סדר ההערכה של כללי מדיניות וכללים של חומת אש

לכל רשת רגילה של ענן וירטואלי פרטי (VPC) יש סדר אכיפה של מדיניות חומת אש ברשת, שקובע את הסדר שבו Cloud NGFW מעריך את הכללים של מדיניות חומת האש.

סדר האכיפה של מדיניות חומת אש בין רשתות

רשת VPC יכולה להשתמש באחד מסדרי האכיפה הבאים של מדיניות חומת אש ברשת:

  • AFTER_CLASSIC_FIREWALL (ברירת מחדל): Cloud NGFW מעריך את כללי המדיניות ואת הכללים של חומת האש בסדר הבא:

    1. מדיניות חומת אש היררכית
    2. מדיניות אזורית של חומת אש במערכת
    3. כללי חומת אש ב-VPC
    4. מדיניות חומת אש בין רשתות גלובליות
    5. מדיניות אזורית של חומת אש בין רשתות
    6. פעולות משתמעות

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW מעריך את כללי המדיניות ואת הכללים של חומת האש לפי הסדר הבא:

    1. מדיניות חומת אש היררכית
    2. מדיניות אזורית של חומת אש במערכת
    3. מדיניות חומת אש בין רשתות גלובליות
    4. מדיניות אזורית של חומת אש בין רשתות
    5. כללי חומת אש ב-VPC
    6. פעולות משתמעות

כדי לשנות את סדר האכיפה של מדיניות חומת האש ברשת, מבצעים אחת מהפעולות הבאות:

  • משתמשים ב-method ‏networks.patch ומגדירים את המאפיין networkFirewallPolicyEnforcementOrder של רשת ה-VPC.

  • משתמשים בפקודה gcloud compute networks update עם הדגל --network-firewall-policy-enforcement-order.

    לדוגמה:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

תהליך ההערכה של כלל חומת האש

בקטע הזה מתואר הסדר שבו Cloud NGFW מעריך כללים שחלים על משאבי יעד ברשתות VPC רגילות.

כל כלל של חומת אש הוא כלל של תעבורה נכנסת או יוצאת, בהתאם לכיוון התעבורה:

  • כללי תעבורה נכנסת חלים על מנות של חיבור חדש שמקור היעד מקבל. אלה משאבי היעד הנתמכים לכללי תעבורה נכנסת:

    • ממשקי רשת של מכונות וירטואליות (VM).

    • שרתי proxy מנוהלים של Envoy שמשמשים מאזני עומסים פנימיים של אפליקציות (ALB) ומאזני עומסים פנימיים לשרת proxy (גרסת Preview).

  • כללי יציאה חלים על מנות של חיבור חדש שממשק רשת של מכונת VM יעד שולח.

‫Cloud NGFW תמיד בודק כללים במדיניות היררכית של חומת אש ובמדיניות אזורית של חומת אש לפני שהוא בודק כל כלל אחר של חומת אש. אתם קובעים את הסדר שבו Cloud NGFW מעריך כללי חומת אש אחרים באמצעות בחירה של סדר האכיפה של מדיניות חומת האש ברשת. סדר האכיפה של מדיניות חומת האש ברשת יכול להיות AFTER_CLASSIC_FIREWALL או BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL סדר האכיפה של מדיניות חומת האש בין רשתות

כשסדר האכיפה של מדיניות חומת האש ברשת הוא AFTER_CLASSIC_FIREWALL,‏ Cloud NGFW מעריך כללים במדיניות חומת אש גלובלית ואזורית ברשת אחרי שהוא מעריך כללים של חומת אש ב-VPC. זהו סדר ההערכה שמוגדר כברירת מחדל.

ברשת VPC רגילה שמשתמשת בAFTER_CLASSIC_FIREWALL סדר האכיפה, סדר ההערכה המלא של כללי חומת האש הוא כדלקמן:

  1. מדיניות חומת אש היררכית.

    ‫Cloud NGFW מעריך מדיניות חומת אש היררכית לפי הסדר הבא:

    1. מדיניות חומת האש ההיררכית שמשויכת לארגון שמכיל את משאב היעד.
    2. מדיניות חומת אש היררכית שמשויכת לתיקיות אב, מהתיקייה ברמה העליונה ועד לתיקייה שמכילה את הפרויקט של משאב היעד.

    כשמעריכים כללים בכל מדיניות חומת אש היררכית, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות חומת אש היררכית, כלל אחד לכל היותר יכול להתאים לתעבורה. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • apply_security_profile_group: הכלל מעביר את התנועה לנקודת קצה של חומת אש שהוגדרה, וכל הערכת הכללים נפסקת. ההחלטה אם לאפשר את המעבר של החבילה או לחסום אותו תלויה בפרופיל האבטחה שהוגדר בקבוצת פרופילי האבטחה.
    • goto_next: הערכת הכלל ממשיכה לאחת מהאפשרויות הבאות:
      • מדיניות חומת אש היררכית שמשויכת לתיקיית אב קרובה יותר למשאב היעד, אם היא קיימת.
      • השלב הבא בסדר ההערכה, אם כל כללי המדיניות ההיררכיים של חומת האש הוערכו.

    אם אין כלל במדיניות חומת אש היררכית שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לאחת מהאפשרויות הבאות:

    • מדיניות חומת אש היררכית שמשויכת לתיקיית אב קרובה יותר למשאב היעד, אם היא קיימת.
    • השלב הבא בסדר ההערכה, אם כל כללי המדיניות ההיררכיים של חומת האש הוערכו.

  2. מדיניות אזורית של חומת אש במערכת.

    כשמעריכים כללי מדיניות חומת אש אזוריים במערכת, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות אזורית של חומת אש, כלל אחד לכל היותר יכול להתאים לתעבורה. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • goto_next: הערכת הכלל ממשיכה ל-
      • מדיניות חומת אש אזורית במערכת עם העדיפות הבאה הכי גבוהה לשיוך, אם היא קיימת.
      • השלב הבא בסדר ההערכה, אם כל סעיפי המדיניות של חומת האש האזורית של המערכת הוערכו.

    אם אין כלל במדיניות חומת האש האזורית שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לאחת מהאפשרויות הבאות:

    • מדיניות חומת אש אזורית במערכת עם העדיפות הבאה הכי גבוהה לשיוך, אם היא קיימת.
    • השלב הבא בסדר ההערכה, אם כל סעיפי המדיניות של חומת האש האזורית של המערכת הוערכו.

  3. כללי חומת אש ב-VPC.

    כשבודקים כללים של חומת אש ב-VPC,‏ Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    אם כלל אחד או שניים של חומת אש ב-VPC תואמים לתנועת נתונים, הפעולה במקרה של התאמה של כלל חומת האש יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.

    אם שני כללים תואמים, הם צריכים להיות בעלי אותה עדיפות אבל פעולות שונות. במקרה הזה, Cloud NGFW אוכף את כלל חומת האש deny ב-VPC ומתעלם מכלל חומת האש allow ב-VPC.

    אם אין כללי חומת אש של VPC שתואמים לתעבורה, Cloud NGFW משתמש בפעולה משתמעת goto_next כדי להמשיך לשלב הבא בסדר ההערכה.

  4. מדיניות חומת אש בין רשתות גלובלית.

    כשמעריכים כללים במדיניות חומת אש בין רשתות גלובלית, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות חומת אש בין רשתות גלובלית, כלל אחד לכל היותר יכול להתאים לתנועה. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • apply_security_profile_group: הכלל מעביר את התנועה לנקודת קצה של חומת אש שהוגדרה, וכל הערכת הכללים נפסקת. ההחלטה אם לאפשר את המעבר של החבילה או לחסום אותו תלויה בפרופיל האבטחה שהוגדר בקבוצת פרופילי האבטחה.
    • goto_next: הערכת הכלל ממשיכה לשלב של מדיניות חומת האש ברשת האזורית בסדר ההערכה.

    אם אין כלל במדיניות חומת האש ברשת הגלובלית שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לשלב של מדיניות חומת האש של הרשת האזורית בסדר ההערכה.

  5. מדיניות אזורית של חומת אש בין רשתות.

    ‫Cloud NGFW מעריך כללים במדיניות אזורית של חומת אש ברשת שמשויכת לאזור ולרשת ה-VPC של משאב היעד.

    כשמעריכים כללים במדיניות אזורית של חומת אש ברשת, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות אזורית של חומת אש ברשת, כלל אחד לכל היותר יכול להתאים לתנועת נתונים. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • goto_next: הערכת הכלל ממשיכה לשלב הבא בסדר ההערכה.

    אם אין כלל במדיניות חומת אש אזורית ברשת שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לשלב הבא בסדר ההערכה.

  6. השלב האחרון – פעולה משתמעת.

    ‫Cloud NGFW מחיל פעולה משתמעת אם ההערכה של כלל חומת האש נמשכה בכל שלב קודם על ידי ביצוע פעולות מפורשות או משתמעות.goto_next הפעולה המשתמעת תלויה בכיוון התנועה:

    • לגבי תעבורת נתונים נכנסת (ingress), הפעולה המשתמעת תלויה גם במשאב היעד:

      • אם משאב היעד הוא ממשק רשת של מכונה וירטואלית, פעולת הכניסה המשתמעת היא deny.

      • אם משאב היעד הוא כלל העברה של מאזן עומסים של אפליקציות פנימי או של מאזן עומסי רשת פנימי לשרת proxy, פעולת הכניסה המשתמעת היא allow.

    • עבור תנועה יוצאת, הפעולה המשתמעת היא allow.

AFTER_CLASSIC_FIREWALL תרשים

בתרשים הבא מוצג סדר האכיפה של מדיניות חומת האש ברשת AFTER_CLASSIC_FIREWALL:

תהליך פתרון כלל חומת אש.
איור 1. תרשים זרימת הפעולה של כלל חומת האש אם סדר האכיפה של מדיניות חומת האש ברשת הוא AFTER_CLASSIC_FIREWALL (לחצו להגדלה).

BEFORE_CLASSIC_FIREWALL סדר האכיפה של מדיניות חומת האש בין רשתות

כשסדר האכיפה של מדיניות חומת האש ברשת הוא BEFORE_CLASSIC_FIREWALL,‏ Cloud NGFW בודק את הכללים במדיניות חומת האש הגלובלית והאזורית ברשת לפני שהוא בודק את הכללים של חומת האש ב-VPC.

ברשת VPC רגילה שמשתמשת בBEFORE_CLASSIC_FIREWALL סדר האכיפה, סדר ההערכה המלא של כללי חומת האש הוא כדלקמן:

  1. מדיניות חומת אש היררכית.

    ‫Cloud NGFW מעריך מדיניות חומת אש היררכית לפי הסדר הבא:

    1. מדיניות חומת האש ההיררכית שמשויכת לארגון שמכיל את משאב היעד.
    2. מדיניות חומת אש היררכית שמשויכת לתיקיות אב, מהתיקייה ברמה העליונה ועד לתיקייה שמכילה את הפרויקט של משאב היעד.

    כשמעריכים כללים בכל מדיניות חומת אש היררכית, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות חומת אש היררכית, כלל אחד לכל היותר יכול להתאים לתעבורה. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • apply_security_profile_group: הכלל מעביר את התנועה לנקודת קצה של חומת אש שהוגדרה, וכל הערכת הכללים נפסקת. ההחלטה אם לאפשר את המעבר של החבילה או לחסום אותו תלויה בפרופיל האבטחה שהוגדר בקבוצת פרופילי האבטחה.
    • goto_next: הערכת הכלל ממשיכה לאחת מהאפשרויות הבאות:
      • מדיניות חומת אש היררכית שמשויכת לתיקיית אב קרובה יותר למשאב היעד, אם היא קיימת.
      • השלב הבא בסדר ההערכה, אם כל כללי המדיניות ההיררכיים של חומת האש הוערכו.

    אם אין כלל במדיניות חומת אש היררכית שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לאחת מהאפשרויות הבאות:

    • מדיניות חומת אש היררכית שמשויכת לתיקיית אב קרובה יותר למשאב היעד, אם היא קיימת.
    • השלב הבא בסדר ההערכה, אם כל כללי המדיניות ההיררכיים של חומת האש הוערכו.

  2. מדיניות אזורית של חומת אש במערכת.

    כשמעריכים כללי מדיניות חומת אש אזוריים במערכת, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות אזורית של חומת אש, כלל אחד לכל היותר יכול להתאים לתעבורה. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • goto_next: הערכת הכלל ממשיכה ל-
      • מדיניות חומת אש אזורית במערכת עם העדיפות הבאה הכי גבוהה לשיוך, אם היא קיימת.
      • השלב הבא בסדר ההערכה, אם כל סעיפי המדיניות של חומת האש האזורית של המערכת הוערכו.

    אם אין כלל במדיניות חומת האש האזורית שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לאחת מהאפשרויות הבאות:

    • מדיניות חומת אש אזורית במערכת עם העדיפות הבאה הכי גבוהה לשיוך, אם היא קיימת.
    • השלב הבא בסדר ההערכה, אם כל סעיפי המדיניות של חומת האש האזורית של המערכת הוערכו.

  3. מדיניות חומת אש בין רשתות גלובלית.

    כשמעריכים כללים במדיניות חומת אש בין רשתות גלובלית, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות חומת אש בין רשתות גלובלית, כלל אחד לכל היותר יכול להתאים לתנועה. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • apply_security_profile_group: הכלל מעביר את התנועה לנקודת קצה של חומת אש שהוגדרה, וכל הערכת הכללים נפסקת. ההחלטה אם לאפשר את המעבר של החבילה או לחסום אותו תלויה בפרופיל האבטחה שהוגדר בקבוצת פרופילי האבטחה.
    • goto_next: הערכת הכלל ממשיכה לשלב של מדיניות חומת האש ברשת האזורית בסדר ההערכה.

    אם אין כלל במדיניות חומת האש ברשת הגלובלית שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לשלב של מדיניות חומת האש של הרשת האזורית בסדר ההערכה.

  4. מדיניות אזורית של חומת אש בין רשתות.

    ‫Cloud NGFW מעריך כללים במדיניות אזורית של חומת אש ברשת שמשויכת לאזור ולרשת ה-VPC של משאב היעד.

    כשמעריכים כללים במדיניות אזורית של חומת אש ברשת, Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    במדיניות אזורית של חומת אש ברשת, כלל אחד לכל היותר יכול להתאים לתנועת נתונים. הפעולה של כלל חומת האש במקרה של התאמה action on match יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.
    • goto_next: הערכת הכלל ממשיכה לשלב הבא בסדר ההערכה.

    אם אין כלל במדיניות חומת אש אזורית ברשת שתואם לתעבורה, Cloud NGFW משתמש בפעולה goto_next מרומזת. הפעולה הזו ממשיכה את ההערכה לשלב הבא בסדר ההערכה.

  5. כללי חומת אש ב-VPC.

    כשבודקים כללים של חומת אש ב-VPC,‏ Cloud NGFW מבצע את השלבים הבאים:

    1. התעלמות מכל הכללים שהיעדים שלהם לא תואמים למשאב היעד.
    2. התעלמות מכל הכללים שלא תואמים לכיוון של המנה.
    3. הערכת הכללים שנותרו לפי סדר העדיפות, מהגבוה לנמוך.

      ההערכה נפסקת אם מתקיים אחד מהתנאים הבאים:

      • כלל שחל על משאב היעד תואם לתנועה.
      • אף כלל שחל על משאב היעד לא תואם לתנועה.

    אם כלל אחד או שניים של חומת אש ב-VPC תואמים לתנועת נתונים, הפעולה במקרה של התאמה של כלל חומת האש יכולה להיות אחת מהאפשרויות הבאות:

    • allow: הכלל מאפשר את התנועה, וכל הערכת הכללים נעצרת.
    • deny: הכלל דוחה את התנועה, וכל הערכת הכללים נעצרת.

    אם שני כללים תואמים, הם צריכים להיות בעלי אותה עדיפות אבל פעולות שונות. במקרה הזה, Cloud NGFW אוכף את כלל חומת האש deny ב-VPC ומתעלם מכלל חומת האש allow ב-VPC.

    אם אין כללי חומת אש של VPC שתואמים לתעבורה, Cloud NGFW משתמש בפעולה משתמעת goto_next כדי להמשיך לשלב הבא בסדר ההערכה.

  6. השלב האחרון – פעולה משתמעת.

    ‫Cloud NGFW מחיל פעולה משתמעת אם ההערכה של כלל חומת האש נמשכה בכל שלב קודם על ידי ביצוע פעולות מפורשות או משתמעות.goto_next הפעולה המשתמעת תלויה בכיוון התנועה:

    • לגבי תעבורת נתונים נכנסת (ingress), הפעולה המשתמעת תלויה גם במשאב היעד:

      • אם משאב היעד הוא ממשק רשת של מכונה וירטואלית, פעולת הכניסה המשתמעת היא deny.

      • אם משאב היעד הוא כלל העברה של מאזן עומסים של אפליקציות פנימי או של מאזן עומסי רשת פנימי לשרת proxy, פעולת הכניסה המשתמעת היא allow.

    • עבור תנועה יוצאת, הפעולה המשתמעת היא allow.

BEFORE_CLASSIC_FIREWALL תרשים

בתרשים הבא מוצג סדר האכיפה של מדיניות חומת האש ברשת BEFORE_CLASSIC_FIREWALL:

תהליך פתרון כלל חומת אש.
איור 2. תרשים זרימת הפעולה של כלל חומת האש אם סדר האכיפה של מדיניות חומת האש ברשת הוא BEFORE_CLASSIC_FIREWALL (לחצו להגדלה).

כללים פעילים של חומת אש

כללים של מדיניות חומת אש היררכית, כללים של חומת אש ב-VPC וכללים של מדיניות חומת אש ברשת גלובלית ואזורית שולטים בחיבורים. יכול להיות שיהיה לכם שימושי לראות את כל כללי חומת האש שמשפיעים על רשת מסוימת או על ממשק של מכונה וירטואלית.

כללי חומת אש אפקטיביים ברשת

אפשר לראות את כל כללי חומת האש שחלים על רשת VPC. הרשימה כוללת את כל סוגי הכללים הבאים:

  • כללים שעוברים בירושה ממדיניות חומת אש היררכית
  • כללי חומת אש ב-VPC
  • כללים שמוחלים ממדיניות חומת האש הגלובלית והאזורית

כללים אפקטיביים של חומת אש למופע

אפשר לראות את כל כללי חומת האש שחלים על ממשק הרשת של מכונה וירטואלית. הרשימה כוללת את כל סוגי הכללים הבאים:

  • כללים שעוברים בירושה ממדיניות חומת אש היררכית
  • הכללים שחלים מחומת האש של ה-VPC של הממשק
  • כללים שמוחלים ממדיניות חומת האש הגלובלית והאזורית

הכללים מסודרים מהרמה הארגונית ועד לרשת ה-VPC. מוצגים רק כללים שחלים על ממשק ה-VM. כללים במדיניות אחרת לא מוצגים.

כדי לראות את הכללים של מדיניות חומת האש שבתוקף באזור מסוים, אפשר לעיין במאמר קבלת מדיניות חומת אש אזורית שבתוקף עבור רשת.

המאמרים הבאים