Auswertungsreihenfolge für Firewallrichtlinien und ‑regeln

Jedes reguläre VPC-Netzwerk (Virtual Private Cloud) hat eine Erzwingungsreihenfolge für Netzwerk-Firewallrichtlinien, die die Reihenfolge bestimmt, in der Cloud NGFW Firewallrichtlinienregeln auswertet.

Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Für ein VPC-Netzwerk kann eine der folgenden Reihenfolgen für die Erzwingung von Netzwerk-Firewallrichtlinien verwendet werden:

• AFTER_CLASSIC_FIREWALL (Standard): Cloud NGFW wertet Firewallrichtlinien und -regeln in der folgenden Reihenfolge aus:

  1. Hierarchische Firewallrichtlinien
  2. Regionale System-Firewallrichtlinien
  3. VPC-Firewallregeln
  4. Globale Netzwerk-Firewallrichtlinien
  5. Regionale Netzwerk-Firewallrichtlinien
  6. Implizierte Aktionen

• BEFORE_CLASSIC_FIREWALL: Cloud NGFW wertet Firewallrichtlinien und ‑regeln in der folgenden Reihenfolge aus:

  1. Hierarchische Firewallrichtlinien
  2. Regionale System-Firewallrichtlinien
  3. Globale Netzwerk-Firewallrichtlinien
  4. Regionale Netzwerk-Firewallrichtlinien
  5. VPC-Firewallregeln
  6. Implizierte Aktionen

So ändern Sie die Reihenfolge der Durchsetzung von Netzwerk-Firewallrichtlinien:

• Verwenden Sie die Methode networks.patch und legen Sie das Attribut networkFirewallPolicyEnforcementOrder des VPC-Netzwerks fest.

• Führen Sie den Befehl gcloud compute networks update mit dem Flag --network-firewall-policy-enforcement-order aus.

  Beispiel:

  gcloud compute networks update VPC_NETWORK_NAME \
      --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER
  

Prozess zur Auswertung von Firewallregeln

In diesem Abschnitt wird die Reihenfolge beschrieben, in der Cloud NGFW Regeln auswertet, die für Zielressourcen in regulären VPC-Netzwerken gelten.

Jede Firewallregel ist entweder eine Ingress- oder eine Egress-Regel, je nach Richtung des Traffics:

• Eingangsregeln gelten für Pakete für eine neue Verbindung, die von einer Zielressource empfangen werden. Die folgenden Zielressourcen für Regeln für eingehenden Traffic werden unterstützt:

  • Netzwerkschnittstellen von Instanzen virtueller Maschinen (VMs).

  • Verwaltete Envoy-Proxys, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden (Vorabversion).

• Ausgangsregeln gelten für Pakete für eine neue Verbindung, die von der Netzwerkschnittstelle einer Ziel-VM gesendet werden.

Cloud NGFW wertet Regeln in hierarchischen Firewallrichtlinien und regionalen System-Firewallrichtlinien immer vor allen anderen Firewallregeln aus. Sie steuern die Reihenfolge, in der Cloud NGFW andere Firewallregeln auswertet, indem Sie eine Reihenfolge für die Erzwingung von Netzwerk-Firewallrichtlinien auswählen. Die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien kann entweder AFTER_CLASSIC_FIREWALL oder BEFORE_CLASSIC_FIREWALL sein.

AFTER_CLASSIC_FIREWALL Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien AFTER_CLASSIC_FIREWALL ist, wertet Cloud NGFW Regeln in globalen und regionalen Netzwerk-Firewallrichtlinien nach der Auswertung von VPC-Firewallregeln aus. Dies ist die Standardreihenfolge für die Auswertung.

In einem regulären VPC-Netzwerk, in dem die Erzwingungsreihenfolge AFTER_CLASSIC_FIREWALL verwendet wird, sieht die vollständige Reihenfolge der Firewallregelauswertung so aus:

1. Hierarchische Firewallrichtlinien:

   Cloud NGFW wertet hierarchische Firewallrichtlinien in der folgenden Reihenfolge aus:

   1. Die hierarchische Firewallrichtlinie, die der Organisation zugeordnet ist, die die Zielressource enthält.
   2. Hierarchische Firewallrichtlinien, die mit übergeordneten Ordnern verknüpft sind, vom Ordner der obersten Ebene bis zum Ordner, der das Projekt der Zielressource enthält.

   Bei der Auswertung von Regeln in jeder hierarchischen Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer hierarchischen Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
   • goto_next: Die Regelauswertung wird mit einer der folgenden Optionen fortgesetzt:
     • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
     • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

   Wenn keine Regel in einer hierarchischen Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizite Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

   • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
   • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

2. Regionale System-Firewallrichtlinien.

   Bei der Auswertung von Regeln für regionale System-Firewallrichtlinien führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer regionalen System-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • goto_next: Die Regelauswertung wird fortgesetzt bis
     .
     • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
     • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

   Wenn keine Regel in einer regionalen System-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

   • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
   • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

3. VPC-Firewallregeln.

   Bei der Auswertung von VPC-Firewallregeln führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   Wenn eine oder zwei VPC-Firewallregeln mit dem Traffic übereinstimmen, kann die Aktion bei Übereinstimmung der Firewallregel eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.

   Wenn zwei Regeln übereinstimmen, müssen sie dieselbe Priorität, aber unterschiedliche Aktionen haben. In diesem Fall erzwingt Cloud NGFW die VPC-Firewallregel deny und ignoriert die VPC-Firewallregel allow.

   Wenn keine VPC-Firewallregeln mit dem Traffic übereinstimmen, verwendet Cloud NGFW die implizierte Aktion goto_next, um mit dem nächsten Schritt in der Auswertungsreihenfolge fortzufahren.

4. Globale Netzwerk-Firewallrichtlinie

   Beim Auswerten von Regeln in einer globalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer globalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
   • goto_next: Die Regelauswertung wird mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

   Wenn keine Regel in einer globalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Mit dieser Aktion wird die Auswertung mit dem Schritt für die regionale Netzwerk-Firewallrichtlinie in der Auswertungsreihenfolge fortgesetzt.

5. Regionale Netzwerk-Firewallrichtlinien.

   Cloud NGFW wertet Regeln in regionalen Netzwerk-Firewallrichtlinien aus, die der Region und dem VPC-Netzwerk der Zielressource zugeordnet sind.

   Beim Auswerten von Regeln in einer regionalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer regionalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • goto_next: Die Regelauswertung wird mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

   Wenn keine Regel in einer regionalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Dadurch wird die Auswertung mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

6. Letzter Schritt – implizierte Aktion:

   Cloud NGFW wendet eine implizite Aktion an, wenn die Auswertung der Firewallregel in jedem vorherigen Schritt durch explizite oder implizite goto_next-Aktionen fortgesetzt wurde. Die implizierte Aktion hängt von der Richtung des Traffics ab:

   • Bei eingehendem Traffic hängt die implizite Aktion auch von der Zielressource ab:

     • Wenn die Zielressource eine Netzwerkschnittstelle einer VM-Instanz ist, ist die implizite Ingress-Aktion deny.

     • Wenn die Zielressource eine Weiterleitungsregel eines internen Application Load Balancers oder eines internen Proxy-Network Load Balancers ist, ist die implizite Ingress-Aktion allow.

   • Für ausgehenden Traffic ist die implizite Aktion allow.

AFTER_CLASSIC_FIREWALL-Diagramm

Das folgende Diagramm zeigt die Reihenfolge der Erzwingung von AFTER_CLASSIC_FIREWALL-Netzwerk-Firewallrichtlinien:

BEFORE_CLASSIC_FIREWALL Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien BEFORE_CLASSIC_FIREWALL ist, wertet Cloud NGFW Regeln in globalen und regionalen Netzwerk-Firewallrichtlinien aus, bevor VPC-Firewallregeln ausgewertet werden.

In einem regulären VPC-Netzwerk, in dem die Erzwingungsreihenfolge BEFORE_CLASSIC_FIREWALL verwendet wird, sieht die vollständige Reihenfolge der Firewallregelauswertung so aus:

1. Hierarchische Firewallrichtlinien:

   Cloud NGFW wertet hierarchische Firewallrichtlinien in der folgenden Reihenfolge aus:

   1. Die hierarchische Firewallrichtlinie, die der Organisation zugeordnet ist, die die Zielressource enthält.
   2. Hierarchische Firewallrichtlinien, die mit übergeordneten Ordnern verknüpft sind, vom Ordner der obersten Ebene bis zum Ordner, der das Projekt der Zielressource enthält.

   Bei der Auswertung von Regeln in jeder hierarchischen Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer hierarchischen Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
   • goto_next: Die Regelauswertung wird mit einer der folgenden Optionen fortgesetzt:
     • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
     • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

   Wenn keine Regel in einer hierarchischen Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizite Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

   • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
   • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

2. Regionale System-Firewallrichtlinien.

   Bei der Auswertung von Regeln für regionale System-Firewallrichtlinien führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer regionalen System-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • goto_next: Die Regelauswertung wird fortgesetzt bis
     .
     • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
     • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

   Wenn keine Regel in einer regionalen System-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Bewertung auf eine der folgenden Optionen fortgesetzt:

   • Eine regionale System-Firewallrichtlinie mit der nächsthöheren Priorität für die Zuordnung, sofern vorhanden.
   • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle regionalen System-Firewallrichtlinien ausgewertet wurden.

3. Globale Netzwerk-Firewallrichtlinie

   Beim Auswerten von Regeln in einer globalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer globalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
   • goto_next: Die Regelauswertung wird mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

   Wenn keine Regel in einer globalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Mit dieser Aktion wird die Auswertung mit dem Schritt für die regionale Netzwerk-Firewallrichtlinie in der Auswertungsreihenfolge fortgesetzt.

4. Regionale Netzwerk-Firewallrichtlinien.

   Cloud NGFW wertet Regeln in regionalen Netzwerk-Firewallrichtlinien aus, die der Region und dem VPC-Netzwerk der Zielressource zugeordnet sind.

   Beim Auswerten von Regeln in einer regionalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   In einer regionalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
   • goto_next: Die Regelauswertung wird mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

   Wenn keine Regel in einer regionalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Dadurch wird die Auswertung mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

5. VPC-Firewallregeln.

   Bei der Auswertung von VPC-Firewallregeln führt Cloud NGFW die folgenden Schritte aus:

   1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
   2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
   3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

   Wenn eine oder zwei VPC-Firewallregeln mit dem Traffic übereinstimmen, kann die Aktion bei Übereinstimmung der Firewallregel eine der folgenden sein:

   • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
   • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.

   Wenn zwei Regeln übereinstimmen, müssen sie dieselbe Priorität, aber unterschiedliche Aktionen haben. In diesem Fall erzwingt Cloud NGFW die VPC-Firewallregel deny und ignoriert die VPC-Firewallregel allow.

   Wenn keine VPC-Firewallregeln mit dem Traffic übereinstimmen, verwendet Cloud NGFW die implizierte Aktion goto_next, um mit dem nächsten Schritt in der Auswertungsreihenfolge fortzufahren.

6. Letzter Schritt – implizierte Aktion:

   Cloud NGFW wendet eine implizite Aktion an, wenn die Auswertung der Firewallregel in jedem vorherigen Schritt durch explizite oder implizite goto_next-Aktionen fortgesetzt wurde. Die implizierte Aktion hängt von der Richtung des Traffics ab:

   • Bei eingehendem Traffic hängt die implizite Aktion auch von der Zielressource ab:

     • Wenn die Zielressource eine Netzwerkschnittstelle einer VM-Instanz ist, ist die implizite Ingress-Aktion deny.

     • Wenn die Zielressource eine Weiterleitungsregel eines internen Application Load Balancers oder eines internen Proxy-Network Load Balancers ist, ist die implizite Ingress-Aktion allow.

   • Für ausgehenden Traffic ist die implizite Aktion allow.

BEFORE_CLASSIC_FIREWALL-Diagramm

Das folgende Diagramm zeigt die Reihenfolge der Erzwingung von BEFORE_CLASSIC_FIREWALL-Netzwerk-Firewallrichtlinien:

Gültige Firewallregeln

Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale und regionale Netzwerk-Firewall-Richtlinienregeln steuern Verbindungen. Es kann hilfreich sein, alle Firewallregeln aufzurufen, die sich auf ein einzelnes Netzwerk oder eine einzelne VM-Schnittstelle auswirken.

Netzwerk-effektive Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf ein VPC-Netzwerk angewendet werden. Die Liste enthält alle folgenden Regelarten:

• Von hierarchischen Firewallrichtlinien übernommene Regeln
• VPC-Firewallregeln
• Regeln, die aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden

Instanz-gültige Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf die Netzwerkschnittstelle einer VM angewendet werden. Die Liste enthält alle folgenden Regelarten:

• Von hierarchischen Firewallrichtlinien übernommene Regeln
• Regeln, die von der VPC-Firewall der Schnittstelle angewendet werden
• Regeln, die aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden

Die Regeln werden angefangen bei der Organisationsebene bis zu dem VPC-Netzwerk sortiert. Es werden nur Regeln angezeigt, die für die VM-Schnittstelle gelten. Regeln in anderen Richtlinien werden nicht angezeigt.

Informationen zur Anzeige der effektiven Firewallregeln innerhalb einer Region finden Sie unter Effektive regionale Firewallrichtlinien für ein Netzwerk abrufen.

Nächste Schritte

• Informationen zum Erstellen und Ändern von hierarchischen Firewallrichtlinien und -regeln finden Sie unter Hierarchische Firewallrichtlinien und -regeln verwenden.
• Beispiele für die Implementierung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.
• Informationen zum Erstellen und Ändern globaler Firewallrichtlinien und -regeln finden Sie unter Globale Netzwerk-Firewallrichtlinien und -regeln verwenden.
• Informationen zum Erstellen und Ändern regionaler Netzwerk-Firewallrichtlinien und -regeln finden Sie unter Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden.
• Informationen zum Erstellen und Ändern von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.