Firewallrichtlinien

Mit Firewallrichtlinien können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen (Identity and Access Management). Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln (Virtual Private Cloud).

Hierarchische Firewallrichtlinien

Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen.

Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.

Globale Netzwerk-Firewallrichtlinien

Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen eines VPC-Netzwerk gelten kann.

Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.

Regionale Netzwerk-Firewallrichtlinien

Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region eines VPC-Netzwerk gelten kann.

Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.

Regionale System-Firewallrichtlinien

Regionale System-Firewallrichtlinien ähneln regionalen Netzwerk-Firewallrichtlinien, werden aber von Google verwaltet. Regionale System-Firewallrichtlinien haben die folgenden Merkmale:

  • Google Cloud wertet Regeln in regionalen System-Firewallrichtlinien unmittelbar nach der Auswertung von Regeln in hierarchischen Firewallrichtlinien aus. Weitere Informationen finden Sie unter Auswertungsprozess für Firewallregeln.

  • Sie können eine Regel in einer regionalen System-Firewallrichtlinie nicht ändern, außer um das Firewallregel-Logging zu aktivieren oder zu deaktivieren. Stattdessen verwalten Google-Dienste wie Google Kubernetes Engine (GKE) Regeln in regionalen Systemfirewallrichtlinien mithilfe interner APIs.

  • Google Cloud erstellt eine regionale System-Firewallrichtlinie in einer Region eines VPC-Netzwerk, wenn ein Google-Dienst Regeln in dieser Region des Netzwerks benötigt. Google Cloud kann basierend auf den Anforderungen von Google-Diensten mehr als eine regionale System-Firewallrichtlinie einer Region eines VPC-Netzwerks zuordnen.

  • Die Auswertung von Regeln in regionalen System-Firewallrichtlinien ist kostenlos.

Interaktion mit dem Netzwerkprofil

Reguläre VPC-Netzwerke unterstützen Firewallregeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien, regionalen Netzwerk-Firewallrichtlinien und VPC-Firewallregeln. Alle Firewallregeln werden als Teil des Andromeda-Netzwerkvirtualisierungs-Stacks programmiert.

In VPC-Netzwerken, in denen bestimmte Netzwerkprofile verwendet werden, sind die Firewallrichtlinien und Regelattribute eingeschränkt, die Sie verwenden können. Informationen zu RoCE-VPC-Netzwerken finden Sie anstelle dieser Seite unter Cloud NGFW für RoCE-VPC-Netzwerke.

Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Jedes reguläre VPC-Netzwerk hat eine Reihenfolge für die Erzwingung von Netzwerk-Firewallrichtlinien, die steuert, wann Regeln in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien ausgewertet werden.

  • AFTER_CLASSIC_FIREWALL (Standard): Cloud NGFW wertet VPC-Firewallregeln aus, bevor Regeln in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien ausgewertet werden.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW wertet Regeln in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien aus, bevor VPC-Firewallregeln ausgewertet werden.

So ändern Sie die Reihenfolge der Durchsetzung von Netzwerk-Firewallrichtlinien:

  • Verwenden Sie die Methode networks.patch und legen Sie das Attribut networkFirewallPolicyEnforcementOrder des VPC-Netzwerks fest.

  • Führen Sie den Befehl gcloud compute networks update mit dem Flag --network-firewall-policy-enforcement-order aus.

    Beispiel:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Prozess zur Auswertung von Firewallregeln

In diesem Abschnitt wird die Reihenfolge beschrieben, in der Cloud NGFW Regeln auswertet, die für Zielressourcen in regulären VPC-Netzwerken gelten.

Jede Firewallregel ist entweder eine Ingress- oder eine Egress-Regel, je nach Richtung des Traffics:

  • Eingangsregeln gelten für Pakete für eine neue Verbindung, die von einer Zielressource empfangen werden. Die folgenden Zielressourcen für Regeln für eingehenden Traffic werden unterstützt:

    • Netzwerkschnittstellen von VM-Instanzen

    • Verwaltete Envoy-Proxys, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden (Vorabversion).

  • Ausgangsregeln gelten für Pakete für eine neue Verbindung, die von der Netzwerkschnittstelle einer Ziel-VM gesendet werden.

Cloud NGFW wertet Regeln in hierarchischen Firewallrichtlinien und regionalen System-Firewallrichtlinien immer vor allen anderen Firewallregeln aus. Sie können die Reihenfolge festlegen, in der Cloud NGFW andere Firewallregeln auswertet, indem Sie eine Reihenfolge für die Erzwingung von Netzwerk-Firewallrichtlinien auswählen. Die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien kann entweder AFTER_CLASSIC_FIREWALL oder BEFORE_CLASSIC_FIREWALL sein.

AFTER_CLASSIC_FIREWALL Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien AFTER_CLASSIC_FIREWALL ist, wertet Cloud NGFW Regeln in globalen und regionalen Netzwerk-Firewallrichtlinien nach der Auswertung von VPC-Firewallregeln aus. Das ist die Standardreihenfolge für die Auswertung.

In einem regulären VPC-Netzwerk, in dem die Erzwingungsreihenfolge AFTER_CLASSIC_FIREWALL verwendet wird, sieht die vollständige Reihenfolge der Firewallregelauswertung so aus:

  1. Hierarchische Firewallrichtlinien:

    Cloud NGFW wertet hierarchische Firewallrichtlinien in der folgenden Reihenfolge aus:

    1. Die hierarchische Firewallrichtlinie, die der Organisation zugeordnet ist, die die Zielressource enthält.
    2. Hierarchische Firewallrichtlinien, die mit übergeordneten Ordnern verknüpft sind, vom Ordner der obersten Ebene bis zum Ordner, der das Projekt der Zielressource enthält.

    Bei der Auswertung von Regeln in jeder hierarchischen Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer hierarchischen Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit einer der folgenden Optionen fortgesetzt:
      • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
      • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

    Wenn keine Regel in einer hierarchischen Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

    • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
    • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

  2. Regionale System-Firewallrichtlinien.

    Bei der Auswertung von Regeln für regionale System-Firewallrichtlinien führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer regionalen System-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • goto_next: Die Regelauswertung wird fortgesetzt bis
        .
      • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
      • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

    Wenn keine Regel in einer regionalen System-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

    • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
    • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

  3. VPC-Firewallregeln.

    Bei der Auswertung von VPC-Firewallregeln führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    Wenn eine oder zwei VPC-Firewallregeln mit dem Traffic übereinstimmen, kann die Aktion bei Übereinstimmung der Firewallregel eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.

    Wenn zwei Regeln übereinstimmen, müssen sie dieselbe Priorität, aber unterschiedliche Aktionen haben. In diesem Fall erzwingt Cloud NGFW die VPC-Firewallregel deny und ignoriert die VPC-Firewallregel allow.

    Wenn keine VPC-Firewallregeln mit dem Traffic übereinstimmen, verwendet Cloud NGFW die implizierte Aktion goto_next, um mit dem nächsten Schritt in der Auswertungsreihenfolge fortzufahren.

  4. Globale Netzwerk-Firewallrichtlinie

    Beim Auswerten von Regeln in einer globalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer globalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer globalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Mit dieser Aktion wird die Auswertung mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

  5. Regionale Netzwerk-Firewallrichtlinien.

    Cloud NGFW wertet Regeln in regionalen Netzwerk-Firewallrichtlinien aus, die der Region und dem VPC-Netzwerk der Zielressource zugeordnet sind.

    Beim Auswerten von Regeln in einer regionalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer regionalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • goto_next: Die Regelauswertung wird mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer regionalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizite Aktion goto_next. Dadurch wird die Auswertung mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

  6. Letzter Schritt – implizierte Aktion:

    Cloud NGFW wendet eine implizite Aktion an, wenn die Auswertung der Firewallregel durch jeden vorherigen Schritt fortgesetzt wurde, indem explizite oder implizite goto_next-Aktionen ausgeführt wurden. Die implizierte Aktion hängt von der Richtung des Traffics ab:

    • Beim Ingress-Traffic hängt die implizite Aktion auch von der Zielressource ab:

      • Wenn die Zielressource eine Netzwerkschnittstelle einer VM-Instanz ist, ist die implizite Ingress-Aktion deny.

      • Wenn die Zielressource eine Weiterleitungsregel eines internen Application Load Balancers oder eines internen Proxy-Network Load Balancers ist, ist der implizite Ingress allow.

    • Für ausgehenden Traffic ist die implizite Aktion allow.

AFTER_CLASSIC_FIREWALL-Diagramm

Das folgende Diagramm zeigt die Reihenfolge der Erzwingung von AFTER_CLASSIC_FIREWALL-Netzwerk-Firewallrichtlinien:

Ablauf der Auflösung von Firewallregeln.
Abbildung 1: Ablauf der Auflösung von Firewallregeln, wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien AFTER_CLASSIC_FIREWALL ist (zum Vergrößern klicken).

BEFORE_CLASSIC_FIREWALL Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien BEFORE_CLASSIC_FIREWALL ist, wertet Cloud NGFW Regeln in globalen und regionalen Netzwerk-Firewallrichtlinien aus, bevor VPC-Firewallregeln ausgewertet werden.

In einem regulären VPC-Netzwerk, in dem die Erzwingungsreihenfolge BEFORE_CLASSIC_FIREWALL verwendet wird, sieht die vollständige Reihenfolge der Firewallregelauswertung so aus:

  1. Hierarchische Firewallrichtlinien:

    Cloud NGFW wertet hierarchische Firewallrichtlinien in der folgenden Reihenfolge aus:

    1. Die hierarchische Firewallrichtlinie, die der Organisation zugeordnet ist, die die Zielressource enthält.
    2. Hierarchische Firewallrichtlinien, die mit übergeordneten Ordnern verknüpft sind, vom Ordner der obersten Ebene bis zum Ordner, der das Projekt der Zielressource enthält.

    Bei der Auswertung von Regeln in jeder hierarchischen Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer hierarchischen Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit einer der folgenden Optionen fortgesetzt:
      • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
      • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

    Wenn keine Regel in einer hierarchischen Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

    • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
    • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

  2. Regionale System-Firewallrichtlinien.

    Bei der Auswertung von Regeln für regionale System-Firewallrichtlinien führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer regionalen System-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • goto_next: Die Regelauswertung wird fortgesetzt bis
        .
      • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
      • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

    Wenn keine Regel in einer regionalen System-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

    • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
    • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

  3. Globale Netzwerk-Firewallrichtlinie

    Beim Auswerten von Regeln in einer globalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer globalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer globalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Mit dieser Aktion wird die Auswertung mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

  4. Regionale Netzwerk-Firewallrichtlinien.

    Cloud NGFW wertet Regeln in regionalen Netzwerk-Firewallrichtlinien aus, die der Region und dem VPC-Netzwerk der Zielressource zugeordnet sind.

    Beim Auswerten von Regeln in einer regionalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer regionalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • goto_next: Die Regelauswertung wird mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer regionalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Dadurch wird die Auswertung mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

  5. VPC-Firewallregeln.

    Bei der Auswertung von VPC-Firewallregeln führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    Wenn eine oder zwei VPC-Firewallregeln mit dem Traffic übereinstimmen, kann die Aktion bei Übereinstimmung der Firewallregel eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.

    Wenn zwei Regeln übereinstimmen, müssen sie dieselbe Priorität, aber unterschiedliche Aktionen haben. In diesem Fall erzwingt Cloud NGFW die VPC-Firewallregel deny und ignoriert die VPC-Firewallregel allow.

    Wenn keine VPC-Firewallregeln mit dem Traffic übereinstimmen, verwendet Cloud NGFW die implizierte Aktion goto_next, um mit dem nächsten Schritt in der Auswertungsreihenfolge fortzufahren.

  6. Letzter Schritt – implizierte Aktion:

    Cloud NGFW wendet eine implizite Aktion an, wenn die Auswertung der Firewallregel durch jeden vorherigen Schritt fortgesetzt wurde, indem explizite oder implizite goto_next-Aktionen ausgeführt wurden. Die implizierte Aktion hängt von der Richtung des Traffics ab:

    • Beim Ingress-Traffic hängt die implizite Aktion auch von der Zielressource ab:

      • Wenn die Zielressource eine Netzwerkschnittstelle einer VM-Instanz ist, ist die implizite Ingress-Aktion deny.

      • Wenn die Zielressource eine Weiterleitungsregel eines internen Application Load Balancers oder eines internen Proxy-Network Load Balancers ist, ist der implizite Ingress allow.

    • Für ausgehenden Traffic ist die implizite Aktion allow.

BEFORE_CLASSIC_FIREWALL-Diagramm

Das folgende Diagramm veranschaulicht die Reihenfolge der Erzwingung von BEFORE_CLASSIC_FIREWALL-Netzwerk-Firewallrichtlinien:

Ablauf der Auflösung von Firewallregeln.
Abbildung 2: Ablauf der Auflösung von Firewallregeln, wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien BEFORE_CLASSIC_FIREWALL ist (zum Vergrößern klicken).

Gültige Firewallregeln

Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale und regionale Netzwerk-Firewall-Richtlinienregeln steuern Verbindungen. Es kann hilfreich sein, alle Firewallregeln aufzurufen, die sich auf ein einzelnes Netzwerk oder eine einzelne VM-Schnittstelle auswirken.

Netzwerk-effektive Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf ein VPC-Netzwerk angewendet werden. Die Liste enthält alle folgenden Regelarten:

  • Von hierarchischen Firewallrichtlinien übernommene Regeln
  • VPC-Firewallregeln
  • Regeln, die aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden

Instanz-gültige Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf die Netzwerkschnittstelle einer VM angewendet werden. Die Liste enthält alle folgenden Regelarten:

  • Regeln, die von hierarchischen Firewallrichtlinien übernommen wurden
  • Regeln, die von der VPC-Firewall der Schnittstelle angewendet werden
  • Regeln, die aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden

Die Regeln werden angefangen bei der Organisationsebene bis zu dem VPC-Netzwerk sortiert. Es werden nur Regeln angezeigt, die für die VM-Schnittstelle gelten. Regeln in anderen Richtlinien werden nicht angezeigt.

Informationen zur Anzeige der effektiven Firewallregeln innerhalb einer Region finden Sie unter Effektive regionale Firewallrichtlinien für ein Netzwerk abrufen.

Vordefinierte Regeln

Wenn Sie eine hierarchische Firewallrichtlinie, eine globale Netzwerk-Firewallrichtlinie oder eine regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud NGFW der Richtlinie vordefinierte Regeln hinzu. Die vordefinierten Regeln, die Cloud NGFW der Richtlinie hinzufügt, hängen davon ab, wie Sie die Richtlinie erstellen.

Wenn Sie eine Firewallrichtlinie mit der Google Cloud Console erstellen, fügt Cloud NGFW der neuen Richtlinie die folgenden Regeln hinzu:

  1. Zu den nächsten Regeln für private IPv4-Bereiche
  2. Vordefinierte Ablehnungsregeln für Google Threat Intelligence
  3. Vordefinierte Ablehnungsregeln für Geo-Standorte
  4. Niedrigste mögliche Priorität unter den nächsten Regeln

Wenn Sie eine Firewallrichtlinie mit der Google Cloud CLI oder der API erstellen, fügt Cloud NGFW der Richtlinie nur die niedrigste mögliche Priorität zur nächsten Seite hinzu.

Alle vordefinierten Regeln in einer neuen Firewallrichtlinie verwenden absichtlich niedrige Prioritäten (hohe Prioritätsnummern), damit Sie sie überschreiben können. Dazu erstellen Sie Regeln mit höheren Prioritäten. Mit Ausnahme der niedrigsten möglichen Priorität zu den nächsten Regeln können Sie auch die vordefinierten Regeln anpassen.

Zu den nächsten Regeln für private IPv4-Bereiche

  • Einer Ausgangsregel mit den IPv4-Zielbereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Aktion 1000 und goto_next-Aktion.

  • Eine Regel für eingehenden Traffic mit den Quell-IPv4-Bereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Priorität 1001 und goto_next-Aktion.

Vordefinierte Google Threat Intelligence-Ablehnungsregeln

  • Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste iplist-tor-exit-nodes, der Priorität 1002 und der Aktion deny.

  • Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste iplist-known-malicious-ips, der Priorität 1003 und der Aktion deny.

  • Einer Ausgangsregel mit der Google Threat Intelligence-Liste iplist-known-malicious-ips, der Priorität 1004 und der Aktion deny.

Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

Vordefinierte Ablehnungsregeln für Geo-Standorte

  • Eine Regel für eingehenden Traffic mit Quellen, die den geografischen Standorten CU, IR, KP, SY, XC und XD entsprechen, der Priorität 1005 und der deny-Aktion.

Weitere Informationen zu geografischen Standorten finden Sie unter Geostandortobjekte.

Niedrigste mögliche Priorität zur nächsten Regel

Folgende Regeln können nicht geändert oder gelöscht werden:

  • Regel für ausgehenden Traffic mit dem IPv6-Zielbereich ::/0, der Aktion 2147483644 und der Aktion goto_next.

  • Einer Eingangsregel mit dem IPv6-Quellbereich ::/0, der Priorität 2147483645 und der Aktion goto_next.

  • Einer Regel für ausgehenden Traffic mit dem IPv4-Zielbereich 0.0.0.0/0, der Priorität 2147483646 und der Aktion goto_next.

  • Einer Eingangsregel mit dem IPv4-Quellbereich 0.0.0.0/0, der Priorität 2147483647 und der Aktion goto_next.

Nächste Schritte