Gli oggetti di geolocalizzazione nelle regole dei criteri firewall consentono di filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o località geografiche specifiche.
Puoi applicare regole con oggetti di geolocalizzazione al traffico in entrata e in uscita. A seconda della direzione del traffico, gli indirizzi IP associati ai codici paese vengono confrontati con l'origine o la destinazione del traffico.
Puoi configurare oggetti di geolocalizzazione per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.
Per aggiungere geolocalizzazioni alle regole dei criteri firewall, utilizza i codici paese o regione di due lettere definiti nei codici paese ISO 3166 alpha-2.
Ad esempio, se vuoi consentire il traffico in entrata solo dagli Stati Uniti nella rete, crea una regola di policy firewall in entrata con il codice paese di origine impostato su
USe l'azione impostata suallow. Allo stesso modo, se vuoi consentire il traffico in uscita solo verso gli Stati Uniti, configura una regola della policy del firewall in uscita con il codice paese di destinazione impostato suUSe l'azione impostata suallow.Cloud NGFW consente di configurare regole firewall per i seguenti territori soggetti a sanzioni statunitensi complete:
Territori Codice assegnato Crimea XC Le cosiddette repubbliche popolari di Donetsk e Lugansk XD Se in una singola regola firewall sono inclusi codici paese duplicati, viene conservata una sola voce per quel codice paese. La voce duplicata viene rimossa. Ad esempio, nell'elenco dei codici paese
ca,us,us, viene mantenuto soloca,us.Google gestisce un database con mapping di indirizzi IP e codici paese. I firewallGoogle Cloud utilizzano questo database per mappare gli indirizzi IP del traffico di origine e di destinazione al codice paese, quindi applicano la regola di policy firewall corrispondente con gli oggetti di geolocalizzazione.
A volte, le assegnazioni degli indirizzi IP e i codici paese cambiano a causa delle seguenti condizioni:
- Spostamento dell'indirizzo IP tra località geografiche
- Aggiornamenti allo standard dei codici paese ISO 3166 alpha-2
Poiché è necessario del tempo prima che queste modifiche vengano riportate nel database di Google, potresti notare alcune interruzioni del traffico e cambiamenti nel comportamento di alcuni tipi di traffico bloccati o consentiti.
Utilizzare gli oggetti di geolocalizzazione con altri filtri delle regole dei criteri firewall
Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. A seconda della direzione della regola, la regola del criterio firewall viene applicata al traffico in entrata o in uscita che corrisponde all'unione di tutti i filtri specificati.
Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata.
Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.