Utilizzo di criteri e regole firewall di rete globali

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nell'elenco del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.

3. Fai clic su Crea criterio firewall.

4. Nel campo Nome policy, inserisci un nome per la policy.

5. In Ambito di deployment, seleziona Globale.

6. Per creare regole per la tua policy, fai clic su Continua.

7. Nella sezione Aggiungi regole, fai clic su Crea regola firewall.

   Per saperne di più, vedi Creare una regola.

8. Se vuoi associare il criterio a una rete, fai clic su Continua.

9. Nella sezione Associa policy alle reti, fai clic su Associa.

   Per saperne di più, consulta Associare una policy a una rete.

10. Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Sostituisci quanto segue:

• NETWORK_FIREWALL_POLICY_NAME: un nome per la policy
• DESCRIPTION: una descrizione della policy

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la tua policy.

3. Fai clic sulla policy.

4. Fai clic sulla scheda Associazioni.

5. Fai clic su Aggiungi associazione.

6. Seleziona le reti all'interno del progetto.

7. Fai clic su Associa.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Sostituisci quanto segue:

• POLICY_NAME: il nome breve o il nome generato dal sistema della policy.
• NETWORK_NAME: il nome della tua rete.
• ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su network-NETWORK_NAME.

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il tuo progetto o la cartella che contiene la policy.

3. Fai clic sulla policy.

4. Fai clic sulla scheda Associazioni.

5. Seleziona l'associazione che vuoi eliminare.

6. Fai clic su Rimuovi associazione.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete globale.

3. Fai clic sulla policy.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete globale.

3. Fai clic sulla policy.

4. Fai clic su Modifica.

5. Nel campo Descrizione, modifica il testo.

6. Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.

   La sezione Criteri firewall di rete mostra i criteri disponibili nel tuo progetto.

gcloud

gcloud compute network-firewall-policies list --global

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.

3. Fai clic sulla policy che vuoi eliminare.

4. Fai clic sulla scheda Associazioni.

5. Seleziona tutte le associazioni.

6. Fai clic su Rimuovi associazione.

7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Utilizza il seguente comando per eliminare la policy:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la tua policy.

3. Fai clic sul nome della policy globale.

4. Nella scheda Regole firewall, fai clic su Crea regola firewall.

5. Compila i campi della regola:

   1. Nel campo Priorità, imposta il numero d'ordine per la regola, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
   2. Per Direzione del traffico, scegli in entrata o in uscita.
   3. Per Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
      1. Consenti: consente le connessioni che corrispondono alla regola.
      2. Nega: nega le connessioni che corrispondono alla regola.
      3. Vai al successivo: supera la valutazione della connessione alla regola firewall successiva di livello inferiore nella gerarchia.
      4. Applica gruppo di profili di sicurezza: invia i pacchetti all'endpoint firewall configurato per l'ispezione e la prevenzione di livello 7.
         • Nell'elenco Gruppo di profili di sicurezza, seleziona il nome di un gruppo di profili di sicurezza.
         • Per abilitare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS.
   4. Imposta la raccolta Log su On o Off.

   5. Specifica il target della regola. Scegli una delle seguenti opzioni per il campo Target:

      • Se vuoi che la regola venga applicata a tutte le istanze della rete, scegli Applica a tutti.
      • Se vuoi che la regola venga applicata a istanze selezionate in base al account di servizio associato, scegli prima Service account, poi, in Ambito service account, indica se il account di servizio si trova nel progetto corrente o in un altro e, nel campo Service account di destinazione, scegli o digita il nome del account di servizio.

      • Se vuoi che la regola venga applicata a istanze selezionate in base a tag sicuri, scegli Tag sicuri.

        • Fai clic su Seleziona ambito per i tag e seleziona l'organizzazione o il progetto in cui vuoi creare tag sicuri. Inserisci le coppie chiave-valore a cui applicare la regola.
        • Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.

   6. Per una regola in entrata, specifica il tipo di rete di origine:

      • Per filtrare il traffico in entrata appartenente a qualsiasi tipo di rete, seleziona Tutti i tipi di rete.
      • Per filtrare il traffico in entrata appartenente a un tipo di rete specifico, seleziona Tipo di rete specifico.
        • Per filtrare il traffico in entrata appartenente al tipo di rete internet (INTERNET), seleziona Internet.
        • Per filtrare il traffico in entrata appartenente al tipo di rete non internet (NON-INTERNET), seleziona Non internet.
        • Per filtrare il traffico in entrata appartenente al tipo di rete VPC interno (INTRA_VPC), seleziona VPC interno.
        • Per filtrare il traffico in entrata appartenente al tipo di reti VPC (VPC_NETWORKS), seleziona Reti VPC e poi specifica una o più reti utilizzando il seguente pulsante:
          • Seleziona progetto corrente: consente di aggiungere una o più reti dal progetto corrente.
          • Inserisci manualmente la rete: ti consente di inserire manualmente un progetto e una rete.
          • Seleziona progetto: ti consente di scegliere un progetto da cui puoi scegliere una rete. Per saperne di più sui tipi di rete, vedi Tipi di rete.

   7. Per una regola di uscita, specifica il tipo di rete di destinazione:

      • Per filtrare il traffico in uscita appartenente a qualsiasi tipo di rete, seleziona Tutti i tipi di rete.
      • Per filtrare il traffico in uscita appartenente a un tipo di rete specifico, seleziona Tipo di rete specifico.
        • Per filtrare il traffico in uscita appartenente al tipo di rete internet (INTERNET), seleziona Internet.
        • Per filtrare il traffico in uscita appartenente al tipo di rete non internet (NON-INTERNET), seleziona Non internet. Per saperne di più sui tipi di rete, vedi Tipi di rete.

   8. Per una regola in entrata, specifica il filtro di origine:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6.

      • Per limitare l'origine in base ai tag sicuri, nella sezione Tag sicuri, fai clic su Seleziona ambito per i tag.

        • Seleziona l'organizzazione o il progetto per cui vuoi creare tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola.
        • Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.

   9. Per una regola in uscita, specifica il filtro di destinazione:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi destinazione IPv6.

   10. (Facoltativo) Se stai creando una regola in entrata, specifica i nomi di dominio completi (FQDN) di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona i nomi di dominio completi di destinazione a cui si applica questa regola. Per saperne di più sugli oggetti basati sul nome di dominio, consulta Oggetti FQDN.

   11. (Facoltativo) Se stai creando una regola di ingresso, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta la sezione Oggetti di geolocalizzazione.

   12. (Facoltativo) Se stai creando una regola di ingresso, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

   13. (Facoltativo) Se stai creando una regola in entrata, seleziona gli elenchi di Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola di uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

   14. (Facoltativo) Per una regola in entrata, specifica i filtri di destinazione:

       • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
       • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per saperne di più, consulta Destinazioni per le regole in entrata.

   15. (Facoltativo) Per una regola di uscita, specifica il filtro di origine:

       • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
       • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6. Per saperne di più, consulta Origini per le regole in uscita.

   16. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica la regola.

   17. Fai clic su Crea.

6. Fai clic su Crea regola firewall per aggiungere un'altra regola.

gcloud

Per creare una regola in entrata, utilizza il seguente comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Sostituisci quanto segue:

• PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
• POLICY_NAME: il nome della policy del firewall di rete globale che contiene la nuova regola.
• DESCRIPTION: una descrizione facoltativa della nuova regola
• ACTION: specifica una delle seguenti azioni:
  • allow: consente le connessioni che corrispondono alla regola.
  • deny: nega le connessioni che corrispondono alla regola.
  • apply_security_profile_group: invia in modo trasparente i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7. Quando l'azione è apply_security_profile_group:
    • Devi includere --security-profile-group SECURITY_PROFILE_GROUP, dove SECURITY_PROFILE_GROUP è il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione del livello 7.
    • Includi --tls-inspect o --no-tls-inspect per attivare o disattivare l'ispezione TLS.
  • goto_next: continua con il passaggio successivo della procedura di valutazione delle regole firewall.
• I parametri --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
• I parametri --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
• Specifica un target:
  • TARGET_SECURE_TAGS: un elenco separato da virgole di tag sicuri.
  • TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account.
  • Se ometti entrambi i parametri --target-secure-tags e --target-service-accounts, la regola viene applicata al target più ampio.
• LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
  • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
  • Un nome di protocollo IP e una porta di destinazione separati dai due punti (tcp:80).
  • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
• Specifica un'origine per la regola di ingresso:
  • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
  • SRC_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci. I gruppi di indirizzi nell'elenco devono contenere tutti gli indirizzi IPv4 o tutti gli indirizzi IPv6, non una combinazione di entrambi.
  • SRC_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
  • SRC_SECURE_TAGS: un elenco separato da virgole di tag. Non puoi utilizzare il parametro --src-secure-tags se --src-network-type è INTERNET.
  • SRC_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione. Non puoi utilizzare il parametro --src-region-codes se --src-network-type è NON_INTERNET, VPC_NETWORK o INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: un elenco separato da virgole dei nomi degli elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole delle norme firewall. Non puoi utilizzare il parametro --src-threat-intelligence se --src-network-type è NON_INTERNET, VPC_NETWORK o INTRA_VPC.
  • SRC_NETWORK_TYPE: definisce i tipi di rete di origine da utilizzare insieme a un altro parametro di destinazione supportato per produrre una combinazione di destinazione specifica. I valori validi sono INTERNET, NON_INTERNET, VPC_NETWORK o INTRA_VPC. Per saperne di più, consulta Tipi di rete.
  • SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC specificate dai relativi identificatori URL. Specifica questo parametro solo quando --src-network-type è VPC_NETWORKS.
• (Facoltativo) Specifica una destinazione per la regola di ingresso:
  • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

Per creare una regola in uscita, utilizza il seguente comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Sostituisci quanto segue:

• PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
• POLICY_NAME: il nome della policy del firewall di rete globale che contiene la nuova regola.
• DESCRIPTION: una descrizione facoltativa della nuova regola
• ACTION: specifica una delle seguenti azioni:
  • allow: consente le connessioni che corrispondono alla regola.
  • deny: nega le connessioni che corrispondono alla regola.
  • apply_security_profile_group: invia in modo trasparente i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7. Quando l'azione è apply_security_profile_group:
    • Devi includere --security-profile-group SECURITY_PROFILE_GROUP, dove SECURITY_PROFILE_GROUP è il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione del livello 7.
    • Includi --tls-inspect o --no-tls-inspect per attivare o disattivare l'ispezione TLS.
  • goto_next: continua con il passaggio successivo della procedura di valutazione delle regole firewall.
• I parametri --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
• I parametri --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
• Specifica un target:
  • TARGET_SECURE_TAGS: un elenco separato da virgole di tag sicuri.
  • TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account.
  • Se ometti entrambi i parametri --target-secure-tags e --target-service-accounts, la regola viene applicata al target più ampio.
• LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
  • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
  • Un nome di protocollo IP e una porta di destinazione separati dai due punti (tcp:80).
  • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
• (Facoltativo) Specifica un'origine per la regola di uscita:
  • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Tutti gli intervalli nell'elenco devono essere CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
• Specifica una destinazione per la regola di uscita:
  • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
  • DEST_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci.
  • DEST_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
  • DEST_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, vedi Oggetti di geolocalizzazione.
  • DEST_THREAT_LIST_NAMES: un elenco separato da virgole dei nomi degli elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
  • DEST_NETWORK_TYPE: definisce i tipi di rete di destinazione da utilizzare in combinazione con un altro parametro di destinazione supportato per produrre una combinazione di destinazioni specifica. I valori validi sono INTERNET e NON_INTERNET. Per saperne di più, consulta Tipi di rete.

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.

3. Fai clic sulla policy.

4. Fai clic sulla priorità della regola.

5. Fai clic su Modifica.

6. Modifica i flag che vuoi cambiare.

7. Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...flags you want to modify...]

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.

3. Fai clic sulla policy.

4. Fai clic sulla priorità della regola.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Sostituisci quanto segue:

• PRIORITY: il numero di priorità che identifica in modo univoco la regola.
• POLICY_NAME: il nome della policy che contiene la regola

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.

3. Fai clic sulla policy.

4. Seleziona la regola che vuoi eliminare.

5. Fai clic su Elimina.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Sostituisci quanto segue:

• PRIORITY: il numero di priorità che identifica in modo univoco la regola.
• POLICY_NAME: la policy che contiene la regola

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene il criterio.

3. Fai clic sulla policy da cui vuoi copiare le regole.

4. Fai clic su Clona nella parte superiore dello schermo.

5. Fornisci il nome di una norma di destinazione.

6. Se vuoi associare immediatamente la nuova norma, fai clic su Continua > Associa.

7. Nella pagina Associa policy a reti VPC, seleziona le reti e fai clic su Associa.

8. Fai clic su Continua.

9. Fai clic su Clona.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Sostituisci quanto segue:

• TARGET_POLICY: il nome della policy di destinazione
• SOURCE_POLICY: l'URL della policy di origine

Console

1. Nella console Google Cloud , vai alla pagina Reti VPC.

   Vai a Reti VPC

2. Fai clic sulla rete per cui vuoi visualizzare le regole dei criteri firewall.

3. Nella pagina Dettagli rete VPC, fai clic sulla scheda Firewall.

4. Per visualizzare le regole che si applicano a questa rete, fai clic sulla scheda Visualizzazione regole firewall.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci quanto segue:

• NETWORK_NAME: la rete per cui vuoi visualizzare le regole effettive.

Console

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Le policy firewall sono elencate nella sezione Policy firewall ereditate da questo progetto.

3. Fai clic su ogni criterio firewall per visualizzare le regole che si applicano a questa rete.

Console

1. Nella console Google Cloud , vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la VM.

3. Fai clic sulla VM.

4. In Interfacce di rete, fai clic sul nome dell'interfaccia.

5. Nella sezione Analisi della configurazione di rete, fai clic sulla scheda Firewall.

6. Per visualizzare le regole firewall effettive, fai clic sulla scheda Visualizzazione regole firewall.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Sostituisci quanto segue:

• INSTANCE_NAME: la VM per cui vuoi visualizzare le regole effettive; se non viene specificata alcuna interfaccia, il comando restituisce le regole per l'interfaccia principale (nic0).
• INTERFACE: l'interfaccia VM per cui vuoi visualizzare le regole effettive; il valore predefinito è nic0.
• ZONE: la zona della VM; questa riga è facoltativa se la zona scelta è già impostata come predefinita.