Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di criteri e regole firewall di rete regionali

Questa pagina presuppone che tu abbia familiarità con i concetti descritti in Policy firewall di rete regionali.

Attività relative alle policy del firewall

Questa sezione descrive come creare, associare e gestire le policy del firewall di rete regionali.

Crea una policy firewall di rete regionale

Quando crei una policy firewall di rete regionale utilizzando la console Google Cloud , puoi associare la policy a una regione e a una rete Virtual Private Cloud (VPC) durante la creazione. Se crei il criterio utilizzando Google Cloud CLI, devi associarlo a una regione e a una rete dopo averlo creato.

La rete VPC a cui è associata la policy firewall di rete a livello di regione deve trovarsi nello stesso progetto della policy firewall di rete a livello di regione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.create

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto in cui vuoi creare la policy

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.
Fai clic su Crea criterio firewall.
Nel campo Nome policy, inserisci un nome per la policy.
In Ambito di deployment, seleziona A livello di regione. Seleziona la regione in cui vuoi creare questa policy di firewall.
Per creare regole per la tua policy, fai clic su Continua.
Nella sezione Aggiungi regole, fai clic su Crea regola firewall.

Per saperne di più, vedi Creare una regola.
Se vuoi associare il criterio a una rete, fai clic su Continua.
Nella sezione Associa criterio alle reti, fai clic su Associa.

Per saperne di più, consulta Associare una policy a una rete.
Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Sostituisci quanto segue:

NETWORK_FIREWALL_POLICY_NAME: un nome per la policy
DESCRIPTION: una descrizione della policy
REGION_NAME: la regione per la policy

Associa un criterio a una rete

Puoi associare una policy firewall di rete regionale a una regione di una rete VPC e applicare le regole della policy a quella regione di rete.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.use
compute.networks.setFirewallPolicy

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall che contiene il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la tua policy.
Fai clic sulla policy.
Fai clic sulla scheda Associazioni.
Fai clic su Aggiungi associazione.
Seleziona le reti all'interno del progetto.
Fai clic su Associa.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

POLICY_NAME: il nome breve o il nome generato dal sistema della policy.
NETWORK_NAME: il nome della rete associata.
ASSOCIATION_NAME: un nome facoltativo per l'associazione. Se non specificato, il nome è impostato su network-NETWORK_NAME.
REGION_NAME: la regione della policy.

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi sostituire un criterio firewall con un altro, non devi prima eliminare l'associazione esistente. L'eliminazione di questa associazione lascia un periodo di tempo in cui nessuna policy viene applicata. Sostituisci invece la policy esistente quando associ una nuova policy.

Per eliminare un'associazione tra una policy del firewall di rete regionale e una regione di una rete VPC, segui i passaggi descritti in questa sezione. Le regole nella policy firewall di rete regionale non si applicano alle nuove connessioni dopo l'eliminazione dell'associazione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.use

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto contenente la rete

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il tuo progetto o la cartella che contiene la policy.
Fai clic sulla policy.
Fai clic sulla scheda Associazioni.
Seleziona l'associazione che vuoi eliminare.
Fai clic su Rimuovi associazione.

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Descrivi un criterio firewall di rete a livello di regione

Puoi visualizzare i dettagli di una policy firewall di rete regionale, incluse le regole della policy e gli attributi delle regole associati. Tutti questi attributi delle regole vengono conteggiati come parte della quota degli attributi delle regole. Per saperne di più, consulta "Attributi delle regole per policy del firewall di rete regionale" nella tabella Per policy del firewall. Inoltre, puoi visualizzare le priorità delle associazioni di reti VPC esistenti.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.get

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall che contiene il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete a livello di regione.
Fai clic sulla policy.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Aggiorna la descrizione di un criterio firewall di rete a livello di regione

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy firewall di rete a livello di regione.
Fai clic sulla policy.
Fai clic su Modifica.
Nel campo Descrizione, modifica la descrizione.
Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Elenca i criteri firewall di rete regionali

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.list

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall che contiene il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.

La sezione Policy firewall di rete mostra le policy disponibili nel tuo progetto.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Elimina un criterio firewall di rete a livello di regione

Prima di poter eliminare una policy firewall di rete regionale, devi eliminare tutte le relative associazioni.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.delete

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy che vuoi eliminare.
Fai clic sulla scheda Associazioni.
Seleziona tutte le associazioni.
Fai clic su Rimuovi associazione.
Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Utilizza il seguente comando per eliminare la policy:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Attività delle regole dei criteri firewall

Questa sezione descrive come creare e gestire le regole delle policy del firewall di rete regionali.

Crea una regola

Ogni regola in una policy firewall di rete regionale è una regola in entrata o in uscita con una priorità univoca. Per informazioni dettagliate sugli altri parametri di una regola, incluse le combinazioni di origine e destinazione valide, consulta Regole delle policy firewall.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la tua policy.
Fai clic sul nome della norma regionale.
Per Regole firewall, fai clic su Crea regola firewall.
Compila i campi della regola:
1. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
2. Imposta la raccolta Log su On o Off.
3. Per Direzione del traffico, scegli In entrata o In uscita.
4. In Azione in caso di corrispondenza, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti), negate (Nega) o se la valutazione della connessione viene passata alla regola firewall di livello inferiore successivo nella gerarchia (Vai al successivo).
5. Specifica il target della regola.
  - Se vuoi che la regola venga applicata a tutte le istanze della rete, scegli Applica a tutti.
  - Se vuoi che la regola venga applicata a istanze selezionate da un account di servizio associato, scegli Service account, indica se il account di servizio si trova nel progetto corrente o in un altro in Ambito service account e scegli o digita il nome del service account nel campo Service account di destinazione.
  - Se vuoi che la regola venga applicata a istanze selezionate in base a tag sicuri, scegli Tag sicuri.
    - Fai clic su Seleziona ambito per i tag e seleziona l'organizzazione o il progetto in cui vuoi creare coppie chiave-valore dei tag sicuri. Inserisci le coppie chiave-valore a cui applicare la regola.
    - Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.
6. Per una regola in entrata, specifica il tipo di rete di origine (Anteprima):
  - Per filtrare il traffico in entrata appartenente a qualsiasi tipo di rete, seleziona Tutti i tipi di rete.
  - Per filtrare il traffico in entrata appartenente a un tipo di rete specifico, seleziona Tipo di rete specifico.
    - Per filtrare il traffico in entrata appartenente al tipo di rete internet (INTERNET), seleziona Internet.
    - Per filtrare il traffico in entrata appartenente al tipo di rete non internet (NON-INTERNET), seleziona Non internet.
    - Per filtrare il traffico in entrata appartenente al tipo di rete VPC interno (INTRA_VPC), seleziona VPC interno.
    - Per filtrare il traffico in entrata appartenente al tipo di reti VPC (VPC_NETWORKS), seleziona Reti VPC e poi specifica una o più reti utilizzando il seguente pulsante:
      - Seleziona il progetto corrente: consente di aggiungere una o più reti dal progetto corrente.
      - Inserisci manualmente la rete: ti consente di inserire manualmente un progetto e una rete.
      - Seleziona progetto: ti consente di scegliere un progetto da cui puoi scegliere una rete. Per saperne di più sui tipi di rete, vedi Tipi di rete.
7. Per una regola di uscita, specifica il tipo di rete di destinazione:
  - Per filtrare il traffico in uscita appartenente a qualsiasi tipo di rete, seleziona Tutti i tipi di rete.
  - Per filtrare il traffico in uscita appartenente a un tipo di rete specifico, seleziona Tipo di rete specifico.
    - Per filtrare il traffico in uscita appartenente al tipo di rete internet (INTERNET), seleziona Internet.
    - Per filtrare il traffico in uscita appartenente al tipo di rete non internet (NON-INTERNET), seleziona Non internet. Per saperne di più sui tipi di rete, vedi Tipi di rete.
8. Per una regola Ingress, specifica il Filtro di origine:
  - Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
  - Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6.
  - Per limitare l'origine in base ai tag sicuri, fai clic su Seleziona ambito per i tag nella sezione Tag sicuri.
    - Seleziona l'organizzazione o il progetto in cui vuoi creare tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola.
    - Per aggiungere altre coppie chiave-valore, fai clic su Aggiungi tag.
9. Per una regola Egress, specifica il Filtro di destinazione:
  - Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
  - Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi destinazione IPv6.
10. (Facoltativo) Se stai creando una regola Ingress, specifica i FQDN di origine a cui si applica questa regola. Se stai creando una regola Egress, seleziona i FQDN di destinazione a cui si applica questa regola. Per saperne di più sugli oggetti basati sul nome di dominio, consulta Oggetti FQDN.
11. (Facoltativo) Se stai creando una regola in entrata, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta Oggetti di geolocalizzazione.
12. (Facoltativo) Se stai creando una regola Ingress, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola Egress, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le norme firewall.
13. (Facoltativo) Se stai creando una regola Ingress, seleziona gli elenchi di origini Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola Egress, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.
14. (Facoltativo) Per una regola Ingress, specifica i filtri Destinazione:
  - Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
  - Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per saperne di più, consulta Destinazioni per le regole in entrata.
15. (Facoltativo) Per una regola Traffico in uscita, specifica il filtro Origine:
  - Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
  - Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6. Per saperne di più, consulta Origini per le regole in uscita.
16. In Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica.
17. Fai clic su Crea.
Fai clic su Crea regola firewall per aggiungere un'altra regola.

gcloud

Per creare una regola in entrata, utilizza il seguente comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
POLICY_NAME: il nome della policy del firewall di rete regionale che contiene la nuova regola.
POLICY_REGION: la regione della policy che contiene la nuova regola.
DESCRIPTION: una descrizione facoltativa della nuova regola
ACTION: specifica una delle seguenti azioni:
- allow: consente le connessioni che corrispondono alla regola.
- deny: nega le connessioni che corrispondono alla regola.
- goto_next: continua con il passaggio successivo della procedura di valutazione delle regole firewall.
I flag --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
Specifica un target:
- TARGET_SECURE_TAGS: un elenco separato da virgole di tag sicuri.
- TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account.
- Se ometti i flag --target-secure-tags e --target-service-accounts, la regola viene applicata al target più ampio.
LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
- Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
- Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
- Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
Specifica un'origine per la regola di ingresso:
- SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
- SRC_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci. I gruppi di indirizzi nell'elenco devono contenere tutti gli indirizzi IPv4 o tutti gli indirizzi IPv6, non una combinazione di entrambi.
- SRC_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
- SRC_SECURE_TAGS: un elenco separato da virgole di tag. Non puoi utilizzare il flag --src-secure-tags se --src-network-type èINTERNET.
- SRC_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione. Non puoi utilizzare il flag --src-region-codes se --src-network-type è NON_INTERNET, VPC_NETWORK o INTRA_VPC.
- SRC_THREAT_LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall. Non puoi utilizzare il flag --src-threat-intelligence se --src-network-type è NON_INTERNET, VPC_NETWORK o INTRA_VPC.
- SRC_NETWORK_TYPE: definisce i tipi di rete di origine da utilizzare in combinazione con un altro parametro di destinazione supportato per produrre una combinazione di destinazione specifica. I valori validi sono INTERNET, NON_INTERNET, VPC_NETWORK o INTRA_VPC. Per saperne di più, consulta Tipi di rete.
- SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC specificate dai relativi identificatori URL. Specifica questo flag solo quando --src-network-type è VPC_NETWORKS.
(Facoltativo) Specifica una destinazione per la regola di ingresso:
- DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Tutti gli intervalli nell'elenco devono essere CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

Per creare una regola in uscita, utilizza il seguente comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
POLICY_NAME: il nome della policy del firewall di rete regionale che contiene la nuova regola.
POLICY_REGION: la regione della policy che contiene la nuova regola.
DESCRIPTION: una descrizione facoltativa della nuova regola
ACTION: specifica una delle seguenti azioni:
- allow: consente le connessioni che corrispondono alla regola.
- deny: nega le connessioni che corrispondono alla regola.
- goto_next: continua con il passaggio successivo della procedura di valutazione della regola firewall.
I flag --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
Specifica un target:
- TARGET_SECURE_TAGS: un elenco separato da virgole di tag sicuri.
- TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account.
- Se ometti i flag --target-secure-tags e --target-service-accounts, la regola viene applicata al target più ampio.
LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
- Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
- Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
- Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
(Facoltativo) Specifica un'origine per la regola di uscita:
- SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
Specifica una destinazione per la regola di uscita:
- DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Tutti gli intervalli nell'elenco devono essere CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
- DEST_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci.
- DEST_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
- DEST_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione.
- DEST_THREAT_LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole delle norme firewall.
- DEST_NETWORK_TYPE: definisce i tipi di rete di destinazione da utilizzare insieme a un altro parametro di destinazione supportato per produrre una combinazione di destinazione specifica. I valori validi sono INTERNET e NON_INTERNET. Per saperne di più, consulta Tipi di rete.

Crea regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

Puoi creare regole di ingresso in una policy firewall di rete regionale che si applicano ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni. Questi proxy si trovano in subnet solo proxy in una regione di una rete VPC.

Quando crei regole che si applicano ai bilanciatori del carico, considera quanto segue:

Destinazioni: alla volta, la regola firewall può essere applicata a un bilanciatore del carico o a istanze di macchine virtuali (VM), ma non a entrambi. Quando imposti il flag --target-type su INTERNAL_MANAGED_LB e configuri le regole firewall che si applicano ai bilanciatori del carico, puoi utilizzare solo il flag --target-forwarding-rules. Altri flag target non sono supportati.
Direzione: quando imposti --target-type su INTERNAL_MANAGED_LB, imposta la direzione su INGRESS. Il traffico in uscita è consentito per impostazione predefinita. Non puoi creare una regola firewall in uscita quando il flag --target-type è impostato su INTERNAL_MANAGED_LB.
- Sono supportate tutte le destinazioni per le regole di ingresso.
- Tutte le origini per le regole di ingresso sono supportate ad eccezione delle seguenti:
  - Valori dei tag di origine protetti (--src-secure-tags)
  - Localizzazioni di origine (--src-region-codes)
  - Elenchi di Google Threat Intelligence di origine (--src-threat-intelligence)
Quando imposti il flag --target-type su INTERNAL_MANAGED_LB, i proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni consentono tutto il traffico in entrata per impostazione predefinita. Per limitare l'accesso a una o più regole di forwarding del bilanciatore del carico, crea almeno due regole con il flag --target-type impostato su INTERNAL_MANAGED_LB:
- Una regola firewall di negazione in entrata con priorità inferiore con --src-ip-ranges=0.0.0.0/0.
- Una regola firewall in entrata con priorità più alta con --src-ip-ranges impostato sugli intervalli di indirizzi IP di origine approvati.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --target-type INTERNAL_MANAGED_LB \
    --direction INGRESS \
    [--target-forwarding-rules FORWARDING_RULE_NAME] \
    --firewall-policy-region=REGION_NAME
    [...other fields you want to add...]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
ACTION: una delle seguenti azioni: * allow: consente le connessioni che corrispondono alla regola * deny: nega le connessioni che corrispondono alla regola * goto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
POLICY_NAME: il nome della policy firewall di rete regionale
FORWARDING_RULE_NAME: il nome di una singola regola di forwarding del bilanciatore del carico delle applicazioni interno o del bilanciatore del carico di rete proxy interno. Devi specificare il nome utilizzando un formato supportato.

Se imposti --target-type su INTERNAL_MANAGED_LB e ometti il flag --target-forwarding-rules, la regola firewall si applica a tutte le regole di forwarding del bilanciatore del carico delle applicazioni interno e del bilanciatore del carico di rete proxy interno nella regione e nella rete VPC.
REGION_NAME: la regione della policy.

Per applicare la regola firewall ai proxy Envoy gestiti, imposta --target-type su INTERNAL_MANAGED_LB. Se ometti --target-type, la regola firewall si applica invece alle istanze VM.

Per le descrizioni di altri flag che puoi utilizzare, consulta Crea una regola. Per una procedura dettagliata dei passaggi, consulta Utilizzare i criteri firewall di rete regionali per proteggere i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni.

Crea regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

Quando crei regole che si applicano ai bilanciatori del carico, considera quanto segue:

Destinazioni: alla volta, la regola firewall può essere applicata a un bilanciatore del carico o a istanze VM, ma non a entrambi. Quando imposti il flag --target-type su INTERNAL_MANAGED_LB e configuri regole firewall che si applicano ai bilanciatori del carico, puoi utilizzare solo il flag --target-forwarding-rules. Altri flag di destinazione non sono supportati.
Direction: quando imposti --target-type su INTERNAL_MANAGED_LB, imposta la direzione su INGRESS. Il traffico in uscita è consentito per impostazione predefinita. Non puoi creare una regola firewall in uscita quando il flag --target-type è impostato su INTERNAL_MANAGED_LB.

Crea almeno due regole con --target-type impostato su INTERNAL_MANAGED_LB:
- Sono supportate tutte le destinazioni per le regole di ingresso.
- Tutte le origini per le regole di ingresso sono supportate ad eccezione delle seguenti:
  - Valori dei tag di origine protetti (--src-secure-tags)
  - Localizzazioni di origine (--src-region-codes)
  - Elenchi di Google Threat Intelligence di origine (--src-threat-intelligence)
Quando imposti il flag --target-type su INTERNAL_MANAGED_LB, i proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni consentono tutto il traffico in entrata per impostazione predefinita. Per limitare l'accesso a una o più regole di forwarding del bilanciatore del carico,
- Una regola firewall di negazione in entrata con priorità inferiore con --src-ip-ranges=0.0.0.0/0.
- Una regola firewall in entrata con priorità più alta con --src-ip-ranges impostato sugli intervalli di indirizzi IP di origine approvati.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --target-type INTERNAL_MANAGED_LB \
    --direction INGRESS \
    [--target-forwarding-rules FORWARDING_RULE_NAME] \
    --firewall-policy-region=REGION_NAME
    [...other fields you want to add...]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
ACTION: una delle seguenti azioni: * allow: consente le connessioni che corrispondono alla regola * deny: nega le connessioni che corrispondono alla regola * goto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
POLICY_NAME: il nome della policy firewall di rete regionale
FORWARDING_RULE_NAME: il nome di una singola regola di forwarding del bilanciatore del carico delle applicazioni interno o del bilanciatore del carico di rete proxy interno. Devi specificare il nome utilizzando un formato supportato.

Se imposti --target-type su INTERNAL_MANAGED_LB e ometti il flag --target-forwarding-rules, la regola firewall si applica a tutte le regole di forwarding del bilanciatore del carico delle applicazioni interno e del bilanciatore del carico di rete proxy interno nella regione e nella rete VPC.
REGION_NAME: la regione della policy.

Per applicare la regola firewall ai proxy Envoy gestiti, imposta --target-type su INTERNAL_MANAGED_LB. Se ometti --target-type, la regola firewall si applica invece alle istanze VM.

Per le descrizioni di altri flag che puoi utilizzare, vedi Creare una regola. Per una procedura dettagliata dei passaggi, consulta Utilizzare i criteri firewall di rete regionali per proteggere i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni.

Aggiornare una regola

Per le descrizioni dei flag, vedi Creare una regola.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.get
compute.regionFirewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy.
Fai clic sulla priorità della regola.
Fai clic su Modifica.
Modifica i flag che vuoi cambiare.
Fai clic su Salva.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

Aggiorna le regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

Puoi aggiornare le regole in entrata in un criterio firewall di rete regionale che si applicano ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni. Questi proxy Envoy gestiti si trovano in subnet solo proxy in una regione di una rete VPC. Per informazioni sulle combinazioni di flag supportate, consulta Creare regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni.

gcloud

gcloud beta compute network-firewall-policies rules update PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --target-type INTERNAL_MANAGED_LB \
    --direction INGRESS \
    [--target-forwarding-rules FORWARDING_RULE_NAME] \
    --firewall-policy-region=REGION_NAME
    [...fields you want to modify...]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
ACTION: una delle seguenti azioni: * allow: consente le connessioni che corrispondono alla regola * deny: nega le connessioni che corrispondono alla regola * goto_next: passa la valutazione della connessione al livello successivo della gerarchia, ovvero una cartella o la rete
POLICY_NAME: il nome della policy firewall di rete regionale.
FORWARDING_RULE_NAME: il nome della regola di forwarding del bilanciatore del carico in uno dei formati supportati se hai specificato --target-type come INTERNAL_MANAGED_LB. Puoi specificare una solaregola di forwardingo.
REGION_NAME: la regione in cui vuoi applicare la policy.

Per applicare la regola firewall ai proxy Envoy gestiti, imposta --target-type su INTERNAL_MANAGED_LB. Se ometti --target-type, la regola firewall si applica invece alle istanze VM.

Per le descrizioni di altri flag che puoi utilizzare, consulta Crea regole firewall di rete. Per una procedura dettagliata dei passaggi, consulta Utilizzare i criteri firewall di rete regionali per proteggere i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni.

Descrivere una regola

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.get

Ruoli

Compute Network Admin (roles/compute.networkAdmin) sul criterio firewall o sul progetto contenente il criterio firewall o
Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall che contiene il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy.
Fai clic sulla priorità della regola.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

PRIORITY: il numero di priorità che identifica in modo univoco la regola
POLICY_NAME: il nome della policy che contiene la regola
REGION_NAME: la regione della policy che contiene la regola

Eliminare una regola

L'eliminazione di una regola da un criterio fa sì che la regola non venga più applicata alle nuove connessioni da o verso la destinazione della regola.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.update

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy.
Seleziona la regola che vuoi eliminare.
Fai clic su Elimina.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

PRIORITY: il numero di priorità che identifica in modo univoco la regola
POLICY_NAME: la policy che contiene la regola
REGION_NAME: la regione della policy che contiene la regola

Clonare le regole da una policy a un'altra

La clonazione copia le regole da una policy di origine a una policy di destinazione, sostituendo tutte le regole esistenti nella policy di destinazione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.regionFirewallPolicies.cloneRules

Ruoli

Compute Security Admin (roles/compute.securityAdmin) sul progetto o criterio firewall contenente il criterio firewall

Console

Nella console Google Cloud , vai alla pagina Policy del firewall.

Vai a Criteri firewall
Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.
Fai clic sulla policy da cui vuoi copiare le regole.
Fai clic su Clona nella parte superiore dello schermo.
Fornisci il nome di una norma di destinazione.
Se vuoi associare immediatamente la nuova norma, fai clic su Continua > Associa.
Nella pagina Associa policy a reti VPC, seleziona le reti e fai clic su Associa.
Fai clic su Continua.
Fai clic su Clona.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

Sostituisci quanto segue:

TARGET_POLICY: il nome della policy di destinazione
TARGET_POLICY_REGION: la regione della policy di destinazione
SOURCE_POLICY: l'URL della policy di origine

Recupera le regole firewall effettive per una regione di una rete

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC, le regole dei criteri firewall di rete globali e le regole dei criteri firewall di rete regionali che si applicano a una regione specifica di una rete VPC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Ruoli

Utente di rete Compute (roles/compute.networkUser) sul progetto contenente la rete o
Compute Network Viewer (roles/compute.networkViewer) sul progetto contenente la rete o
Compute Security Admin (roles/compute.securityAdmin) sul progetto contenente la rete o
Compute Viewer (roles/compute.viewer) sul progetto contenente la rete

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Sostituisci quanto segue:

REGION_NAME: la regione per la quale vuoi visualizzare le regole effettive.
NETWORK_NAME: la rete per cui vuoi visualizzare le regole effettive.

Utilizzo di criteri e regole firewall di rete regionali Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Attività relative alle policy del firewall

Crea una policy firewall di rete regionale

Autorizzazioni richieste per questa attività

Console

gcloud

Associa un criterio a una rete

Autorizzazioni richieste per questa attività

Console

gcloud

Eliminare un'associazione

Autorizzazioni richieste per questa attività

Console

gcloud

Descrivi un criterio firewall di rete a livello di regione

Autorizzazioni richieste per questa attività

Console

gcloud

Aggiorna la descrizione di un criterio firewall di rete a livello di regione

Autorizzazioni richieste per questa attività

Console

gcloud

Elenca i criteri firewall di rete regionali

Autorizzazioni richieste per questa attività

Console

gcloud

Elimina un criterio firewall di rete a livello di regione

Autorizzazioni richieste per questa attività

Console

gcloud

Attività delle regole dei criteri firewall

Crea una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Crea regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

gcloud

Crea regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

gcloud

Aggiornare una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Aggiorna le regole firewall per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

gcloud

Descrivere una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Eliminare una regola

Autorizzazioni richieste per questa attività

Console

gcloud

Clonare le regole da una policy a un'altra

Autorizzazioni richieste per questa attività

Console

gcloud

Recupera le regole firewall effettive per una regione di una rete

Autorizzazioni richieste per questa attività

gcloud

Utilizzo di criteri e regole firewall di rete regionali