Firewallrichtlinien und ‑regeln

Eine Firewallregel in Cloud Next Generation Firewall bestimmt anhand definierter Kriterien, ob Traffic in einem VPC-Netzwerk (Virtual Private Cloud) zugelassen oder verweigert wird. Mit einer Cloud NGFW-Firewallrichtlinie können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen (Identity and Access Management).

In diesem Dokument erhalten Sie einen Überblick über die verschiedenen Arten von Firewallrichtlinien und Firewallrichtlinienregeln.

Firewallrichtlinien

Cloud NGFW unterstützt die folgenden Arten von Firewallrichtlinien:

Hierarchische Firewallrichtlinien
Globale Netzwerk-Firewallrichtlinien
Regionale Netzwerk-Firewallrichtlinien
Regionale System-Firewallrichtlinien

Hierarchische Firewallrichtlinien

Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen.

Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.

Globale Netzwerk-Firewallrichtlinien

Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen eines VPC-Netzwerk gelten kann.

Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.

Regionale Netzwerk-Firewallrichtlinien

Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region eines VPC-Netzwerk gelten kann.

Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.

Regionale System-Firewallrichtlinien

Regionale System-Firewallrichtlinien ähneln regionalen Netzwerk-Firewallrichtlinien, werden aber von Google verwaltet. Regionale System-Firewallrichtlinien haben die folgenden Merkmale:

Google Cloud wertet Regeln in regionalen System-Firewallrichtlinien unmittelbar nach der Auswertung von Regeln in hierarchischen Firewallrichtlinien aus. Weitere Informationen finden Sie unter Auswertungsprozess für Firewallregeln.
Sie können eine Regel in einer regionalen System-Firewallrichtlinie nicht ändern, außer um das Firewallregel-Logging zu aktivieren oder zu deaktivieren.
Google Cloud erstellt eine regionale System-Firewallrichtlinie in einer Region eines VPC-Netzwerk, wenn für einen Google-Dienst Regeln in dieser Region des Netzwerks erforderlich sind. Google Cloud kann basierend auf den Anforderungen von Google-Diensten mehr als eine regionale System-Firewallrichtlinie einer Region eines VPC-Netzwerks zuordnen.
Die Auswertung von Regeln in regionalen System-Firewallrichtlinien ist kostenlos.

Interaktion mit dem Netzwerkprofil

Reguläre VPC-Netzwerke unterstützen Firewallregeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien, regionalen Netzwerk-Firewallrichtlinien und VPC-Firewallregeln. Alle Firewallregeln werden als Teil des Andromeda-Netzwerkvirtualisierungs-Stacks programmiert.

In VPC-Netzwerken, in denen bestimmte Netzwerkprofile verwendet werden, sind die Firewallrichtlinien und Regelattribute eingeschränkt, die Sie verwenden können. Informationen zu RoCE-VPC-Netzwerken finden Sie auf der Seite Cloud NGFW für RoCE-VPC-Netzwerke.

Firewallrichtlinien-Regeln

In Google Cloudhat eine Firewallrichtlinienregel eine Richtung, die bestimmt, ob sie den eingehenden oder ausgehenden Traffic in Ihrem Netzwerk steuert. Jede Firewall-Richtlinienregel gilt entweder für eingehende (ingress) oder für ausgehende (egress) Verbindungen.

Regeln für eingehenden Traffic

Die Richtung „Eingehender Traffic“ bezieht sich auf die eingehenden Verbindungen, die von bestimmten Quellen an Google Cloud -Ziele gesendet werden. Eingangsregeln gelten für eingehende Pakete, die an den folgenden Zieltypen eingehen:

Netzwerkschnittstellen von VM-Instanzen
Verwaltete Envoy-Proxys, die interne Application Load Balancer und interne Proxy-Network Load Balancer unterstützen

Eine Regel für eingehenden Traffic mit einer deny-Aktion schützt Ziele, indem eingehende Verbindungen an diese blockiert werden. Wenn eine Regel mit höherer Priorität Traffic zulässt, lässt die Firewall ihn zu und ignoriert alle Regeln mit niedrigerer Priorität, die denselben Traffic möglicherweise ablehnen. Regeln mit höherer Priorität haben immer Vorrang.

Ein automatisch erstelltes Standardnetzwerk enthält einige vorausgefüllte VPC-Firewallregeln, die eingehenden Traffic für bestimmte Arten von Traffic zulassen.

Regeln für ausgehenden Traffic

Die Richtung „Ausgehender Traffic“ bezieht sich auf den ausgehenden Traffic, der von einer Zielressource Google Cloud , z. B. einer VM-Netzwerkschnittstelle, an ein Ziel gesendet wird.

Bei einer Regel für ausgehenden Traffic mit einer allow-Aktion kann eine Instanz Traffic an die in der Regel angegebenen Ziele senden. Ausgehender Traffic wird blockiert, wenn er mit einer deny-Regel mit hoher Priorität übereinstimmt. Diese Aktion hat Vorrang vor allen Regeln mit niedrigerer Priorität, die den Traffic möglicherweise zulassen. Google Cloud blockiert oder begrenzt auch bestimmte Arten von Traffic.

Nächste Schritte

Informationen zum Erstellen und Ändern von hierarchischen Firewallrichtlinien und -regeln finden Sie unter Hierarchische Firewallrichtlinien und -regeln verwenden.
Informationen zum Erstellen und Ändern globaler Firewallrichtlinien und -regeln finden Sie unter Globale Netzwerk-Firewallrichtlinien und -regeln verwenden.
Informationen zum Erstellen und Ändern regionaler Netzwerk-Firewallrichtlinien und -regeln finden Sie unter Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden.

Firewallrichtlinien und ‑regeln Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.