אובייקטים של מיקום גיאוגרפי בכללים של מדיניות חומת האש מאפשרים לסנן תעבורת נתונים חיצונית של IPv4 ו-IPv6 על סמך מיקומים גיאוגרפיים או אזורים ספציפיים.
אתם יכולים להחיל כללים עם אובייקטים של מיקום גיאוגרפי על תנועת נכנסת ויוצאת. בהתאם לכיוון התנועה, כתובות ה-IP שמשויכות לקודי המדינות מושוות למקור או ליעד של התנועה.
מפרטים
מפרטי חומת האש הבאים חלים על אובייקטים של מיקום גיאוגרפי:
אפשר להגדיר אובייקטים של מיקום גיאוגרפי לכללי מדיניות היררכיים של חומת אש, לכללי מדיניות גלובליים של חומת אש בין רשתות ולכללי מדיניות אזוריים של חומת אש בין רשתות.
כדי להוסיף מיקומים גיאוגרפיים לכללי מדיניות חומת האש, משתמשים בקודי מדינות או אזורים בני שתי אותיות, כפי שמוגדר בקודי המדינות לפי תקן ISO 3166 alpha-2.
לדוגמה, אם רוצים לאפשר תעבורה נכנסת רק מארה"ב לרשת, יוצרים כלל במדיניות חומת האש לתעבורה נכנסת, מגדירים את קוד מדינת המקור ל-
USואת הפעולה ל-allow. באופן דומה, אם רוצים לאפשר תעבורה יוצאת רק לארה"ב, צריך להגדיר כלל מדיניות של חומת אש ליציאה עם קוד המדינה של היעד שמוגדר ל-USוהפעולה שמוגדרת ל-allow.בעזרת Cloud NGFW אפשר להגדיר כללי חומת אש בשביל הטריטוריות הבאות שחלות עליהן סנקציות מקיפות של ארה"ב:
אזורים קוד שהוקצה חצי האי קרים XC הרפובליקה העממית של דונצק והרפובליקה העממית של לוהנסק XD אם כלל חומת אש יחיד כולל קודי מדינה כפולים, רק רשומה אחת של קוד המדינה הזה נשמרת. הרשומה הכפולה תוסר. לדוגמה, ברשימת קודי המדינות
ca,us,us, רקca,usנשמר.Google מתחזקת מסד נתונים עם כתובות IP ומיפויים של קודי מדינות. חומות אשGoogle Cloud משתמשות במסד הנתונים הזה כדי למפות את כתובות ה-IP של תנועת המקור והיעד לקוד המדינה, ואז להחיל את כלל מדיניות חומת האש התואם עם אובייקטים של מיקום גיאוגרפי.
לפעמים, הקצאות של כתובות IP וקודי מדינות משתנים בגלל התנאים הבאים:
- תנועה של כתובות IP במיקומים גיאוגרפיים שונים
- עדכונים בתקן ISO 3166 alpha-2 country codes
יכול להיות שיעבור קצת זמן עד שהשינויים האלה יתעדכנו במסד הנתונים של Google, ולכן יכול להיות שתהיה הפרעה מסוימת בתנועת הגולשים ושינויים בהתנהגות של תנועת גולשים מסוימת שנחסמת או שמותרת.
התאמה של אובייקטים של מיקום גיאוגרפי לכתובות IP פנימיות
אובייקטים של מיקום גיאוגרפי מיועדים לשימוש עם כתובות IP חיצוניות. אובייקטים של מיקום גיאוגרפי לא חלים על כתובות IP פרטיות פנימיות שמוצגות בטבלה הבאה:
| סוג כתובת | טווחים ומפרטים |
|---|---|
| כתובת IPv4 פנימית (פרטית) | כל טווח כתובות IPv4 פרטיות שהוגדר ב-RFC (כולל RFC 1918 ו-RFC 6598) וכתובות מקומיות של קישורים (169.254.0.0/16). |
| כתובת IPv6 פנימית (פרטית) | כתובות מקומיות ייחודיות (ULA) (fc00::/7) וכתובות מקומיות של קישורים (fe80::/10). |
עם זאת, כללי מדיניות חומת האש של אובייקטים של מיקום גיאוגרפי כן חלים על כתובות IP פנימיות אם הן כתובות IP ציבוריות שמשמשות לשימוש פרטי. למרות שהכתובות האלה הן פנימיות לרשת ה-VPC, הן כתובות ציבוריות והן מותאמות לאובייקטים של מיקום גיאוגרפי. כדי למנוע בעיות בתקשורת כשמשתמשים בכתובות IP ציבוריות לשימוש פרטי, צריך ליצור כללים במדיניות חומת האש עם עדיפות גבוהה יותר, שיאפשרו תעבורת נתונים אל או מטווח כתובות ה-IP הציבוריות לשימוש פרטי.
שימוש באובייקטים של מיקום גיאוגרפי עם מסננים אחרים של כללי מדיניות חומת אש
אפשר להשתמש באובייקטים של מיקום גיאוגרפי יחד עם מסננים אחרים של מקור או יעד. בהתאם לכיוון הכלל, כלל מדיניות חומת האש מוחל על תעבורת הנתונים הנכנסת או היוצאת שתואמת לאיחוד של כל המסננים שצוינו.
מידע על האופן שבו אובייקטים של מיקום גיאוגרפי פועלים עם מסנני מקור אחרים ב-ingress rules זמין במאמר בנושא מקורות ל-ingress rules.
מידע על אופן הפעולה של אובייקטים של מיקום גיאוגרפי עם מסננים אחרים של יעדים בכללי היציאה זמין במאמר יעדים בכללי יציאה.