Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt in Ihrer Organisation aus.

3. Klicken Sie auf Firewallrichtlinie erstellen.

4. Geben Sie im Feld Richtlinienname einen Richtliniennamen ein.

5. Wählen Sie unter Bereitstellungsbereich die Option Regional aus. Wählen Sie die Region aus, in der Sie diese Firewallrichtlinie erstellen möchten.

6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.

7. Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen. Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter:

   • Regel für eingehenden Traffic für VM-Ziele erstellen
   • Ingress-Regel für interne Application Load Balancer und interne Proxy-Network Load Balancer-Ziele erstellen
   • Regel für ausgehenden Traffic für VM-Ziele erstellen

8. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter.

9. Klicken Sie im Abschnitt Richtlinie mit Netzwerken verknüpfen auf Verknüpfen.

   Weitere Informationen finden Sie unter Richtlinie mit einem Netzwerk verknüpfen.

10. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Ersetzen Sie Folgendes:

• NETWORK_FIREWALL_POLICY_NAME: ein Name für die Richtlinie
• DESCRIPTION: eine Beschreibung der Richtlinie
• REGION_NAME: die Region für die Richtlinie

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das Ihre Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Klicken Sie auf Verknüpfung hinzufügen.

6. Wählen Sie die Netzwerke im Projekt aus.

7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME

Ersetzen Sie Folgendes:

• POLICY_NAME: der Kurzname oder der vom System generierte Name der Richtlinie.
• POLICY_REGION: die Region der Richtlinie, die die Regel enthält.
• NETWORK_NAME: Der Name des zugehörigen Netzwerks.
• ASSOCIATION_NAME: ein optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name auf network-NETWORK_NAME festgelegt.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü zur Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

6. Klicken Sie auf Verknüpfung entfernen.

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf Bearbeiten.

5. Ändern Sie die Beschreibung im Feld Beschreibung.

6. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

   Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Wählen Sie alle Verknüpfungen aus.

6. Klicken Sie auf Verknüpfung entfernen.

7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden Befehl, um die Richtlinie zu löschen:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer regionalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

4. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu trennen (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Eingehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Die breitesten Instanzziele werden auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die das von Ihnen angegebene Dienstkonto verwenden:
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die regionale Netzwerk-Firewallrichtlinie angegeben.
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Umfang für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   7. Quellnetzwerktyp: Geben Sie einen Netzwerktyp an:

      • Wenn Sie eingehenden Traffic nicht nach Netzwerktyp filtern möchten, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerktyp filtern möchten, wählen Sie Bestimmter Netzwerktyp und dann einen Netzwerktyp aus:
        • Internet: Eingehender Traffic muss mit dem Netzwerktyp „Internet“ für eingehende Pakete übereinstimmen.
        • Ohne Internet: Der eingehende Traffic muss mit dem Netzwerktyp ohne Internet für eingehende Pakete übereinstimmen.
        • VPC-intern: Eingehender Traffic muss den Kriterien für den VPC-internen Netzwerktyp entsprechen.
        • VPC-Netzwerke: Eingehender Traffic muss den Kriterien für den VPC-Netzwerktyp entsprechen. Sie müssen mindestens ein VPC-Netzwerk auswählen:
          • Aktuelles Projekt auswählen: Damit können Sie ein oder mehrere VPC-Netzwerk aus dem Projekt hinzufügen, das die Firewallrichtlinie enthält.
          • Netzwerk manuell eingeben: Hier können Sie ein Projekt und ein VPC-Netzwerk manuell eingeben.
          • Projekt auswählen: Hier können Sie ein Projekt auswählen, aus dem Sie ein VPC-Netzwerk auswählen können.

   8. Quellfilter: Geben Sie zusätzliche Quellparameter an. Einige Quellparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Quellnetzwerktyps eingeschränkt, welche Quellparameter Sie verwenden können. Weitere Informationen finden Sie unter Quellen für Regeln für eingehenden Traffic und Kombinationen von Quellen für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Wenn Sie eingehenden Traffic nach Werten für sichere Quell-Tags filtern möchten, wählen Sie im Bereich Sichere Tags die Option Bereich für Tags auswählen aus. Geben Sie dann Tag-Schlüssel und Tag-Werte an. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
      • Wenn Sie eingehenden Traffic nach Quell-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie eingehenden Traffic nach Quellstandort filtern möchten, wählen Sie einen oder mehrere Standorte aus dem Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie eingehenden Traffic nach Quelladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie eingehenden Traffic nach Google Threat Intelligence-Quelllisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

   9. Ziel: Geben Sie optionale Zielparameter an. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nicht nach Ziel-IP-Adresse filtern möchten, wählen Sie Kein aus.
      • Wenn Sie eingehenden Traffic nach Ziel-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Quellbereiche oder IPv6-Quellbereiche ein.

   10. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   11. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

5. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der regionalen Richtlinie für Netzwerkfirewalls, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die regionale Richtlinie für Netzwerkfirewalls enthält.
• POLICY_REGION: Die Region der Richtlinie.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt den Prozess zur Auswertung von Firewallregeln fort.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie sowohl das Flag --target-secure-tags als auch das Flag --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste von sicheren Tags, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
  • SRC_NETWORK_TYPE: Definiert einen Quellnetzwerktyp, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INSTANCES sind INTERNET, NON_INTERNET, VPC_NETWORKS oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerktypen.
  • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-type VPC_NETWORKS ist.
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
  • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
  • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können das Flag --src-secure-tags nicht verwenden, wenn --src-network-type INTERNET ist.
  • SRC_COUNTRY_CODES: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Sie können das Flag --src-region-codes nicht verwenden, wenn --src-network-type NON_INTERNET, VPC_NETWORKS oder INTRA_VPC ist.
  • SRC_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln. Sie können das Flag --src-threat-intelligence nicht verwenden, wenn --src-network-type den Wert NON_INTERNET, VPC_NETWORKS oder INTRA_VPC hat.
• Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der regionalen Richtlinie für Netzwerkfirewalls, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die regionale Richtlinie für Netzwerkfirewalls enthält.
• POLICY_REGION: Die Region der Richtlinie.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt den Prozess zur Auswertung von Firewallregeln fort.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie das Flag --target-forwarding-rules weglassen, verwendet Cloud NGFW die breitesten Load-Balancer-Ziele.
  • TARGET_FORWARDING_RULES: Eine einzelne Weiterleitungsregel für einen internen Application Load Balancer oder einen internen Proxy-Network Load Balancer, der im Format für Zielweiterleitungsregeln angegeben ist. Mit diesem Parameter werden die breitesten Load-Balancer-Ziele auf einen bestimmten internen Application Load Balancer oder internen Proxy-Network-Load-Balancer eingegrenzt.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
  • SRC_NETWORK_TYPE: Definiert einen Quellnetzwerktyp, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INTERNAL_MANAGED_LB sind VPC_NETWORKS oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerktypen.
  • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-type VPC_NETWORKS ist.
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
  • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
  • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
• Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer regionalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

4. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu trennen (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Ausgehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Die breitesten Instanzziele werden auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die das von Ihnen angegebene Dienstkonto verwenden:
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die regionale Netzwerk-Firewallrichtlinie angegeben.
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Umfang für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   7. Zielnetzwerktyp: Geben Sie einen Netzwerktyp an:

      • Wenn Sie das Filtern von ausgehendem Traffic nach Netzwerktyp überspringen möchten, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie ausgehenden Traffic nach einem bestimmten Netzwerktyp filtern möchten, wählen Sie Bestimmter Netzwerktyp und dann einen Netzwerktyp aus:
        • Internet: Ausgehender Traffic muss dem Netzwerktyp „Internet“ für ausgehende Pakete entsprechen.
        • Nicht-Internet: Ausgehender Traffic muss dem Nicht-Internet-Netzwerktyp für ausgehende Pakete entsprechen.

   8. Zielfilter: Geben Sie zusätzliche Zielparameter an. Einige Zielparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Zielnetzwerktyps eingeschränkt, welche Zielfilter Sie verwenden können. Weitere Informationen finden Sie unter Ziele für Regeln für ausgehenden Traffic und Kombinationen von Zielen für Regeln für ausgehenden Traffic.

      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
      • Wenn Sie ausgehenden Traffic nach Ziel-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie ausgehenden Traffic nach geografischem Zielort filtern möchten, wählen Sie im Feld Standorte einen oder mehrere Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie ausgehenden Traffic nach Zieladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie ausgehenden Traffic nach Google Threat Intelligence-Ziellisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

   9. Quelle: Geben Sie optionale Quellparameter an. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.

      • Wenn Sie das Filtern von ausgehendem Traffic nach Quell-IP-Adresse überspringen möchten, wählen Sie Kein aus.
      • Wenn Sie ausgehenden Traffic nach Quell-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Zielbereiche oder IPv6-Zielbereiche ein.

   10. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   11. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

5. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der regionalen Richtlinie für Netzwerkfirewalls, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die regionale Richtlinie für Netzwerkfirewalls enthält.
• POLICY_REGION: Die Region der Richtlinie.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt den Prozess zur Auswertung von Firewallregeln fort.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie sowohl das Flag --target-secure-tags als auch das Flag --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste von sicheren Tags, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie ein Ziel für die Ausgangsregel an. Weitere Informationen finden Sie unter Kombinationen von Zielen für Regeln für ausgehenden Traffic:
  • DEST_NETWORK_TYPE: Definiert einen Zielnetzwerktyp, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet werden soll, um eine Zielkombination zu erstellen. Gültige Werte sind INTERNET und NON_INTERNET. Weitere Informationen finden Sie unter Netzwerktypen.
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
  • DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.
  • DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • DEST_COUNTRY_CODES: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.
  • DEST_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
• Optional können Sie eine Quelle für die Regel für ausgehenden Traffic angeben:
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie auf den Namen der regionalen Netzwerk-Firewallrichtlinie, die die zu aktualisierende Regel enthält.

4. Klicken Sie auf die Priorität der Regel.

5. Klicken Sie auf Bearbeiten.

6. Ändern Sie die Felder der Firewallregel, die Sie ändern möchten. Beschreibungen der einzelnen Felder finden Sie in einem der folgenden Artikel:

   • Regel für eingehenden Traffic für VM-Ziele erstellen
   • Ingress-Regel für interne Application Load Balancer und interne Proxy-Network Load Balancer-Ziele erstellen
   • Regel für ausgehenden Traffic für VM-Ziele erstellen

7. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    [...other flags that you want to modify...]

Ersetzen Sie Folgendes:

• PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
• POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.
• POLICY_REGION: die Region der Richtlinie, die die Regel enthält.

Geben Sie die Flags an, die Sie ändern möchten. Beschreibungen der Flags finden Sie in einem der folgenden Artikel:

• Regel für eingehenden Traffic für VM-Ziele erstellen
• Ingress-Regel für interne Application Load Balancer und interne Proxy-Network Load Balancer-Ziele erstellen
• Regel für ausgehenden Traffic für VM-Ziele erstellen

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --firewall-policy-region=POLICY_REGION

Ersetzen Sie Folgendes:

• PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
• POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.
• POLICY_REGION: die Region der Richtlinie, die die Regel enthält.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Wählen Sie die Regel aus, die Sie löschen möchten.

5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --firewall-policy-region=POLICY_REGION

Ersetzen Sie Folgendes:

• PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
• POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.
• POLICY_REGION: die Region der Richtlinie, die die Regel enthält.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.

4. Klicken Sie oben auf dem Bildschirm auf Klonen.

5. Geben Sie den Namen der Zielrichtlinie an.

6. Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter > Verknüpfen.

7. Wählen Sie auf der Seite Richtlinie mit VPC-Netzwerken verknüpfen die Netzwerke aus und klicken Sie auf Verknüpfen.

8. Klicken Sie auf Weiter.

9. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy=SOURCE_POLICY

Ersetzen Sie Folgendes:

• TARGET_POLICY: Der Name der Zielrichtlinie.
• TARGET_POLICY_REGION: die Region der Zielrichtlinie.
• SOURCE_POLICY: die URL der Quellrichtlinie.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ersetzen Sie dabei Folgendes:

• REGION_NAME: Region, für die Sie die gültigen Regeln anzeigen möchten.
• NETWORK_NAME: Netzwerk, für die Sie die gültigen Regeln anzeigen möchten.