כדי לשלוט בתעבורת הרשת ולשפר את האבטחה ברשת הגלובלית, אפשר להשתמש בכללי מדיניות ובכללים של חומת אש גלובלית. מדיניות גלובלית של חומת אש ברשת מאפשרת לנהל באופן מרכזי את תעבורת הכניסה והיציאה במספר רשתות של ענן וירטואלי פרטי (VPC). מגדירים מדיניות פעם אחת ומצרפים אותה לרשת אחת או יותר או לתת-רשתות, וכך מבטיחים עמדת אבטחה עקבית ומפשטים את הניהול.
בדף הזה מוסבר איך להגדיר כללי מדיניות גלובליים של חומת אש בין רשתות, על ידי הגדרת כללים שמציינים פעולות לסוגים שונים של תנועה. לומדים איך לאשר או לדחות חיבורים על סמך המקור, היעד, הפרוטוקול והיציאה. לפני שקוראים את הדף הזה, חשוב להכיר את המושגים שמתוארים בסקירה הכללית על מדיניות חומת האש ברשת הגלובלית.
יצירה של מדיניות חומת אש בין רשתות גלובלית
כשיוצרים מדיניות גלובלית של חומת אש ברשת באמצעות מסוף Google Cloud , אפשר לשייך את המדיניות לרשת VPC במהלך היצירה. אם יוצרים את המדיניות באמצעות Google Cloud CLI, צריך לשייך את המדיניות לרשת אחרי שיוצרים אותה.
רשת ה-VPC שאליה משויכת מדיניות חומת האש בין רשתות גלובלית חייבת להיות באותו פרויקט כמו מדיניות חומת האש בין רשתות גלובלית.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
ברשימת הפרויקטים, בוחרים את הפרויקט בארגון.
לוחצים על יצירת מדיניות חומת אש.
בשדה Policy name, כותבים את השם של המדיניות.
בסוג המדיניות, בוחרים באפשרות מדיניות VPC.
בקטע היקף הפריסה, בוחרים באפשרות גלובלי.
כדי ליצור כללים למדיניות, לוחצים על המשך.
בקטע הוספת כללים, לוחצים על יצירת כלל חומת אש. למידע נוסף על יצירת כללים של חומת אש:
כדי ליצור כללים לרפליקציה של חבילות נתונים למדיניות, לוחצים על המשך.
בקטע Add mirroring rules (הוספת כללי שיקוף), לוחצים על Create mirroring rule (יצירת כלל שיקוף).
מידע נוסף זמין במאמר יצירת מדיניות חומת אש עם כלל שיקוף.
אם רוצים לשייך את המדיניות לרשת, לוחצים על המשך.
בקטע Associate policy with networks (שיוך מדיניות לרשתות), לוחצים על Associate (שיוך).
מידע נוסף זמין במאמר קישור מדיניות לרשת.
לוחצים על יצירה.
gcloud
gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--policy-type POLICY_TYPE \
--global
מחליפים את מה שכתוב בשדות הבאים:
NETWORK_FIREWALL_POLICY_NAME: שם למדיניות-
DESCRIPTION: תיאור של המדיניות -
POLICY_TYPE: סוג מדיניות חומת האש ברשת. מידע נוסף זמין במאמר מפרטים.
שיוך מדיניות לרשת
כשמשייכים מדיניות חומת אש לרשת VPC, כל הכללים במדיניות חומת האש, למעט הכללים המושבתים, חלים על רשת ה-VPC.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.
לוחצים על המדיניות הרלוונטית.
לוחצים על הכרטיסייה שיוכים.
לוחצים על הוספת שיוך.
בוחרים את הרשתות בפרויקט.
לוחצים על קישור.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
מחליפים את מה שכתוב בשדות הבאים:
POLICY_NAME: השם הקצר או השם שנוצר על ידי המערכת של המדיניות.-
NETWORK_NAME: השם של הרשת. -
ASSOCIATION_NAME: שם אופציונלי של השיוך. אם לא מציינים שם, השם מוגדר כ-network-NETWORK_NAME.
הוספת כלל למדיניות חומת האש
בקטע הזה נסביר איך מוסיפים כללים למדיניות גלובלית של חומת אש ברשת.
יצירת כלל תעבורת נתונים נכנסת (ingress) למכונות וירטואליות כיעדים
בקטע הזה מוסבר איך ליצור כלל תעבורה נכנסת שחל על ממשקי רשת של מכונות Compute Engine.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
ברשימת הפרויקטים, בוחרים פרויקט שמכיל מדיניות גלובלית של חומת אש ברשת.
בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם של מדיניות חומת אש גלובלית ברשת שבה רוצים ליצור כלל.
בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:
עדיפות: סדר ההערכה המספרי של הכלל.
הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר
0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.תיאור: אפשר לספק תיאור אופציונלי.
כיוון התנועה: בוחרים באפשרות תנועה נכנסת (ingress).
פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:
- Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
- דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
- הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
- Apply security profile group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצה של נקודות קצה ליירוט בהתאם למטרה שבוחרים.
- כדי לשלוח מנות לנקודת קצה של חומת אש Cloud NGFW, בוחרים באפשרות Cloud NGFW Enterprise ואז בוחרים קבוצת פרופילי אבטחה. כדי להפעיל בדיקת TLS של החבילות, בוחרים באפשרות Enable TLS inspection (הפעלת בדיקת TLS).
- כדי לשלוח מנות לקבוצת נקודות קצה של Network Security Integration (NSI) לצורך שילוב בתוך תדרים, בוחרים באפשרות NSI In-Band (NSI בתוך תדרים) ואז בוחרים Security profile group (קבוצת פרופילי אבטחה).
יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.
טירגוט: בוחרים אחת מהאפשרויות הבאות:
- החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
-
חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם:
- בקטע Service account scope בוחרים באפשרות In this project > Target service account. כדי לציין חשבון שירות באותו פרויקט כמו מדיניות חומת האש של הרשת הגלובלית.
- בקטע Service account scope בוחרים באפשרות In another project > Target service account. הפעולה הזו נועדה להגדיר חשבון שירות בפרויקט שירות של VPC משותף.
- תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
Source network context: specify a network context:
- כדי לדלג על סינון התנועה הנכנסת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
- כדי לסנן תנועה נכנסת להקשר רשת ספציפי, בוחרים באפשרות הקשר רשת ספציפי ואז בוחרים הקשר רשת:
- אינטרנט: תעבורה נכנסת צריכה להתאים להקשר של רשת האינטרנט לחבילות נתונים נכנסות.
- לא אינטרנט: תעבורה נכנסת צריכה להתאים להקשר של רשת לא אינטרנט לחבילות נכנסות.
- בתוך VPC: תעבורת נתונים נכנסת צריכה להתאים לקריטריונים של הקשר ברשת בתוך VPC.
- רשתות VPC: תעבורה נכנסת צריכה להתאים לקריטריונים להקשר של רשתות VPC.
צריך לבחור לפחות רשת VPC אחת:
- בחירת הפרויקט הנוכחי: מאפשרת להוסיף רשת VPC אחת או יותר מהפרויקט שמכיל את מדיניות חומת האש.
- הזנה ידנית של רשת: מאפשרת להזין באופן ידני פרויקט ורשת VPC.
- בחירת פרויקט: מאפשרת לבחור פרויקט שממנו אפשר לבחור רשת VPC.
מסנני מקור: מציינים פרמטרים נוספים של מקור. אי אפשר להשתמש בחלק מהפרמטרים של מקורות תנועה ביחד, וההקשר של רשת המקורות שתבחרו מגביל את הפרמטרים של מקורות התנועה שבהם תוכלו להשתמש. מידע נוסף זמין במאמרים מקורות לכללי תעבורה נכנסת ושילובים של מקורות לכללי תעבורה נכנסת.
- כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv4 של המקור, בוחרים באפשרות IPv4 ואז מזינים את בלוקי ה-CIDR בשדה טווחי כתובות IP. משתמשים בערך
0.0.0.0/0לכל מקור IPv4. - כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv6 של המקור, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווח כתובות IPv6. משתמשים ב-
::/0לכל מקור IPv6. - כדי לסנן תנועה נכנסת לפי ערכי תגים מאובטחים של מקורות, בוחרים באפשרות בחירת היקף לתגים בקטע תגים מאובטחים. לאחר מכן, מציינים את מפתחות התגים ואת ערכי התגים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
- כדי לסנן תנועה נכנסת לפי FQDN של המקור, מזינים FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
- כדי לסנן תנועה נכנסת לפי מיקום גיאוגרפי של המקור, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
- כדי לסנן תנועה נכנסת לפי קבוצת כתובות מקור, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר קבוצות כתובות למדיניות של חומת אש.
- כדי לסנן תנועה נכנסת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא Google Threat Intelligence לכללים של מדיניות חומת האש.
- כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv4 של המקור, בוחרים באפשרות IPv4 ואז מזינים את בלוקי ה-CIDR בשדה טווחי כתובות IP. משתמשים בערך
יעד: מציינים פרמטרים אופציונליים של יעד. מידע נוסף זמין במאמר יעדים לכללי תעבורה נכנסת.
- כדי לדלג על סינון תנועה נכנסת לפי כתובת IP של יעד, בוחרים באפשרות ללא.
- כדי לסנן תנועה נכנסת לפי כתובת IP של היעד, בוחרים באפשרות IPv4 או IPv6 ומזינים CIDR אחד או יותר באותו פורמט שבו השתמשתם לטווחים של כתובות IPv4 או IPv6 של המקור.
פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.
אכיפה: מציינים אם כלל חומת האש נאכף או לא:
- מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
- מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
לוחצים על יצירה.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
מחליפים את מה שכתוב בשדות הבאים:
-
PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך. -
POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שבה רוצים ליצור את הכלל. -
PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת. -
DESCRIPTION: תיאור אופציונלי של הכלל החדש. -
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכלל. -
deny: דוחה חיבורים שתואמים לכלל. -
goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
-
apply_security_profile_group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצת נקודות קצה ליירוט.- אם הפעולה היא
apply_security_profile_group, צריך לכלול את--security-profile-group SECURITY_PROFILE_GROUP, כאשרSECURITY_PROFILE_GROUPהוא השם של קבוצת פרופילים של אבטחה. - פרופיל האבטחה של קבוצת פרופילי האבטחה יכול להפנות לנקודת קצה של חומת אש Cloud NGFW או לקבוצה של נקודות קצה ליירוט של Network Security Integration לשילוב בתוך פס התדרים.
- אם פרופיל האבטחה של קבוצת פרופילי האבטחה מפנה לנקודת קצה של חומת אש Cloud NGFW, צריך לכלול את
--tls-inspectאו את--no-tls-inspectכדי להפעיל או להשבית את בדיקת ה-TLS.
- אם הפעולה היא
-
- הדגלים
--enable-loggingו---no-enable-loggingמאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC. - הדגלים
--disabledו---no-disabledקובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף). -
מציינים יעד:
- אם לא מציינים את האפשרויות
--target-secure-tagsו---target-service-accounts, Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר. -
TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים. -
TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
- אם לא מציינים את האפשרויות
-
LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:- שם של פרוטוקול IP (
tcp) או מספר פרוטוקול IP של IANA (17) בלי יציאת יעד. - שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (
tcp:80). - שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (
tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
- שם של פרוטוקול IP (
-
מציינים מקור לכלל הכניסה.
מידע נוסף על שילובים של מקורות של כללי Ingress
-
SRC_NETWORK_CONTEXT: מגדיר הקשרים של רשתות מקור לשימוש בשילוב עם פרמטר מקור נתמך אחר כדי ליצור שילוב מקורות. הערכים התקפים כשמשתמשים בערך--target-type=INSTANCESהם:INTERNET,NON_INTERNET,VPC_NETWORKSאוINTRA_VPC. מידע נוסף זמין במאמר בנושא הקשרים של רשתות. -
SRC_VPC_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו לפי מזהי כתובות ה-URL שלהן. מציינים את הדגל הזה רק אם הערך של--src-network-contextהואVPC_NETWORKS. -
SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם. -
SRC_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. קבוצות הכתובות ברשימה צריכות להכיל את כל כתובות IPv4 או את כל כתובות IPv6, ולא שילוב של שתיהן. -
SRC_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין. -
SRC_SECURE_TAGS: רשימה מופרדת בפסיקים של תגים. אי אפשר להשתמש בדגל--src-secure-tagsאם הערך של--src-network-contextהואINTERNET. -
SRC_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי. אי אפשר להשתמש בדגל--src-region-codesאם הערך של--src-network-contextהואNON_INTERNET,VPC_NETWORKSאוINTRA_VPC. -
SRC_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence. אי אפשר להשתמש בדגל--src-threat-intelligenceאם הערך של--src-network-contextהואNON_INTERNET,VPC_NETWORKSאוINTRA_VPC.
-
-
אפשר גם לציין יעד לכלל התעבורה הנכנסת:
-
DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
-
יצירת כלל לתעבורת נתונים יוצאת (egress) למכונות וירטואליות (VM) כיעדים
בהוראות הבאות מוסבר איך ליצור כלל יציאה. כללי תעבורת נתונים יוצאת (egress) חלים רק על יעדים שהם ממשקי רשת של מכונות ב-Compute Engine.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
ברשימת הפרויקטים, בוחרים פרויקט שמכיל מדיניות גלובלית של חומת אש ברשת.
בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם של מדיניות חומת אש גלובלית ברשת שבה רוצים ליצור כלל.
בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:
עדיפות: סדר ההערכה המספרי של הכלל.
הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר
0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.תיאור: אפשר לספק תיאור אופציונלי.
כיוון התנועה: בוחרים באפשרות יציאה.
פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:
- Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
- דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
- הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
- Apply security profile group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצה של נקודות קצה ליירוט בהתאם למטרה שבוחרים.
- כדי לשלוח מנות לנקודת קצה של חומת אש Cloud NGFW, בוחרים באפשרות Cloud NGFW Enterprise ואז בוחרים קבוצת פרופילי אבטחה. כדי להפעיל בדיקת TLS של החבילות, בוחרים באפשרות Enable TLS inspection (הפעלת בדיקת TLS).
- כדי לשלוח מנות לקבוצת נקודות קצה של Network Security Integration (NSI) לצורך שילוב בתוך תדרים, בוחרים באפשרות NSI In-Band (NSI בתוך תדרים) ואז בוחרים Security profile group (קבוצת פרופילי אבטחה).
יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.
טירגוט: בוחרים אחת מהאפשרויות הבאות:
- החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
-
חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם:
- בקטע Service account scope בוחרים באפשרות In this project > Target service account. כדי לציין חשבון שירות באותו פרויקט כמו מדיניות חומת האש של הרשת הגלובלית.
- בקטע Service account scope בוחרים באפשרות In another project > Target service account. הפעולה הזו נועדה להגדיר חשבון שירות בפרויקט שירות של VPC משותף.
- תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
הקשר של רשת היעד: מציינים הקשר של רשת:
- כדי לדלג על סינון התנועה היוצאת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
- כדי לסנן תנועה יוצאת להקשר רשת ספציפי, בוחרים באפשרות Specific network context (הקשר רשת ספציפי) ואז בוחרים הקשר רשת:
- אינטרנט: תנועה יוצאת חייבת להתאים להקשר של רשת האינטרנט עבור מנות יוצאות.
- לא אינטרנטית: תעבורת נתונים יוצאת צריכה להתאים להקשר של רשת לא אינטרנטית למנות יוצאות.
מסנני יעד: מציינים פרמטרים נוספים של יעד. אי אפשר להשתמש בחלק מהפרמטרים של היעד ביחד, וההקשר של רשת היעד מגביל את המסננים שאפשר להשתמש בהם. מידע נוסף זמין במאמרים יעדים לכללי תעבורה יוצאת ושילובים של יעדים לכללי תעבורה יוצאת.
- כדי לסנן תנועה יוצאת לפי טווחי יעד של כתובות IPv4, בוחרים באפשרות IPv4 ומזינים את בלוקי ה-CIDR בשדה IP ranges (טווחי כתובות IP). אפשר להשתמש ב-
0.0.0.0/0לכל יעד IPv4. - כדי לסנן תנועה יוצאת לפי טווחי יעד של IPv6, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווחים של IPv6. שימוש ב-
::/0לכל יעד IPv6. - כדי לסנן תנועה יוצאת לפי FQDN של היעד, מזינים את ה-FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
- כדי לסנן תנועה יוצאת לפי מיקום גיאוגרפי של היעד, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
- כדי לסנן תנועה יוצאת לפי קבוצת כתובות יעד, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר בנושא קבוצות כתובות לכללי מדיניות של חומת אש.
- כדי לסנן תנועה יוצאת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
- כדי לסנן תנועה יוצאת לפי טווחי יעד של כתובות IPv4, בוחרים באפשרות IPv4 ומזינים את בלוקי ה-CIDR בשדה IP ranges (טווחי כתובות IP). אפשר להשתמש ב-
מקור: מציינים פרמטרים אופציונליים של מקור. מידע נוסף זמין במאמר בנושא מקורות לכללי תעבורה יוצאת.
- כדי לדלג על סינון תנועה יוצאת לפי כתובת IP של מקור, בוחרים באפשרות ללא.
- כדי לסנן תנועה יוצאת לפי כתובת IP של המקור, בוחרים באפשרות IPv4 או IPv6 ואז מזינים CIDR אחד או יותר באותו פורמט שבו משתמשים לטווחים של כתובות IPv4 של היעד או לטווחים של כתובות IPv6 של היעד.
פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.
אכיפה: מציינים אם כלל חומת האש נאכף או לא:
- מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
- מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
לוחצים על יצירה.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
מחליפים את מה שכתוב בשדות הבאים:
-
PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך. -
POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שבה רוצים ליצור את הכלל. -
PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת. -
DESCRIPTION: תיאור אופציונלי של הכלל החדש. -
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכלל. -
deny: דוחה חיבורים שתואמים לכלל. -
goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
-
apply_security_profile_group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצת נקודות קצה ליירוט.- אם הפעולה היא
apply_security_profile_group, צריך לכלול את--security-profile-group SECURITY_PROFILE_GROUP, כאשרSECURITY_PROFILE_GROUPהוא השם של קבוצת פרופילים של אבטחה. - פרופיל האבטחה של קבוצת פרופילי האבטחה יכול להפנות לנקודת קצה של חומת אש Cloud NGFW או לקבוצה של נקודות קצה ליירוט של Network Security Integration לשילוב בתוך פס התדרים.
- אם פרופיל האבטחה של קבוצת פרופילי האבטחה מפנה לנקודת קצה של חומת אש Cloud NGFW, צריך לכלול את
--tls-inspectאו את--no-tls-inspectכדי להפעיל או להשבית את בדיקת ה-TLS.
- אם הפעולה היא
-
- הדגלים
--enable-loggingו---no-enable-loggingמאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC. - הדגלים
--disabledו---no-disabledקובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף). -
מציינים יעד:
- אם לא מציינים את האפשרויות
--target-secure-tagsו---target-service-accounts, Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר. -
TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים. -
TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
- אם לא מציינים את האפשרויות
-
LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:- שם של פרוטוקול IP (
tcp) או מספר פרוטוקול IP של IANA (17) בלי יציאת יעד. - שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (
tcp:80). - שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (
tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
- שם של פרוטוקול IP (
-
מציינים יעד לכלל התעבורה היוצאת (egress).
מידע נוסף על שילובים של יעדים בכלל יציאה
DEST_NETWORK_CONTEXT: מגדיר הקשרים של רשת היעד לשימוש בשילוב עם פרמטר יעד נתמך אחר כדי ליצור שילוב יעד. הערכים התקינים הםINTERNETו-NON_INTERNET. מידע נוסף זמין במאמר בנושא הקשרים של הרשת.-
DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם. -
DEST_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. -
DEST_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין. -
DEST_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי. -
DEST_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
-
אופציונלי: מציינים מקור לכלל התעבורה היוצאת:
-
SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
-