regole applicate dal firewall VPC dell'interfaccia
- Regole applicate dai criteri firewall di rete globali e regionali
Le regole sono ordinate dal livello dell'organizzazione fino al VPC in ogni rete. Vengono mostrate solo le regole che si applicano all'interfaccia della VM. Le regole in altri criteri non vengono mostrate.
Per visualizzare le regole del criterio firewall effettive all'interno di una regione, consulta Ottieni criteri firewall efficaci per Google Cloud.
Regole predefinite
Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale, o un criterio firewall di rete regionale, Cloud NGFW aggiunge regole predefinite alle norme. Le regole predefinite aggiunte da Cloud NGFW il criterio dipende da come viene creato.
Se crei un criterio firewall utilizzando la console Google Cloud, Cloud NGFW aggiunge le seguenti regole al nuovo criterio:
- Regole per il passaggio a successivo per intervalli IPv4 privati
- Regole di negazione predefinite di Threat Intelligence
- Regole di negazione predefinite per la geolocalizzazione
- Regole goto-next con priorità più bassa possibile
Se crei un criterio firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge solo le regole goto-next con priorità più bassa possibile alle norme.
Tutte le regole predefinite in un nuovo criterio firewall intenzionalmente utilizzare priorità basse (numeri di priorità grandi) in modo da poter sostituire creando regole con priorità più elevate. Ad eccezione delle regole goto-next con priorità più bassa possibile, puoi anche personalizzare le regole predefinite.
Regole di passaggio alla regola successiva per gli intervalli IPv4 privati
Una regola in uscita con intervalli IPv4 di destinazione
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, priorità1000
e azionegoto_next
.Una regola in entrata con intervalli IPv4 di origine
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, priorità1001
e azionegoto_next
.
Regole di rifiuto predefinite dell'intelligence sulle minacce
Una regola in entrata con l'elenco Threat Intelligence di origine
iplist-tor-exit-nodes
, priorità1002
e azionedeny
.Una regola in entrata con l'elenco Threat Intelligence di origine
iplist-known-malicious-ips
, priorità1003
e azionedeny
.Una regola in uscita con l'elenco di destinazione Threat Intelligence
iplist-known-malicious-ips
, priorità1004
e azionedeny
.
Per saperne di più su Threat Intelligence, consulta Threat Intelligence per le regole di criterio firewall.
Regole di negazione della geolocalizzazione predefinite
- Una regola in entrata con l'origine corrispondente alle geolocalizzazioni
CU
,IR
,KP
,SY
,XC
, eXD
, priorità1005
e azionedeny
.
Per saperne di più sulla geolocalizzazione, consulta Oggetti di geolocalizzazione.
Regole goto-next con priorità più bassa possibile
Non puoi modificare o eliminare le seguenti regole:
Una regola di traffico in uscita con intervallo IPv6 di destinazione
::/0
, priorità2147483644
e azionegoto_next
.Una regola in entrata con intervallo IPv6 di origine
::/0
, priorità2147483645
egoto_next
un'azione.Una regola di traffico in uscita con intervallo IPv4 di destinazione
0.0.0.0/0
, priorità2147483646
e azionegoto_next
.Una regola in entrata con intervallo IPv4 di origine
0.0.0.0/0
, priorità2147483647
egoto_next
un'azione.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, consulta Utilizzare i criteri firewall gerarchici.
- Per vedere esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.
- Per creare e modificare criteri e regole del firewall di rete globale, consulta Utilizzare criteri firewall di rete globali.
- Per creare e modificare criteri e regole firewall di rete a livello di regione, consulta Utilizzare criteri firewall di rete regionali.