Globale Netzwerk-Firewallrichtlinien und -regeln verwenden

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über Globale Netzwerk-Firewallrichtlinien beschrieben werden.

Aufgaben im Zusammenhang mit Firewallrichtlinien

In diesem Abschnitt wird beschrieben, wie Sie globale Netzwerkfirewall-Richtlinien erstellen und verwalten.

Globale Netzwerk-Firewallrichtlinie erstellen

Wenn Sie eine globale Netzwerk-Firewallrichtlinie mit der Google Cloud Konsole erstellen, können Sie die Richtlinie während der Erstellung einem VPC-Netzwerk (Virtual Private Cloud) zuordnen. Wenn Sie die Richtlinie mit der Google Cloud CLI erstellen, müssen Sie sie nach dem Erstellen einem Netzwerk zuweisen.

Das VPC-Netzwerk, dem die globale Netzwerk-Firewallrichtlinie zugeordnet ist, muss sich im selben Projekt wie die globale Netzwerk-Firewallrichtlinie befinden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl Ihr Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie im Feld Richtlinienname einen Namen für die Richtlinie ein.

  5. Wählen Sie unter Bereitstellungsbereich Global aus.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.

  7. Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen.

    Weitere Informationen finden Sie unter Regel erstellen.

  8. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter.

  9. Klicken Sie im Abschnitt Richtlinie mit Netzwerken verknüpfen auf Verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit einem Netzwerk verknüpfen.

  10. Klicken Sie auf Erstellen.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Ersetzen Sie Folgendes:

  • NETWORK_FIREWALL_POLICY_NAME: ein Name für die Richtlinie
  • DESCRIPTION: eine Beschreibung der Richtlinie

Richtlinie mit einem Netzwerk verknüpfen

Wenn Sie eine Firewallrichtlinie mit einem VPC-Netzwerk verknüpfen, gelten alle Regeln in der Firewallrichtlinie, mit Ausnahme der deaktivierten Regeln, für das VPC-Netzwerk.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Klicken Sie auf Verknüpfung hinzufügen.

  6. Wählen Sie die Netzwerke im Projekt aus.

  7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ersetzen Sie dabei Folgendes:

  • POLICY_NAME: Entweder der Anzeigename oder der vom System generierte Name der Richtlinie.
  • NETWORK_NAME: Der Name Ihres Netzwerks.
  • ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name network-NETWORK_NAME festgelegt.

Verknüpfung löschen

Wenn Sie die globale Netzwerk-Firewallrichtlinie ändern müssen, die mit einem VPC-Netzwerk verknüpft ist, empfehlen wir, zuerst eine neue Richtlinie zu verknüpfen, anstatt eine vorhandene verknüpfte Richtlinie zu löschen. Sie können eine neue Richtlinie in einem Schritt zuordnen. So wird sichergestellt, dass immer eine globale Netzwerk-Firewallrichtlinie mit dem VPC-Netzwerk verknüpft ist.

Wenn Sie eine Verknüpfung zwischen einer globalen Netzwerk-Firewallrichtlinie und einem VPC-Netzwerk löschen möchten, folgen Sie der Anleitung in diesem Abschnitt. Regeln in der globalen Netzwerk-Firewallrichtlinie werden nicht auf neue Verbindungen angewendet, nachdem die Zuordnung gelöscht wurde.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Verknüpfung entfernen.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Globale Netzwerk-Firewallrichtlinie beschreiben

Sie können Details zu einer globalen Netzwerk-Firewallrichtlinie aufrufen, einschließlich der Richtlinienregeln und der zugehörigen Regelattribute. Alle diese Regelattribute werden auf das Kontingent für Regelattribute angerechnet. Weitere Informationen finden Sie in der Tabelle Pro Firewallrichtlinie unter „Regelattribute pro globaler Netzwerk-Firewallrichtlinie“.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Beschreibung einer globalen Netzwerk-Firewallrichtlinie aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf Bearbeiten.

  5. Ändern Sie den Text im Feld Beschreibung.

  6. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Globale Netzwerk-Firewallrichtlinien auflisten

Sie können eine Liste der in Ihrem Projekt verfügbaren Richtlinien aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

    Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud

gcloud compute network-firewall-policies list --global

Globale Netzwerk-Firewallrichtlinie löschen

Bevor Sie eine globale Netzwerk-Firewallrichtlinie löschen können, müssen Sie alle zugehörigen Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfung entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden Befehl, um die Richtlinie zu löschen:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Aufgaben im Zusammenhang mit Firewallregeln

In diesem Abschnitt wird beschrieben, wie Sie Regeln für globale Netzwerkfirewall-Richtlinien erstellen und verwalten.

Regel erstellen

Jede Regel in einer globalen Netzwerk-Firewallrichtlinie ist entweder eine Ingress- oder eine Egress-Regel mit einer eindeutigen Priorität. Weitere Informationen zu den anderen Parametern einer Regel, einschließlich gültiger Quell- und Zielkombinationen, finden Sie unter Firewallrichtlinien-Regeln.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer globalen Richtlinie.

  4. Klicken Sie auf dem Tab Firewallregeln auf Firewallregel erstellen.

  5. Füllen Sie die Regelfelder aus:

    1. Legen Sie im Feld Priorität die Reihenfolgenummer für die Regel fest, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
    2. Wählen Sie unter Trafficrichtung die Option „Eingehend“ oder „Ausgehend“.
    3. Wählen Sie unter Aktion bei Übereinstimmung eine der folgenden Optionen aus:
      1. Zulassen: Ermöglicht die Verbindungen, die der Regel entsprechen.
      2. Ablehnen: Die Verbindungen, die der Regel entsprechen, werden abgelehnt.
      3. Zu nächster: Übergibt die Auswertung der Verbindung an die nächst niedrigere Firewallregel in der Hierarchie.
      4. Sicherheitsprofilgruppe anwenden: Die Pakete werden zur Layer-7-Prüfung und -Prävention an den konfigurierten Firewallendpunkt gesendet.
        • Wählen Sie in der Liste Sicherheitsprofilgruppe den Namen einer Sicherheitsprofilgruppe aus.
        • Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
    4. Schalten Sie die Erfassung der Logs Ein oder Aus.

    5. Geben Sie das Ziel der Regel an. Wählen Sie für das Feld Ziel eine der folgenden Optionen aus:

      • Wenn die Regel für alle Instanzen im Netzwerk gelten soll, wählen Sie Auf alle anwenden aus.
      • Wenn Sie die Regel auf bestimmte Instanzen nach verknüpftem Dienstkonto anwenden möchten, wählen Sie zuerst Dienstkonten aus. Geben Sie dann unter Umfang des Dienstkontos an, ob sich das Dienstkonto im aktuellen oder in einem anderen Projekt befindet. Wählen Sie im Feld Zieldienstkonto den Namen des Dienstkontos aus oder geben Sie ihn ein.

      • Wenn Sie die Regel auf bestimmte Instanzen anhand von sicheren Tags anwenden möchten, wählen Sie Sichere Tags aus.

        • Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, in dem Sie sichere Tags erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll.
        • Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf Tag hinzufügen.

    6. Geben Sie für Eingangsregeln den Quellnetzwerktyp an:

      • Wenn Sie eingehenden Traffic filtern möchten, der zu einem beliebigen Netzwerktyp gehört, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerktyp filtern möchten, wählen Sie Bestimmter Netzwerktyp aus.
        • Wenn Sie eingehenden Traffic filtern möchten, der zum Netzwerktyp „Internet“ (INTERNET) gehört, wählen Sie Internet aus.
        • Wenn Sie eingehenden Traffic filtern möchten, der zum Netzwerktyp „Nicht-Internet“ (NON-INTERNET) gehört, wählen Sie Nicht-Internet aus.
        • Wenn Sie eingehenden Traffic filtern möchten, der zum Netzwerktyp „VPC-intern“ (INTRA_VPC) gehört, wählen Sie VPC-intern aus.
        • Wenn Sie eingehenden Traffic filtern möchten, der zu VPC-Netzwerken (VPC_NETWORKS) gehört, wählen Sie VPC-Netzwerke aus und geben Sie dann ein oder mehrere Netzwerke mit der folgenden Schaltfläche an:
          • Aktuelles Projekt auswählen: Damit können Sie ein oder mehrere Netzwerke aus dem aktuellen Projekt hinzufügen.
          • Netzwerk manuell eingeben: Hier können Sie ein Projekt und ein Netzwerk manuell eingeben.
          • Projekt auswählen: Hier können Sie ein Projekt auswählen, aus dem Sie ein Netzwerk auswählen können. Weitere Informationen zu den Netzwerktypen finden Sie unter Netzwerktypen.

    7. Geben Sie für eine Ausgangsregel den Zielnetzwerktyp an:

      • Wenn Sie ausgehenden Traffic filtern möchten, der zu einem beliebigen Netzwerktyp gehört, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie ausgehenden Traffic filtern möchten, der zu einem bestimmten Netzwerktyp gehört, wählen Sie Bestimmter Netzwerktyp aus.
        • Wenn Sie ausgehenden Traffic des Netzwerktyps INTERNET herausfiltern möchten, wählen Sie Internet aus.
        • Wenn Sie ausgehenden Traffic filtern möchten, der zum Netzwerktyp „Nicht-Internet“ (NON-INTERNET) gehört, wählen Sie Nicht-Internet aus. Weitere Informationen zu den Netzwerktypen finden Sie unter Netzwerktypen.

    8. Geben Sie für Eingangsregeln den Quellfilter an:

      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle.

      • Wenn Sie die Quelle nach sicheren Tags begrenzen möchten, klicken Sie im Abschnitt Sichere Tags auf Bereich für Tags auswählen.

        • Wählen Sie die Organisation oder das Projekt aus, für die Sie Tags erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll.
        • Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf Tag hinzufügen.

    9. Geben Sie für eine Ausgangsregel den Zielfilter an:

      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.

    10. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, geben Sie die Quell-FQDNs an, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-FQDNs aus, für die diese Regel gelten soll. Weitere Informationen zu Domainnamenobjekten finden Sie unter FQDN-Objekte.

    11. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quellstandorte aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Zielstandorte aus, für die diese Regel gelten soll. Weitere Informationen zu Standortobjekten finden Sie unter Standortobjekte.

    12. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quelladressgruppen aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Zieladressgruppen aus, für die diese Regel gelten soll. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.

    13. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Quelllisten aus, für die diese Regel gilt. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Ziellisten aus, für die diese Regel gilt. Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

    14. Optional: Geben Sie für eine Regel für eingehenden Traffic die Zielfilter an:

      • Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie eingehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6-Bereiche aus und geben Sie die CIDR-Blöcke in das Feld IPv6-Zielbereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.

    15. Optional: Geben Sie für eine Regel für ausgehenden Traffic den Quellfilter an:

      • Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie ausgehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.

    16. Geben Sie für Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.

    17. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Firewallregel erstellen, um eine weitere Regel hinzuzufügen.

gcloud

Verwenden Sie den folgenden Befehl, um eine Regel für eingehenden Traffic zu erstellen:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte von Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
  • POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die die neue Regel enthält.
  • DESCRIPTION: eine optionale Beschreibung für die neue Regel
  • ACTION: Geben Sie eine der folgenden Aktionen an:
    • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
    • deny: lehnt Verbindungen ab, die der Regel entsprechen.
    • apply_security_profile_group: sendet die Pakete transparent für die Layer-7-Prüfung an den konfigurierten Firewallendpunkt Wenn die Aktion apply_security_profile_group ist:
      • Sie müssen --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist, die für die Layer-7-Prüfung verwendet wird.
      • Fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
    • goto_next: Fährt mit dem nächsten Schritt des Firewallregel-Auswertungsprozesses fort.
  • Mit den Parametern --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
  • Mit den Parametern --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
  • Geben Sie ein Ziel an:
    • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste sicherer Tags.
    • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten.
    • Wenn Sie sowohl den Parameter --target-secure-tags als auch den Parameter --target-service-accounts weglassen, wird die Regel auf das breiteste Ziel angewendet.
  • LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
    • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
    • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
    • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
  • Geben Sie eine Quelle für die Eingangsregel an:
    • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
    • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
    • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
    • SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können den Parameter --src-secure-tags nicht verwenden, wenn --src-network-typeINTERNET ist.
    • SRC_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Der Parameter --src-region-codes kann nicht verwendet werden, wenn --src-network-type gleich NON_INTERNET, VPC_NETWORK oder INTRA_VPC ist.
    • SRC_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln. Sie können den Parameter --src-threat-intelligence nicht verwenden, wenn --src-network-type NON_INTERNET, VPC_NETWORK oder INTRA_VPC ist.
    • SRC_NETWORK_TYPE: Definiert Quellnetzwerktypen, die in Verbindung mit einem anderen unterstützten Zielparameter verwendet werden, um eine bestimmte Zielkombination zu erstellen. Gültige Werte sind INTERNET, NON_INTERNET, VPC_NETWORK oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerktypen.
    • SRC_VPC_NETWORK: Eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-IDs angegeben werden. Geben Sie diesen Parameter nur an, wenn --src-network-type VPC_NETWORKS ist.
  • Optional können Sie ein Ziel für die Eingangsregel angeben:
    • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Verwenden Sie den folgenden Befehl, um eine Egress-Regel zu erstellen:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte von Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
  • POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die die neue Regel enthält.
  • DESCRIPTION: eine optionale Beschreibung für die neue Regel
  • ACTION: Geben Sie eine der folgenden Aktionen an:
    • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
    • deny: lehnt Verbindungen ab, die der Regel entsprechen.
    • apply_security_profile_group: sendet die Pakete transparent für die Layer-7-Prüfung an den konfigurierten Firewallendpunkt Wenn die Aktion apply_security_profile_group ist:
      • Sie müssen --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist, die für die Layer-7-Prüfung verwendet wird.
      • Fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
    • goto_next: Fährt mit dem nächsten Schritt des Firewallregel-Auswertungsprozesses fort.
  • Mit den Parametern --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
  • Mit den Parametern --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
  • Geben Sie ein Ziel an:
    • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste sicherer Tags.
    • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten.
    • Wenn Sie sowohl den Parameter --target-secure-tags als auch den Parameter --target-service-accounts weglassen, wird die Regel auf das breiteste Ziel angewendet.
  • LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
    • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
    • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
    • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
  • Optional: Geben Sie eine Quelle für die Ausgangsregel an:
    • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder alle IPv4-CIDRs oder alle IPv6-CIDRs sein, nicht eine Kombination aus beidem.
  • Geben Sie ein Ziel für die Ausgangsregel an:
    • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
    • DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.
    • DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
    • DEST_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.
    • DEST_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
    • DEST_NETWORK_TYPE: Definiert einen Zielnetzwerktyp, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet werden soll, um eine bestimmte Zielkombination zu erstellen. Gültige Werte sind INTERNET und NON_INTERNET. Weitere Informationen finden Sie unter Netzwerktypen.

Regel aktualisieren

Beschreibungen der Flags finden Sie unter Regel erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die gewünschten Flags.

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...flags you want to modify...]

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: der Name der Richtlinie, die die Regel enthält

Regel löschen

Wenn Sie eine Regel aus einer Richtlinie löschen, wird sie nicht mehr auf neue Verbindungen zum oder vom Ziel der Regel angewendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: Richtlinie, die die Regel enthält

Regeln von einer Richtlinie in eine andere kopieren

Beim Klonen werden die Regeln aus einer Quellrichtlinie in eine Zielrichtlinie kopiert und alle vorhandenen Regeln in der Zielrichtlinie werden ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, aus der Sie die Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter > Verknüpfen.

  7. Wählen Sie auf der Seite Richtlinie mit VPC-Netzwerken verknüpfen die Netzwerke aus und klicken Sie auf Verknüpfen.

  8. Klicken Sie auf Weiter.

  9. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Ersetzen Sie Folgendes:

  • TARGET_POLICY: der Name der Zielrichtlinie
  • SOURCE_POLICY: die URL der Quellrichtlinie

Für ein Netzwerk geltende Firewallregeln abrufen

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale Netzwerk-Firewallrichtlinienregeln ansehen, die für alle Regionen eines VPC-Netzwerk gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.

  3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Firewalls.

  4. Klicken Sie auf den Tab Firewallregelansicht, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ersetzen Sie dabei Folgendes:

  • NETWORK_NAME: Netzwerk, für die Sie die gültigen Regeln anzeigen möchten.

Auf der Seite Firewall können Sie auch die effektiven Firewallregeln für ein Netzwerk aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

  3. Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Für eine VM-Schnittstelle geltende Firewallregeln abrufen

Sie können alle Firewallregeln aus allen anwendbaren Firewallrichtlinien und VPC-Firewallregeln aufrufen, die für eine Netzwerkschnittstelle einer Compute Engine-VM gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Wählen Sie in der Projektauswahl das Projekt aus, das die VM enthält.

  3. Klicken Sie auf die VM.

  4. Klicken Sie unter Netzwerkschnittstellen auf den Namen der Schnittstelle.

  5. Klicken Sie im Abschnitt Analyse der Netzwerkkonfiguration auf den Tab Firewalls.

  6. Klicken Sie auf den Tab Firewallregelansicht, um die effektiven Firewallregeln aufzurufen.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ersetzen Sie dabei Folgendes:

  • INSTANCE_NAME: die VM, für die Sie die gültigen Regeln ansehen möchten; wenn keine Schnittstelle angegeben wurde, gibt der Befehl Regeln für die primäre Schnittstelle (nic0) zurück.
  • INTERFACE: die VM-Schnittstelle, für die Sie die gültigen Regeln anzeigen möchten; der Standardwert ist nic0.
  • ZONE: die Zone der VM; diese Zeile ist optional, wenn die gewünschte Zone bereits als Standard eingestellt ist.