Komponenten von Firewallrichtlinienregeln

Auf dieser Seite werden die Komponenten von Firewallregeln beschrieben, die Sie in einer der folgenden Firewallrichtlinien erstellen, die für ein reguläres VPC-Netzwerk (Virtual Private Cloud) gelten:

• Hierarchische Firewallrichtlinien
• Globale Netzwerk-Firewallrichtlinien
• Regionale Netzwerk-Firewallrichtlinien

Weitere Informationen zu Firewallregeln und RDMA-Netzwerkprofilen (Remote Direct Memory Access) finden Sie unter Cloud NGFW für RoCE-VPC-Netzwerke.

Jede Firewall-Richtlinien-regel gilt entweder für eingehende (ingress) oder für ausgehende Verbindungen (egress), jedoch nicht für beide Verbindungen. Beim Erstellen einer Firewallrichtlinienregel geben Sie die Komponenten an, die die Funktionsweise der Regel definieren. Zusätzlich zur Richtung können Sie Quelle, Ziel und Ebene 4-Merkmale wie Protokoll und Zielport angeben (wenn das Protokoll Ports verwendet).

Priorität

Die Priorität einer Regel in einer Firewallrichtlinie ist eine Ganzzahl von 0 bis einschließlich 2.147.483.547. Niedrigere Werte bedeuten eine höhere Priorität. Die Priorität einer Regel in einer Firewallrichtlinie ähnelt der Priorität einer VPC-Firewallregel, mit den folgenden Unterschieden:

• Jede Regel in einer Firewallrichtlinie muss eine eindeutige Priorität haben.
• Die Priorität einer Regel in einer Firewallrichtlinie dient als eindeutige Kennung der Regel. Regeln in Firewallrichtlinien verwenden keine Namen zur Identifizierung.
• Die Priorität einer Regel in einer Firewallrichtlinie definiert die Auswertungsreihenfolge innerhalb der Firewallrichtlinie selbst. VPC-Firewallregeln und Regeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien werden wie unter Firewallrichtlinien und -Regeln auf ein Netzwerk anwenden beschrieben ausgewertet.

Aktion bei Übereinstimmung

Eine Regel in einer Firewallrichtlinie kann eine der folgenden Aktionen haben:

Aktionsparameter	Beschreibung
allow	Ermöglicht Pakete für eine neue Verbindung. Die Auswertung von Regeln in der Firewallrichtlinie, die die übereinstimmende Regel enthält, wird beendet. Es werden keine anderen Firewallregeln ausgewertet. Unabhängig von der Richtung der Regel wird bei einer Zulassungsregel, wenn das Paketprotokoll und der Firewallrichtlinientyp die Verbindungsverfolgung unterstützen, ein Eintrag in der Firewall-Verbindungsverfolgungstabelle erstellt, der sowohl eingehende als auch ausgehende Pakete zulässt.
deny	Verhindert Pakete für eine neue Verbindung. Die Auswertung von Regeln in der Firewallrichtlinie, die die übereinstimmende Regel enthält, wird beendet. Es werden keine anderen Firewallregeln ausgewertet. Cloud NGFW prüft immer, ob ein Eintrag in der Tabelle zur Verbindungsverfolgung der Firewall vorhanden ist, bevor Firewallregeln ausgewertet werden. Wenn also durch eine „Zulassen“-Regel ein Eintrag in der Verbindungs-Tracking-Tabelle erstellt wurde, hat dieser Eintrag Vorrang.
apply_security_profile_group	Fängt Pakete für eine neue Verbindung ab und sendet sie an einen Firewall-Endpunkt oder eine Abfangendpunktgruppe. Die Auswertung von Regeln in der Firewallrichtlinie, die die übereinstimmende Regel enthält, wird beendet. Es werden keine anderen Firewallregeln ausgewertet. Unabhängig von der Richtung der Regel wird bei einer Regel mit der Aktion apply_security_profile_group ein Eintrag in der Firewall-Verbindungs-Tracking-Tabelle erstellt, wenn das Paketprotokoll und der Firewallrichtlinientyp das Verbindungs-Tracking unterstützen. So werden sowohl eingehende als auch ausgehende Pakete vom Firewall-Endpunkt oder der Abfangendpunktgruppe abgefangen. Sie können keine Regeln mit der Aktion apply_security_profile_group in regionalen Netzwerk-Firewallrichtlinien erstellen. Regionale System-Firewallrichtlinien unterstützen keine Regeln mit dieser Aktion.
goto_next	Die Auswertung anderer Regeln in der Firewallrichtlinie wird beendet und die Regeln im nächsten Schritt der Reihenfolge der Firewallrichtlinien- und Regelauswertung werden ausgewertet. Im nächsten Schritt der Firewallrichtlinien- und Regelauswertungsreihenfolge werden möglicherweise Regeln in einer anderen Firewallrichtlinie oder die impliziten Firewallregeln ausgewertet.

Erzwingung

Sie können auswählen, ob eine Firewallrichtlinienregel für erzwungen werden soll. Dazu legen Sie deren Status auf "Aktiviert" oder "Deaktiviert" fest. Sie können den Erzwingungszustand festlegen, wenn Sie eine Regel erstellen oder eine Regel aktualisieren.

Wenn Sie beim Erstellen einer neuen Firewallregel keinen Erzwingungsstatus festlegen, wird die Firewallregel automatisch aktiviert.

Protokolle und Ports

Ähnlich wie bei Regeln von VPC-Firewallregeln müssen Sie beim Erstellen einer Regel eine oder mehrere Protokoll- und Porteinschränkungen angeben. Beim Angeben von TCP oder UDP in einer Regel können Sie das Protokoll, das Protokoll und einen Zielport oder das Protokoll und einen Zielportbereich angeben. Sie können nicht nur einen Port oder Portbereich angeben. Außerdem können Sie nur Zielports angeben. Regeln für Quellports werden nicht unterstützt.

Sie können die folgenden Protokollnamen in Firewallregeln verwenden: tcp, udp, icmp (für IPv4 ICMP), esp, ah, sctp und ipip. Verwenden Sie für alle anderen Protokolle die IANA-Protokollnummern.

Viele Protokolle verwenden bei IPv4 und IPv6 denselben Namen und dieselbe Nummer, einige Protokolle wie ICMP jedoch nicht. Verwenden Sie icmp oder die Protokollnummer 1, um IPv4 ICMP anzugeben. Verwenden Sie die Protokollnummer 58, um IPv6 ICMP anzugeben.

Firewallregeln unterstützen nicht die Angabe von ICMP-Typen und -Codes, sondern nur das Protokoll.

Das IPv6-Hop-by-Hop-Protokoll wird in Firewallregeln nicht unterstützt.

Wenn Sie keine Protokoll- und Portparameter angeben, gilt die Regel für alle Protokolle und Zielports.

Logging

Das Logging für Regeln von Firewallrichtlinien funktioniert genauso wie das Logging von Regeln in VPC-Firewalls, mit folgenden Ausnahmen:

• Das Referenzfeld enthält die Firewallrichtlinien-ID und eine Zahl, die die Ebene der Ressource angibt, mit dem die Richtlinie verknüpft ist. 0 bedeutet beispielsweise, dass die Richtlinie auf eine Organisation angewendet wird, und 1, dass die Richtlinie auf einen Ordner auf oberster Ebene unter der Organisation angewendet wird.

• Logs für Regeln Firewallrichtlinien enthalten ein target_resource-Feld, das die VPC-Netzwerke angibt, auf die die Regel angewendet wird.

• Logging kann nur für allow-, deny- und apply_security_profile_group-Regeln aktiviert werden, nicht jedoch für goto_next-Regeln.

• Wenn Sie das Logging für eine Regel aktivieren, die die Aktion apply_security_profile_group verwendet, generiert Cloud NGFW einen einzelnen Logeintrag, wenn eine Trafficsitzung abgefangen und der Traffic zur Deep Packet Inspection an den Firewall-Endpunkt weitergeleitet wird. Dieser Logeintrag bestätigt, dass die Firewallregel mit dem Traffic übereinstimmte und ihn erfolgreich an den Firewallendpunkt weitergeleitet hat. Weitere Informationen finden Sie unter Logging von Firewallrichtlinien-Regeln – Übersicht.

• Der Firewall-Endpunkt führt eine gründliche Paketprüfung durch, z. B. mit dem Dienst zur Einbruchserkennung und ‑vermeidung und dem URL-Filterdienst, und generiert eigene Logs. Diese Logs enthalten detaillierte Informationen zu den Verbindungen innerhalb der abgefangenen Sitzung und führen alle erkannten Bedrohungen oder URL-Filteraktionen auf. Diese DPI-Logs können mehrere Logeinträge pro Sitzung generieren.

Ziel, Quelle, Bestimmungsort

Die Parameter „target“, „source“ und „destination“ arbeiten zusammen, um den Umfang einer Firewallregel zu bestimmen.

• Zielparameter: Identifizieren die Ressourcen, für die die Firewallregel gilt.

• Quell- und Zielparameter: Definieren Sie die Traffic-Kriterien. Sie können beide für Regeln für eingehenden und ausgehenden Traffic angeben. Gültige Optionen für Quell- und Zielparameter hängen von den Zielparametern und der Richtung der Firewallregel ab.

Ziele

Mit dem Parameter target type und einem oder mehreren target-Parametern werden die Ziele einer Firewallregel definiert. Diese Ziele einer Firewallregel sind die Ressourcen, die durch die Firewallregel geschützt werden.

• Wenn der Zieltyp weggelassen oder auf INSTANCES festgelegt ist, gilt die Firewallregel für die Netzwerkschnittstellen von Compute Engine-Instanzen, einschließlich Google Kubernetes Engine-Knoten und Instanzen der flexiblen App Engine-Umgebung. Sowohl Regeln für eingehenden als auch für ausgehenden Traffic werden unterstützt.

  Mit Zielparametern können Sie angeben, für welche VM-Netzwerkschnittstellen die Firewallregel gilt:

  • Wenn Sie alle Zielparameter weglassen, gilt die Firewallregel für die weitest gefassten Instanzziele.

  • Weitere Informationen zu Zielparametern und Kombinationen von Zielparametern finden Sie unter Spezifische Ziele und Spezifische Zielkombinationen.

• Wenn der Zieltyp auf INTERNAL_MANAGED_LB (Vorschau) festgelegt ist, gilt die Firewallregel für die verwalteten Envoy-Proxys, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Es werden nur Regeln für eingehenden Traffic unterstützt.

  • Wenn Sie den Parameter target forwarding rules weglassen, gilt die Firewallregel für die weitest gefassten Load-Balancer-Ziele.

  • Wenn Sie die Firewallregel auf einen einzelnen Load Balancer beschränken möchten, verwenden Sie den Parameter „Zielweiterleitungsregeln“. Weitere Informationen finden Sie unter Spezifische Ziele.

Breiteste Instanzziele

Die breitesten Instanzziele hängen vom Firewallrichtlinientyp ab:

• Breiteste Instanzziele für eine Regel in einer hierarchischen Firewallrichtlinie: alle VM-Netzwerkschnittstellen in einem Subnetz in einer beliebigen Region eines beliebigen VPC-Netzwerk, das sich in einem Projekt unter dem Resource Manager-Knoten (Ordner oder Organisation) befindet, der mit der hierarchischen Firewallrichtlinie verknüpft ist.

• Breiteste Instanzziele für eine Regel in einer globalen Netzwerk-Firewallrichtlinie: alle VM-Netzwerkschnittstellen in einem Subnetz in einer beliebigen Region des VPC-Netzwerk, das mit der globalen Netzwerk-Firewallrichtlinie verknüpft ist.

• Breiteste Instanzziele für eine Regel in einer regionalen Netzwerk-Firewallrichtlinie: alle VM-Netzwerkschnittstellen in einem Subnetzwerk innerhalb der Region und des VPC-Netzwerk, die mit der regionalen Netzwerk-Firewallrichtlinie verknüpft sind.

Breiteste Load-Balancer-Ziele

Regionale Netzwerk-Firewallrichtlinien sind die einzigen Richtlinien, deren Regeln Load-Balancer-Ziele unterstützen. Die breitesten Load-Balancer-Ziele sind die Weiterleitungsregeln für interne Application Load Balancer und interne Proxy-Network Load Balancer in der Region und dem zugehörigen VPC-Netzwerk der Richtlinie.

Bestimmte Ziele

In der folgenden Tabelle sind die Zielparameter, die Firewallrichtlinien, die Regeln mit den einzelnen Parametern unterstützen, und die unterstützten Regelzieltypen aufgeführt. Wenn Sie keinen Zielparameter angeben, verwendet die Regel je nach Zieltyp der Regel entweder die weitest gefassten Instanzziele oder die weitest gefassten Load-Balancer-Ziele. Das Häkchen gibt an, dass der Parameter unterstützt wird, und das Symbol gibt an, dass der Parameter nicht unterstützt wird.

Zielparameter	Unterstützung von Firewallrichtlinien			Unterstützung von Regelzieltypen
	Hierarchisch	Globales Netzwerk	Regionales Netzwerk	INSTANCES	INTERNAL_MANAGED_LB
VPC-VPC-Netzwerk als Ziel festlegen Eine Liste mit einem oder mehreren VPC-Netzwerken, die mit dem Parameter target-resources angegeben werden. Diese Liste schränkt die breitesten Instanzziele auf die VM-Netzwerkschnittstellen ein, die sich in mindestens einem der angegebenen VPC-Netzwerke befinden.
Zieldienstkonten Eine Liste mit einem oder mehreren Dienstkonten, die mit dem Parameter target-service-accounts angegeben werden. Diese Liste schränkt die breitesten Instanzziele auf die VM-Netzwerkschnittstellen ein, die zu VM-Instanzen gehören, die mit mindestens einem der angegebenen Dienstkonten verknüpft sind.
Sichere Tag-Werte aus einem Tag-Schlüssel mit Daten zum Netzwerkzweck abrufen Eine Regel, in der der Parameter target-secure-tags verwendet wird, der eine Liste mit einem oder mehreren Tag-Werten eines Tag-Schlüssels enthält, dessen purpose-data ein einzelnes VPC-Netzwerk angibt. Diese Liste schränkt die breitesten Instanzziele auf die VM-Netzwerkschnittstellen ein, die beide der folgenden Kriterien erfüllen: Die Schnittstelle befindet sich im VPC-Netzwerk, das mit dem purpose-data des Tag-Schlüssels übereinstimmt. Die Schnittstelle gehört zu einer VM, die an den Tag-Wert gebunden ist. Weitere Informationen finden Sie unter Sichere Tags für Firewalls.
Sichere Tag-Werte aus einem Tag-Schlüssel mit Daten zum Organisationszweck ausrichten Eine Regel, in der der Parameter target-secure-tags verwendet wird, der eine Liste mit einem oder mehreren Tag-Werten eines Tag-Schlüssels enthält, dessen purpose-data organization=auto ist. Diese Liste schränkt die breitesten Instanzziele auf die VM-Netzwerkschnittstellen ein, die beide der folgenden Kriterien erfüllen: Die Schnittstelle befindet sich in einem beliebigen VPC-Netzwerk der Organisation. Die Schnittstelle gehört zu einer VM, die an den Tag-Wert gebunden ist. Weitere Informationen finden Sie unter Sichere Tags für Firewalls.
Weiterleitungsregeln für Ziele Vorschau Eine einzelne Weiterleitungsregel für einen internen Application Load Balancer oder einen internen Proxy-Network Load Balancer, die im Format für Zielweiterleitungsregeln angegeben ist. Mit diesem Parameter werden die breitesten Load-Balancer-Ziele auf einen bestimmten internen Application Load Balancer oder internen Proxy-Network Load Balancer eingegrenzt.

Bestimmte Zielkombinationen

Bei Regeln, die den Parameter target-resources unterstützen, kann er mit einem anderen Zielparameter kombiniert werden, um eine Zielparameterkombination zu erstellen. In der folgenden Tabelle sind die unterstützten Kombinationen von Zielparametern, die Firewallrichtlinien, die Regeln mit den einzelnen Parametern unterstützen, und die unterstützten Regelzieltypen aufgeführt. Wenn Sie keinen Zielparameter angeben, werden je nach Zieltyp der Regel entweder die weitest gefassten Instanzziele oder die weitest gefassten Load-Balancer-Ziele verwendet.

Das Häkchen gibt an, dass der Parameter unterstützt wird, und das Symbol gibt an, dass der Parameter nicht unterstützt wird.

Kombination von Zielparametern	Unterstützung von Firewallrichtlinien			Unterstützung von Regelzieltypen
	Hierarchisch	Globales Netzwerk	Regionales Netzwerk	INSTANCES	INTERNAL_MANAGED_LB
Kombination aus Ziel-VPC-Netzwerkressourcen und Zieldienstkonten Eine Regel, die sowohl den Parameter target-resources als auch den Parameter target-service-accounts verwendet. Durch diese Kombination werden die breitesten Instanzziele auf VM-Netzwerkschnittstellen beschränkt, die beide der folgenden Kriterien erfüllen: Die Schnittstelle befindet sich in mindestens einem der in target-resources angegebenen VPC-Netzwerke. Die Schnittstelle gehört zu einer VM-Instanz, die mindestens einem der angegebenen Dienstkonten zugeordnet ist.
Kombination aus Ziel-VPC-Netzwerkressourcen und sicheren Ziel-Tag-Werten Eine Regel, die sowohl den Parameter target-resources als auch den Parameter target-secure-tags verwendet. Tag-Werte müssen von einem Tag-Schlüssel stammen, dessen purpose-data organization=auto ist. Durch diese Kombination werden die breitesten Instanzziele auf VM-Netzwerkschnittstellen beschränkt, die beide der folgenden Kriterien erfüllen: Die Schnittstelle befindet sich in mindestens einem der in target-resources angegebenen VPC-Netzwerke. Die Schnittstelle gehört zu einer VM, die an den Tag-Wert gebunden ist.

Format von Zielweiterleitungsregeln

Wenn der Zieltyp einer Firewallregel auf INTERNAL_MANAGED_LB (Vorschau) festgelegt ist, akzeptiert der Parameter „target forwarding rules“ Werte in den folgenden Formaten:

• Für regionale interne Application Load Balancer und regionale interne Proxy-Network Load Balancer:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

• Für regionenübergreifende interne Application Load Balancer und regionenübergreifende interne Proxy-Network Load Balancer:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Ziele und IP-Adressen für Regeln für eingehenden Traffic

Wenn ein Firewallregel-Zieltyp entweder weggelassen oder auf INSTANCES festgelegt ist, gilt die Regel für Pakete, die an Netzwerkschnittstellen von Ziel-VMs weitergeleitet werden.

• Wenn die Firewallregel für eingehenden Traffic einen Ziel-IP-Adressbereich enthält, muss das Ziel des Pakets in einen der explizit definierten Ziel-IP-Adressbereiche passen.

• Wenn die Firewallregel für eingehenden Traffic keinen Ziel-IP-Adressbereich enthält, muss das Ziel des Pakets mit einer der folgenden IP-Adressen jeder Ziel-VM übereinstimmen:

  • Die primäre interne IPv4-Adresse, die der NIC der Instanz zugewiesen ist.

  • Alle konfigurierten Alias-IP-Adressbereiche auf der NIC der Instanz.

  • Die externe IPv4-Adresse, die der NIC der Instanz zugeordnet ist.

  • Beliebige IPv6-Adresse, die der NIC zugewiesenen ist, wenn IPv6 im Subnetz konfiguriert ist.

  • Eine interne oder externe IP-Adresse, die mit einer Weiterleitungsregel verbunden ist, die für das Passthrough Load-Balancing verwendet wird, wobei die Instanz ein Backend für einen internen Passthrough Network Load Balancer oder einen externen Passthrough Network Load Balancer ist.

  • Eine interne oder externe IP-Adresse, die einer Weiterleitungsregel für die Protokollweiterleitung zugeordnet ist, wobei auf die Instanz von einer Zielinstanz verwiesen wird.

  • Eine IP-Adresse im Zielbereich einer benutzerdefinierten statischen Route, die die Instanz (next-hop-instance oder next-hop-address) als VM des nächsten Hops verwendet.

  • Eine IP-Adresse innerhalb des Zielbereichs einer benutzerdefinierten statischen Route, die einen internen Passthrough Network Load Balancer (next-hop-ilb) als nächsten Hop verwendet, wenn die VM ein Backend für diesen Load-Balancer ist.

Wenn der Zieltyp einer Firewallregel auf INTERNAL_MANAGED_LB (Vorabversion) festgelegt ist, filtert die Regel Pakete, die an die verwalteten Envoy-Proxys weitergeleitet werden, die mit internen Application Load Balancern und internen Proxy-Network Load Balancern verknüpft sind. Wenn Sie Ziel-IP-Bereiche in einer Ingress-Regel verwenden, muss der Bereich die IP-Adresse der Weiterleitungsregel des relevanten Load Balancers enthalten.

Ziele und IP-Adressen für Regeln für ausgehenden Traffic

Wenn der Zieltyp einer Firewallregel entweder weggelassen oder auf INSTANCES festgelegt ist, gilt die Regel für Pakete, die von Netzwerkschnittstellen von Ziel-VMs ausgegeben werden.

• Wenn für die Ziel-VM die IP-Weiterleitung deaktiviert ist (Standardeinstellung), kann die VM nur Pakete mit den folgenden Quellen ausgeben:

  • Die primäre interne IPv4-Adresse der NIC einer Instanz.

  • Jeder konfigurierte Alias-IP-Adressbereich auf der NIC einer Instanz.

  • Beliebige IPv6-Adresse, die der NIC zugewiesenen ist, wenn IPv6 im Subnetz konfiguriert ist.

  • Eine interne oder externe IP-Adresse, die mit einer Weiterleitungsregel verbunden ist, für Passthrough Load-Balancing oder Protokollweiterleitung. Dies gilt, wenn die Instanz ein Backend für einen internen Passthrough Network Load Balancer oder einen externen Passthrough Network Load Balancer ist oder von einer Zielinstanz referenziert wird.

  Wenn die Firewallregel für ausgehenden Traffic Quell-IP-Adressbereiche enthält, sind die Ziel-VMs weiterhin auf die zuvor erwähnten Quell-IP-Adressen beschränkt. Sie können die Quellen jedoch mit einem Quellparameter verfeinern. Wenn Sie einen Quellparameter verwenden, ohne die IP-Weiterleitung zu aktivieren, wird der Satz möglicher Paketquelladressen nie erweitert.

  Wenn die Firewallregel für ausgehenden Traffic keinen Quell-IP-Adressbereich enthält, sind alle zuvor genannten Quell-IP-Adressen zulässig.

• Wenn für die Ziel-VM die IP-Weiterleitung aktiviert ist, kann die VM Pakete mit beliebigen Quelladressen ausgeben. Mit dem Quellparameter können Sie den Satz zulässiger Paketquellen genauer definieren.

Quellen

Die Werte der Quellparameter hängen von der Richtung der Firewallregel ab.

Quellen für Regeln für eingehenden Traffic

In dieser Tabelle sind die Quellparameter für Ingress-Regeln, die Firewallrichtlinien, die die einzelnen Parameter unterstützen, und die Regelzieltypen aufgeführt, die mit den einzelnen Parametern kompatibel sind. Sie müssen mindestens einen Quellparameter angeben. Das Häkchen gibt an, dass der Parameter unterstützt wird, und das Symbol gibt an, dass der Parameter nicht unterstützt wird.

Quellparameter für Regeln für eingehenden Traffic	Unterstützung von Firewallrichtlinien			Unterstützung von Regelzieltypen
	Hierarchisch	Globales Netzwerk	Regionales Netzwerk	INSTANCES	INTERNAL_MANAGED_LB
Quell-IP-Adressbereiche Eine Liste mit IPv4-Adressen im CIDR-Format oder IPv6-Adressen im CIDR-Format. Die Liste wird in der Firewallrichtlinienregel selbst gespeichert.
Quelladressgruppen Wiederverwendbare Sammlungen von IPv4-Adressen im CIDR-Format oder IPv6-Adressen im CIDR-Format. Die Firewallregel verweist auf die Sammlung. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
Quelldomainnamen Eine Liste mit einem oder mehreren Quelldomainnamen. Weitere Informationen, einschließlich der Konvertierung von Domainnamen in IP-Adressen, finden Sie unter FQDN-Objekte.
Sichere Tag-Werte aus einem Tag-Schlüssel mit Daten zum Netzwerkzweck abrufen Eine Liste mit mindestens einem Tag-Wert aus einem Tag-Schlüssel, dessen Zweckdaten ein einzelnes VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Sichere Tags für Firewalls und Wie sichere Quell-Tags Paketquellen implizieren.
Sichere Tag-Werte aus einem Tag-Schlüssel mit Daten zum Organisationszweck abrufen Eine Liste mit mindestens einem Tag-Wert aus einem Tag-Schlüssel, dessen Zweckdaten organization=auto sind. Weitere Informationen finden Sie unter Sichere Tags für Firewalls und Wie sichere Quell-Tags Paketquellen implizieren.
Quellstandorte Eine Liste mit einem oder mehreren geografischen Standorten, die als Ländercodes mit zwei Buchstaben oder Regionscodes angegeben sind. Weitere Informationen finden Sie unter Standortobjekte.
Google Threat Intelligence-Listen als Quelle Eine Liste mit einem oder mehreren vordefinierten Google Threat Intelligence-Listennamen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
Quellnetzwerkkontext Eine Einschränkung, die eine Sicherheitsgrenze definiert. Gültige Werte hängen vom Zieltyp der Regel ab. Weitere Informationen finden Sie unter Netzwerkkontexte.

Quellkombinationen für Regeln für eingehenden Traffic

In einer einzelnen Ingress-Regel können Sie zwei oder mehr Quellparameter verwenden, um eine Quellkombination zu erstellen. Cloud NGFW erzwingt die folgenden Einschränkungen für Quellkombinationen jeder Ingress-Regel:

• Quell-IP-Adressbereiche müssen entweder IPv4- oder IPv6-CIDRs enthalten, aber nicht beides.
• Eine Quelladressgruppe, die IPv4-CIDRs enthält, kann nicht mit einer Quelladressgruppe verwendet werden, die IPv6-CIDRs enthält.
• Ein Quell-IP-Adressbereich, der IPv4-CIDRs enthält, kann nicht mit einer Quelladressgruppe verwendet werden, die IPv6-CIDRs enthält.
• Ein Quell-IP-Adressbereich, der IPv6-CIDRs enthält, kann nicht mit einer Quelladressgruppe verwendet werden, die IPv4-CIDRs enthält.
• Der Internetnetzwerkkontext kann nicht mit den sicheren Quell-Tags verwendet werden.
• Der Kontext „Ohne Internet“, der Kontext „VPC-Netzwerke“ und der Kontext „VPC-intern“ können nicht mit Google Threat Intelligence-Listen als Quelle oder Geolokationen als Quelle verwendet werden.

Cloud NGFW wendet die folgende Logik an, um die Pakete einer Ingress-Regel zuzuordnen, die eine Quellkombination verwendet:

• Wenn die Quellkombination keinen Quellnetzwerkkontext enthält, stimmen Pakete mit der Regel für eingehenden Traffic überein, wenn sie mindestens einem Quellparameter in der Quellkombination entsprechen.

• Wenn die Quellkombination einen Quellnetzwerkkontext enthält, stimmen Pakete mit der Regel für eingehenden Traffic überein, wenn sie mit dem Quellnetzwerkkontext und mindestens einem der anderen Quellparameter in der Quellkombination übereinstimmen.

Wie sichere Quell-Tags Paketquellen implizieren

Eine Firewallregel für eingehenden Traffic kann sichere Quell-Tag-Werte verwenden, wenn ihr Zieltyp ausgelassen oder auf INSTANCES festgelegt ist. Sichere Tag-Werte identifizieren Netzwerkschnittstellen, nicht Paketmerkmale wie IP-Adressen.

Pakete, die von einer Netzwerkschnittstelle einer VM-Instanz gesendet werden, entsprechen einer Regel für eingehenden Traffic, die einen sicheren Quell-Tag-Wert verwendet, gemäß den folgenden Regeln:

• Wenn sich die Regel für eingehenden Traffic in einer regionalen Netzwerkrichtlinie befindet, muss sich die VM-Instanz in einer Zone derselben Region wie die regionale Netzwerk-Firewallrichtlinie befinden. Andernfalls kann sich die VM-Instanz in einer beliebigen Zone befinden.

• Die VM-Instanz muss demselben sicheren Tag-Wert zugeordnet sein, der als sicheres Quell-Tag in einer Firewallregel für eingehenden Traffic verwendet wird.

• Der sichere Tag-Wert, der der VM-Instanz zugeordnet und von der Firewallregel für eingehenden Traffic verwendet wird, muss von einem Tag-Schlüssel stammen, dessen Attribut purpose-data mindestens ein VPC-Netzwerk identifiziert, das eine Netzwerkschnittstelle der VM-Instanz enthält:

  • Wenn die Zweckdaten des Tag-Schlüssels ein einzelnes VPC-Netzwerk angeben, gelten Firewallregeln für eingehenden Traffic, die den sicheren Quell-Tag-Wert verwenden, für die Netzwerkschnittstellen der VM-Instanz, die sich in diesem VPC-Netzwerk befinden.

  • Wenn die Zweckdaten des Tag-Schlüssels die Organisation angeben, gelten Firewallregeln für eingehenden Traffic, die den sicheren Quell-Tag-Wert verwenden, für die Netzwerkschnittstellen der VM-Instanz, die sich in einem beliebigen VPC-Netzwerk der Organisation befinden.

• Die identifizierte VM-Netzwerkschnittstelle muss eines der folgenden Kriterien erfüllen:

  • Die VM-Netzwerkschnittstelle befindet sich im selben VPC-Netzwerk wie das VPC-Netzwerk, für das die Firewallrichtlinie gilt.

  • Die VM-Netzwerkschnittstelle befindet sich in einem VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem VPC-Netzwerk verbunden ist, für das die Firewallrichtlinie gilt.

  • Das VPC-Netzwerk, das von der VM-Netzwerkschnittstelle verwendet wird, und das VPC-Netzwerk, auf das sich die Firewallrichtlinie bezieht, sind beide VPC-Spokes im selben NCC-Hub.

Weitere Informationen zu sicheren Tags für Firewalls finden Sie unter Spezifikationen.

Quellen für Regeln für ausgehenden Traffic

Sie können die folgenden Quellen für Regeln für ausgehenden Traffic sowohl in hierarchischen Firewallrichtlinien als auch in Netzwerk-Firewallrichtlinien verwenden:

• Standard – durch Ziel impliziert: Wenn Sie den Quellparameter in einer Regel für ausgehenden Traffic weglassen, werden die Paketquellen implizit wie in Ziele und IP-Adressen für Regeln für ausgehenden Traffic beschrieben definiert.

• IPv4-Quelladressbereiche: Eine Liste von IPv4-Adressen im CIDR-Format.

• IPv6-Quelladressbereiche: Eine Liste von IPv6-Adressen im CIDR-Format.

Befolgen Sie diese Richtlinien, um Quell-IP-Adressbereiche für Regeln für ausgehenden Traffic hinzuzufügen:

• Wenn einer VM-Schnittstelle sowohl interne als auch externe IPv4-Adressen zugewiesen sind, wird nur die interne IPv4-Adresse während der Regelauswertung verwendet.

• Wenn Sie in der Regel für ausgehenden Traffic einen Quell-IP-Adressbereich und Zielparameter haben, werden die Zielparameter in dieselbe IP-Version aufgelöst wie die Quell-IP-Version.

  Beispiel: In einer Regel für ausgehenden Traffic haben Sie im Quellparameter einen IPv4-Adressbereich und im Zielparameter ein FQDN-Objekt. Wenn der FQDN sowohl in IPv4- als auch in IPv6-Adressen aufgelöst wird, wird während der Regelerzwingung nur die aufgelöste IPv4-Adresse verwendet.

Ziele

Die Werte der Zielparameter hängen von der Richtung der Firewallregel ab.

Ziele für Regeln für eingehenden Traffic

Sie können die folgenden Ziele für Firewallregeln für eingehenden Traffic sowohl in hierarchischen als auch in Netzwerk-Firewallrichtlinien verwenden:

• Standard – durch Ziel impliziert: Wenn Sie den Zielparameter in einer Regel für eingehenden Traffic weglassen, werden die Paketziele implizit definiert, wie unter Ziele und IP-Adressen für Regeln für eingehenden Traffic beschrieben.

• IPv4-Zieladressbereiche: eine Liste von IPv4-Adressen im CIDR-Format.

• IPv6-Zieladressbereiche: Eine Liste von IPv6-Adressen im CIDR-Format.

Befolgen Sie diese Richtlinien, um Ziel-IP-Adressbereiche für Regeln für eingehenden Traffic hinzuzufügen:

• Wenn einer VM-Schnittstelle sowohl interne als auch externe IPv4-Adressen zugewiesen sind, wird nur die interne IPv4-Adresse während der Regelauswertung verwendet.

• Wenn Sie sowohl Quell- als auch Zielparameter in einer Regel für eingehenden Traffic definiert haben, werden die Quellparameter in dieselbe IP-Version wie die Ziel-IP-Version aufgelöst. Weitere Informationen zum Definieren einer Quelle für Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.

  Beispiel: In einer Regel für eingehenden Traffic haben Sie im Zielparameter einen IPv6-Adressbereich und im Quellparameter einen Ländercode für die Standortbestimmung. Während der Regelerzwingung wird für den angegebenen Ländercode nur die zugeordnete IPv6-Adresse verwendet.

Ziele für Regeln für ausgehenden Traffic

In dieser Tabelle sind die Zielparameter für Ausgangsregeln, die Firewallrichtlinien, die die einzelnen Parameter unterstützen, und die Regelzieltypen aufgeführt, die mit den einzelnen Parametern kompatibel sind. Sie müssen mindestens einen Zielparameter angeben. Das Häkchen gibt an, dass der Parameter unterstützt wird, und das Symbol gibt an, dass der Parameter nicht unterstützt wird.

Zielparameter für Regeln für ausgehenden Traffic	Unterstützung von Firewallrichtlinien			Unterstützung von Regelzieltypen
	Hierarchisch	Globales Netzwerk	Regionales Netzwerk	INSTANCES	INTERNAL_MANAGED_LB
Ziel-IP-Adressbereiche Eine Liste mit IPv4-Adressen im CIDR-Format oder IPv6-Adressen im CIDR-Format. Die Liste wird in der Firewallrichtlinienregel selbst gespeichert.
Zieladressgruppen Wiederverwendbare Sammlungen von IPv4-Adressen im CIDR-Format oder IPv6-Adressen im CIDR-Format. Die Firewallrichtlinien-Regel verweist auf die Sammlung. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
Zieldomainnamen Eine Liste mit einem oder mehreren Zieldomainnamen. Weitere Informationen, einschließlich der Konvertierung von Domainnamen in IP-Adressen, finden Sie unter FQDN-Objekte.
Geografische Zielorte Eine Liste mit einem oder mehreren geografischen Standorten, die als Ländercodes mit zwei Buchstaben oder Regionscodes angegeben sind. Weitere Informationen finden Sie unter Standortobjekte.
Ziel-Threat Intelligence-Listen von Google Eine Liste mit einem oder mehreren vordefinierten Google Threat Intelligence-Listennamen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
Zielnetzwerkkontext Eine Einschränkung, die eine Sicherheitsgrenze definiert.

Zielkombinationen für Regeln für ausgehenden Traffic

In einer einzelnen Regel für ausgehenden Traffic können Sie zwei oder mehr Zielparameter verwenden, um eine Zielkombination zu erstellen. Cloud NGFW erzwingt die folgenden Einschränkungen für Zielkombinationen jeder Ausgangsregel:

• Ziel-IP-Adressbereiche müssen entweder IPv4- oder IPv6-CIDRs enthalten, aber nicht beides.
• Sie können keine Zieladressgruppe, die IPv4-CIDRs enthält, mit einer Zieladressgruppe verwenden, die IPv6-CIDRs enthält.
• Sie können keinen Ziel-IP-Adressbereich, der IPv4-CIDRs enthält, mit einer Zieladressgruppe verwenden, die IPv6-CIDRs enthält.
• Sie können keinen Ziel-IP-Adressbereich, der IPv6-CIDRs enthält, mit einer Zieladressgruppe verwenden, die IPv4-CIDRs enthält.
• Sie können keine Ziel- Google Threat Intelligence-Listen oder Ziel- Geolokalisierungen mit Zielkontext für Nicht-Internet-Netzwerke verwenden.

Cloud NGFW wendet die folgende Logik an, um die Pakete einer Egress-Regel zuzuordnen, die eine Zielkombination verwendet:

• Wenn die Zielkombination keinen Zielnetzwerkkontext enthält, stimmen Pakete mit der Regel für ausgehenden Traffic überein, wenn sie mindestens einem Zielparameter in der Zielkombination entsprechen.

• Wenn die Zielkombination einen Zielnetzwerkkontext enthält, stimmen Pakete mit der Regel für ausgehenden Traffic überein, wenn sie mit dem Zielnetzwerkkontext und mindestens einem der anderen Zielparameter in der Zielkombination übereinstimmen.

Nächste Schritte

• Google Threat Intelligence für Firewallrichtlinien-Regeln
• Voll qualifizierte Domainnamenobjekte – Übersicht
• Adressgruppen für Firewallrichtlinien