Utilizzo di criteri e regole firewall di rete globali

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica delle policy firewall di rete globali.

Attività relative alle policy del firewall

Questa sezione descrive come creare e gestire le policy del firewall di rete globali.

Crea una policy del firewall di rete globale

Quando crei una policy firewall di rete globale utilizzando la console Google Cloud , puoi associare la policy a una rete Virtual Private Cloud (VPC) durante la creazione. Se crei il criterio utilizzando Google Cloud CLI, devi associarlo a una rete dopo averlo creato.

La rete VPC a cui è associata la policy firewall di rete globale deve trovarsi nello stesso progetto della policy firewall di rete globale.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.create

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto in cui vuoi creare la policy

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nell'elenco del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
Nel campo Nome policy, inserisci un nome per la policy.
Per Tipo di policy, seleziona Policy VPC.

Nota: RDMA RoCE è supportato solo per il criterio firewall di rete regionale. Quando selezioni il tipo di criterio RoCE, l'ambito di deployment viene impostato automaticamente su regionale e non può essere modificato.
In Ambito di deployment, seleziona Globale.
Per creare regole per la tua policy, fai clic su Continua.
Nella sezione Aggiungi regole, fai clic su Crea regola firewall. Per saperne di più sulla creazione di regole firewall, consulta quanto segue:
- Crea una regola di ingresso per le VM di destinazione
- Crea una regola di uscita per le VM di destinazione
Se vuoi associare il criterio a una rete, fai clic su Continua.
Nella sezione Associa policy alle reti, fai clic su Associa.

Per saperne di più, consulta Associare una policy a una rete.
Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --global

Sostituisci quanto segue:

NETWORK_FIREWALL_POLICY_NAME: un nome per la policy
DESCRIPTION: una descrizione della policy
POLICY_TYPE: il tipo di policy del firewall di rete. Per ulteriori informazioni, consulta la sezione Specifiche.

Associa un criterio a una rete

Quando associ una policy firewall a una rete VPC, tutte le regole della policy firewall, ad eccezione di quelle disattivate, vengono applicate alla rete VPC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.use
compute.networks.setFirewallPolicy

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la tua policy.
Fai clic sulla policy.
Fai clic sulla scheda Associazioni.
Fai clic su Aggiungi associazione.
Seleziona le reti all'interno del progetto.
Fai clic su Associa.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Sostituisci quanto segue:

POLICY_NAME: il nome breve o il nome generato dal sistema della policy.
NETWORK_NAME: il nome della rete.
ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su network-NETWORK_NAME.

Eliminare un'associazione

Se devi modificare la policy firewall di rete globale associata a una rete VPC, ti consigliamo di associare prima una nuova policy anziché eliminare una policy associata esistente. Puoi associare una nuova policy in un solo passaggio, il che contribuisce a garantire che una policy firewall di rete globale sia sempre associata alla rete VPC.

Per eliminare un'associazione tra una policy del firewall di rete globale e una rete VPC, segui i passaggi descritti in questa sezione. Le regole nel criterio firewall di rete globale non si applicano alle nuove connessioni dopo l'eliminazione dell'associazione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.networks.setFirewallPolicy

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul progetto contenente la rete

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il tuo progetto o la cartella che contiene la policy.
Fai clic sulla policy.
Fai clic sulla scheda Associazioni.
Seleziona l'associazione che vuoi eliminare.
Fai clic su Rimuovi associazione.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Descrivi una policy firewall di rete globale

Puoi visualizzare i dettagli di una policy firewall di rete globale, incluse le regole della policy e gli attributi delle regole associati. Tutti questi attributi delle regole vengono conteggiati come parte della quota degli attributi delle regole. Per saperne di più, consulta "Attributi delle regole per policy del firewall di rete globale" nella tabella Per policy del firewall.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.get

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete globale.
Fai clic sulla policy.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Aggiorna la descrizione di una policy del firewall di rete globale

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete globale.
Fai clic sulla policy.
Fai clic su Modifica.
Nel campo Descrizione, modifica il testo.
Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Elenca i criteri firewall di rete globali

Puoi visualizzare un elenco dei criteri disponibili nel tuo progetto.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.list

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.

La sezione Criteri firewall di rete mostra i criteri disponibili nel tuo progetto.

gcloud

gcloud compute network-firewall-policies list --global

Elimina una policy firewall di rete globale

Prima di poter eliminare una policy firewall di rete globale, devi eliminare tutte le relative associazioni.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.delete

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy che vuoi eliminare.
Fai clic sulla scheda Associazioni.
Seleziona tutte le associazioni.
Fai clic su Rimuovi associazione.
Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Utilizza il seguente comando per eliminare la policy:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Attività della regola del criterio firewall

Questa sezione descrive come creare e gestire le regole della policy del firewall di rete globale.

Crea una regola in entrata per i target VM

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Questa sezione descrive come creare una regola di ingresso che si applica alle interfacce di rete delle istanze Compute Engine.

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nell'elenco del selettore dei progetti, seleziona un progetto che contiene una policy firewall di rete globale.
Nella sezione Policy firewall di rete, fai clic sul nome di una policy firewall di rete globale in cui vuoi creare una regola.
Nella sezione Regole firewall, fai clic su Crea regola firewall e specifica i seguenti parametri di configurazione:
1. Priorità: l'ordine di valutazione numerico della regola.
  
  Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
2. Descrizione: fornisci una descrizione facoltativa.
3. Direzione del traffico: seleziona In entrata.
4. Azione in caso di corrispondenza: seleziona una delle seguenti opzioni:
  - Consenti: per consentire le connessioni che corrispondono ai parametri della regola.
  - Nega: per bloccare le connessioni che corrispondono ai parametri della regola.
  - Vai al passaggio successivo: per continuare la procedura di valutazione della regola firewall.
  - Applica gruppo di profili di sicurezza: invia i pacchetti a un endpoint firewall o a un gruppo di endpoint di intercettazione in base allo scopo che selezioni.
    - Per inviare pacchetti a un endpoint firewall Cloud NGFW, seleziona Cloud NGFW Enterprise, quindi seleziona un gruppo di profili di sicurezza. Per abilitare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS.
    - Per inviare pacchetti a un gruppo di endpoint di intercettazione dell'integrazione della sicurezza di rete per l'integrazione in banda, seleziona NSI in banda, quindi seleziona un Gruppo di profili di sicurezza.
5. Log: seleziona On per attivare la registrazione dei log delle regole firewall o Off per disattivarla per questa regola.
6. Target: seleziona una delle seguenti opzioni:
  - Applica a tutti: Cloud NGFW utilizza i target di istanza più ampi.
  - Service account: restringe i target delle istanze più ampi alle interfacce di rete delle istanze VM che utilizzano il account di servizio specificato:
    - Nella sezione Ambito del service account, seleziona In questo progetto > Service account di destinazione. per specificare un account di servizio nello stesso progetto della policy firewall di rete globale.
    - Nella sezione Ambito del service account, seleziona In un altro progetto > Service account di destinazione. per specificare un account di servizio in un progetto di servizio VPC condiviso.
  - Tag sicuri: restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri specificati. Fai clic su Seleziona ambito per i tag e seleziona l'organizzazione o il progetto che contiene i valori dei tag da corrispondere. Per aggiungere altri valori dei tag, fai clic su Aggiungi tag.
7. Tipo di rete di origine: specifica un tipo di rete:
  - Per ignorare il filtro del traffico in entrata in base al tipo di rete, seleziona Tutti i tipi di rete.
  - Per filtrare il traffico in entrata in base a un tipo di rete specifico, seleziona Tipo di rete specifico, quindi seleziona un tipo di rete:
    - Internet: il traffico in entrata deve corrispondere al tipo di rete internet per i pacchetti in entrata.
    - Non internet: il traffico in entrata deve corrispondere al tipo di rete non internet per i pacchetti in entrata.
    - Intra-VPC: il traffico in entrata deve corrispondere ai criteri per il tipo di rete intra-VPC.
    - Reti VPC: il traffico in entrata deve corrispondere ai criteri per il tipo di reti VPC. Devi selezionare almeno una rete VPC:
      - Seleziona progetto attuale: consente di aggiungere una o più reti VPC dal progetto che contiene la policy firewall.
      - Inserisci manualmente la rete: ti consente di inserire manualmente un progetto e una rete VPC.
      - Seleziona progetto: ti consente di selezionare un progetto da cui puoi selezionare una rete VPC.
8. Filtri di origine: specifica parametri di origine aggiuntivi. Alcuni parametri della sorgente non possono essere utilizzati insieme e il tipo di rete della sorgente limita i parametri della sorgente che puoi utilizzare. Per maggiori informazioni, consulta Origini per le regole in entrata e Combinazioni di origini delle regole in entrata.
  - Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
  - Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6 e poi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6.
  - Per filtrare il traffico in entrata in base ai valori dei tag sicuri di origine, seleziona Seleziona ambito per i tag nella sezione Tag sicuri. Poi, fornisci le chiavi e i valori dei tag. Per aggiungere altri valori dei tag, fai clic su Aggiungi tag.
  - Per filtrare il traffico in entrata in base al nome di dominio completo di origine, inserisci i nomi di dominio completi nel campo Nomi di dominio completi. Per ulteriori informazioni, vedi Oggetti FQDN.
  - Per filtrare il traffico in entrata in base alla geolocalizzazione della sorgente, seleziona una o più località dal campo Geolocalizzazioni. Per saperne di più, consulta Oggetti di geolocalizzazione.
  - Per filtrare il traffico in entrata in base al gruppo di indirizzi di origine, seleziona uno o più gruppi di indirizzi dal campo Gruppi di indirizzi. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall.
  - Per filtrare il traffico in entrata in base alle liste di Google Threat Intelligence di origine, seleziona una o più liste di Google Threat Intelligence dal campo Google Cloud Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
9. Destinazione: specifica i parametri di destinazione facoltativi. Per ulteriori informazioni, consulta Destinazioni per le regole in entrata.
  - Per ignorare il filtro del traffico in entrata in base all'indirizzo IP di destinazione, seleziona Nessuno.
  - Per filtrare il traffico in entrata in base all'indirizzo IP di destinazione, seleziona IPv4 o IPv6 e poi inserisci uno o più CIDR utilizzando lo stesso formato utilizzato per gli intervalli IPv4 di origine o gli intervalli IPv6 di origine.
10. Protocolli e porte: specifica i protocolli e le porte di destinazione per il traffico in modo che corrispondano alla regola. Per ulteriori informazioni, consulta Protocolli e porte.
11. Applicazione: specifica se la regola firewall viene applicata o meno:
  - Attivato: crea la regola e inizia ad applicarla alle nuove connessioni.
  - Disattivata: crea la regola, ma non la applica alle nuove connessioni.
Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
POLICY_NAME: il nome della policy del firewall di rete globale in cui vuoi creare la regola.
PROJECT_ID: l'ID progetto che contiene la policy firewall di rete globale.
DESCRIPTION: una descrizione facoltativa per la nuova regola.
ACTION: specifica una delle seguenti azioni:
- allow: consente le connessioni che corrispondono alla regola.
- deny: nega le connessioni che corrispondono alla regola.
- goto_next: continua il processo di valutazione delle regole firewall.
- apply_security_profile_group: invia i pacchetti a un endpoint firewall o a un gruppo di endpoint di intercettazione.
  - Quando l'azione è apply_security_profile_group, devi includere --security-profile-group SECURITY_PROFILE_GROUP, dove SECURITY_PROFILE_GROUP è il nome di un gruppo di profili di sicurezza.
  - Il profilo di sicurezza del gruppo di profili di sicurezza può fare riferimento a un endpoint firewall Cloud NGFW o a un gruppo di endpoint di intercettazione dell'integrazione della sicurezza di rete per l'integrazione in banda.
  - Se il profilo di sicurezza del gruppo di profili di sicurezza fa riferimento a un endpoint firewall Cloud NGFW, includi --tls-inspect o --no-tls-inspect per attivare o disattivare l'ispezione TLS.
I flag --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
Specifica un target:
- Se ometti i flag --target-secure-tags e --target-service-accounts, Cloud NGFW utilizza i target di istanza più ampi.
- TARGET_SECURE_TAGS: un elenco separato da virgole di valori di tag sicuri che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri.
- TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM che utilizzano uno dei service account.
LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
- Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
- Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
- Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
Specifica un'origine per la regola di ingresso. Per saperne di più sulle combinazioni di origini delle regole in entrata:
- SRC_NETWORK_TYPE: definisce i tipi di rete di origine da utilizzare in combinazione con un altro parametro di origine supportato per produrre una combinazione di origine. I valori validi quando --target-type=INSTANCES sono: INTERNET, NON_INTERNET, VPC_NETWORKS o INTRA_VPC. Per saperne di più, consulta Tipi di rete.
- SRC_VPC_NETWORKS: un elenco separato da virgole di reti VPC specificate dai relativi identificatori URL. Specifica questo flag solo quando --src-network-type è VPC_NETWORKS.
- SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
- SRC_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci. I gruppi di indirizzi nell'elenco devono contenere tutti gli indirizzi IPv4 o tutti gli indirizzi IPv6, non una combinazione di entrambi.
- SRC_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
- SRC_SECURE_TAGS: un elenco separato da virgole di tag. Non puoi utilizzare il flag --src-secure-tags se --src-network-type è INTERNET.
- SRC_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione. Non puoi utilizzare il flag --src-region-codes se --src-network-type è NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
- SRC_THREAT_LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall. Non puoi utilizzare il flag --src-threat-intelligence se --src-network-type è NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
(Facoltativo) Specifica una destinazione per la regola in entrata:
- DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

Crea una regola di uscita per le VM di destinazione

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Le indicazioni riportate di seguito mostrano come creare una regola di uscita. Le regole di uscita si applicano solo ai target che sono interfacce di rete delle istanze Compute Engine.

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nell'elenco del selettore dei progetti, seleziona un progetto che contiene una policy firewall di rete globale.
Nella sezione Policy firewall di rete, fai clic sul nome di una policy firewall di rete globale in cui vuoi creare una regola.
Nella sezione Regole firewall, fai clic su Crea regola firewall e specifica i seguenti parametri di configurazione:
1. Priorità: l'ordine di valutazione numerico della regola.
  
  Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
2. Descrizione: fornisci una descrizione facoltativa.
3. Direzione del traffico: seleziona In uscita.
4. Azione in caso di corrispondenza: seleziona una delle seguenti opzioni:
  - Consenti: per consentire le connessioni che corrispondono ai parametri della regola.
  - Nega: per bloccare le connessioni che corrispondono ai parametri della regola.
  - Vai al passaggio successivo: per continuare la procedura di valutazione della regola firewall.
  - Applica gruppo di profili di sicurezza: invia i pacchetti a un endpoint firewall o a un gruppo di endpoint di intercettazione in base allo scopo che selezioni.
    - Per inviare pacchetti a un endpoint firewall Cloud NGFW, seleziona Cloud NGFW Enterprise, quindi seleziona un gruppo di profili di sicurezza. Per abilitare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS.
    - Per inviare pacchetti a un gruppo di endpoint di intercettazione dell'integrazione della sicurezza di rete per l'integrazione in banda, seleziona NSI in banda, quindi seleziona un Gruppo di profili di sicurezza.
5. Log: seleziona On per attivare la registrazione dei log delle regole firewall o Off per disattivarla per questa regola.
6. Target: seleziona una delle seguenti opzioni:
  - Applica a tutti: Cloud NGFW utilizza i target di istanza più ampi.
  - Service account: restringe i target delle istanze più ampi alle interfacce di rete delle istanze VM che utilizzano il account di servizio specificato:
    - Nella sezione Ambito del service account, seleziona In questo progetto > Service account di destinazione. per specificare un account di servizio nello stesso progetto della policy firewall di rete globale.
    - Nella sezione Ambito del service account, seleziona In un altro progetto > Service account di destinazione. per specificare un account di servizio in un progetto di servizio VPC condiviso.
  - Tag sicuri: restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri specificati. Fai clic su Seleziona ambito per i tag e seleziona l'organizzazione o il progetto che contiene i valori dei tag da corrispondere. Per aggiungere altri valori dei tag, fai clic su Aggiungi tag.
7. Tipo di rete di destinazione: specifica un tipo di rete:
  - Per ignorare il filtro del traffico in uscita per tipo di rete, seleziona Tutti i tipi di rete.
  - Per filtrare il traffico in uscita in base a un tipo di rete specifico, seleziona Tipo di rete specifico, quindi seleziona un tipo di rete:
    - Internet: il traffico in uscita deve corrispondere al tipo di rete internet per i pacchetti in uscita.
    - Non internet: il traffico in uscita deve corrispondere al tipo di rete non internet per i pacchetti in uscita.
8. Filtri di destinazione: specifica parametri di destinazione aggiuntivi. Alcuni parametri di destinazione non possono essere utilizzati insieme e la tua scelta del tipo di rete di destinazione limita i filtri di destinazione che puoi utilizzare. Per saperne di più, consulta Destinazioni per le regole in uscita e Combinazioni di destinazioni delle regole in uscita.
  - Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4 e poi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
  - Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6 e poi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi destinazione IPv6.
  - Per filtrare il traffico in uscita in base al nome di dominio completo di destinazione, inserisci i nomi di dominio completi nel campo Nomi di dominio completi. Per ulteriori informazioni, vedi Oggetti FQDN.
  - Per filtrare il traffico in uscita in base alla geolocalizzazione di destinazione, seleziona una o più località dal campo Geolocalizzazioni. Per saperne di più, consulta Oggetti di geolocalizzazione.
  - Per filtrare il traffico in uscita in base al gruppo di indirizzi di destinazione, seleziona uno o più gruppi di indirizzi dal campo Gruppi di indirizzi. Per saperne di più, consulta Gruppi di indirizzi per i criteri firewall.
  - Per filtrare il traffico in uscita in base agli elenchi di Google Threat Intelligence di destinazione, seleziona uno o più elenchi di Google Threat Intelligence dal campo Google Cloud Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
9. Origine: specifica i parametri di origine facoltativi. Per saperne di più, consulta Origini per le regole in uscita.
  - Per ignorare il filtro del traffico in uscita in base all'indirizzo IP di origine, seleziona Nessuno.
  - Per filtrare il traffico in uscita in base all'indirizzo IP di origine, seleziona IPv4 o IPv6 e poi inserisci uno o più CIDR utilizzando lo stesso formato utilizzato per gli intervalli IPv4 di destinazione o gli intervalli IPv6 di destinazione.
10. Protocolli e porte: specifica i protocolli e le porte di destinazione per il traffico in modo che corrispondano alla regola. Per ulteriori informazioni, consulta Protocolli e porte.
11. Applicazione: specifica se la regola firewall viene applicata o meno:
  - Attivato: crea la regola e inizia ad applicarla alle nuove connessioni.
  - Disattivata: crea la regola, ma non la applica alle nuove connessioni.
Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
POLICY_NAME: il nome della policy del firewall di rete globale in cui vuoi creare la regola.
PROJECT_ID: l'ID progetto che contiene la policy firewall di rete globale.
DESCRIPTION: una descrizione facoltativa per la nuova regola.
ACTION: specifica una delle seguenti azioni:
- allow: consente le connessioni che corrispondono alla regola.
- deny: nega le connessioni che corrispondono alla regola.
- goto_next: continua il processo di valutazione delle regole firewall.
- apply_security_profile_group: invia i pacchetti a un endpoint firewall o a un gruppo di endpoint di intercettazione.
  - Quando l'azione è apply_security_profile_group, devi includere --security-profile-group SECURITY_PROFILE_GROUP, dove SECURITY_PROFILE_GROUP è il nome di un gruppo di profili di sicurezza.
  - Il profilo di sicurezza del gruppo di profili di sicurezza può fare riferimento a un endpoint firewall Cloud NGFW o a un gruppo di endpoint di intercettazione dell'integrazione della sicurezza di rete per l'integrazione in banda.
  - Se il profilo di sicurezza del gruppo di profili di sicurezza fa riferimento a un endpoint firewall Cloud NGFW, includi --tls-inspect o --no-tls-inspect per attivare o disattivare l'ispezione TLS.
I flag --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
Specifica un target:
- Se ometti i flag --target-secure-tags e --target-service-accounts, Cloud NGFW utilizza i target di istanza più ampi.
- TARGET_SECURE_TAGS: un elenco separato da virgole di valori di tag sicuri che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri.
- TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM che utilizzano uno dei service account.
LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
- Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
- Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
- Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
Specifica una destinazione per la regola in uscita. Per saperne di più, consulta Combinazioni di destinazioni delle regole in uscita:
- DEST_NETWORK_TYPE: definisce i tipi di rete di destinazione da utilizzare insieme a un altro parametro di destinazione supportato per produrre una combinazione di destinazioni. I valori validi sono INTERNET e NON_INTERNET. Per maggiori informazioni, consulta Tipi di rete.
- DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
- DEST_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci.
- DEST_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
- DEST_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione.
- DEST_THREAT_LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
(Facoltativo) Specifica un'origine per la regola di uscita:
- SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

Aggiornare una regola

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.get
compute.firewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete globale.
Fai clic sul nome della policy del firewall di rete globale che contiene la regola da aggiornare.
Fai clic sulla priorità della regola.
Fai clic su Modifica.
Modifica i campi della regola firewall che vuoi cambiare. Per le descrizioni di ogni campo, consulta uno dei seguenti articoli:
- Crea una regola di ingresso per le VM di destinazione
- Crea una regola di uscita per le VM di destinazione
Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

Sostituisci quanto segue:

PRIORITY: il numero di priorità che identifica in modo univoco la regola.
POLICY_NAME: il nome della policy che contiene la regola.

Fornisci i flag che vuoi modificare. Per le descrizioni dei flag, consulta uno dei seguenti articoli:

Crea una regola in entrata per le VM di destinazione
Crea una regola di uscita per le VM di destinazione

Descrivere una regola

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.get

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy.
Fai clic sulla priorità della regola.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Sostituisci quanto segue:

PRIORITY: il numero di priorità che identifica in modo univoco la regola.
POLICY_NAME: il nome della policy che contiene la regola.

Eliminare una regola

L'eliminazione di una regola da un criterio fa sì che la regola non venga più applicata alle nuove connessioni da o verso la destinazione della regola.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy.
Seleziona la regola che vuoi eliminare.
Fai clic su Elimina.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Sostituisci quanto segue:

PRIORITY: il numero di priorità che identifica in modo univoco la regola.
POLICY_NAME: il nome della policy che contiene la regola.

Clonare le regole da una policy a un'altra

La clonazione copia le regole da una policy di origine a una policy di destinazione, sostituendo tutte le regole esistenti nella policy di destinazione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.cloneRules

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy da cui vuoi copiare le regole.
Fai clic su Clona nella parte superiore dello schermo.
Fornisci il nome di una norma di destinazione.
Se vuoi associare immediatamente la nuova norma, fai clic su Continua > Associa.
Nella pagina Associa policy a reti VPC, seleziona le reti e fai clic su Associa.
Fai clic su Continua.
Fai clic su Clona.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Sostituisci quanto segue:

TARGET_POLICY: il nome della policy di destinazione.
SOURCE_POLICY: l'URL della policy di origine.

Recupera le regole firewall effettive per una rete

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali che si applicano a tutte le regioni di una rete VPC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul progetto contenente la rete o
Utente di rete Compute (roles/compute.networkUser) sul progetto contenente la rete o
Visualizzatore di rete Compute (roles/compute.networkViewer) sul progetto contenente la rete o
Compute Security Admin (roles/compute.securityAdmin) sul progetto contenente la rete o
Compute Viewer (roles/compute.viewer) sul progetto contenente la rete

Console

Nella console Google Cloud , vai alla pagina Reti VPC.

Vai a Reti VPC
Fai clic sulla rete per cui vuoi visualizzare le regole dei criteri firewall.
Nella pagina Dettagli rete VPC, fai clic sulla scheda Firewall.
Per visualizzare le regole che si applicano a questa rete, fai clic sulla scheda Visualizzazione regole firewall.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci NETWORK_NAME con la rete per cui vuoi visualizzare le regole effettive.

Puoi anche visualizzare le regole firewall effettive per una rete dalla pagina Firewall.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.organizations.listAssociations sulla rete
(Facoltativo) resourcemanager.folders.get e resourcemanager.organizations.get per visualizzare le informazioni nelle colonne Ereditato da e Posizione

Ruoli

Per visualizzare le regole firewall:

Compute Organization Resource Admin (roles/compute.orgSecurityResourceAdmin)
Visualizzatore Compute (roles/compute.viewer)

(Facoltativo) Per visualizzare le informazioni nelle colonne Ereditato da e Situato in:

Browser (roles/browser)
Amministratore organizzazione (roles/resourcemanager.organizationAdmin)

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Le policy firewall sono elencate nella sezione Policy firewall ereditate da questo progetto.
Fai clic su ogni criterio firewall per visualizzare le regole che si applicano a questa rete.

Recupera le regole firewall effettive per un'interfaccia VM

Puoi visualizzare tutte le regole firewall, da tutte le norme firewall applicabili e dalle regole firewall VPC, che si applicano a un'interfaccia di rete di una VM Compute Engine.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.instances.getEffectiveFirewalls

Ruoli

Amministratore istanze Compute (roles/compute.instanceAdmin) sul progetto contenente l'istanza VM o
Instance Group Manager Service Agent (roles/compute.instanceGroupManagerServiceAgent) sul progetto contenente l'istanza VM o
Compute Security Admin (roles/compute.securityAdmin) sul progetto contenente l'istanza VM o
Compute Viewer (roles/compute.viewer) sul progetto contenente l'istanza VM

Console

Nella console Google Cloud , vai alla pagina Istanze VM.

Vai a Istanze VM
Nel menu del selettore dei progetti, seleziona il progetto che contiene la VM.
Fai clic sulla VM.
In Interfacce di rete, fai clic sul nome dell'interfaccia.
Nella sezione Analisi della configurazione di rete, fai clic sulla scheda Firewall.
Per visualizzare le regole firewall effettive, fai clic sulla scheda Visualizzazione regole firewall.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Sostituisci quanto segue:

INSTANCE_NAME: la VM per cui vuoi visualizzare le regole effettive; se non viene specificata alcuna interfaccia, il comando restituisce le regole per l'interfaccia principale (nic0).
INTERFACE: l'interfaccia VM per cui vuoi visualizzare le regole effettive; il valore predefinito è nic0.
ZONE: la zona della VM; questa riga è facoltativa se la zona scelta è già impostata come predefinita.

Utilizzo di criteri e regole firewall di rete globali Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Attività relative alle policy del firewall

Crea una policy del firewall di rete globale

Autorizzazioni richieste per questa attività

Console

gcloud

Associa un criterio a una rete

Autorizzazioni richieste per questa attività

Console

gcloud

Eliminare un'associazione

Autorizzazioni richieste per questa attività

Console

gcloud

Descrivi una policy firewall di rete globale

Autorizzazioni richieste per questa attività

Console

gcloud

Aggiorna la descrizione di una policy del firewall di rete globale

Autorizzazioni richieste per questa attività

Console

gcloud

Elenca i criteri firewall di rete globali

Autorizzazioni richieste per questa attività

Console

gcloud

Elimina una policy firewall di rete globale

Autorizzazioni richieste per questa attività

Console

gcloud

Attività della regola del criterio firewall

Crea una regola in entrata per i target VM

Autorizzazioni richieste per questa attività

Console

gcloud

Crea una regola di uscita per le VM di destinazione

Autorizzazioni richieste per questa attività

Console

gcloud

Aggiornare una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Descrivere una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Eliminare una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Clonare le regole da una policy a un'altra

Autorizzazioni richieste per questa attività

Console

gcloud

Recupera le regole firewall effettive per una rete

Autorizzazioni richieste per questa attività

Console

gcloud

Autorizzazioni richieste per questa attività

Console

Recupera le regole firewall effettive per un'interfaccia VM

Autorizzazioni richieste per questa attività

Console

gcloud

Utilizzo di criteri e regole firewall di rete globali