Componenti delle regole del criterio firewall

Questa pagina descrive i componenti delle regole firewall che crei in una delle seguenti norme firewall che si applicano a una rete Virtual Private Cloud (VPC) normale:

• Policy firewall gerarchiche
• Policy del firewall di rete globali
• Policy firewall di rete regionali

Per informazioni dettagliate sulle regole firewall e sui profili di rete Remote Direct Memory Access (RDMA), consulta Cloud NGFW per le reti VPC RoCE.

Ogni policy del firewall si applica alle connessioni in entrata o in uscita, non a entrambe. Quando crei una regola della policy del firewall, specifichi i componenti che definiscono cosa fa la regola. Oltre alla direzione, puoi specificare le caratteristiche di origine, destinazione e livello 4, come il protocollo e la porta di destinazione (se il protocollo utilizza le porte).

Priorità

La priorità di una regola in una policy del firewall è un numero intero compreso tra 0 e 2.147.483.547 inclusi. I numeri interi più bassi indicano le priorità più alte. La priorità di una regola in una policy firewall è simile alla priorità di una regola firewall VPC, con le seguenti differenze:

• Ogni regola di una policy del firewall deve avere una priorità univoca.
• La priorità di una regola in una policy del firewall funge da identificatore univoco della regola. Le regole nelle norme firewall non utilizzano i nomi per l'identificazione.
• La priorità di una regola in una policy del firewall definisce l'ordine di valutazione all'interno della policy del firewall stessa. Le regole firewall VPC e le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali vengono valutate come descritto in Applicare criteri e regole firewall a una rete.

Azione in caso di corrispondenza

Una regola in una policy del firewall può avere una delle seguenti azioni:

Parametro azione	Descrizione
allow	Consente i pacchetti per una nuova connessione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Indipendentemente dalla direzione della regola, se il protocollo del pacchetto e il tipo di policy del firewall supportano il monitoraggio della connessione, una regola allow crea una voce della tabella di monitoraggio della connessione del firewall che consente i pacchetti in entrata e in uscita.
deny	Non consente i pacchetti per una nuova connessione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Cloud NGFW verifica sempre la presenza di una voce nella tabella di monitoraggio della connessione firewall prima di valutare le regole firewall. Di conseguenza, se una regola di autorizzazione ha creato una voce della tabella di monitoraggio delle connessioni, questa voce ha la precedenza.
apply_security_profile_group	Intercetta i pacchetti per una nuova connessione e li invia a un endpoint firewall o a un gruppo di endpoint di intercettazione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Indipendentemente dalla direzione della regola, se il protocollo del pacchetto e il tipo di policy del firewall supportano il monitoraggio delle connessioni, una regola con l'azione apply_security_profile_group crea una voce nella tabella di monitoraggio delle connessioni del firewall in modo che i pacchetti in entrata e in uscita vengano intercettati dall'endpoint firewall o dal gruppo di endpoint di intercettazione. Non puoi creare regole con l'azione apply_security_profile_group nelle policy firewall di rete regionali. Le policy del firewall di sistema regionali non supportano le regole con questa azione.
goto_next	Interrompe la valutazione di altre regole nella policy del firewall e valuta le regole nel passaggio successivo dell' ordine di valutazione delle policy del firewall e delle regole. Il passaggio successivo dell'ordine di valutazione delle policy del firewall e delle regole potrebbe essere la valutazione delle regole in un'altra policy del firewall o delle regole firewall implicite.

Applicazione

Puoi scegliere se una regola dei criteri firewall viene applicata impostando il relativo stato su attivato o disattivato. Imposti lo stato di applicazione quando crei una regola o quando la aggiorni.

Se non imposti uno stato di applicazione quando crei una nuova regola firewall, questa viene attivata automaticamente.

Protocolli e porte

Analogamente alle regole firewall VPC, devi specificare uno o più vincoli di protocollo e porta quando crei una regola. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione oppure il protocollo e un intervallo di porte di destinazione. Non puoi specificare solo una porta o un intervallo di porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate sulle porte di origine non sono supportate.

Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, utilizza i numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e lo stesso numero sia in IPv4 che in IPv6, ma alcuni protocolli, come ICMP, non lo fanno. Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare ICMP IPv6, utilizza il numero di protocollo 58.

Le regole del firewall non supportano la specifica di tipi e codici ICMP, ma solo del protocollo.

Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

Se non specifichi i parametri di protocollo e porta, la regola si applica a tutti i protocolli e le porte di destinazione.

Logging

Il logging per le regole delle policy firewall funziona allo stesso modo del logging delle regole firewall VPC, ad eccezione di quanto segue:

• Il campo di riferimento include l'ID della policy del firewall e un numero che indica il livello della risorsa a cui è collegata la policy. Ad esempio, 0 indica che il criterio viene applicato a un'organizzazione, mentre 1 indica che il criterio viene applicato a una cartella di primo livello nell'organizzazione.

• I log per le regole dei criteri firewall includono un campo target_resource che identifica le reti VPC a cui si applica la regola.

• Il logging può essere attivato solo per le regole allow,deny e apply_security_profile_group; non può essere attivato per le regole goto_next.

• Quando abiliti la registrazione per una regola che utilizza l'azione apply_security_profile_group, Cloud NGFW genera una singola voce di log quando intercetta una sessione di traffico e reindirizza il traffico all'endpoint firewall per l'ispezione approfondita dei pacchetti. Questa voce di log conferma che la regola firewall corrisponde al traffico e lo ha reindirizzato correttamente all'endpoint firewall. Per saperne di più, consulta Panoramica del logging delle regole delle policy del firewall.

• L'endpoint firewall esegue l'ispezione approfondita dei pacchetti, ad esempio il servizio di rilevamento e prevenzione delle intrusioni e il servizio di filtro URL, e genera il proprio insieme di log. Questi log forniscono informazioni dettagliate sulle connessioni all'interno della sessione intercettata, elencando eventuali minacce o azioni di filtraggio degli URL rilevate. Questi log di ispezione approfondita dei pacchetti possono generare più voci di log per sessione.

Target, origine, destinazione

I parametri di destinazione, origine e destinazione funzionano insieme per determinare l'ambito di una regola firewall.

• Parametri di destinazione: identificano le risorse a cui si applica la regola firewall.

• Parametri di origine e destinazione: definiscono i criteri del traffico. Puoi specificarli entrambi per le regole in entrata e in uscita. Le opzioni valide per i parametri di origine e di destinazione dipendono dai parametri di destinazione e dalla direzione della regola firewall.

Destinazioni

Il parametro target type e uno o più parametri target definiscono i target di una regola firewall. Questi target di una regola firewall sono le risorse che la regola firewall protegge.

• Se il tipo di destinazione viene omesso o impostato su INSTANCES, la regola firewall si applica alle interfacce di rete delle istanze Compute Engine, inclusi i nodi Google Kubernetes Engine e le istanze dell'ambiente flessibile di App Engine. Sono supportate sia le regole in entrata che in uscita.

  Per specificare a quali interfacce di rete VM si applica la regola firewall, utilizza i parametri di destinazione:

  • Se ometti tutti i parametri di destinazione, la regola firewall viene applicata alle destinazioni delle istanze più ampie.

  • Per informazioni dettagliate sui parametri di destinazione e sulle combinazioni di parametri di destinazione, consulta Destinazioni specifiche e Combinazioni di destinazioni specifiche.

• Se il tipo di destinazione è impostato su INTERNAL_MANAGED_LB (anteprima), la regola firewall si applica ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni. Sono supportate solo le regole in entrata.

  • Se ometti il parametro regole di forwarding di destinazione, la regola firewall si applica alle destinazioni del bilanciatore del carico più ampie.

  • Per limitare la regola firewall a un singolo bilanciatore del carico, utilizza il parametro delle regole di forwarding di destinazione. Per saperne di più, consulta Target specifici.

Target di istanze più ampi

I target delle istanze più ampi dipendono dal tipo di policy del firewall:

• Destinazioni istanza più ampie per una regola in un criterio firewall gerarchico: tutte le interfacce di rete VM in una subnet in qualsiasi regione di qualsiasi rete VPC che si trova in un progetto nel nodo Resource Manager (cartella o organizzazione) associato al criterio firewall gerarchico.

• Destinazioni delle istanze più ampie per una regola in una policy del firewall di rete globale: tutte le interfacce di rete VM in una subnet in qualsiasi regione della rete VPC associata alla policy del firewall di rete globale.

• Destinazioni istanza più ampie per una regola nella policy del firewall di rete regionale: tutte le interfacce di rete VM in una subnet all'interno della regione e della rete VPC associate alla policy del firewall di rete regionale.

Target del bilanciatore del carico più ampi

Le policy firewall di rete regionali sono le uniche policy le cui regole supportano le destinazioni del bilanciatore del carico. I target del bilanciatore del carico più ampi sono le regole di forwarding per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni nella regione del criterio e nella rete VPC associata.

Target specifici

La tabella seguente elenca i parametri di destinazione, le policy firewall che supportano le regole con ciascun parametro e i tipi di destinazione delle regole supportati. Se non specifichi un parametro di destinazione, la regola utilizza i target dell'istanza più ampi o i target del bilanciatore del carico più ampi, a seconda del tipo di target della regola. Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che il parametro non è supportato.

Parametro target	Supporto delle policy del firewall			Supporto del tipo di target della regola
	Gerarchico	Rete globale	Rete regionale	INSTANCES	INTERNAL_MANAGED_LB
Risorse di rete VPC di destinazione Un elenco di una o più reti VPC specificate utilizzando il parametro target-resources. Questo elenco restringe i target di istanza più ampi alle interfacce di rete VM che si trovano in almeno una delle reti VPC specificate.
Account di servizio di destinazione Un elenco di uno o più service account specificati utilizzando il parametro target-service-accounts. Questo elenco restringe i target delle istanze più ampi alle interfacce di rete VM che appartengono a istanze VM associate ad almeno uno dei service account specificati.
Targeting dei valori dei tag sicuri da una chiave tag con dati relativi allo scopo della rete Una regola che utilizza il parametro target-secure-tags contenente un elenco di uno o più valori di tag di una chiave tag il cui purpose-data specifica una singola rete VPC. Questo elenco restringe i target di istanza più ampi alle interfacce di rete VM che soddisfano entrambi i seguenti criteri: L'interfaccia si trova nella rete VPC che corrisponde al purpose-data della chiave del tag. L'interfaccia appartiene a una VM associata al valore del tag. Per saperne di più, consulta Tag sicuri per firewall.
Targeting dei valori dei tag sicuri da una chiave tag con dati sullo scopo dell'organizzazione Una regola che utilizza il parametro target-secure-tags contenente un elenco di uno o più valori di tag di una chiave tag il cui purpose-data è organization=auto. Questo elenco restringe i target di istanza più ampi alle interfacce di rete VM che soddisfano entrambi i seguenti criteri: L'interfaccia si trova in qualsiasi rete VPC dell'organizzazione. L'interfaccia appartiene a una VM associata al valore del tag. Per saperne di più, consulta Tag sicuri per firewall.
Regole di inoltro dei target Anteprima Una singola regola di forwarding per un bilanciatore del carico delle applicazioni interno o un bilanciatore del carico di rete proxy interno specificato nel formato delle regole di forwarding di destinazione. Questo parametro restringe i target del bilanciatore del carico più ampio a un bilanciatore del carico delle applicazioni interno o a un bilanciatore del carico di rete proxy interno specifico.

Combinazioni di target specifiche

Le regole che supportano il parametro target-resources possono combinarlo con un altro parametro di destinazione per creare una combinazione di parametri di destinazione. La tabella seguente elenca le combinazioni di parametri di destinazione supportate, i criteri firewall che supportano le regole con ciascun parametro e i tipi di destinazione delle regole supportati. Se non specifichi un parametro di destinazione, la regola utilizza le destinazioni istanza più ampie o le destinazioni bilanciatore del carico più ampie, in base al tipo di destinazione della regola.

Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che il parametro non è supportato.

Combinazione dei parametri target	Supporto delle policy del firewall			Supporto del tipo di target della regola
	Gerarchico	Rete globale	Rete regionale	INSTANCES	INTERNAL_MANAGED_LB
Combinazione di risorse di rete VPC di destinazione e account di servizio di destinazione Una regola che utilizza entrambi i parametri target-resources e target-service-accounts. Questa combinazione restringe i target di istanza più ampi alle interfacce di rete VM che soddisfano entrambi i seguenti criteri: L'interfaccia si trova in almeno una delle reti VPC specificate in target-resources. L'interfaccia appartiene a un'istanza VM associata ad almeno uno dei service account specificati.
Combinazione di risorse di rete VPC di destinazione e valori dei tag sicuri di destinazione Una regola che utilizza entrambi i parametri target-resources e target-secure-tags. I valori tag devono provenire da una chiave tag il cui purpose-data è organization=auto. Questa combinazione restringe i target di istanza più ampi alle interfacce di rete VM che soddisfano entrambi i seguenti criteri: L'interfaccia si trova in almeno una delle reti VPC specificate in target-resources. L'interfaccia appartiene a una VM associata al valore del tag.

Formato delle regole di forwarding target

Quando il tipo di target di una regola firewall è impostato su INTERNAL_MANAGED_LB (anteprima), il parametro delle regole di forwarding del target accetta valori nei seguenti formati:

• Per i bilanciatori del carico delle applicazioni interni regionali e i bilanciatori del carico di rete proxy interni regionali:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

• Per i bilanciatori del carico delle applicazioni interni tra regioni e i bilanciatori del carico di rete proxy interni tra regioni:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Destinazioni e indirizzi IP per le regole in entrata

Quando il tipo di destinazione di una regola firewall viene omesso o impostato su INSTANCES, la regola si applica ai pacchetti instradati alle interfacce di rete delle VM di destinazione.

• Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti in modo esplicito.

• Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP di ogni VM di destinazione:

  • L'indirizzo IPv4 interno principale assegnato alla NIC dell'istanza.

  • Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC dell'istanza.

  • L'indirizzo IPv4 esterno associato alla NIC dell'istanza.

  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico pass-through, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, in cui l'istanza viene referenziata da un'istanza di destinazione.

  • Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza (next-hop-instance o next-hop-address) come VM di hop successivo.

  • Un indirizzo IP compreso nell'intervallo di destinazione di una route statica personalizzata che utilizza un bilanciatore del carico di rete passthrough interno (next-hop-ilb) come hop successivo se la VM è un backend per quel bilanciatore del carico.

Quando il tipo di destinazione di una regola firewall è impostato su INTERNAL_MANAGED_LB (Anteprima), la regola filtra i pacchetti indirizzati ai proxy Envoy gestiti associati ai bilanciatori del carico delle applicazioni interni e ai bilanciatori del carico di rete proxy interni. Quando utilizzi intervalli IP di destinazione in una regola di ingresso, assicurati che l'intervallo includa l'indirizzo IP della regola di forwarding del bilanciatore del carico pertinente.

Destinazioni e indirizzi IP per le regole in uscita

Quando il tipo di destinazione di una regola firewall viene omesso o impostato su INSTANCES, la regola si applica ai pacchetti emessi dalle interfacce di rete delle VM di destinazione.

• Se il forwarding IP è disattivato (impostazione predefinita) nella VM di destinazione, la VM può emettere pacchetti solo con le seguenti origini:

  • L'indirizzo IPv4 interno principale della NIC di un'istanza.

  • Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC di un'istanza.

  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico pass-through o il forwarding del protocollo. Questo è valido se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o è a cui fa riferimento un'istanza di destinazione.

  Se la regola firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono comunque limitate agli indirizzi IP di origine menzionati in precedenza, ma è possibile utilizzare un parametro di origine per perfezionare le origini. L'utilizzo di un parametro di origine senza abilitare l'inoltro IP non espande mai l'insieme dei possibili indirizzi di origine dei pacchetti.

  Se la regola firewall di uscita non include un intervallo di indirizzi IP di origine, sono consentiti tutti gli indirizzi IP di origine menzionati in precedenza.

• Se il forwarding IP è abilitato nella VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per definire con maggiore precisione l'insieme di origini dei pacchetti consentite.

Fonti

I valori dei parametri di origine dipendono dalla direzione della regola firewall.

Origini delle regole in entrata

Questa tabella elenca i parametri di origine per le regole di ingresso, le policy firewall che supportano ogni parametro e i tipi di destinazione delle regole compatibili con ogni parametro. Devi specificare almeno un parametro della sorgente. Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che il parametro non è supportato.

Parametro di origine della regola in entrata	Supporto delle policy del firewall			Supporto del tipo di target della regola
	Gerarchico	Rete globale	Rete regionale	INSTANCES	INTERNAL_MANAGED_LB
Intervalli di indirizzi IP di origine Un elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è archiviato all'interno della regola della policy del firewall.
Gruppi di indirizzi di origine Raccolte riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola firewall fa riferimento alla raccolta. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall.
Nomi di dominio di origine Un elenco di uno o più nomi di dominio di origine. Per saperne di più, incluso come i nomi di dominio vengono convertiti in indirizzi IP, consulta Oggetti basati sul nome di dominio completo (FQDN).
Recuperare i valori dei tag sicuri da una chiave tag con dati per scopi di rete Un elenco di uno o più valori di tag di una chiave di tag i cui dati di scopo specificano una singola rete VPC. Per saperne di più, vedi Tag sicuri per firewall e In che modo i tag sicuri di origine implicano le origini dei pacchetti.
Recuperare i valori dei tag sicuri da una chiave tag con dati sullo scopo dell'organizzazione Un elenco di uno o più valori di tag di una chiave di tag i cui dati sullo scopo sono organization=auto. Per saperne di più, vedi Tag sicuri per firewall e In che modo i tag sicuri di origine implicano le origini dei pacchetti.
Localizzazioni di origine Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione.
Elenca le fonti di Google Threat Intelligence Un elenco di uno o più nomi di elenchi Google Threat Intelligence predefiniti. Per saperne di più, consulta Google Threat Intelligence per le regole delle policy del firewall.
Contesto della rete di origine Un vincolo che definisce un confine di sicurezza. I valori validi dipendono dal tipo di target della regola. Per saperne di più, consulta Contesti di rete.

Combinazioni di origini delle regole in entrata

In una singola regola di ingresso, puoi utilizzare due o più parametri di origine per produrre una combinazione di origini. Cloud NGFW applica i seguenti vincoli alle combinazioni di origine di ogni regola di ingresso:

• Gli intervalli di indirizzi IP di origine devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
• Un gruppo di indirizzi di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
• Un intervallo di indirizzi IP di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
• Un intervallo di indirizzi IP di origine che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv4.
• Il contesto di rete internet non può essere utilizzato con i tag sicuri dell'origine.
• Il contesto non internet, il contesto delle reti VPC e il contesto inter-VPC non possono essere utilizzati con gli elenchi di Google Threat Intelligence di origine o le geolocalizzazioni di origine .

Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di ingresso che utilizza una combinazione di origine:

• Se la combinazione di origine non include un contesto di rete di origine, i pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno un parametro di origine nella combinazione di origine.

• Se la combinazione di origine include un contesto di rete di origine, i pacchetti corrispondono alla regola di ingresso se corrispondono al contesto di rete di origine e ad almeno uno degli altri parametri di origine nella combinazione di origine.

Come i tag di origine protetti implicano le origini dei pacchetti

Una regola firewall in entrata può utilizzare i valori dei tag sicuri di origine quando il tipo di destinazione viene omesso o impostato su INSTANCES. I valori dei tag sicuri identificano le interfacce di rete, non le caratteristiche dei pacchetti come gli indirizzi IP.

I pacchetti inviati da un'interfaccia di rete di un'istanza VM corrispondono a una regola in entrata che utilizza un valore di tag sicuro di origine in base alle seguenti regole:

• Se la regola di ingresso si trova in un criterio di rete regionale, l'istanza VM deve trovarsi in una zona della stessa regione del criterio firewall di rete regionale. In caso contrario, l'istanza VM può trovarsi in qualsiasi zona.

• L'istanza VM deve essere associata allo stesso valore del tag sicuro utilizzato come tag sicuro di origine in una regola firewall in entrata.

• Il valore del tag sicuro associato all'istanza VM e utilizzato dalla regola firewall in entrata deve provenire da una chiave tag il cui attributo purpose-data identifica almeno una rete VPC che contiene un'interfaccia di rete dell'istanza VM:

  • Se i dati sullo scopo della chiave del tag specificano una singola rete VPC, le regole firewall in entrata che utilizzano il valore del tag sicuro di origine si applicano alle interfacce di rete dell'istanza VM che si trovano in quella rete VPC.

  • Se i dati sullo scopo della chiave del tag specificano l'organizzazione, le regole firewall in entrata che utilizzano il valore del tag sicuro di origine si applicano alle interfacce di rete dell'istanza VM che si trovano in qualsiasi rete VPC dell'organizzazione.

• L'interfaccia di rete della VM identificata deve soddisfare uno dei seguenti criteri:

  • L'interfaccia di rete della VM si trova nella stessa rete VPC della rete VPC a cui si applica la policy del firewall.

  • L'interfaccia di rete della VM si trova in una rete VPC connessa, tramite peering di rete VPC, alla rete VPC a cui si applica la policy del firewall.

  • La rete VPC utilizzata dall'interfaccia di rete della VM e la rete VPC a cui si applica la policy del firewall sono entrambi spoke VPC sullo stesso hub NCC.

Per saperne di più sui tag sicuri per i firewall, consulta Specifiche.

Origini delle regole in uscita

Puoi utilizzare le seguenti origini per le regole in uscita sia nelle policy firewall gerarchiche che nelle policy firewall di rete:

• Predefinito, implicito dal target: se ometti il parametro di origine da una regola di uscita, le origini dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di uscita.

• Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:

• Se a un'interfaccia di rete VM vengono assegnati indirizzi IPv4 esterni o se non dispone di un indirizzo IPv4 esterno, ma utilizza un gateway Cloud NAT, la valutazione del firewall in uscita viene eseguita prima che Google Cloud modifica l'origine del pacchetto in uscita da un indirizzo IPv4 interno a un indirizzo IPv4 esterno. Per applicare una regola firewall in uscita, devi omettere il parametro Origine o includere l'indirizzo IPv4 interno dell'interfaccia di rete della VM nel parametro Origine.

• Se nella regola di uscita hai un intervallo di indirizzi IP di origine e parametri di destinazione, i parametri di destinazione vengono risolti nella stessa versione IP dell'IP di origine.

  Ad esempio, in una regola di uscita, hai un intervallo di indirizzi IPv4 nel parametro di origine e un oggetto FQDN nel parametro di destinazione. Se l'FQDN viene risolto sia in indirizzi IPv4 che IPv6, durante l'applicazione della regola viene utilizzato solo l'indirizzo IPv4 risolto.

Destinazioni

I valori dei parametri di destinazione dipendono dalla direzione della regola firewall.

Destinazioni per le regole in entrata

Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata sia nei criteri firewall gerarchici sia in quelli di rete:

• Predefinito, implicito dal target: se ometti il parametro di destinazione da una regola di ingresso, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di ingresso.

• Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole di ingresso:

• Se a un'interfaccia di rete VM vengono assegnati indirizzi IPv4 esterni o se non dispone di un indirizzo IPv4 esterno, ma utilizza un gateway Cloud NAT, la valutazione del firewall in entrata avviene dopo che Google Cloud modifica la destinazione del pacchetto in entrata da un indirizzo IPv4 esterno a un indirizzo IPv4 interno. Per applicare una regola firewall in entrata, devi omettere il parametro Destinazione o includere l'indirizzo IPv4 interno dell'interfaccia di rete della VM nel parametro Destinazione.

• Se hai definito i parametri di origine e di destinazione in una regola di ingresso, i parametri di origine vengono risolti nella stessa versione IP della versione IP di destinazione. Per scoprire di più su come definire un'origine per le regole in entrata, consulta Origini per le regole in entrata nei criteri firewall gerarchici e Origini per le regole in entrata nei criteri firewall di rete.

  Ad esempio, in una regola in entrata, hai un intervallo di indirizzi IPv6 nel parametro di destinazione e un codice paese di geolocalizzazione nel parametro di origine. Durante l'applicazione della regola, per il codice paese di origine specificato viene utilizzato solo l'indirizzo IPv6 mappato.

Destinazioni per le regole in uscita

Questa tabella elenca i parametri di destinazione per le regole in uscita, le policy del firewall che supportano ciascun parametro e i tipi di destinazione delle regole compatibili con ciascun parametro. Devi specificare almeno un parametro di destinazione. Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che non è supportato.

Parametro di destinazione della regola in uscita	Supporto delle policy del firewall			Supporto del tipo di target della regola
	Gerarchico	Rete globale	Rete regionale	INSTANCES	INTERNAL_MANAGED_LB
Intervalli di indirizzi IP di destinazione Un elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è archiviato all'interno della regola della policy del firewall stessa.
Gruppi di indirizzi di destinazione Raccolte riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola della policy del firewall fa riferimento alla raccolta. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall.
Nomi di dominio di destinazione Un elenco di uno o più nomi di dominio di destinazione. Per ulteriori informazioni, incluso come i nomi di dominio vengono convertiti in indirizzi IP, consulta Oggetti FQDN.
Geolocalizzazioni delle destinazioni Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione.
Elenchi di destinazione di Google Threat Intelligence Un elenco di uno o più nomi di elenchi Google Threat Intelligence predefiniti. Per saperne di più, consulta Google Threat Intelligence per le regole delle policy del firewall.
Contesto della rete di destinazione Un vincolo che definisce un confine di sicurezza.

Combinazioni di destinazioni delle regole in uscita

In una singola regola di uscita, puoi utilizzare due o più parametri di destinazione per produrre una combinazione di destinazioni. Cloud NGFW applica i seguenti vincoli alle combinazioni di destinazione di ogni regola in uscita:

• Gli intervalli di indirizzi IP di destinazione devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
• Non puoi utilizzare un gruppo di indirizzi di destinazione che contiene CIDR IPv4 con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
• Non puoi utilizzare un intervallo di indirizzi IP di destinazione che contenga CIDR IPv4 con un gruppo di indirizzi di destinazione che contenga CIDR IPv6.
• Non puoi utilizzare un intervallo di indirizzi IP di destinazione che contenga CIDR IPv6 con un gruppo di indirizzi di destinazione che contenga CIDR IPv4.
• Non puoi utilizzare gli elenchi di Google Threat Intelligence di destinazione o le geolocalizzazioni di destinazione con il contesto di rete non internet di destinazione.

Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di uscita che utilizza una combinazione di destinazione:

• Se la combinazione di destinazioni non include un contesto di rete di destinazione, i pacchetti corrispondono alla regola in uscita se corrispondono ad almeno un parametro di destinazione nella combinazione di destinazioni.

• Se la combinazione di destinazione include un contesto di rete di destinazione, i pacchetti corrispondono alla regola in uscita se corrispondono al contesto di rete di destinazione e ad almeno uno degli altri parametri di destinazione nella combinazione di destinazione.

Passaggi successivi

• Google Threat Intelligence per le regole dei criteri del firewall
• Panoramica degli oggetti nome di dominio completo
• Gruppi di indirizzi per i criteri firewall