יצירה של מדיניות וכללים גלובליים לחומת אש בין רשתות

כדי לשלוט בתעבורת הרשת ולשפר את האבטחה ברשת הגלובלית, אפשר להשתמש בכללי מדיניות ובכללים של חומת אש גלובלית. מדיניות גלובלית של חומת אש ברשת מאפשרת לנהל באופן מרכזי את תעבורת הכניסה והיציאה במספר רשתות של ענן וירטואלי פרטי (VPC). מגדירים מדיניות פעם אחת ומצרפים אותה לרשת אחת או יותר או לתת-רשתות, וכך מבטיחים עמדת אבטחה עקבית ומפשטים את הניהול.

בדף הזה מוסבר איך להגדיר כללי מדיניות גלובליים של חומת אש בין רשתות, על ידי הגדרת כללים שמציינים פעולות לסוגים שונים של תנועה. לומדים איך לאשר או לדחות חיבורים על סמך המקור, היעד, הפרוטוקול והיציאה. לפני שקוראים את הדף הזה, חשוב להכיר את המושגים שמתוארים בסקירה הכללית על מדיניות חומת האש ברשת הגלובלית.

יצירה של מדיניות חומת אש בין רשתות גלובלית

כשיוצרים מדיניות גלובלית של חומת אש ברשת באמצעות מסוף Google Cloud , אפשר לשייך את המדיניות לרשת VPC במהלך היצירה. אם יוצרים את המדיניות באמצעות Google Cloud CLI, צריך לשייך את המדיניות לרשת אחרי שיוצרים אותה.

רשת ה-VPC שאליה משויכת מדיניות חומת האש בין רשתות גלובלית חייבת להיות באותו פרויקט כמו מדיניות חומת האש בין רשתות גלובלית.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. ברשימת הפרויקטים, בוחרים את הפרויקט בארגון.

  3. לוחצים על יצירת מדיניות חומת אש.

  4. בשדה Policy name, כותבים את השם של המדיניות.

  5. בסוג המדיניות, בוחרים באפשרות מדיניות VPC.

  6. בקטע היקף הפריסה, בוחרים באפשרות גלובלי.

  7. כדי ליצור כללים למדיניות, לוחצים על המשך.

  8. בקטע הוספת כללים, לוחצים על יצירת כלל חומת אש. למידע נוסף על יצירת כללים של חומת אש:

  9. כדי ליצור כללים לרפליקציה של חבילות נתונים למדיניות, לוחצים על המשך.

  10. בקטע Add mirroring rules (הוספת כללי שיקוף), לוחצים על Create mirroring rule (יצירת כלל שיקוף).

    מידע נוסף זמין במאמר יצירת מדיניות חומת אש עם כלל שיקוף.

  11. אם רוצים לשייך את המדיניות לרשת, לוחצים על המשך.

  12. בקטע Associate policy with networks (שיוך מדיניות לרשתות), לוחצים על Associate (שיוך).

    מידע נוסף זמין במאמר קישור מדיניות לרשת.

  13. לוחצים על יצירה.

gcloud

gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --global

מחליפים את מה שכתוב בשדות הבאים:

  • NETWORK_FIREWALL_POLICY_NAME: שם למדיניות
  • DESCRIPTION: תיאור של המדיניות
  • POLICY_TYPE: סוג מדיניות חומת האש ברשת. מידע נוסף זמין במאמר מפרטים.

שיוך מדיניות לרשת

כשמשייכים מדיניות חומת אש לרשת VPC, כל הכללים במדיניות חומת האש, למעט הכללים המושבתים, חלים על רשת ה-VPC.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על הכרטיסייה שיוכים.

  5. לוחצים על הוספת שיוך.

  6. בוחרים את הרשתות בפרויקט.

  7. לוחצים על קישור.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם הקצר או השם שנוצר על ידי המערכת של המדיניות.
  • NETWORK_NAME: השם של הרשת.
  • ASSOCIATION_NAME: שם אופציונלי של השיוך. אם לא מציינים שם, השם מוגדר כ-network-NETWORK_NAME.

הוספת כלל למדיניות חומת האש

בקטע הזה נסביר איך מוסיפים כללים למדיניות גלובלית של חומת אש ברשת.

יצירת כלל תעבורת נתונים נכנסת (ingress) למכונות וירטואליות כיעדים

בקטע הזה מוסבר איך ליצור כלל תעבורה נכנסת שחל על ממשקי רשת של מכונות Compute Engine.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. ברשימת הפרויקטים, בוחרים פרויקט שמכיל מדיניות גלובלית של חומת אש ברשת.

  3. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם של מדיניות חומת אש גלובלית ברשת שבה רוצים ליצור כלל.

  4. בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:

    1. עדיפות: סדר ההערכה המספרי של הכלל.

      הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.

    2. תיאור: אפשר לספק תיאור אופציונלי.

    3. כיוון התנועה: בוחרים באפשרות תנועה נכנסת (ingress).

    4. פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:

      • Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
      • דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
      • הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
      • Apply security profile group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצה של נקודות קצה ליירוט בהתאם למטרה שבוחרים.
        • כדי לשלוח מנות לנקודת קצה של חומת אש Cloud NGFW, בוחרים באפשרות Cloud NGFW Enterprise ואז בוחרים קבוצת פרופילי אבטחה. כדי להפעיל בדיקת TLS של החבילות, בוחרים באפשרות Enable TLS inspection (הפעלת בדיקת TLS).
        • כדי לשלוח מנות לקבוצת נקודות קצה של Network Security Integration (NSI) לצורך שילוב בתוך תדרים, בוחרים באפשרות NSI In-Band (NSI בתוך תדרים) ואז בוחרים Security profile group (קבוצת פרופילי אבטחה).

    5. יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.

    6. טירגוט: בוחרים אחת מהאפשרויות הבאות:

      • החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
      • חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם:

        • בקטע Service account scope בוחרים באפשרות In this project > Target service account. כדי לציין חשבון שירות באותו פרויקט כמו מדיניות חומת האש של הרשת הגלובלית.
        • בקטע Service account scope בוחרים באפשרות In another project > Target service account. הפעולה הזו נועדה להגדיר חשבון שירות בפרויקט שירות של VPC משותף.
      • תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.

    7. Source network context: specify a network context:

      • כדי לדלג על סינון התנועה הנכנסת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
      • כדי לסנן תנועה נכנסת להקשר רשת ספציפי, בוחרים באפשרות הקשר רשת ספציפי ואז בוחרים הקשר רשת:

    8. מסנני מקור: מציינים פרמטרים נוספים של מקור. אי אפשר להשתמש בחלק מהפרמטרים של מקורות תנועה ביחד, וההקשר של רשת המקורות שתבחרו מגביל את הפרמטרים של מקורות התנועה שבהם תוכלו להשתמש. מידע נוסף זמין במאמרים מקורות לכללי תעבורה נכנסת ושילובים של מקורות לכללי תעבורה נכנסת.

      • כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv4 של המקור, בוחרים באפשרות IPv4 ואז מזינים את בלוקי ה-CIDR בשדה טווחי כתובות IP. משתמשים בערך 0.0.0.0/0 לכל מקור IPv4.
      • כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv6 של המקור, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווח כתובות IPv6. משתמשים ב-::/0 לכל מקור IPv6.
      • כדי לסנן תנועה נכנסת לפי ערכי תגים מאובטחים של מקורות, בוחרים באפשרות בחירת היקף לתגים בקטע תגים מאובטחים. לאחר מכן, מציינים את מפתחות התגים ואת ערכי התגים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
      • כדי לסנן תנועה נכנסת לפי FQDN של המקור, מזינים FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
      • כדי לסנן תנועה נכנסת לפי מיקום גיאוגרפי של המקור, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
      • כדי לסנן תנועה נכנסת לפי קבוצת כתובות מקור, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר קבוצות כתובות למדיניות של חומת אש.
      • כדי לסנן תנועה נכנסת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא Google Threat Intelligence לכללים של מדיניות חומת האש.

    9. יעד: מציינים פרמטרים אופציונליים של יעד. מידע נוסף זמין במאמר יעדים לכללי תעבורה נכנסת.

      • כדי לדלג על סינון תנועה נכנסת לפי כתובת IP של יעד, בוחרים באפשרות ללא.
      • כדי לסנן תנועה נכנסת לפי כתובת IP של היעד, בוחרים באפשרות IPv4 או IPv6 ומזינים CIDR אחד או יותר באותו פורמט שבו השתמשתם לטווחים של כתובות IPv4 או IPv6 של המקור.

    10. פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.

    11. אכיפה: מציינים אם כלל חומת האש נאכף או לא:

      • מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
      • מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
  5. לוחצים על יצירה.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \ --description=DESCRIPTION \ --direction=INGRESS \ --action=ACTION \ [--enable-logging | --no-enable-logging] \ [--disabled | --no-disabled] \ [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \ [--layer4-configs=LAYER_4_CONFIGS] \ [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \ [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \ [--dest-ip-ranges=DEST_IP_RANGES]

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.
  • POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שבה רוצים ליצור את הכלל.
  • PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת.
  • DESCRIPTION: תיאור אופציונלי של הכלל החדש.
  • ACTION: מציינים אחת מהפעולות הבאות:

    • apply_security_profile_group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצת נקודות קצה ליירוט.
      • אם הפעולה היא apply_security_profile_group, צריך לכלול את --security-profile-group SECURITY_PROFILE_GROUP, כאשר SECURITY_PROFILE_GROUP הוא השם של קבוצת פרופילים של אבטחה.
      • פרופיל האבטחה של קבוצת פרופילי האבטחה יכול להפנות לנקודת קצה של חומת אש Cloud NGFW או לקבוצה של נקודות קצה ליירוט של Network Security Integration לשילוב בתוך פס התדרים.
      • אם פרופיל האבטחה של קבוצת פרופילי האבטחה מפנה לנקודת קצה של חומת אש Cloud NGFW, צריך לכלול את --tls-inspect או את --no-tls-inspect כדי להפעיל או להשבית את בדיקת ה-TLS.
  • הדגלים --enable-logging ו---no-enable-logging מאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC.
  • הדגלים --disabled ו---no-disabled קובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף).
  • מציינים יעד:

    • אם לא מציינים את האפשרויות --target-secure-tags ו---target-service-accounts, Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
    • TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים.
    • TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
  • LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:
    • שם של פרוטוקול IP ‏ (tcp) או מספר פרוטוקול IP של IANA ‏ (17) בלי יציאת יעד.
    • שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (tcp:80).
    • שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
  • מציינים מקור לכלל הכניסה. מידע נוסף על שילובים של מקורות של כללי Ingress

    • SRC_NETWORK_CONTEXT: מגדיר הקשרים של רשתות מקור לשימוש בשילוב עם פרמטר מקור נתמך אחר כדי ליצור שילוב מקורות. הערכים התקפים כשמשתמשים בערך --target-type=INSTANCES הם: INTERNET,‏ NON_INTERNET,‏ VPC_NETWORKS או INTRA_VPC. מידע נוסף זמין במאמר בנושא הקשרים של רשתות.
    • SRC_VPC_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו לפי מזהי כתובות ה-URL שלהן. מציינים את הדגל הזה רק אם הערך של --src-network-context הוא VPC_NETWORKS.
    • SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
    • SRC_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. קבוצות הכתובות ברשימה צריכות להכיל את כל כתובות IPv4 או את כל כתובות IPv6, ולא שילוב של שתיהן.
    • SRC_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין.
    • SRC_SECURE_TAGS: רשימה מופרדת בפסיקים של תגים. אי אפשר להשתמש בדגל --src-secure-tags אם הערך של --src-network-context הוא INTERNET.
    • SRC_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי. אי אפשר להשתמש בדגל --src-region-codes אם הערך של --src-network-context הוא NON_INTERNET,‏ VPC_NETWORKS או INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence. אי אפשר להשתמש בדגל --src-threat-intelligence אם הערך של --src-network-context הוא NON_INTERNET,‏ VPC_NETWORKS או INTRA_VPC.
  • אפשר גם לציין יעד לכלל התעבורה הנכנסת:

    • DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.

יצירת כלל לתעבורת נתונים יוצאת (egress) למכונות וירטואליות (VM) כיעדים

בהוראות הבאות מוסבר איך ליצור כלל יציאה. כללי תעבורת נתונים יוצאת (egress) חלים רק על יעדים שהם ממשקי רשת של מכונות ב-Compute Engine.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. ברשימת הפרויקטים, בוחרים פרויקט שמכיל מדיניות גלובלית של חומת אש ברשת.

  3. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם של מדיניות חומת אש גלובלית ברשת שבה רוצים ליצור כלל.

  4. בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:

    1. עדיפות: סדר ההערכה המספרי של הכלל.

      הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.

    2. תיאור: אפשר לספק תיאור אופציונלי.

    3. כיוון התנועה: בוחרים באפשרות יציאה.

    4. פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:

      • Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
      • דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
      • הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
      • Apply security profile group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצה של נקודות קצה ליירוט בהתאם למטרה שבוחרים.
        • כדי לשלוח מנות לנקודת קצה של חומת אש Cloud NGFW, בוחרים באפשרות Cloud NGFW Enterprise ואז בוחרים קבוצת פרופילי אבטחה. כדי להפעיל בדיקת TLS של החבילות, בוחרים באפשרות Enable TLS inspection (הפעלת בדיקת TLS).
        • כדי לשלוח מנות לקבוצת נקודות קצה של Network Security Integration (NSI) לצורך שילוב בתוך תדרים, בוחרים באפשרות NSI In-Band (NSI בתוך תדרים) ואז בוחרים Security profile group (קבוצת פרופילי אבטחה).

    5. יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.

    6. טירגוט: בוחרים אחת מהאפשרויות הבאות:

      • החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
      • חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם:

        • בקטע Service account scope בוחרים באפשרות In this project > Target service account. כדי לציין חשבון שירות באותו פרויקט כמו מדיניות חומת האש של הרשת הגלובלית.
        • בקטע Service account scope בוחרים באפשרות In another project > Target service account. הפעולה הזו נועדה להגדיר חשבון שירות בפרויקט שירות של VPC משותף.
      • תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.

    7. הקשר של רשת היעד: מציינים הקשר של רשת:

    8. מסנני יעד: מציינים פרמטרים נוספים של יעד. אי אפשר להשתמש בחלק מהפרמטרים של היעד ביחד, וההקשר של רשת היעד מגביל את המסננים שאפשר להשתמש בהם. מידע נוסף זמין במאמרים יעדים לכללי תעבורה יוצאת ושילובים של יעדים לכללי תעבורה יוצאת.

      • כדי לסנן תנועה יוצאת לפי טווחי יעד של כתובות IPv4, בוחרים באפשרות IPv4 ומזינים את בלוקי ה-CIDR בשדה IP ranges (טווחי כתובות IP). אפשר להשתמש ב-0.0.0.0/0 לכל יעד IPv4.
      • כדי לסנן תנועה יוצאת לפי טווחי יעד של IPv6, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווחים של IPv6. שימוש ב-::/0 לכל יעד IPv6.
      • כדי לסנן תנועה יוצאת לפי FQDN של היעד, מזינים את ה-FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
      • כדי לסנן תנועה יוצאת לפי מיקום גיאוגרפי של היעד, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
      • כדי לסנן תנועה יוצאת לפי קבוצת כתובות יעד, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר בנושא קבוצות כתובות לכללי מדיניות של חומת אש.
      • כדי לסנן תנועה יוצאת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.

    9. מקור: מציינים פרמטרים אופציונליים של מקור. מידע נוסף זמין במאמר בנושא מקורות לכללי תעבורה יוצאת.

      • כדי לדלג על סינון תנועה יוצאת לפי כתובת IP של מקור, בוחרים באפשרות ללא.
      • כדי לסנן תנועה יוצאת לפי כתובת IP של המקור, בוחרים באפשרות IPv4 או IPv6 ואז מזינים CIDR אחד או יותר באותו פורמט שבו משתמשים לטווחים של כתובות IPv4 של היעד או לטווחים של כתובות IPv6 של היעד.

    10. פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.

    11. אכיפה: מציינים אם כלל חומת האש נאכף או לא:

      • מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
      • מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
  5. לוחצים על יצירה.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \ --description=DESCRIPTION \ --direction=EGRESS \ --action=ACTION \ [--enable-logging | --no-enable-logging] \ [--disabled | --no-disabled] \ [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \ [--layer4-configs=LAYER_4_CONFIGS] \ [--dest-network-context=DEST_NETWORK_CONTEXT] \ [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \ [--src-ip-ranges=SRC_IP_RANGES]

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.
  • POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שבה רוצים ליצור את הכלל.
  • PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת.
  • DESCRIPTION: תיאור אופציונלי של הכלל החדש.
  • ACTION: מציינים אחת מהפעולות הבאות:

    • apply_security_profile_group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצת נקודות קצה ליירוט.
      • אם הפעולה היא apply_security_profile_group, צריך לכלול את --security-profile-group SECURITY_PROFILE_GROUP, כאשר SECURITY_PROFILE_GROUP הוא השם של קבוצת פרופילים של אבטחה.
      • פרופיל האבטחה של קבוצת פרופילי האבטחה יכול להפנות לנקודת קצה של חומת אש Cloud NGFW או לקבוצה של נקודות קצה ליירוט של Network Security Integration לשילוב בתוך פס התדרים.
      • אם פרופיל האבטחה של קבוצת פרופילי האבטחה מפנה לנקודת קצה של חומת אש Cloud NGFW, צריך לכלול את --tls-inspect או את --no-tls-inspect כדי להפעיל או להשבית את בדיקת ה-TLS.
  • הדגלים --enable-logging ו---no-enable-logging מאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC.
  • הדגלים --disabled ו---no-disabled קובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף).
  • מציינים יעד:

    • אם לא מציינים את האפשרויות --target-secure-tags ו---target-service-accounts, Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
    • TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים.
    • TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
  • LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:
    • שם של פרוטוקול IP ‏ (tcp) או מספר פרוטוקול IP של IANA ‏ (17) בלי יציאת יעד.
    • שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (tcp:80).
    • שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
  • מציינים יעד לכלל התעבורה היוצאת (egress). מידע נוסף על שילובים של יעדים בכלל יציאה

    • DEST_NETWORK_CONTEXT: מגדיר הקשרים של רשת היעד לשימוש בשילוב עם פרמטר יעד נתמך אחר כדי ליצור שילוב יעד. הערכים התקינים הם INTERNET ו-NON_INTERNET. מידע נוסף זמין במאמר בנושא הקשרים של הרשת.
    • DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
    • DEST_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים.
    • DEST_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין.
    • DEST_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
    • DEST_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
  • אופציונלי: מציינים מקור לכלל התעבורה היוצאת:

    • SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.

המאמרים הבאים