Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

דוגמה למדיניות חומת אש בין רשתות

במאמר הזה מוסבר איך מנהלי רשת יכולים לפרוס מדיניות של חומת אש ברשת כדי לשלוט בתעבורה ברשתות של ענן וירטואלי פרטי (VPC). הדוגמה עוזרת לכם לבצע אופטימיזציה של כללים לאמצעי בקרה של אבטחה.

לפני שמשתמשים בדוגמה הזו, כדאי לעיין במושגים של מדיניות חומת אש גלובלית לרשת ושל מדיניות חומת אש אזורית לרשת.

בתרשים הבא מתואר ההיקף של מדיניות חומת אש בין רשתות גלובלית ומדיניות חומת אש בין רשתות אזורית ברשת VPC. מדיניות חומת אש בין רשתות גלובלית חלה על כל רשתות המשנה בכל האזורים. מדיניות חומת אש אזורית ברשת חלה רק על רשתות המשנה באזור היעד.

Figure 1. היקף של מדיניות חומת אש בין רשתות גלובליות ואזוריות. — **איור 1.** היקף מדיניות חומת אש בין רשתות גלובלית ואזורית.

דוגמה: דחיית כל החיבורים החיצוניים חוץ מחיבורים ליציאות ספציפיות

בתרחיש השימוש הזה, מדיניות גלובלית של חומת אש ברשת חוסמת את כל החיבורים ממקורות אינטרנט חיצוניים, למעט חיבורים ביעדי יציאות 80, ‏ 443 ו-22. חיבור אינטרנט נכנס ביציאות שאינן 80,‏ 443 או 22 חסום. אכיפת הכללים מואצלת למדיניות חומת האש האזורית ברשת לכל חיבור ביציאות 80, 443 או 22.

בדוגמה הזו, מדיניות חומת אש אזורית ברשת חלה על region-a, ומאפשרת תעבורה פנימית ממקור 10.2.0.0/16 ותעבורת נתונים נכנסת (ingress) ליציאות 443 ו-80 מכל מקור. איור 2 מתאר את הגדרת התצורה לתרחיש לדוגמה הזה.

איור 2. דחייה של כל החיבורים החיצוניים, חוץ מחיבורים ליעדים ספציפיים. — **איור 2.** דחייה של כל החיבורים החיצוניים, חוץ מחיבורים ליציאות יעד ספציפיות.

המדיניות שבתוקף במכונות הווירטואליות

בקטע הזה מתוארת מדיניות חומת האש האפקטיבית ברשת שחלה בדוגמה הזו אחרי הערכת הכללים בהיררכיה.

חיבורי כניסה

כל חיבור נכנס מ-10.0.0.0/8 תואם לכלל מדיניות חומת האש בין רשתות גלובליות עם העדיפות הכי גבוהה delegate-internal-traffic ועוקף את שאר הכללים במדיניות חומת האש בין רשתות גלובליות. בכלל המדיניות של חומת האש ברשת האזורית, מותרים חיבורים נכנסים מ-10.2.0.0/16, ושאר החיבורים מוערכים לפי כלל הכניסה המשתמע deny.
חיבורים נכנסים עם טווח כתובות IP של מקור שאינו 10.0.0.0/8, ויציאות יעד 22, 80 ו-443, מוקצים לרמה של כלל מדיניות חומת האש ברשת האזורית. בכלל של מדיניות חומת האש ברשת האזורית, היציאות 80 ו-443 מותרות, אבל היציאה 22 לא מותרת.

חיבור יציאה (egress)

אין התאמה בין כללי מדיניות חומת האש ברשתות גלובליות. לכן, חלים כללי המערכת המרומזים, שמאפשרים חיבורים יוצאים.

איך מגדירים

יוצרים מדיניות חומת אש בין רשתות גלובלית שמכילה את הכלל הבא:

gcloud compute network-firewall-policies create \
    "example-firewall-policy-global" --global \
    --description "Global network firewall policy with rules that apply to all VMs in the VPC network"

משייכים את המדיניות לרשת ה-VPC:

gcloud compute network-firewall-policies associations create \
    --firewall-policy example-firewall-policy-global \
    --network my-example-vpc \
    --global-firewall-policy

מוסיפים כלל להתאמה של כל חיבורי הכניסה מ-10.0.0.0/8:

gcloud compute network-firewall-policies rules create 1000 \
    --action goto_next \
    --description "delegate-internal-traffic" \
    --layer4-configs all \
    --firewall-policy example-firewall-policy-global \
    --src-ip-ranges 10.0.0.0/8 \
    --global-firewall-policy

הוספת כלל להעברת תעבורה חיצונית מיציאות ספציפיות:

gcloud compute network-firewall-policies rules create 2000 \
    --action goto_next \
    --description "delegate-external-traffic-spec-ports" \
    --layer4-configs tcp:80,tcp:443,tcp:22 \
    --firewall-policy example-firewall-policy-global \
    --src-ip-ranges 0.0.0.0/0 \
    --global-firewall-policy

מוסיפים כלל לחסימת כל תעבורת נתונים נכנסת (ingress) שנותרה:

gcloud compute network-firewall-policies rules create 3000 \
    --action deny \
    --description "block-external-traffic-spec-ports" \
    --firewall-policy example-firewall-policy-global \
    --src-ip-ranges 0.0.0.0/0 \
    --layer4-configs all \
    --global-firewall-policy

יוצרים מדיניות אזורית של חומת אש ברשת:

gcloud compute network-firewall-policies create \
    example-firewall-policy-regional --region=region-a \
    --description "Regional network firewall policy with rules that apply to all VMs in region-a"

משייכים את מדיניות חומת האש האזורית לרשת VPC כדי להפעיל את כללי המדיניות לכל המכונות הווירטואליות ברשת הזו באזור ספציפי:
```
gcloud compute network-firewall-policies associations create \
    --firewall-policy example-firewall-policy-regional \
    --network my-example-vpc \
    --firewall-policy-region=region-a  
```

מוסיפים כלל שמאפשר תנועה פנימית למדיניות חומת האש האזורית ברשת:

gcloud compute network-firewall-policies rules create 1000 \
    --action allow \
    --firewall-policy example-firewall-policy-regional \
    --description allow-internal-traffic \
    --direction INGRESS \
    --src-ip-ranges 10.2.0.0/16 \
    --layer4-configs all \
    --firewall-policy-region=region-a

מוסיפים כלל כדי לאפשר תעבורת נתונים חיצונית מיציאות ספציפיות:

gcloud compute network-firewall-policies rules create 2000 \
    --action allow \
    --firewall-policy example-firewall-policy-regional \
    --description allow-external-traffic-spec-ports \
    --direction INGRESS \
    --layer4-configs=tcp:80,tcp:443 \
    --src-ip-ranges 0.0.0.0/0 \
    --firewall-policy-region=region-a

המאמרים הבאים

כדי ליצור ולשנות כללי מדיניות וכללים גלובליים של חומת אש ברשת, אפשר לעיין במאמר בנושא שימוש בכללי מדיניות וכללים גלובליים של חומת אש ברשת.
כדי ליצור ולשנות כללים ומדיניות של חומת אש ברשת אזורית, אפשר לעיין במאמר בנושא שימוש בכללים ובמדיניות של חומת אש ברשת אזורית.

דוגמה למדיניות חומת אש בין רשתות קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

דוגמה: דחיית כל החיבורים החיצוניים חוץ מחיבורים ליציאות ספציפיות

המדיניות שבתוקף במכונות הווירטואליות

איך מגדירים

המאמרים הבאים

דוגמה למדיניות חומת אש בין רשתות