Mit globalen Netzwerk-Firewallrichtlinien und ‑regeln können Sie den Netzwerkverkehr steuern und die Sicherheit in Ihrem globalen Netzwerk erhöhen. Globale Netzwerk-Firewallrichtlinien zentralisieren die Verwaltung von eingehendem und ausgehendem Traffic in mehreren VPC-Netzwerken (Virtual Private Cloud). Sie definieren eine Richtlinie einmal und hängen sie an ein oder mehrere Netzwerke oder Subnetze an. So sorgen Sie für eine einheitliche Sicherheitslage und eine vereinfachte Verwaltung.
Auf dieser Seite wird beschrieben, wie Sie globale Netzwerk-Firewallrichtlinien konfigurieren, indem Sie Regeln definieren, die Aktionen für verschiedene Arten von Traffic angeben. Sie erfahren, wie Sie Verbindungen basierend auf Quelle, Ziel, Protokoll und Port zulassen oder ablehnen. Bevor Sie diese Seite lesen, sollten Sie sich mit den Konzepten vertraut machen, die im Überblick über globale Netzwerk-Firewallrichtlinien beschrieben werden.
Globale Netzwerk-Firewallrichtlinie erstellen
Wenn Sie eine globale Netzwerk-Firewallrichtlinie mit der Google Cloud Konsole erstellen, können Sie die Richtlinie bei der Erstellung einem VPC-Netzwerk zuordnen. Wenn Sie die Richtlinie mit der Google Cloud CLI erstellen, müssen Sie sie nach dem Erstellen einem Netzwerk zuweisen.
Das VPC-Netzwerk, dem die globale Netzwerk-Firewallrichtlinie zugeordnet ist, muss sich im selben Projekt wie die globale Netzwerk-Firewallrichtlinie befinden.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Wählen Sie in der Liste der Projektauswahl Ihr Projekt in Ihrer Organisation aus.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie im Feld Richtlinienname einen Namen für die Richtlinie ein.
Wählen Sie für Richtlinientyp die Option VPC-Richtlinie aus.
Wählen Sie unter Bereitstellungsbereich Global aus.
Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.
Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen. Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter:
Wenn Sie Paketspiegelungsregeln für Ihre Richtlinie erstellen möchten, klicken Sie auf Weiter.
Klicken Sie im Bereich Spiegelungsregeln hinzufügen auf Spiegelungsregel erstellen.
Weitere Informationen finden Sie unter Firewallrichtlinie mit einer Spiegelungsregel erstellen.
Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter.
Klicken Sie im Abschnitt Richtlinie mit Netzwerken verknüpfen auf Verknüpfen.
Weitere Informationen finden Sie unter Richtlinie mit einem Netzwerk verknüpfen.
Klicken Sie auf Erstellen.
gcloud
gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--policy-type POLICY_TYPE \
--global
Ersetzen Sie Folgendes:
NETWORK_FIREWALL_POLICY_NAME: ein Name für die RichtlinieDESCRIPTION: eine Beschreibung der RichtliniePOLICY_TYPE: Typ der Firewallrichtlinie. Weitere Informationen finden Sie unter Spezifikationen.
Richtlinie mit einem Netzwerk verknüpfen
Wenn Sie eine Firewallrichtlinie mit einem VPC-Netzwerk verknüpfen, gelten alle Regeln in der Firewallrichtlinie, mit Ausnahme der deaktivierten Regeln, für das VPC-Netzwerk.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das Ihre Richtlinie enthält.
Klicken Sie auf die Richtlinie.
Klicken Sie auf den Tab Verknüpfungen.
Klicken Sie auf Verknüpfung hinzufügen.
Wählen Sie die Netzwerke im Projekt aus.
Klicken Sie auf Verknüpfen.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
Ersetzen Sie dabei Folgendes:
POLICY_NAME: Entweder der Anzeigename oder der vom System generierte Name der Richtlinie.NETWORK_NAME: Der Name Ihres Netzwerks.ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Namenetwork-NETWORK_NAMEfestgelegt.
Firewallrichtlinien-Regel hinzufügen
In diesem Abschnitt wird beschrieben, wie Sie Regeln in einer globalen Netzwerk-Firewallrichtlinie hinzufügen.
Regel für eingehenden Traffic für VM-Ziele erstellen
In diesem Abschnitt wird beschrieben, wie Sie eine Ingress-Regel erstellen, die für Netzwerkschnittstellen von Compute Engine-Instanzen gilt.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine globale Netzwerk-Firewallrichtlinie enthält.
Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer globalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.
Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:
Priorität: die numerische Auswertungsreihenfolge der Regel.
Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B.100,200,300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.Beschreibung: Geben Sie optional eine Beschreibung ein.
Trafficrichtung: Wählen Sie Eingehend aus.
Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:
- Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
- Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
- Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
- Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
- Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
- Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.
Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.
Ziel: Wählen Sie eine der folgenden Optionen aus:
- Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
-
Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das von Ihnen angegebene Dienstkonto verwenden:
- Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die globale Netzwerk-Firewallrichtlinie angegeben.
- Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
- Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
Quellnetzwerkkontext: Geben Sie einen Netzwerkkontext an:
- Wenn Sie das Filtern des eingehenden Traffics nach Netzwerkkontext überspringen möchten, wählen Sie Alle Netzwerkkontexte aus.
- Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerkkontext filtern möchten, wählen Sie Bestimmter Netzwerkkontext aus und dann einen Netzwerkkontext:
- Internet: Eingehender Traffic muss dem Netzwerkkontext „Internet“ für eingehende Pakete entsprechen.
- Ohne Internet: Eingehender Traffic muss dem Netzwerkkontext „Ohne Internet“ für eingehende Pakete entsprechen.
- VPC-intern: Eingehender Traffic muss den Kriterien für den VPC-internen Netzwerkkontext entsprechen.
- VPC-Netzwerke: Eingehender Traffic muss den Kriterien für den Kontext von VPC-Netzwerken entsprechen.
Sie müssen mindestens ein VPC-Netzwerk auswählen:
- Aktuelles Projekt auswählen: Hiermit können Sie ein oder mehrere VPC-Netzwerk aus dem Projekt hinzufügen, das die Firewallrichtlinie enthält.
- Netzwerk manuell eingeben: Hier können Sie ein Projekt und ein VPC-Netzwerk manuell eingeben.
- Mit Projekt auswählen können Sie ein Projekt auswählen, aus dem Sie ein VPC-Netzwerk auswählen können.
Quellfilter: Geben Sie zusätzliche Quellparameter an. Einige Quellparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Quellnetzwerkkontexts eingeschränkt, welche Quellparameter Sie verwenden können. Weitere Informationen finden Sie unter Quellen für Regeln für eingehenden Traffic und Kombinationen von Quellen für Regeln für eingehenden Traffic.
- Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie
0.0.0.0/0für jede IPv4-Quelle. - Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie
::/0für jede IPv6-Quelle. - Wenn Sie eingehenden Traffic nach sicheren Quell-Tag-Werten filtern möchten, wählen Sie im Bereich Sichere Tags die Option Bereich für Tags auswählen aus. Geben Sie dann Tag-Schlüssel und Tag-Werte an. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
- Wenn Sie eingehenden Traffic nach Quell-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
- Wenn Sie eingehenden Traffic nach Quellstandort filtern möchten, wählen Sie einen oder mehrere Standorte aus dem Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
- Wenn Sie eingehenden Traffic nach Quelladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
- Wenn Sie eingehenden Traffic nach Google Threat Intelligence-Quelllisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
- Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie
Ziel: Geben Sie optionale Zielparameter an. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.
- Wenn Sie das Filtern von eingehendem Traffic nach Ziel-IP-Adresse überspringen möchten, wählen Sie Keine aus.
- Wenn Sie eingehenden Traffic nach Ziel-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Quellbereiche oder IPv6-Quellbereiche ein.
Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.
Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird oder nicht:
- Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
- Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.
Klicken Sie auf Erstellen.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Ersetzen Sie Folgendes:
PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei0die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B.100,200,300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.POLICY_NAME: Name der globalen Firewallrichtlinie, in der Sie die Regel erstellen möchten.PROJECT_ID: Die Projekt-ID des Projekts, das die globale Netzwerkfirewallrichtlinie enthält.DESCRIPTION: eine optionale Beschreibung für die neue Regel.-
ACTION: Geben Sie eine der folgenden Aktionen an:allow: Ermöglicht die Verbindungen, die der Regel entsprechen.deny: lehnt Verbindungen ab, die der Regel entsprechen.goto_next: setzt die Auswertung der Firewallregel fort.
apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.- Wenn die Aktion
apply_security_profile_groupist, müssen Sie--security-profile-group SECURITY_PROFILE_GROUPeinfügen, wobeiSECURITY_PROFILE_GROUPder Name einer Sicherheitsprofilgruppe ist. - Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfangendpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
- Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder
--tls-inspectoder--no-tls-inspectein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
- Wenn die Aktion
- Mit den Flags
--enable-loggingund--no-enable-loggingwird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert. - Mit den Flags
--disabledund--no-disabledwird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist. -
Geben Sie ein Ziel an:
- Wenn Sie sowohl das Flag
--target-secure-tagsals auch das Flag--target-service-accountsweglassen, verwendet Cloud NGFW die breitesten Instanzziele. TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
- Wenn Sie sowohl das Flag
LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:- Ein IP-Protokollname (
tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport. - Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (
tcp:80). - Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (
tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
- Ein IP-Protokollname (
-
Geben Sie eine Quelle für die Eingangsregel an.
Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
SRC_NETWORK_CONTEXT: Definiert einen Quellnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für--target-type=INSTANCESsindINTERNET,NON_INTERNET,VPC_NETWORKSoderINTRA_VPC. Weitere Informationen finden Sie unter Netzwerkkontexte.SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn--src-network-contextVPC_NETWORKSist.SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können das Flag--src-secure-tagsnicht verwenden, wenn--src-network-contextINTERNETist.SRC_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Sie können das Flag--src-region-codesnicht verwenden, wenn--src-network-contextNON_INTERNET,VPC_NETWORKSoderINTRA_VPCist.SRC_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln. Sie können das Flag--src-threat-intelligencenicht verwenden, wenn--src-network-contextden WertNON_INTERNET,VPC_NETWORKSoderINTRA_VPChat.
-
Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
Ausgangsregel für VM-Ziele erstellen
In der folgenden Anleitung wird beschrieben, wie Sie eine Regel für ausgehenden Traffic erstellen. Ausgangsregeln gelten nur für Ziele, die Netzwerkschnittstellen von Compute Engine-Instanzen sind.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine globale Netzwerk-Firewallrichtlinie enthält.
Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer globalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.
Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:
Priorität: die numerische Auswertungsreihenfolge der Regel.
Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B.100,200,300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.Beschreibung: Geben Sie optional eine Beschreibung ein.
Trafficrichtung: Wählen Sie Ausgehend aus.
Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:
- Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
- Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
- Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
- Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
- Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
- Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.
Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.
Ziel: Wählen Sie eine der folgenden Optionen aus:
- Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
-
Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das von Ihnen angegebene Dienstkonto verwenden:
- Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die globale Netzwerk-Firewallrichtlinie angegeben.
- Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
- Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
Zielnetzwerkkontext: Geben Sie einen Netzwerkkontext an:
- Wenn Sie das Filtern von ausgehendem Traffic nach Netzwerkkontext überspringen möchten, wählen Sie Alle Netzwerkkontexte aus.
- Wenn Sie ausgehenden Traffic nach einem bestimmten Netzwerkkontext filtern möchten, wählen Sie Bestimmter Netzwerkkontext und dann einen Netzwerkkontext aus:
- Internet: Ausgehender Traffic muss dem Internet-Netzwerkkontext für ausgehende Pakete entsprechen.
- Nicht-Internet: Ausgehender Traffic muss dem Netzwerkkontext für ausgehende Pakete ohne Internetverbindung entsprechen.
Zielfilter: Geben Sie zusätzliche Zielparameter an. Einige Zielparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Zielnetzwerkkontexts eingeschränkt, welche Zielfilter Sie verwenden können. Weitere Informationen finden Sie unter Ziele für Regeln für ausgehenden Traffic und Kombinationen von Zielen für Regeln für ausgehenden Traffic.
- Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie
0.0.0.0/0für jedes IPv4-Ziel. - Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie
::/0für jedes IPv6-Ziel. - Wenn Sie ausgehenden Traffic nach Ziel-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
- Wenn Sie ausgehenden Traffic nach geografischem Zielort filtern möchten, wählen Sie im Feld Standorte einen oder mehrere Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
- Wenn Sie ausgehenden Traffic nach Zieladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
- Wenn Sie ausgehenden Traffic nach Google Threat Intelligence-Ziellisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
- Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie
Quelle: Geben Sie optionale Quellparameter an. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.
- Wenn Sie das Filtern von ausgehendem Traffic nach Quell-IP-Adresse überspringen möchten, wählen Sie Kein aus.
- Wenn Sie ausgehenden Traffic nach Quell-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Zielbereiche oder IPv6-Zielbereiche ein.
Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.
Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird oder nicht:
- Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
- Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.
Klicken Sie auf Erstellen.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Ersetzen Sie Folgendes:
PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei0die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B.100,200,300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.POLICY_NAME: Name der globalen Firewallrichtlinie, in der Sie die Regel erstellen möchten.PROJECT_ID: Die Projekt-ID des Projekts, das die globale Netzwerkfirewallrichtlinie enthält.DESCRIPTION: eine optionale Beschreibung für die neue Regel.-
ACTION: Geben Sie eine der folgenden Aktionen an:allow: Ermöglicht die Verbindungen, die der Regel entsprechen.deny: lehnt Verbindungen ab, die der Regel entsprechen.goto_next: setzt die Auswertung der Firewallregel fort.
apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.- Wenn die Aktion
apply_security_profile_groupist, müssen Sie--security-profile-group SECURITY_PROFILE_GROUPeinfügen, wobeiSECURITY_PROFILE_GROUPder Name einer Sicherheitsprofilgruppe ist. - Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfangendpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
- Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder
--tls-inspectoder--no-tls-inspectein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
- Wenn die Aktion
- Mit den Flags
--enable-loggingund--no-enable-loggingwird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert. - Mit den Flags
--disabledund--no-disabledwird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist. -
Geben Sie ein Ziel an:
- Wenn Sie sowohl das Flag
--target-secure-tagsals auch das Flag--target-service-accountsweglassen, verwendet Cloud NGFW die breitesten Instanzziele. TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
- Wenn Sie sowohl das Flag
LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:- Ein IP-Protokollname (
tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport. - Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (
tcp:80). - Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (
tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
- Ein IP-Protokollname (
-
Geben Sie ein Ziel für die Ausgangsregel an.
Weitere Informationen finden Sie unter Kombinationen von Zielen für Regeln für ausgehenden Traffic:
DEST_NETWORK_CONTEXT: Definiert einen Zielnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet wird, um eine Zielkombination zu erstellen. Gültige Werte sindINTERNETundNON_INTERNET. Weitere Informationen finden Sie unter Netzwerkkontexte.DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.DEST_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.DEST_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
-
Optional können Sie eine Quelle für die Regel für ausgehenden Traffic angeben:
SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.