Vordefinierte Regeln für Firewallrichtlinien

Wenn Sie eine hierarchische Firewallrichtlinie, eine globale Netzwerk-Firewallrichtlinie oder eine regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud NGFW der Richtlinie vordefinierte Regeln hinzu. Die vordefinierten Regeln, die Cloud NGFW der Richtlinie hinzufügt, hängen davon ab, wie Sie die Richtlinie erstellen.

Arten von vordefinierten Regeln

Wenn Sie eine Firewallrichtlinie mit der Google Cloud Console erstellen, fügt Cloud NGFW der neuen Richtlinie die folgenden Regeln hinzu:

1. Zu den nächsten Regeln für private IPv4-Bereiche
2. Vordefinierte Google Threat Intelligence-Ablehnungsregeln
3. Vordefinierte Ablehnungsregeln für Geo-Standorte
4. Niedrigste mögliche Priorität unter den nächsten Regeln

Wenn Sie eine Firewallrichtlinie mit der Google Cloud CLI oder der API erstellen, fügt Cloud NGFW der Richtlinie nur die niedrigste mögliche Priorität zur nächsten Seite hinzu.

Alle vordefinierten Regeln in einer neuen Firewallrichtlinie verwenden absichtlich niedrige Prioritäten (hohe Prioritätsnummern), damit Sie sie überschreiben können. Dazu erstellen Sie Regeln für eingehenden Traffic oder Regeln für ausgehenden Traffic mit höheren Prioritäten. Mit Ausnahme der niedrigsten möglichen Priorität zu den nächsten Regeln können Sie auch die vordefinierten Regeln anpassen.

Zu den nächsten Regeln für private IPv4-Bereiche

• Einer Ausgangsregel mit den IPv4-Zielbereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Aktion 1000 und goto_next-Aktion.

• Eine Regel für eingehenden Traffic mit den Quell-IPv4-Bereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Priorität 1001 und goto_next-Aktion.

Vordefinierte Ablehnungsregeln für Google Threat Intelligence

• Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste iplist-tor-exit-nodes, der Priorität 1002 und der Aktion deny.

• Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste iplist-known-malicious-ips, der Priorität 1003 und der Aktion deny.

• Einer Ausgangsregel mit der Google Threat Intelligence-Liste iplist-known-malicious-ips, der Priorität 1004 und der Aktion deny.

Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

Vordefinierte Ablehnungsregeln für Geo-Standorte

• Eine Regel für eingehenden Traffic mit Quellen, die den geografischen Standorten CU, IR, KP, SY, XC und XD entsprechen, der Priorität 1005 und der deny-Aktion.

Weitere Informationen zu geografischen Standorten finden Sie unter Geostandortobjekte.

Niedrigste mögliche Priorität zur nächsten Regel

Folgende Regeln können nicht geändert oder gelöscht werden:

• Regel für ausgehenden Traffic mit dem IPv6-Zielbereich ::/0, der Aktion 2147483644 und der Aktion goto_next.

• Einer Eingangsregel mit dem IPv6-Quellbereich ::/0, der Priorität 2147483645 und der Aktion goto_next.

• Einer Regel für ausgehenden Traffic mit dem IPv4-Zielbereich 0.0.0.0/0, der Priorität 2147483646 und der Aktion goto_next.

• Einer Eingangsregel mit dem IPv4-Quellbereich 0.0.0.0/0, der Priorität 2147483647 und der Aktion goto_next.

Nächste Schritte

• Vordefinierte Regeln ändern Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinienregel aktualisieren, Regionale Netzwerk-Firewallrichtlinienregel aktualisieren und Hierarchische Firewallrichtlinienregel aktualisieren.
• Eigene Regeln hinzufügen Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen, Regionale Netzwerk-Firewallrichtlinie erstellen und Firewallrichtlinie erstellen.