Mit Standortobjekten in den Firewallrichtlinien-Regeln können Sie externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen filtern.
Sie können Regeln mit Standortobjekten auf eingehenden und ausgehenden Traffic anwenden. Basierend auf der Richtung des Traffics werden die mit den Ländercodes verknüpften IP-Adressen mit der Quelle oder dem Ziel des Traffics abgeglichen.
Spezifikationen
Für Standortobjekte gelten die folgenden Firewallspezifikationen:
Sie können Standortobjekte für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien konfigurieren.
Verwenden Sie zum Hinzufügen von Standorten zu den Firewallrichtlinien-Regeln Ländercodes mit zwei Buchstaben oder Regionscodes, wie in den ISO 3166-Alpha-2-Ländercodes definiert.
Wenn Sie beispielsweise eingehenden Traffic nur aus den USA in das Netzwerk zulassen möchten, erstellen Sie eine Firewallrichtlinie für eingehenden Traffic und setzen Sie den Ländercode des Quelllandes auf
USund die Aktion aufallow. Wenn Sie ausgehenden Traffic nur in die USA zulassen möchten, konfigurieren Sie eine Firewallrichtlinien-Regel und setzen Sie den Ziellländercode aufUSund die Aktion aufallow.Mit Cloud NGFW können Sie Firewallregeln für die folgenden Gebiete konfigurieren, die umfassenden US-Sanktionen unterliegen:
Gebiete Zugewiesener Code Krim XC Sogenannte Volksrepublik Donezk und sogenannte Volksrepublik Luhansk XD Wenn in einer einzelnen Firewallregel doppelte Ländercodes enthalten sind, wird nur ein Eintrag für diesen Ländercode beibehalten. Der doppelte Eintrag wird entfernt. In der Ländercodeliste
ca,us,uswird beispielsweise nurca,usbeibehalten.Google verwaltet eine Datenbank mit IP-Adressen und Ländercodezuordnungen. Google Cloud Firewalls verwenden diese Datenbank, um die IP-Adressen des Quell- und Zieltraffics dem Ländercode zuzuordnen. Anschließend wird die übereinstimmende Firewallrichtlinien-Regel mit Standortobjekten angewendet.
Manchmal ändern sich IP-Adresszuweisungen und Ländercodes aufgrund der folgenden Bedingungen:
- Standortübergreifende Verschiebung von IP-Adressen
- Aktualisierungen am ISO 3166-Alpha-2-Standard für Ländercodes
Da es einige Zeit dauern kann, bis diese Änderungen in der Google-Datenbank widergespiegelt werden, kommt es unter Umständen zu Trafficunterbrechungen und Verhaltensänderungen bei bestimmtem Traffic, der blockiert oder zugelassen wird.
Standortobjekte für interne IP-Adressen
Standortobjekte sind für externe IP-Adressen vorgesehen. Sie gelten nicht für die privaten internen IP-Adressen in der folgenden Tabelle:
| Adresstyp | Bereiche und Spezifikationen |
|---|---|
| Internes IPv4 (privat) | Alle RFC-definierten privaten IPv4-Adressbereiche
(einschließlich RFC 1918 und RFC 6598) und Link-Local-Adressen
(169.254.0.0/16). |
| Internes IPv6 (privat) | Eindeutige lokale Adressen (ULA) (fc00::/7) und Link-Local
Adressen (fe80::/10). |
Allerdings gelten Firewallrichtlinien-Regeln mit Standortobjekten für interne IP-Adressen, wenn es sich um privat verwendete öffentliche IP-Adressen handelt. Obwohl diese Adressen intern im VPC-Netzwerk sind, sind sie öffentlich und werden mit Standortobjekten abgeglichen. Um Kommunikationsprobleme bei der Verwendung von privat verwendeten öffentlichen IP-Adressen zu vermeiden, erstellen Sie Firewallrichtlinien-Regeln mit höherer Priorität, die Traffic zu oder von den privat verwendeten öffentlichen IP-Adressbereichen zulassen.
Standortobjekte mit anderen Filtern für Firewallrichtlinien-Regeln verwenden
Sie können Standortobjekte zusammen mit anderen Quell- oder Zielfiltern verwenden. Abhängig von der Regelrichtung wird die Firewallrichtlinien-Regel auf den eingehenden oder ausgehenden Traffic angewendet, der der Vereinigung aller angegebenen Filter entspricht.
Informationen zur Funktionsweise von Standortobjekten mit anderen Quellfiltern in den Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic.
Informationen zur Funktionsweise von Standortobjekten mit anderen Zielfiltern in den Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.