Regionale Netzwerk-Firewallrichtlinien und -regeln erstellen

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt in Ihrer Organisation aus.

3. Klicken Sie auf Firewallrichtlinie erstellen.

4. Geben Sie im Feld Richtlinienname einen Richtliniennamen ein.

5. Wählen Sie als Richtlinientyp die Option VPC-Richtlinie oder RDMA-RoCE-Richtlinie aus.

6. Wählen Sie unter Bereitstellungsbereich die Option Regional aus. Wählen Sie die Region aus, in der Sie diese Firewallrichtlinie erstellen möchten.

7. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.

8. Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen. Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter:

   • Regel für eingehenden Traffic für VM-Ziele erstellen
   • Ingress-Regel für interne Application Load Balancer und interne Proxy-Network Load Balancer-Ziele erstellen
   • Regel für ausgehenden Traffic für VM-Ziele erstellen

9. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter.

10. Klicken Sie im Abschnitt Richtlinie mit Netzwerken verknüpfen auf Verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit einem Netzwerk verknüpfen.

11. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --region=REGION_NAME

Ersetzen Sie Folgendes:

• NETWORK_FIREWALL_POLICY_NAME: ein Name für die Richtlinie
• DESCRIPTION: eine Beschreibung der Richtlinie
• POLICY_TYPE: Typ der Firewallrichtlinie. Weitere Informationen finden Sie unter Spezifikationen.
• REGION_NAME: die Region für die Richtlinie

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das Ihre Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Klicken Sie auf Verknüpfung hinzufügen.

6. Wählen Sie die Netzwerke im Projekt aus.

7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME

Ersetzen Sie Folgendes:

• POLICY_NAME: der Kurzname oder der vom System generierte Name der Richtlinie.
• POLICY_REGION: die Region der Richtlinie, die die Regel enthält.
• NETWORK_NAME: Der Name des zugehörigen Netzwerks.
• ASSOCIATION_NAME: ein optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name auf network-NETWORK_NAME festgelegt.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer regionalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

4. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Eingehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das von Ihnen angegebene Dienstkonto verwenden:
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die regionale Netzwerk-Firewallrichtlinie angegeben.
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   7. Quellnetzwerkkontext: Geben Sie einen Netzwerkkontext an:

      • Wenn Sie das Filtern des eingehenden Traffics nach Netzwerkkontext überspringen möchten, wählen Sie Alle Netzwerkkontexte aus.
      • Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerkkontext filtern möchten, wählen Sie Bestimmter Netzwerkkontext aus und dann einen Netzwerkkontext:
        • Internet: Eingehender Traffic muss dem Netzwerkkontext „Internet“ für eingehende Pakete entsprechen.
        • Ohne Internet: Eingehender Traffic muss dem Netzwerkkontext „Ohne Internet“ für eingehende Pakete entsprechen.
        • VPC-intern: Eingehender Traffic muss den Kriterien für den VPC-internen Netzwerkkontext entsprechen.
        • VPC-Netzwerke: Eingehender Traffic muss den Kriterien für den Kontext von VPC-Netzwerken entsprechen. Sie müssen mindestens ein VPC-Netzwerk auswählen:
          • Aktuelles Projekt auswählen: Hiermit können Sie ein oder mehrere VPC-Netzwerk aus dem Projekt hinzufügen, das die Firewallrichtlinie enthält.
          • Netzwerk manuell eingeben: Hier können Sie ein Projekt und ein VPC-Netzwerk manuell eingeben.
          • Mit Projekt auswählen können Sie ein Projekt auswählen, aus dem Sie ein VPC-Netzwerk auswählen können.

   8. Quellfilter: Geben Sie zusätzliche Quellparameter an. Einige Quellparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Quellnetzwerkkontexts eingeschränkt, welche Quellparameter Sie verwenden können. Weitere Informationen finden Sie unter Quellen für Regeln für eingehenden Traffic und Kombinationen von Quellen für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Wenn Sie eingehenden Traffic nach sicheren Quell-Tag-Werten filtern möchten, wählen Sie im Bereich Sichere Tags die Option Bereich für Tags auswählen aus. Geben Sie dann Tag-Schlüssel und Tag-Werte an. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
      • Wenn Sie eingehenden Traffic nach Quell-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie eingehenden Traffic nach Quellstandort filtern möchten, wählen Sie einen oder mehrere Standorte aus dem Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie eingehenden Traffic nach Quelladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie eingehenden Traffic nach Google Threat Intelligence-Quelllisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

   9. Ziel: Geben Sie optionale Zielparameter an. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.

      • Wenn Sie das Filtern von eingehendem Traffic nach Ziel-IP-Adresse überspringen möchten, wählen Sie Keine aus.
      • Wenn Sie eingehenden Traffic nach Ziel-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Quellbereiche oder IPv6-Quellbereiche ein.

   10. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   11. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird oder nicht:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

5. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der regionalen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die regionale Netzwerk-Firewallrichtlinie enthält.
• POLICY_REGION: Die Region der Richtlinie.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt die Auswertung der Firewallregel fort.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie sowohl das Flag --target-secure-tags als auch das Flag --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
  • SRC_NETWORK_CONTEXT: Definiert einen Quellnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INSTANCES sind INTERNET, NON_INTERNET, VPC_NETWORKS oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerkkontexte.
  • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-context VPC_NETWORKS ist.
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
  • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
  • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können das Flag --src-secure-tags nicht verwenden, wenn --src-network-context INTERNET ist.
  • SRC_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Sie können das Flag --src-region-codes nicht verwenden, wenn --src-network-context NON_INTERNET, VPC_NETWORKS oder INTRA_VPC ist.
  • SRC_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln. Sie können das Flag --src-threat-intelligence nicht verwenden, wenn --src-network-context den Wert NON_INTERNET, VPC_NETWORKS oder INTRA_VPC hat.
• Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der regionalen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die regionale Netzwerk-Firewallrichtlinie enthält.
• POLICY_REGION: Die Region der Richtlinie.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt die Auswertung der Firewallregel fort.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie das Flag --target-forwarding-rules weglassen, verwendet Cloud NGFW die breitesten Load-Balancer-Ziele.
  • TARGET_FORWARDING_RULES: Eine einzelne Weiterleitungsregel für einen internen Application Load Balancer oder einen internen Proxy-Network Load Balancer, der im Format für Zielweiterleitungsregeln angegeben ist. Mit diesem Parameter werden die breitesten Load-Balancer-Ziele auf einen bestimmten internen Application Load Balancer oder internen Proxy-Network-Load-Balancer eingegrenzt.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
  • SRC_NETWORK_CONTEXT: Definiert einen Quellnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INTERNAL_MANAGED_LB sind VPC_NETWORKS und INTRA_VPC. Weitere Informationen finden Sie unter Netzwerkkontexte.
  • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-context VPC_NETWORKS ist.
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
  • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
  • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
• Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.

Console

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Liste der Projektauswahl ein Projekt aus, das eine regionale Netzwerk-Firewallrichtlinie enthält.

3. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen einer regionalen Netzwerk-Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

4. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Ausgehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das von Ihnen angegebene Dienstkonto verwenden:
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In diesem Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto im selben Projekt wie die regionale Netzwerk-Firewallrichtlinie angegeben.
        • Wählen Sie im Abschnitt Umfang des Dienstkontos die Option In einem anderen Projekt > Zieldienstkonto aus. Damit wird ein Dienstkonto in einem Dienstprojekt mit freigegebene VPC angegeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   7. Zielnetzwerkkontext: Geben Sie einen Netzwerkkontext an:

      • Wenn Sie das Filtern von ausgehendem Traffic nach Netzwerkkontext überspringen möchten, wählen Sie Alle Netzwerkkontexte aus.
      • Wenn Sie ausgehenden Traffic nach einem bestimmten Netzwerkkontext filtern möchten, wählen Sie Bestimmter Netzwerkkontext und dann einen Netzwerkkontext aus:
        • Internet: Ausgehender Traffic muss dem Internet-Netzwerkkontext für ausgehende Pakete entsprechen.
        • Nicht-Internet: Ausgehender Traffic muss dem Netzwerkkontext für ausgehende Pakete ohne Internetverbindung entsprechen.

   8. Zielfilter: Geben Sie zusätzliche Zielparameter an. Einige Zielparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Zielnetzwerkkontexts eingeschränkt, welche Zielfilter Sie verwenden können. Weitere Informationen finden Sie unter Ziele für Regeln für ausgehenden Traffic und Kombinationen von Zielen für Regeln für ausgehenden Traffic.

      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
      • Wenn Sie ausgehenden Traffic nach Ziel-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie ausgehenden Traffic nach geografischem Zielort filtern möchten, wählen Sie im Feld Standorte einen oder mehrere Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie ausgehenden Traffic nach Zieladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie ausgehenden Traffic nach Google Threat Intelligence-Ziellisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

   9. Quelle: Geben Sie optionale Quellparameter an. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.

      • Wenn Sie das Filtern von ausgehendem Traffic nach Quell-IP-Adresse überspringen möchten, wählen Sie Kein aus.
      • Wenn Sie ausgehenden Traffic nach Quell-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Zielbereiche oder IPv6-Zielbereiche ein.

   10. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   11. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird oder nicht:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

5. Klicken Sie auf Erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der regionalen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
• PROJECT_ID: Die Projekt-ID, die die regionale Netzwerk-Firewallrichtlinie enthält.
• POLICY_REGION: Die Region der Richtlinie.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt die Auswertung der Firewallregel fort.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie sowohl das Flag --target-secure-tags als auch das Flag --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endport des Zielports werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie ein Ziel für die Ausgangsregel an. Weitere Informationen finden Sie unter Kombinationen von Zielen für Regeln für ausgehenden Traffic:
  • DEST_NETWORK_CONTEXT: Definiert einen Zielnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet wird, um eine Zielkombination zu erstellen. Gültige Werte sind INTERNET und NON_INTERNET. Weitere Informationen finden Sie unter Netzwerkkontexte.
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
  • DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.
  • DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • DEST_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.
  • DEST_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
• Optional können Sie eine Quelle für die Regel für ausgehenden Traffic angeben:
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.