Regole predefinite per le policy firewall

Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete regionale, Cloud NGFW aggiunge regole predefinite al criterio. Le regole predefinite che Cloud NGFW aggiunge alla policy dipendono da come crei la policy.

Tipi di regole predefinite

Se crei un criterio firewall utilizzando la console Google Cloud , Cloud NGFW aggiunge le seguenti regole al nuovo criterio:

1. Regole di salto alla successiva per intervalli IPv4 privati
2. Regole di negazione predefinite di Google Threat Intelligence
3. Regole di negazione della geolocalizzazione predefinite
4. Regole Vai al successivo con la priorità più bassa possibile

Se crei una policy firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge alla policy solo le regole goto-next con la priorità più bassa possibile.

Tutte le regole predefinite in un nuovo criterio firewall utilizzano intenzionalmente priorità basse (numeri di priorità elevati) in modo da poterle sostituire creando regole in entrata o in uscita con priorità più elevate. Ad eccezione delle regole Vai al successivo con la priorità più bassa possibile, puoi anche personalizzare le regole predefinite.

Regole di salto alla successiva per gli intervalli IPv4 privati

• Una regola di uscita con intervalli IPv4 di destinazione 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1000 e azione goto_next.

• Una regola di traffico in entrata con intervalli IPv4 di origine 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1001 e azione goto_next.

Regole di negazione predefinite di Google Threat Intelligence

• Una regola di ingresso con l'elenco di origine Google Threat Intelligence iplist-tor-exit-nodes, priorità 1002 e azione deny.

• Una regola di ingresso con l'elenco di origine Google Threat Intelligence iplist-known-malicious-ips, priorità 1003 e azione deny.

• Una regola di uscita con elenco di destinazione Google Threat Intelligence iplist-known-malicious-ips, priorità 1004 e azione deny.

Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

Regole di negazione della geolocalizzazione predefinite

• Una regola di ingresso con localizzazioni di origine corrispondenti CU,IR, KP, SY, XC, e XD, priorità 1005 e azione deny.

Per saperne di più sulle geolocalizzazioni, consulta Oggetti di geolocalizzazione.

Regole Vai al successivo con la priorità più bassa possibile

Non puoi modificare o eliminare le seguenti regole:

• Una regola di uscita con intervallo IPv6 di destinazione ::/0, priorità 2147483644 e azione goto_next.

• Una regola di traffico in entrata con intervallo IPv6 di origine ::/0, priorità 2147483645 e azione goto_next.

• Una regola di traffico in uscita con intervallo IPv4 di destinazione 0.0.0.0/0, priorità 2147483646 e azione goto_next.

• Una regola di traffico in entrata con intervallo IPv4 di origine 0.0.0.0/0, priorità 2147483647 e azione goto_next.

Passaggi successivi

• Modifica le regole predefinite. Per saperne di più, leggi informazioni sull'aggiornamento di una regola della policy del firewall di rete globale, sull'aggiornamento di una regola della policy del firewall di rete regionale e sull'aggiornamento di una regola della policy del firewall gerarchica.
• Aggiungi le tue regole. Per saperne di più, consulta Crea una policy del firewall di rete globale, Crea una policy del firewall di rete regionale e Crea una policy del firewall.