ניהול של כללי מדיניות וכללים היררכיים של חומת אש

מדיניות חומת אש היררכית מספקת שליטה מפורטת בתעבורת הרשת. בדף הזה מוסבר איך לנהל מדיניות חומת אש היררכית ואת הכללים שלה כדי לאבטח את Google Cloud המשאבים.

לפני שקוראים את הדף הזה, חשוב להכיר את המושגים שמתוארים בסקירה הכללית על מדיניות חומת אש היררכית. דוגמאות להטמעה של מדיניות חומת אש היררכית

משימות שקשורות למדיניות חומת האש

בקטע הזה מוסבר איך לנהל כללי מדיניות היררכיים של חומת אש.

כדי לבדוק את ההתקדמות של פעולה שנובעת ממשימה שמפורטת בקטע הזה, צריך לוודא שלחשבון המשתמש ב-IAM יש את ההרשאות או התפקידים הבאים בנוסף להרשאות או לתפקידים שנדרשים לכל משימה.

תיאור מדיניות

אפשר לראות פרטים על מדיניות חומת אש היררכית, כולל כללי המדיניות ומאפייני הכללים המשויכים. כל מאפייני הכללים האלה נספרים כחלק ממכסת מאפייני הכללים. מידע נוסף מופיע בקטע 'מאפייני הכללים לפי מדיניות היררכית של חומת האש' בטבלה לפי מדיניות חומת האש.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

הצגת רשימת כללי המדיניות

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

    בארגון, בקטע Firewall policies associated with this organization (מדיניות חומת האש שמשויכת לארגון הזה) מוצגת המדיניות המשויכת. בקטע Firewall policies located in this organization מפורטות כללי מדיניות שבבעלות הארגון.

    בתיקייה, בקטע Firewall policies associated with this folder or inherited by this folder (מדיניות חומת האש שמשויכת לתיקייה הזו או שעוברת בירושה מהתיקייה הזו) מוצגת המדיניות שמשויכת לתיקייה או שעוברת בירושה מהתיקייה. בקטע Firewall policies located in this folder מפורטות מדיניות חומת האש שבבעלות התיקייה.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

הצגת רשימת השיוכים של משאב

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. למשאב שנבחר (ארגון או תיקייה), מוצגת רשימה של מדיניות משויכת ומדיניות שעברה בירושה.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

העברת מדיניות ממשאב אחד למשאב אחר

העברה של מדיניות משנה רק את ההורה של המדיניות. שינוי ההורה של המדיניות עשוי לשנות את חשבונות המשתמש ב-IAM שיכולים ליצור ולעדכן כללים במדיניות, ואת חשבונות המשתמש ב-IAM שיכולים ליצור שיוכים עתידיים.

העברה של מדיניות לא משנה את השיוכים הקיימים של המדיניות או את ההערכה של הכללים במדיניות.

המסוף

משתמשים ב-Google Cloud CLI כדי לבצע את הפעולה הזו.

gcloud

מריצים את הפקודות הבאות כדי להעביר את מדיניות חומת האש ההיררכית לארגון:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

מריצים את הפקודות הבאות כדי להעביר את מדיניות חומת האש ההיררכית לתיקייה בארגון:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם הקצר או השם שנוצר על ידי המערכת של המדיניות שרוצים להעביר
  • ORG_ID: מזהה הארגון שאליו המדיניות מועברת
  • FOLDER_ID: מזהה התיקייה שאליה המדיניות מועברת

עדכון תיאור של מדיניות

השדה היחיד במדיניות שאפשר לעדכן הוא השדה Description.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על Edit.

  5. משנים את התיאור.

  6. לוחצים על Save.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

מחיקת שיוך

אם אתם צריכים לשנות את מדיניות חומת האש ההיררכית שמשויכת לארגון או לתיקייה, מומלץ לשייך מדיניות חדשה במקום למחוק מדיניות משויכת קיימת. אתם יכולים לשייך מדיניות חדשה בפעולה אחת, וכך לוודא שמדיניות חומת אש היררכית תמיד משויכת לארגון או לתיקייה.

כדי למחוק שיוך בין מדיניות חומת אש היררכית לבין ארגון או תיקייה, פועלים לפי השלבים שמפורטים בקטע הזה. הכללים במדיניות חומת האש ההיררכית לא חלים על חיבורים חדשים אחרי שמחיקתם משויכת.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על הכרטיסייה שיוכים.

  5. בוחרים את הקישור שרוצים למחוק.

  6. לוחצים על הסרת השיוך.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

מחיקת מדיניות

כדי למחוק מדיניות היררכית של חומת אש, צריך קודם למחוק את כל השיוכים שלה.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות שרוצים למחוק.

  4. לוחצים על הכרטיסייה שיוכים.

  5. בוחרים את כל השיוכים.

  6. לוחצים על הסרת השיוך.

  7. אחרי שמסירים את כל השיוכים, לוחצים על מחיקה.

gcloud

כדי למחוק את המדיניות, מריצים את הפקודה הבאה:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

משימות של כללי מדיניות חומת אש

בקטע הזה מוסבר איך לנהל כללים בהיררכיה של מדיניות חומת אש.

שיבוט כללים ממדיניות אחת למדיניות אחרת

מסירים את כל הכללים ממדיניות היעד ומחליפים אותם בכללים ממדיניות המקור.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות שממנה רוצים להעתיק כללים.

  4. לוחצים על שיבוט בחלק העליון של המסך.

  5. מזינים את השם של מדיניות היעד.

  6. אופציונלי: אם רוצים לשייך את המדיניות החדשה באופן מיידי, לוחצים על המשך כדי לפתוח את הקטע שיוך מדיניות למשאבים.

  7. לוחצים על Clone (שיבוט).

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: המדיניות שאליה יועתקו הכללים
  • SOURCE_POLICY: המדיניות שממנה מעתיקים את הכללים. צריך לציין את כתובת ה-URL של המשאב.
  • ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית.

תיאור כלל

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על העדיפות של הכלל.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות חומת האש ההיררכית שמכילה את הכלל החדש.
  • ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית.

הצגת רשימה של כל הכללים במדיניות

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות הרלוונטית. הכללים מופיעים בכרטיסייה כללי חומת אש.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות חומת האש ההיררכית שמכילה את הכלל.
  • ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית.

עדכון כלל

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את הארגון או התיקייה שמכילים את מדיניות חומת האש ההיררכית.

  3. לוחצים על השם של מדיניות חומת האש ההיררכית שמכילה את הכלל שרוצים לעדכן.

  4. לוחצים על העדיפות של הכלל.

  5. לוחצים על Edit.

  6. משנים את השדות של כלל חומת האש שרוצים לשנות. לתיאורים של כל שדה, אפשר לעיין באחד מהמאמרים הבאים:

  7. לוחצים על Save.

gcloud 

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: מספר העדיפות שמזהה באופן ייחודי את הכלל.
  • POLICY_NAME: השם של המדיניות שמכילה את הכלל.
  • ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית.

מציינים את הדגלים שרוצים לשנות. תיאורים של הדגלים זמינים במאמרים הבאים:

מחיקת כלל

אם מוחקים כלל ממדיניות, הכלל לא יחול יותר על חיבורים חדשים אל היעד של הכלל או ממנו.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. בוחרים את הכלל שרוצים למחוק.

  5. לוחצים על Delete.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: העדיפות של הכלל שרוצים למחוק מהמדיניות.
  • POLICY_NAME: השם של מדיניות חומת האש ההיררכית שמכילה את הכלל.
  • ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית.

אחזור של כללי חומת אש אפקטיביים לרשת

אתם יכולים לראות את כל הכללים של מדיניות חומת האש ההיררכית, את הכללים של חומת האש של ה-VPC ואת הכללים של מדיניות חומת האש בין רשתות גלובליות שחלים על כל האזורים של רשת ה-VPC.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על הרשת שרוצים לראות את כללי מדיניות חומת האש שלה.

  3. לוחצים על Firewalls (חומות אש).

  4. מרחיבים כל מדיניות חומת אש כדי לראות את הכללים שחלים על הרשת הזו.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

מחליפים את NETWORK_NAME ברשת שרוצים לראות את הכללים שחלים עליה.

אפשר גם לראות את הכללים האפקטיביים של חומת האש ברשת בדף חומת אש.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. מדיניות חומת האש מפורטת בקטע Firewall policies inherited by this project (מדיניות חומת האש שהפרויקט הזה ירש).

  3. לוחצים על כל מדיניות חומת אש כדי לראות את הכללים שחלים על הרשת הזו.

קבלת כללים אפקטיביים לחומת אש לממשק של מכונה וירטואלית

אפשר לראות את כל כללי חומת האש – מכל מדיניות חומת האש הרלוונטית ומכללי חומת האש של VPC – שחלים על ממשק רשת של מכונה וירטואלית ב-Compute Engine.

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המכונה הווירטואלית.

  3. לוחצים על המכונה הווירטואלית.

  4. בקטע ממשקי רשת, לוחצים על הממשק.

  5. כללי חומת אש יעילים מופיעים בכרטיסייה Firewalls (חומות אש) שזמינה בקטע Network configuration analysis (ניתוח הגדרות הרשת).

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_NAME: המכונה הווירטואלית שרוצים להציג את הכללים האפקטיביים שלה. אם לא מציינים ממשק, הפקודה מחזירה כללים לממשק הראשי (nic0).
  • INTERFACE: הממשק של המכונה הווירטואלית שרוצים לראות את הכללים האפקטיביים שלו. ערך ברירת המחדל הוא nic0.
  • ZONE: האזור של המכונה הווירטואלית. השורה הזו אופציונלית אם האזור שנבחר כבר מוגדר כברירת מחדל.

פתרון בעיות

בקטע הזה מוסברות הודעות שגיאה שעשויות להופיע כשיוצרים מדיניות היררכית של חומת אש.

  • FirewallPolicy may not specify a name. One will be provided.

    אי אפשר לציין שם מדיניות. 'השמות' של מדיניות חומת אש היררכית הם מזהים מספריים שנוצרים על ידי Google Cloud כשיוצרים את המדיניות. עם זאת, אפשר לציין שם מקוצר ידידותי יותר שמשמש ככינוי בהרבה הקשרים.

  • FirewallPolicy may not specify associations on creation.

    אפשר ליצור שיוכים רק אחרי שיוצרים מדיניות חומת אש היררכית.

  • Can't move firewall policy to a different organization.

    העברות של מדיניות חומת אש היררכית חייבות להתבצע באותו ארגון.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    אם משאב כבר מצורף למדיניות חומת אש היררכית, פעולת הצירוף נכשלת אלא אם האפשרות להחלפת השיוכים הקיימים מוגדרת כ-True.

  • Can't have rules with the same priorities.

    העדיפויות של הכללים צריכות להיות ייחודיות במדיניות חומת אש היררכית.

  • Direction must be specified for a firewall policy rule.

    כשיוצרים כללים למדיניות חומת אש היררכית על ידי שליחת בקשות REST ישירות, צריך לציין את הכיוון של הכלל. כשמשתמשים ב-Google Cloud CLI ולא מציינים כיוון, ברירת המחדל היא INGRESS.

  • Can't specify enable_logging on a goto_next rule.

    אי אפשר להשתמש ב-Firewall Logging (רישום ביומן של חומת האש) לכללים עם הפעולה goto_next כי הפעולות האלה משמשות לייצוג סדר ההערכה של מדיניות שונה של חומת האש, והן לא פעולות סופיות – למשל, ALLOW (אישור) או DENY (דחייה).

  • Must specify at least one destination on Firewall policy rule.

    הדגל layer4Configs בכלל של מדיניות חומת האש צריך לציין לפחות פרוטוקול אחד או פרוטוקול ויציאת יעד.

    למידע נוסף על פתרון בעיות בכללים של מדיניות חומת האש ב-VPC

המאמרים הבאים