Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

דוגמאות לרישום ביומן של כללי מדיניות חומת אש

כללים של מדיניות חומת אש יוצרים רשומות ביומן כשהם חלים על תנועה. למרות שזרימת מנות יכולה ליצור כמה רשומות ביומן, כלל במדיניות חומת האש יוצר לכל היותר רשומה אחת ביומן לכל חיבור ממופע של מכונה וירטואלית (VM).

בדוגמאות הבאות מוסבר איך פועל הרישום ביומן של כללי מדיניות חומת האש, כולל התנהגויות ששונות מכללי חומת האש של ענן וירטואלי פרטי (VPC) מדור קודם, כמו רישום חוזר ביומן של חיבורים שנדחו ורישום ביומן מבוסס-סשן לבדיקה מתקדמת.

דוגמה ל-egress deny

בדוגמה הזו, תעבורת הנתונים זורמת בין שתי מכונות וירטואליות ברשת ה-VPC בפרויקט example-proj.example-net

מכונה וירטואלית VM1 באזור us-west1-a עם כתובת IP‏ 10.10.0.99 ב-west-subnet (אזור us-west1).
‫VM2 באזור us-east1-b עם כתובת IP‏ 10.20.0.99 ב-east-subnet (אזור us-east1).
כלל א': כלל חומת אש לדחיית תעבורה יוצאת (egress) מוגדר עם יעד של כל המופעים ברשת, יעד של 10.20.0.99 (VM2) והוא חל על יציאת TCP‏ 80. הרישום ביומן מופעל במסגרת הכלל הזה.
כלל ב': כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) מכוון לכל המכונות ברשת, המקור הוא 10.10.0.99 (VM1) והוא חל על יציאת TCP‏ 80. הרישום ביומן מופעל גם עבור הכלל הזה.

ליצירת כלל מדיניות חומת אש, ראו משימות שקשורות לכללי מדיניות חומת אש.

בתרחיש שבו מכונה וירטואלית VM1 מנסה להתחבר למכונה וירטואלית VM2 ביציאת TCP‏ 80, קורה הדבר הבא:

חומת האש יוצרת רשומה ביומן עבור כלל A מנקודת המבט של מכונה וירטואלית 1 לגבי ניסיון החיבור שנכשל.
מכיוון שכלל A הוא כלל DENY, חומת האש מתעדת כל מנה שמתאימה ל-5-tuple הייחודי כניסיון כושל ליצירת חיבור. אם חומת האש ממשיכה לקבל חבילות עבור החיבור הזה, היא חוזרת על אותו רשומה ביומן כל 5 שניות.
מכיוון שכלל א' חוסם את התנועה במקור, חומת האש לא מתייחסת לכלל ב'. לכן, לא נוצרת רשומה ביומן עבור כלל B מנקודת המבט של מכונה וירטואלית 2.

המכונה הווירטואלית VM1 מדווחת על רשומת היומן הבאה של חומת האש:

שדה	ערכים
`connection`	src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6
`disposition`	לא מאושרת
`rule_details`	reference = "network:example-net/firewallPolicy:12345" priority = 10 action = DENY destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress
`instance`	project_id="example-proj" instance_name=VM1 region=us-west1 zone=us-west1-a

דוגמה להרשאת יציאה ולהרשאת כניסה

בדוגמה הזו, תעבורת הנתונים זורמת בין מכונות וירטואליות בפרויקט example-netברשת ה-VPC example-proj.

מכונה וירטואלית VM1 באזור us-west1-a עם כתובת IP‏ 10.10.0.99 ב-west-subnet (אזור us-west1).
‫VM2 באזור us-east1-b עם כתובת IP‏ 10.20.0.99 ב-east-subnet (אזור us-east1).
כלל א': כלל הרשאה ליציאה במדיניות גלובלית של חומת אש בין רשתות, עם יעד של 10.20.0.99 (מכונה וירטואלית 2), שחל על יציאת TCP‏ 80. הרישום ביומן מופעל במסגרת הכלל הזה.
כלל ב': כלל הרשאה לתעבורת נתונים נכנסת (ingress) במדיניות חומת אש גלובלית בין רשתות, עם מקור של 10.10.0.99 (VM1), שחל על יציאת TCP‏ 80. הרישום ביומן מופעל במסגרת הכלל הזה.

ליצירת כלל מדיניות חומת אש, ראו משימות שקשורות לכללי מדיניות חומת אש.

בתרחיש שבו מכונה וירטואלית VM1 מנסה להתחבר למכונה וירטואלית VM2 ביציאת TCP‏ 80, קורה הדבר הבא:

חומת האש יוצרת רשומה ביומן לכלל A מנקודת המבט של מכונה וירטואלית 1 בזמן שמכונה וירטואלית 1 מתחברת אל 10.20.0.99. מכיוון שזה כלל ALLOW, החיבור מתועד רק פעם אחת ולא חוזר על עצמו.
חומת האש יוצרת רשומה ביומן עבור כלל B מנקודת המבט של מכונה וירטואלית 2, בזמן שמכונה וירטואלית 2 מאפשרת חיבורים נכנסים מ-10.10.0.99.

המכונה הווירטואלית VM1 מדווחת על רשומת היומן הבאה של חומת האש:

שדה	ערכים
`connection`	src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6
`disposition`	מאושרת
`rule_details`	reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress

ב-VM2 מדווח על הרשומה הבאה ביומן של חומת האש:

שדה	ערכים
`connection`	src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6
`disposition`	מאושרת
`rule_details`	reference = "network:example-net/firewallPolicy:67890" priority = 10 action = ALLOW source_range = 10.10.0.99/32 ip_port_info = tcp:80 direction = ingress

דוגמה לתעבורת נתונים נכנסת (ingress) מהאינטרנט

בדוגמה הזו, תעבורת הנתונים זורמת ממשאב חיצוני למכונה וירטואלית ברשת ה-VPC‏ example-net. הרשת נמצאת בפרויקט example-proj.

למערכת באינטרנט יש כתובת IP‏ 203.0.113.114.
למכונה וירטואלית VM1 באזור us-west1-a יש כתובת IP‏ 10.10.0.99 באזור west-subnet (us-west1).
כלל C: כלל מדיניות חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) עם מקור של כל כתובת IP ‏(0.0.0.0/0), והוא חל על יציאת TCP ‏80. הרישום ביומן מופעל במסגרת הכלל הזה.
כלל D: כלל מדיניות של חומת אש לדחיית תעבורה יוצאת עם יעד של כל כתובת IP‏ (0.0.0.0/0), שחל על כל הפרוטוקולים. הרישום ביומן מופעל במסגרת הכלל הזה.

ליצירת כלל מדיניות חומת אש, ראו משימות שקשורות לכללי מדיניות חומת אש.

בתרחיש שבו המערכת עם כתובת ה-IP‏ 203.0.113.114 מנסה להתחבר ל-VM1 ביציאת TCP‏ 80, קורה הדבר הבא:

המכונה הווירטואלית VM1 יוצרת רשומה ביומן עבור כלל C כי היא מקבלת תנועה מ-203.0.113.114.
כללי המדיניות של חומת האש מהדור הבא ב-Cloud הם עם שמירת מצב, כלומר אם כלל חומת אש של תעבורת נתונים נכנסת (ingress) מאפשר תעבורה למכונה וירטואלית, תעבורת הנתונים החוזרת (egress) מקבלת הרשאה אוטומטית. במקרה הזה, כלל C מאפשר תעבורת נתונים נכנסת, ולכן מכונה וירטואלית VM1 יכולה לשלוח תעבורת נתונים של תשובה אל 203.0.113.114 למרות כלל D.
מעקב אחרי חיבורים מאפשר תנועה של תשובות ולא גורם לרישום ביומן, ללא קשר לכללי חומת האש של היציאה. לכן, חומת האש לא מתייחסת לכלל D ולא יוצרת רשומה ביומן לגבי תעבורת נתונים יוצאת.

המכונה הווירטואלית VM1 מדווחת על רשומת היומן הבאה של חומת האש:

שדה	ערכים
`connection`	src_ip=203.0.113.114 src_port=[EPHEMERAL_PORT] dest_ip=10.10.0.99 dest_port=80 protocol=6
`disposition`	מאושרת
`rule_details`	reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW source_range = 0.0.0.0/0 ip_port_info = tcp:80 direction = ingress
`remote_location`	continent country region city

דוגמה לבדיקה מתקדמת

בדוגמה הזו, מדיניות חומת האש של Cloud NGFW משתמשת בפעולה apply_security_profile_group כדי ליירט תעבורה לצורך בדיקה מעמיקה של חבילות נתונים.

למערכת באינטרנט יש כתובת IP‏ 203.0.113.114.
מכונה וירטואלית VM1 באזור us-west1-a עם כתובת IP‏ 10.10.0.99 ב-west-subnet (אזור us-west1).
כלל ה'יציאה': כלל מדיניות של חומת אש ליציאה עם הפעולה שמוגדרת לapply_security_profile_group. הרישום ביומן מופעל במסגרת הכלל הזה.

כדי ליצור את הכלל במדיניות חומת האש לבדיקה מתקדמת, אפשר לעיין במאמר סקירה כללית על פרופיל אבטחה.

נניח שמכונה וירטואלית VM1 שולחת תעבורה שתואמת לכלל E. מה קורה:

הפעולה apply_security_profile_group משתמשת ברישום ביומן שמבוסס על סשנים, ששונה מיומני הרישום שמבוססים על חיבורים שנוצרים על ידי כללים רגילים של allow או deny.
‫Cloud NGFW יוצר רשומה אחת ביומן של כלל חומת האש עבור הסשן הראשוני שתואם לכלל, כדי לאשר שהתעבורה יורטה בהצלחה והופנתה לנקודת הקצה של חומת האש. ‫Cloud NGFW יוצר את היומן הזה ברמה גבוהה גם אם כמה חיבורים מזוהים כחלק מאותו סשן.

המכונה הווירטואלית VM1 מדווחת על רשומת היומן הבאה של חומת האש:

שדה	ערכים
`connection`	src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=203.0.113.114 dest_port=80 protocol=6
`disposition`	INTERCEPTED
`rule_details`	reference = "network:example-net/firewallPolicy:12345" priority = 10 action = APPLY_SECURITY_PROFILE_GROUP apply_security_profile_fallback_action = UNSPECIFIED destination_range = 0.0.0.0/0 direction = egress

דוגמאות לרישום ביומן של כללי מדיניות חומת אש קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

דוגמה ל-egress deny

דוגמה להרשאת יציאה ולהרשאת כניסה

דוגמה לתעבורת נתונים נכנסת (ingress) מהאינטרנט

דוגמה לבדיקה מתקדמת

המאמרים הבאים

דוגמאות לרישום ביומן של כללי מדיניות חומת אש