Wenn Sie eine hierarchische, globale oder regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud Next Generation Firewall automatisch vordefinierte Regeln hinzu. Sie können diese Regeln anpassen oder überschreiben, um die gewünschte Netzwerksicherheitskonfiguration beizubehalten. Die vordefinierten Regeln variieren je nachdem, ob Sie die Google Cloud Console, das gcloud CLI oder die API verwenden.
Dieses Dokument unterstützt Netzwerkadministratoren und Sicherheitsexperten beim Definieren von Regeln für Firewallrichtlinien.
Typen vordefinierter Regeln
Wenn Sie eine Firewallrichtlinie mit der Google Cloud Console erstellen, fügt Cloud NGFW der neuen Richtlinie die folgenden Regeln hinzu:
- Zu den nächsten Regeln für private IPv4-Bereiche
- Vordefinierte Ablehnungsregeln für Google Threat Intelligence
- Vordefinierte Ablehnungsregeln für Geo-Standorte
- Niedrigste mögliche Priorität unter den nächsten Regeln
Wenn Sie eine Firewallrichtlinie mit der Google Cloud CLI oder der API erstellen, fügt Cloud NGFW der Richtlinie nur die niedrigste mögliche Priorität zur nächsten Seite hinzu.
Alle vordefinierten Regeln in einer neuen Firewallrichtlinie verwenden absichtlich niedrige Prioritäten (hohe Prioritätsnummern), damit Sie sie überschreiben können. Dazu erstellen Sie Ingress- oder Egress-Regeln mit höheren Prioritäten. Mit Ausnahme der niedrigsten möglichen Priorität zu den nächsten Regeln, können Sie auch die vordefinierten Regeln anpassen.
Zu den nächsten Regeln für private IPv4-Bereiche
Einer Ausgangsregel mit den IPv4-Zielbereichen
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Aktion1000undgoto_next-Aktion.Einer Eingangsregel mit den IPv4-Quellbereichen
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, der Priorität1001und der Aktiongoto_next.
Vordefinierte Ablehnungsregeln für Google Threat Intelligence
Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste
iplist-tor-exit-nodes, der Priorität1002und der Aktiondeny.Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste
iplist-known-malicious-ips, der Priorität1003und der Aktiondeny.Einer Ausgangsregel mit der Google Threat Intelligence-Liste
iplist-known-malicious-ips, der Priorität1004und der Aktiondeny.
Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinienregeln.
Vordefinierte Ablehnungsregeln für Geo-Standorte
- Eine Regel für eingehenden Traffic mit Quellen, die den geografischen Standorten
CU,IR,KP,SY,XCundXDentsprechen, der Priorität1005und derdeny-Aktion.
Weitere Informationen zu geografischen Standorten finden Sie unter Geostandortobjekte.
Niedrigste mögliche Priorität zur nächsten Regel
Folgende Regeln können nicht geändert oder gelöscht werden:
Regel für ausgehenden Traffic mit dem IPv6-Zielbereich
::/0, der Aktion2147483644und der Aktiongoto_next.Einer Eingangsregel mit dem IPv6-Quellbereich
::/0, der Priorität2147483645und der Aktiongoto_next.Einer Regel für ausgehenden Traffic mit dem IPv4-Zielbereich
0.0.0.0/0, der Priorität2147483646und der Aktiongoto_next.Einer Eingangsregel mit dem IPv4-Quellbereich
0.0.0.0/0, der Priorität2147483647und der Aktiongoto_next.
Nächste Schritte
- Vordefinierte Regeln ändern. Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinienregel aktualisieren, Regionale Netzwerk-Firewallrichtlinienregel aktualisieren und Hierarchische Firewallrichtlinienregel aktualisieren.
- Eigene Regeln hinzufügen. Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen, Regionale Netzwerk-Firewallrichtlinie erstellen und Firewallrichtlinie erstellen.