Una regola firewall in Cloud Next Generation Firewall determina se consentire o negare il traffico all'interno di una rete Virtual Private Cloud (VPC) in base a criteri definiti. Un criterio firewall Cloud NGFW consente di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM (Identity and Access Management).
Questo documento fornisce una panoramica dei diversi tipi di criteri firewall e delle regole dei criteri firewall.
Policy firewall
Cloud NGFW supporta i seguenti tipi di policy firewall:
- Policy firewall gerarchiche
- Policy del firewall di rete globali
- Policy firewall di rete regionali
- Policy del firewall di sistema regionali
Criteri firewall gerarchici
Le policy firewall gerarchiche consentono di raggruppare le regole in un oggetto policy che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare le policy del firewall gerarchiche a un'intera organizzazione o a singole cartelle.
Per specifiche e dettagli sulle policy firewall gerarchiche, vedi Policy firewall gerarchiche.
Criteri firewall di rete globali
I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto policy che può essere applicato a tutte le regioni di una rete VPC.
Per le specifiche e i dettagli delle policy del firewall di rete globali, consulta la sezione Policy firewall di rete globali.
Criteri firewall di rete regionali
Le policy del firewall di rete regionali consentono di raggruppare le regole in un oggetto policy che può essere applicato a una regione specifica di una rete VPC.
Per specifiche e dettagli delle policy firewall regionali, vedi Policy firewall di rete regionali.
Policy del firewall di sistema regionali
Le policy firewall di sistema regionali sono simili alle policy firewall di rete regionali, ma sono gestite da Google. Le policy del firewall di sistema regionali hanno le seguenti caratteristiche:
Google Cloud valuta le regole nelle policy del firewall di sistema regionali immediatamente dopo aver valutato le regole nelle policy del firewall gerarchiche. Per maggiori informazioni, consulta Procedura di valutazione delle regole firewall.
Non puoi modificare una regola in una policy del firewall di sistema regionale, tranne per attivare o disattivare la registrazione delle regole firewall.
Google Cloud crea una policy firewall di sistema regionale in una regione di una rete VPC quando un servizio Google richiede regole in quella regione della rete. Google Cloud può associare più di una policy firewall di sistema regionale a una regione di una rete VPC in base ai requisiti dei servizi Google.
Non ti vengono addebitati costi per la valutazione delle regole nelle policy del firewall di sistema a livello di regione.
Interazione con il profilo di rete
Le reti VPC regolari supportano le regole firewall nei criteri firewall gerarchici, nei criteri firewall di rete globali, nei criteri firewall di rete regionali e nelle regole firewall VPC. Tutte le regole firewall sono programmate come parte dello stack di virtualizzazione di rete Andromeda.
Le reti VPC che utilizzano determinati profili di rete limitano gli attributi delle regole e delle policy firewall che puoi utilizzare. Per le reti VPC RoCE, consulta Cloud NGFW per le reti VPC RoCE anziché questa pagina.
Regole delle policy firewall
In Google Cloud, una regola di policy firewall ha una direzione che determina se controlla il traffico in entrata nella rete o il traffico in uscita. Ogni regola del criterio firewall si applica alle connessioni in entrata o in uscita.
Regole in entrata
La direzione in entrata si riferisce alle connessioni in entrata inviate da origini specifiche a Google Cloud destinazioni. Le regole in entrata si applicano ai pacchetti in entrata che arrivano sui seguenti tipi di target:
- Interfacce di rete delle istanze di macchine virtuali (VM)
- Proxy Envoy gestiti che alimentano i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni
Una regola di traffico in entrata con un'azione deny protegge i target bloccando le connessioni in entrata. Se una regola con priorità più elevata consente il traffico, il firewall lo autorizza e ignora eventuali regole con priorità inferiore che potrebbero negare lo stesso traffico. Ricorda che le regole con priorità più alta hanno sempre la precedenza.
Una rete predefinita creata automaticamente include alcune regole firewall VPC precompilate, che consentono l'ingresso per determinati tipi di traffico.
Regole in uscita
La direzione in uscita si riferisce al traffico in uscita inviato da una risorsaGoogle Cloud di destinazione, ad esempio un'interfaccia di rete VM, a una destinazione.
Una regola in uscita con un'azione allow consente a un'istanza di inviare traffico alle destinazioni specificate nella regola. Il traffico in uscita viene bloccato se corrisponde a una regola deny con priorità alta. Questa azione ha la precedenza su qualsiasi regola con priorità inferiore
che potrebbe consentire il traffico. Google Cloud Inoltre, blocca o
limita determinati tipi di traffico.
Passaggi successivi
- Per creare e modificare policy e regole firewall gerarchiche, vedi Utilizzo di criteri e regole firewall gerarchici.
- Per creare e modificare le policy e le regole del firewall di rete globale, consulta Utilizzare le policy e le regole del firewall di rete globale.
- Per creare e modificare regole e policy firewall di rete regionali, consulta Utilizzare regole e policy firewall di rete regionali.