Globale Netzwerk-Firewallrichtlinien und -regeln verwenden

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl Ihr Projekt in Ihrer Organisation aus.

3. Klicken Sie auf Firewallrichtlinie erstellen.

4. Geben Sie im Feld Richtlinienname einen Namen für die Richtlinie ein.

5. Wählen Sie für Richtlinientyp die Option VPC-Richtlinie aus.

6. Wählen Sie unter Bereitstellungsbereich Global aus.

7. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.

8. Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen. Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter:

   • Regel für eingehenden Traffic für VM-Ziele erstellen
   • Regel für ausgehenden Traffic für VM-Ziele erstellen

9. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter.

10. Klicken Sie im Abschnitt Richtlinie mit Netzwerken verknüpfen auf Verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit einem Netzwerk verknüpfen.

11. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --global

Ersetzen Sie Folgendes:

• NETWORK_FIREWALL_POLICY_NAME: ein Name für die Richtlinie
• DESCRIPTION: eine Beschreibung der Richtlinie
• POLICY_TYPE: Typ der Richtlinie für Netzwerkfirewalls. Weitere Informationen finden Sie unter Spezifikationen.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das Ihre Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Klicken Sie auf Verknüpfung hinzufügen.

6. Wählen Sie die Netzwerke im Projekt aus.

7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ersetzen Sie dabei Folgendes:

• POLICY_NAME: Entweder der Anzeigename oder der vom System generierte Name der Richtlinie.
• NETWORK_NAME: Der Name Ihres Netzwerks.
• ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name network-NETWORK_NAME verwendet.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü zur Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

6. Klicken Sie auf Verknüpfung entfernen.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf Bearbeiten.

5. Ändern Sie den Text im Feld Beschreibung.

6. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

   Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud

gcloud compute network-firewall-policies list --global

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Wählen Sie alle Verknüpfungen aus.

6. Klicken Sie auf Verknüpfung entfernen.

7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden Befehl, um die Richtlinie zu löschen:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine globale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer globalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

4. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu trennen (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Eingehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
      • Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
        • Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
        • Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Die breitesten Instanzziele werden auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die das von Ihnen angegebene Dienstkonto verwenden:
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die globale Netzwerk-Firewallrichtlinie angegeben.
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Umfang für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   7. Quellnetzwerktyp: Geben Sie einen Netzwerktyp an:

      • Wenn Sie eingehenden Traffic nicht nach Netzwerktyp filtern möchten, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerktyp filtern möchten, wählen Sie Bestimmter Netzwerktyp und dann einen Netzwerktyp aus:
        • Internet: Eingehender Traffic muss mit dem Netzwerktyp „Internet“ für eingehende Pakete übereinstimmen.
        • Ohne Internet: Der eingehende Traffic muss mit dem Netzwerktyp ohne Internet für eingehende Pakete übereinstimmen.
        • VPC-intern: Eingehender Traffic muss den Kriterien für den VPC-internen Netzwerktyp entsprechen.
        • VPC-Netzwerke: Eingehender Traffic muss den Kriterien für den VPC-Netzwerktyp entsprechen. Sie müssen mindestens ein VPC-Netzwerk auswählen:
          • Aktuelles Projekt auswählen: Damit können Sie ein oder mehrere VPC-Netzwerk aus dem Projekt hinzufügen, das die Firewallrichtlinie enthält.
          • Netzwerk manuell eingeben: Hier können Sie ein Projekt und ein VPC-Netzwerk manuell eingeben.
          • Projekt auswählen: Hier können Sie ein Projekt auswählen, aus dem Sie ein VPC-Netzwerk auswählen können.

   8. Quellfilter: Geben Sie zusätzliche Quellparameter an. Einige Quellparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Quellnetzwerktyps eingeschränkt, welche Quellparameter Sie verwenden können. Weitere Informationen finden Sie unter Quellen für Regeln für eingehenden Traffic und Kombinationen von Quellen für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Wenn Sie eingehenden Traffic nach Werten für sichere Quell-Tags filtern möchten, wählen Sie im Bereich Sichere Tags die Option Bereich für Tags auswählen aus. Geben Sie dann Tag-Schlüssel und Tag-Werte an. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
      • Wenn Sie eingehenden Traffic nach Quell-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie eingehenden Traffic nach Quellstandort filtern möchten, wählen Sie einen oder mehrere Standorte aus dem Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie eingehenden Traffic nach Quelladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie eingehenden Traffic nach Google Threat Intelligence-Quelllisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

   9. Ziel: Geben Sie optionale Zielparameter an. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nicht nach Ziel-IP-Adresse filtern möchten, wählen Sie Kein aus.
      • Wenn Sie eingehenden Traffic nach Ziel-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Quellbereiche oder IPv6-Quellbereiche ein.

   10. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   11. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

5. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die globale Netzwerkfirewallrichtlinie enthält.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt den Prozess zur Auswertung von Firewallregeln fort.
  • apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.
    • Wenn die Aktion apply_security_profile_group ist, müssen Sie --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist.
    • Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfang-Endpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
    • Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie sowohl das Flag --target-secure-tags als auch das Flag --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste von sicheren Tags, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
  • SRC_NETWORK_TYPE: Definiert einen Quellnetzwerktyp, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INSTANCES sind INTERNET, NON_INTERNET, VPC_NETWORKS oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerktypen.
  • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-type VPC_NETWORKS ist.
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
  • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
  • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können das Flag --src-secure-tags nicht verwenden, wenn --src-network-type INTERNET ist.
  • SRC_COUNTRY_CODES: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Sie können das Flag --src-region-codes nicht verwenden, wenn --src-network-type NON_INTERNET, VPC_NETWORKS oder INTRA_VPC ist.
  • SRC_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln. Sie können das Flag --src-threat-intelligence nicht verwenden, wenn --src-network-type den Wert NON_INTERNET, VPC_NETWORKS oder INTRA_VPC hat.
• Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine globale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer globalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

4. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu trennen (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Ausgehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
      • Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
        • Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
        • Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Die breitesten Instanzziele werden auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die das von Ihnen angegebene Dienstkonto verwenden:
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die globale Netzwerk-Firewallrichtlinie angegeben.
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Umfang für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   7. Zielnetzwerktyp: Geben Sie einen Netzwerktyp an:

      • Wenn Sie das Filtern von ausgehendem Traffic nach Netzwerktyp überspringen möchten, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie ausgehenden Traffic nach einem bestimmten Netzwerktyp filtern möchten, wählen Sie Bestimmter Netzwerktyp und dann einen Netzwerktyp aus:
        • Internet: Ausgehender Traffic muss dem Netzwerktyp „Internet“ für ausgehende Pakete entsprechen.
        • Nicht-Internet: Ausgehender Traffic muss dem Nicht-Internet-Netzwerktyp für ausgehende Pakete entsprechen.

   8. Zielfilter: Geben Sie zusätzliche Zielparameter an. Einige Zielparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Zielnetzwerktyps eingeschränkt, welche Zielfilter Sie verwenden können. Weitere Informationen finden Sie unter Ziele für Regeln für ausgehenden Traffic und Kombinationen von Zielen für Regeln für ausgehenden Traffic.

      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
      • Wenn Sie ausgehenden Traffic nach Ziel-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie ausgehenden Traffic nach geografischem Zielort filtern möchten, wählen Sie im Feld Standorte einen oder mehrere Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie ausgehenden Traffic nach Zieladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie ausgehenden Traffic nach Google Threat Intelligence-Ziellisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

   9. Quelle: Geben Sie optionale Quellparameter an. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.

      • Wenn Sie das Filtern von ausgehendem Traffic nach Quell-IP-Adresse überspringen möchten, wählen Sie Kein aus.
      • Wenn Sie ausgehenden Traffic nach Quell-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Zielbereiche oder IPv6-Zielbereiche ein.

   10. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   11. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

5. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die globale Netzwerkfirewallrichtlinie enthält.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt den Prozess zur Auswertung von Firewallregeln fort.
  • apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.
    • Wenn die Aktion apply_security_profile_group ist, müssen Sie --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist.
    • Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfang-Endpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
    • Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie sowohl das Flag --target-secure-tags als auch das Flag --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste von sicheren Tags, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie ein Ziel für die Ausgangsregel an. Weitere Informationen finden Sie unter Kombinationen von Zielen für Regeln für ausgehenden Traffic:
  • DEST_NETWORK_TYPE: Definiert einen Zielnetzwerktyp, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet werden soll, um eine Zielkombination zu erstellen. Gültige Werte sind INTERNET und NON_INTERNET. Weitere Informationen finden Sie unter Netzwerktypen.
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
  • DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.
  • DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • DEST_COUNTRY_CODES: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.
  • DEST_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
• Optional können Sie eine Quelle für die Regel für ausgehenden Traffic angeben:
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie auf den Namen der globalen Netzwerk-Firewallrichtlinie, die die zu aktualisierende Regel enthält.

4. Klicken Sie auf die Priorität der Regel.

5. Klicken Sie auf Bearbeiten.

6. Ändern Sie die Felder der Firewallregel, die Sie ändern möchten. Beschreibungen der einzelnen Felder finden Sie in einem der folgenden Artikel:

   • Regel für eingehenden Traffic für VM-Ziele erstellen
   • Regel für ausgehenden Traffic für VM-Ziele erstellen

7. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

Ersetzen Sie Folgendes:

• PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
• POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.

Geben Sie die Flags an, die Sie ändern möchten. Beschreibungen der Flags finden Sie in einem der folgenden Artikel:

• Regel für eingehenden Traffic für VM-Ziele erstellen
• Regel für ausgehenden Traffic für VM-Ziele erstellen

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Ersetzen Sie Folgendes:

• PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
• POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Wählen Sie die Regel aus, die Sie löschen möchten.

5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Ersetzen Sie Folgendes:

• PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
• POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie, aus der Sie die Regeln kopieren möchten.

4. Klicken Sie oben auf dem Bildschirm auf Klonen.

5. Geben Sie den Namen der Zielrichtlinie an.

6. Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter > Verknüpfen.

7. Wählen Sie auf der Seite Richtlinie mit VPC-Netzwerken verknüpfen die Netzwerke aus und klicken Sie auf Verknüpfen.

8. Klicken Sie auf Weiter.

9. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Ersetzen Sie Folgendes:

• TARGET_POLICY: Der Name der Zielrichtlinie.
• SOURCE_POLICY: die URL der Quellrichtlinie.

Console

1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

   Zur Seite VPC-Netzwerke

2. Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.

3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Firewalls.

4. Klicken Sie auf den Tab Firewallregelansicht, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ersetzen Sie NETWORK_NAME durch das Netzwerk, für das Sie die effektiven Regeln aufrufen möchten.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

3. Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Console

1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

   Zur Seite „VM-Instanzen“

2. Wählen Sie in der Projektauswahl das Projekt aus, das die VM enthält.

3. Klicken Sie auf die VM.

4. Klicken Sie unter Netzwerkschnittstellen auf den Namen der Schnittstelle.

5. Klicken Sie im Abschnitt Analyse der Netzwerkkonfiguration auf den Tab Firewalls.

6. Klicken Sie auf den Tab Firewallregelansicht, um die effektiven Firewallregeln aufzurufen.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ersetzen Sie dabei Folgendes:

• INSTANCE_NAME: die VM, für die Sie die gültigen Regeln ansehen möchten; wenn keine Schnittstelle angegeben wurde, gibt der Befehl Regeln für die primäre Schnittstelle (nic0) zurück.
• INTERFACE: die VM-Schnittstelle, für die Sie die gültigen Regeln anzeigen möchten; der Standardwert ist nic0.
• ZONE: die Zone der VM; diese Zeile ist optional, wenn die gewünschte Zone bereits als Standard eingestellt ist.