כדי לנהל את תעבורת הרשת באזור מסוים של רשת ענן וירטואלי פרטי (VPC), צריך להגדיר מדיניות וכללים של חומת אש אזורית לרשת. בדף הזה מוסבר איך ליצור מדיניות אזורית של חומת אש ברשת, לקשר אותה לרשת VPC ולאזור ספציפיים, ואז להגדיר כללים. הכללים האלה שולטים בתעבורת הנתונים הנכנסת (ingress) והיוצאת (egress) למכונות וירטואליות (VM) ולמאזני עומסים פנימיים.
לפני שקוראים את הדף הזה, חשוב להכיר את המושגים שמתוארים במאמר מדיניות חומת אש אזורית לרשת.
יצירת מדיניות חומת אש אזורית ברשת
כשיוצרים מדיניות אזורית של חומת אש ברשת באמצעות מסוף Google Cloud , אפשר לשייך את המדיניות לאזור ולרשת VPC במהלך היצירה. אם יוצרים את המדיניות באמצעות Google Cloud CLI, צריך לשייך את המדיניות לאזור ולרשת אחרי שיוצרים אותה.
רשת ה-VPC שאליה משויכת מדיניות חומת האש האזורית חייבת להיות באותו פרויקט שבו נמצאת מדיניות חומת האש האזורית.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הפרויקט בארגון.
לוחצים על יצירת מדיניות חומת אש.
בשדה Policy name, מזינים שם למדיניות.
בקטע Policy type (סוג המדיניות), בוחרים באפשרות VPC policy (מדיניות VPC) או RDMA RoCE policy (מדיניות RDMA RoCE).
בשדה היקף הפריסה, בוחרים באפשרות אזורי. בוחרים את האזור שבו רוצים ליצור את מדיניות חומת האש.
כדי ליצור כללים למדיניות, לוחצים על המשך.
בקטע הוספת כללים, לוחצים על יצירת כלל חומת אש. למידע נוסף על יצירת כללים של חומת אש:
אם רוצים לשייך את המדיניות לרשת, לוחצים על המשך.
בקטע Associate policy with networks (שיוך מדיניות לרשתות), לוחצים על Associate (שיוך).
מידע נוסף זמין במאמר קישור מדיניות לרשת.
לוחצים על יצירה.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--policy-type POLICY_TYPE \
--region=REGION_NAME
מחליפים את מה שכתוב בשדות הבאים:
NETWORK_FIREWALL_POLICY_NAME: שם למדיניות-
DESCRIPTION: תיאור של המדיניות -
POLICY_TYPE: סוג מדיניות חומת האש ברשת. מידע נוסף זמין במאמר מפרטים. -
REGION_NAME: האזור של המדיניות
שיוך מדיניות לרשת
אפשר לשייך מדיניות אזורית של חומת אש ברשת לאזור ברשת VPC, ולהחיל את הכללים במדיניות על האזור הזה ברשת.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.
לוחצים על המדיניות הרלוונטית.
לוחצים על הכרטיסייה שיוכים.
לוחצים על הוספת שיוך.
בוחרים את הרשתות בפרויקט.
לוחצים על קישור.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--network NETWORK_NAME \
--name ASSOCIATION_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
POLICY_NAME: השם המקוצר או השם שנוצר על ידי המערכת של המדיניות. -
POLICY_REGION: האזור במדיניות שמכיל את הכלל. -
NETWORK_NAME: השם של הרשת המשויכת. -
ASSOCIATION_NAME: שם אופציונלי של השיוך. אם לא מציינים שם, השם מוגדר כ-network-NETWORK_NAME.
הוספת כללים למדיניות חומת אש אזורית ברשת
בקטע הזה מוסבר איך מוסיפים כללים למדיניות חומת אש אזורית ברשת.
יצירת כלל תעבורת נתונים נכנסת (ingress) למכונות וירטואליות כיעדים
בקטע הזה מוסבר איך ליצור כלל תעבורה נכנסת שחל על ממשקי רשת של מכונות Compute Engine.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
ברשימת הפרויקטים, בוחרים פרויקט שמכיל מדיניות אזורית של חומת אש ברשת.
בקטע Network firewall policies, לוחצים על השם של מדיניות חומת אש אזורית ברשת שבה רוצים ליצור כלל.
בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:
עדיפות: סדר ההערכה המספרי של הכלל.
הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר
0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.תיאור: אפשר לספק תיאור אופציונלי.
כיוון התנועה: בוחרים באפשרות תנועה נכנסת (ingress).
פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:
- Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
- דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
- הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.
טירגוט: בוחרים אחת מהאפשרויות הבאות:
- החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
-
חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם:
- בקטע Service account scope בוחרים באפשרות In this project > Target service account. כדי לציין חשבון שירות באותו פרויקט כמו מדיניות חומת האש של הרשת האזורית.
- בקטע Service account scope בוחרים באפשרות In another project > Target service account. הפעולה הזו נועדה להגדיר חשבון שירות בפרויקט שירות של VPC משותף.
- תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
Source network context: specify a network context:
- כדי לדלג על סינון התנועה הנכנסת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
- כדי לסנן תנועה נכנסת להקשר רשת ספציפי, בוחרים באפשרות הקשר רשת ספציפי ואז בוחרים הקשר רשת:
- אינטרנט: תעבורה נכנסת צריכה להתאים להקשר של רשת האינטרנט לחבילות נתונים נכנסות.
- לא אינטרנט: תעבורה נכנסת צריכה להתאים להקשר של רשת לא אינטרנט לחבילות נכנסות.
- בתוך VPC: תעבורת נתונים נכנסת צריכה להתאים לקריטריונים של הקשר ברשת בתוך VPC.
- רשתות VPC: תעבורה נכנסת צריכה להתאים לקריטריונים להקשר של רשתות VPC.
צריך לבחור לפחות רשת VPC אחת:
- בחירת הפרויקט הנוכחי: מאפשרת להוסיף רשת VPC אחת או יותר מהפרויקט שמכיל את מדיניות חומת האש.
- הזנה ידנית של רשת: מאפשרת להזין באופן ידני פרויקט ורשת VPC.
- בחירת פרויקט: מאפשרת לבחור פרויקט שממנו אפשר לבחור רשת VPC.
מסנני מקור: מציינים פרמטרים נוספים של מקור. אי אפשר להשתמש בחלק מהפרמטרים של מקורות תנועה ביחד, וההקשר של רשת המקורות שתבחרו מגביל את הפרמטרים של מקורות התנועה שבהם תוכלו להשתמש. מידע נוסף זמין במאמרים מקורות לכללי תעבורה נכנסת ושילובים של מקורות לכללי תעבורה נכנסת.
- כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv4 של המקור, בוחרים באפשרות IPv4 ואז מזינים את בלוקי ה-CIDR בשדה טווחי כתובות IP. משתמשים בערך
0.0.0.0/0לכל מקור IPv4. - כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv6 של המקור, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווח כתובות IPv6. משתמשים ב-
::/0לכל מקור IPv6. - כדי לסנן תנועה נכנסת לפי ערכי תגים מאובטחים של מקורות, בוחרים באפשרות בחירת היקף לתגים בקטע תגים מאובטחים. לאחר מכן, מציינים את מפתחות התגים ואת ערכי התגים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
- כדי לסנן תנועה נכנסת לפי FQDN של המקור, מזינים FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
- כדי לסנן תנועה נכנסת לפי מיקום גיאוגרפי של המקור, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
- כדי לסנן תנועה נכנסת לפי קבוצת כתובות מקור, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר קבוצות כתובות למדיניות של חומת אש.
- כדי לסנן תנועה נכנסת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא Google Threat Intelligence לכללים של מדיניות חומת האש.
- כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv4 של המקור, בוחרים באפשרות IPv4 ואז מזינים את בלוקי ה-CIDR בשדה טווחי כתובות IP. משתמשים בערך
יעד: מציינים פרמטרים אופציונליים של יעד. מידע נוסף זמין במאמר יעדים לכללי תעבורה נכנסת.
- כדי לדלג על סינון תנועה נכנסת לפי כתובת IP של יעד, בוחרים באפשרות ללא.
- כדי לסנן תנועה נכנסת לפי כתובת IP של היעד, בוחרים באפשרות IPv4 או IPv6 ומזינים CIDR אחד או יותר באותו פורמט שבו השתמשתם לטווחים של כתובות IPv4 או IPv6 של המקור.
פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.
אכיפה: מציינים אם כלל חומת האש נאכף או לא:
- מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
- מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
לוחצים על יצירה.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
מחליפים את מה שכתוב בשדות הבאים:
-
PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך. -
POLICY_NAME: השם של מדיניות חומת האש האזורית שבה רוצים ליצור את הכלל. -
PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש האזורית ברשת. -
POLICY_REGION: האזור של המדיניות. -
DESCRIPTION: תיאור אופציונלי של הכלל החדש. -
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכלל. -
deny: דוחה חיבורים שתואמים לכלל. -
goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
-
- הדגלים
--enable-loggingו---no-enable-loggingמאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC. - הדגלים
--disabledו---no-disabledקובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף). -
מציינים יעד:
- אם לא מציינים את האפשרויות
--target-secure-tagsו---target-service-accounts, Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר. -
TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים. -
TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
- אם לא מציינים את האפשרויות
-
LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:- שם של פרוטוקול IP (
tcp) או מספר פרוטוקול IP של IANA (17) בלי יציאת יעד. - שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (
tcp:80). - שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (
tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
- שם של פרוטוקול IP (
-
מציינים מקור לכלל הכניסה.
מידע נוסף על שילובים של מקורות של כללי Ingress
-
SRC_NETWORK_CONTEXT: מגדיר הקשרים של רשתות מקור לשימוש בשילוב עם פרמטר מקור נתמך אחר כדי ליצור שילוב מקורות. הערכים התקפים כשמשתמשים בערך--target-type=INSTANCESהם:INTERNET,NON_INTERNET,VPC_NETWORKSאוINTRA_VPC. מידע נוסף זמין במאמר בנושא הקשרים של רשתות. -
SRC_VPC_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו לפי מזהי כתובות ה-URL שלהן. מציינים את הדגל הזה רק אם הערך של--src-network-contextהואVPC_NETWORKS. -
SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם. -
SRC_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. קבוצות הכתובות ברשימה צריכות להכיל את כל כתובות IPv4 או את כל כתובות IPv6, ולא שילוב של שתיהן. -
SRC_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין. -
SRC_SECURE_TAGS: רשימה מופרדת בפסיקים של תגים. אי אפשר להשתמש בדגל--src-secure-tagsאם הערך של--src-network-contextהואINTERNET. -
SRC_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי. אי אפשר להשתמש בדגל--src-region-codesאם הערך של--src-network-contextהואNON_INTERNET,VPC_NETWORKSאוINTRA_VPC. -
SRC_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence. אי אפשר להשתמש בדגל--src-threat-intelligenceאם הערך של--src-network-contextהואNON_INTERNET,VPC_NETWORKSאוINTRA_VPC.
-
-
אפשר גם לציין יעד לכלל התעבורה הנכנסת:
-
DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
-
יצירת כלל Ingress ליעדים של מאזן עומסים פנימי
כדי להגביל את הגישה לכללי העברה של מאזן עומסים של אפליקציות פנימי או של מאזן עומסי רשת פנימי לשרת proxy, צריך ליצור לפחות שני כללי תעבורת נתונים נכנסת (ingress) עם--target-type=INTERNAL_MANAGED_LB. הדבר נחוץ כי הפעולה המשתמעת ליעדים של מאזן עומסים של אפליקציות פנימי ומאזן עומסי רשת פנימי לשרת proxy מאפשרת תעבורת נתונים נכנסת.
הכללים שנדרשים להגבלת הגישה הם:
- כלל חומת אש עם עדיפות נמוכה יותר לסירוב תעבורה נכנסת עם
--src-ip-ranges=0.0.0.0/0. - כלל חומת אש להיתר כניסה בעדיפות גבוהה יותר עם פרמטרי המקור שציינתם.
בקטע הזה מוסבר איך ליצור כלל כניסה למאזני עומסים פנימיים של אפליקציות ולמטרות פנימיות של מאזני עומסי רשת פרוקסי.
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
--target-type=INTERNAL_MANAGED_LB \
[--target-forwarding-rules=TARGET_FORWARDING_RULES] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
מחליפים את מה שכתוב בשדות הבאים:
-
PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך. -
POLICY_NAME: השם של מדיניות חומת האש האזורית שבה רוצים ליצור את הכלל. -
PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש האזורית ברשת. -
POLICY_REGION: האזור של המדיניות. -
DESCRIPTION: תיאור אופציונלי של הכלל החדש. -
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכלל. -
deny: דוחה חיבורים שתואמים לכלל. -
goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
-
- הדגלים
--enable-loggingו---no-enable-loggingמאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC. - הדגלים
--disabledו---no-disabledקובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף). -
מציינים יעד:
- אם לא מציינים את האפשרות
--target-forwarding-rules, Cloud NGFW משתמש ביעדים של מאזן העומסים הרחב ביותר. -
TARGET_FORWARDING_RULES: כלל העברה יחיד למאזן עומסים פנימי של אפליקציות (ALB) או למאזן עומסי רשת פנימי לשרת proxy, שצוין בפורמט של כללי העברה ליעד. הפרמטר הזה מצמצם את היעדים הרחבים ביותר של מאזן העומסים למאזן עומסים פנימי ספציפי של אפליקציות (ALB) או למאזן עומסי רשת פנימי לשרת proxy.
- אם לא מציינים את האפשרות
-
LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:- שם של פרוטוקול IP (
tcp) או מספר פרוטוקול IP של IANA (17) בלי יציאת יעד. - שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (
tcp:80). - שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (
tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
- שם של פרוטוקול IP (
-
מציינים מקור לכלל הכניסה.
מידע נוסף על שילובים של מקורות של כללי Ingress
-
SRC_NETWORK_CONTEXT: מגדיר הקשרים של רשתות מקור לשימוש בשילוב עם פרמטר מקור נתמך אחר כדי ליצור שילוב מקורות. הערכים התקינים כשמציינים--target-type=INTERNAL_MANAGED_LBהםVPC_NETWORKSאוINTRA_VPC. מידע נוסף זמין במאמר בנושא הקשרים של רשתות. -
SRC_VPC_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו לפי מזהי כתובות ה-URL שלהן. מציינים את הדגל הזה רק אם הערך של--src-network-contextהואVPC_NETWORKS. -
SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם. -
SRC_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. קבוצות הכתובות ברשימה צריכות להכיל את כל כתובות IPv4 או את כל כתובות IPv6, ולא שילוב של שתיהן. -
SRC_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין.
-
-
אפשר גם לציין יעד לכלל התעבורה הנכנסת:
-
DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
-
יצירת כלל לתעבורת נתונים יוצאת (egress) למכונות וירטואליות (VM) כיעדים
בהוראות הבאות מוסבר איך ליצור כלל יציאה. כללי תעבורת נתונים יוצאת (egress) חלים רק על יעדים שהם ממשקי רשת של מכונות ב-Compute Engine.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
ברשימת הפרויקטים, בוחרים פרויקט שמכיל מדיניות אזורית של חומת אש ברשת.
בקטע Network firewall policies, לוחצים על השם של מדיניות חומת אש אזורית ברשת שבה רוצים ליצור כלל.
בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:
עדיפות: סדר ההערכה המספרי של הכלל.
הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר
0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.תיאור: אפשר לספק תיאור אופציונלי.
כיוון התנועה: בוחרים באפשרות יציאה.
פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:
- Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
- דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
- הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.
טירגוט: בוחרים אחת מהאפשרויות הבאות:
- החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
-
חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם:
- בקטע Service account scope בוחרים באפשרות In this project > Target service account. כדי לציין חשבון שירות באותו פרויקט כמו מדיניות חומת האש של הרשת האזורית.
- בקטע Service account scope בוחרים באפשרות In another project > Target service account. הפעולה הזו נועדה להגדיר חשבון שירות בפרויקט שירות של VPC משותף.
- תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
הקשר של רשת היעד: מציינים הקשר של רשת:
- כדי לדלג על סינון התנועה היוצאת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
- כדי לסנן תנועה יוצאת להקשר רשת ספציפי, בוחרים באפשרות Specific network context (הקשר רשת ספציפי) ואז בוחרים הקשר רשת:
- אינטרנט: תנועה יוצאת חייבת להתאים להקשר של רשת האינטרנט עבור מנות יוצאות.
- לא אינטרנטית: תעבורת נתונים יוצאת צריכה להתאים להקשר של רשת לא אינטרנטית למנות יוצאות.
מסנני יעד: מציינים פרמטרים נוספים של יעד. אי אפשר להשתמש בחלק מהפרמטרים של היעד ביחד, וההקשר של רשת היעד מגביל את המסננים שאפשר להשתמש בהם. מידע נוסף זמין במאמרים יעדים לכללי תעבורה יוצאת ושילובים של יעדים לכללי תעבורה יוצאת.
- כדי לסנן תנועה יוצאת לפי טווחי יעד של כתובות IPv4, בוחרים באפשרות IPv4 ומזינים את בלוקי ה-CIDR בשדה IP ranges (טווחי כתובות IP). אפשר להשתמש ב-
0.0.0.0/0לכל יעד IPv4. - כדי לסנן תנועה יוצאת לפי טווחי יעד של IPv6, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווחים של IPv6. שימוש ב-
::/0לכל יעד IPv6. - כדי לסנן תנועה יוצאת לפי FQDN של היעד, מזינים את ה-FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
- כדי לסנן תנועה יוצאת לפי מיקום גיאוגרפי של היעד, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
- כדי לסנן תנועה יוצאת לפי קבוצת כתובות יעד, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר בנושא קבוצות כתובות לכללי מדיניות של חומת אש.
- כדי לסנן תנועה יוצאת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
- כדי לסנן תנועה יוצאת לפי טווחי יעד של כתובות IPv4, בוחרים באפשרות IPv4 ומזינים את בלוקי ה-CIDR בשדה IP ranges (טווחי כתובות IP). אפשר להשתמש ב-
מקור: מציינים פרמטרים אופציונליים של מקור. מידע נוסף זמין במאמר בנושא מקורות לכללי תעבורה יוצאת.
- כדי לדלג על סינון תנועה יוצאת לפי כתובת IP של מקור, בוחרים באפשרות ללא.
- כדי לסנן תנועה יוצאת לפי כתובת IP של המקור, בוחרים באפשרות IPv4 או IPv6 ואז מזינים CIDR אחד או יותר באותו פורמט שבו משתמשים לטווחים של כתובות IPv4 של היעד או לטווחים של כתובות IPv6 של היעד.
פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.
אכיפה: מציינים אם כלל חומת האש נאכף או לא:
- מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
- מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
לוחצים על יצירה.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
מחליפים את מה שכתוב בשדות הבאים:
-
PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר0היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה,100,200,300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך. -
POLICY_NAME: השם של מדיניות חומת האש האזורית שבה רוצים ליצור את הכלל. -
PROJECT_ID: מזהה הפרויקט שמכיל את מדיניות חומת האש האזורית ברשת. -
POLICY_REGION: האזור של המדיניות. -
DESCRIPTION: תיאור אופציונלי של הכלל החדש. -
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכלל. -
deny: דוחה חיבורים שתואמים לכלל. -
goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
-
- הדגלים
--enable-loggingו---no-enable-loggingמאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC. - הדגלים
--disabledו---no-disabledקובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף). -
מציינים יעד:
- אם לא מציינים את האפשרויות
--target-secure-tagsו---target-service-accounts, Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר. -
TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים. -
TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
- אם לא מציינים את האפשרויות
-
LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:- שם של פרוטוקול IP (
tcp) או מספר פרוטוקול IP של IANA (17) בלי יציאת יעד. - שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (
tcp:80). - שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (
tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
- שם של פרוטוקול IP (
-
מציינים יעד לכלל התעבורה היוצאת (egress).
מידע נוסף על שילובים של יעדים בכלל יציאה
DEST_NETWORK_CONTEXT: מגדיר הקשרים של רשת היעד לשימוש בשילוב עם פרמטר יעד נתמך אחר כדי ליצור שילוב יעד. הערכים התקינים הםINTERNETו-NON_INTERNET. מידע נוסף זמין במאמר בנושא הקשרים של הרשת.-
DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם. -
DEST_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. -
DEST_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין. -
DEST_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי. -
DEST_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
-
אופציונלי: מציינים מקור לכלל התעבורה היוצאת:
-
SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
-
המאמרים הבאים
- מדיניות אזורית של חומת אש בין רשתות
- מדיניות חומת אש היררכית
- יצירת כללים ומדיניות לחומת אש בין רשתות גלובליות