Crea policy e regole firewall di rete regionali

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.

3. Fai clic su Crea criterio firewall.

4. Nel campo Nome policy, inserisci un nome per la policy.

5. In Tipo di policy, seleziona Policy VPC o Policy RDMA RoCE.

6. In Ambito di deployment, seleziona A livello di regione. Seleziona la regione in cui vuoi creare questa policy di firewall.

7. Per creare regole per la tua policy, fai clic su Continua.

8. Nella sezione Aggiungi regole, fai clic su Crea regola firewall. Per saperne di più sulla creazione di regole firewall, consulta quanto segue:

   • Crea una regola in entrata per le VM di destinazione
   • Crea una regola di ingresso per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni di destinazione
   • Crea una regola in uscita per le VM di destinazione

9. Se vuoi associare il criterio a una rete, fai clic su Continua.

10. Nella sezione Associa policy alle reti, fai clic su Associa.

    Per saperne di più, consulta Associare una policy a una rete.

11. Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --region=REGION_NAME

Sostituisci quanto segue:

• NETWORK_FIREWALL_POLICY_NAME: un nome per la policy
• DESCRIPTION: una descrizione della policy
• POLICY_TYPE: il tipo di policy del firewall di rete. Per ulteriori informazioni, consulta la sezione Specifiche.
• REGION_NAME: la regione per la policy

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la tua policy.

3. Fai clic sulla policy.

4. Fai clic sulla scheda Associazioni.

5. Fai clic su Aggiungi associazione.

6. Seleziona le reti all'interno del progetto.

7. Fai clic su Associa.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME

Sostituisci quanto segue:

• POLICY_NAME: il nome breve o il nome generato dal sistema della policy.
• POLICY_REGION: la regione della policy che contiene la regola.
• NETWORK_NAME: il nome della rete associata.
• ASSOCIATION_NAME: un nome facoltativo per l'associazione. Se non specificato, il nome è impostato su network-NETWORK_NAME.

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nell'elenco del selettore di progetti, seleziona un progetto che contiene una policy del firewall di rete regionale.

3. Nella sezione Policy del firewall di rete, fai clic sul nome di una policy del firewall di rete regionale in cui vuoi creare una regola.

4. Nella sezione Regole firewall, fai clic su Crea regola firewall e specifica i seguenti parametri di configurazione:

   1. Priorità: l'ordine di valutazione numerico della regola.

      Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.

   2. Descrizione: fornisci una descrizione facoltativa.

   3. Direzione del traffico: seleziona In entrata.

   4. Azione in caso di corrispondenza: seleziona una delle seguenti opzioni:

      • Consenti: per consentire le connessioni che corrispondono ai parametri della regola.
      • Nega: per bloccare le connessioni che corrispondono ai parametri della regola.
      • Vai al passaggio successivo: per continuare la procedura di valutazione della regola firewall.

   5. Log: seleziona On per attivare la registrazione dei log delle regole firewall o Off per disattivarla per questa regola.

   6. Target: seleziona una delle seguenti opzioni:

      • Applica a tutti: Cloud NGFW utilizza i target di istanza più ampi.
      • Service account: restringe i target delle istanze più ampi alle interfacce di rete delle istanze VM che utilizzano il account di servizio specificato:
        • Nella sezione Ambito del service account, seleziona In questo progetto > Service account di destinazione. per specificare un account di serviziot nello stesso progetto della policy del firewall di rete regionale.
        • Nella sezione Ambito del service account, seleziona In un altro progetto > Service account di destinazione. per specificare un account di servizio in un progetto di servizio VPC condiviso.
      • Tag sicuri: restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri specificati. Fai clic su Seleziona ambito per i tag e seleziona l'organizzazione o il progetto che contiene i valori dei tag da corrispondere. Per aggiungere altri valori dei tag, fai clic su Aggiungi tag.

   7. Contesto della rete di origine: specifica un contesto di rete:

      • Per ignorare il filtro del traffico in entrata in base al contesto di rete, seleziona Tutti i contesti di rete.
      • Per filtrare il traffico in entrata in un contesto di rete specifico, seleziona Contesto di rete specifico e poi un contesto di rete:
        • Internet: il traffico in entrata deve corrispondere al contesto di rete di internet per i pacchetti in entrata.
        • Non internet: il traffico in entrata deve corrispondere al contesto di rete non internet per i pacchetti in entrata.
        • Intra VPC: il traffico in entrata deve corrispondere ai criteri per il contesto di rete intra-VPC.
        • Reti VPC: il traffico in entrata deve corrispondere ai criteri per il contesto delle reti VPC. Devi selezionare almeno una rete VPC:
          • Seleziona il progetto corrente: consente di aggiungere una o più reti VPC dal progetto che contiene la policy del firewall.
          • Inserisci manualmente la rete: ti consente di inserire manualmente un progetto e una rete VPC.
          • Seleziona progetto: ti consente di selezionare un progetto da cui puoi selezionare una rete VPC.

   8. Filtri di origine: specifica parametri di origine aggiuntivi. Alcuni parametri di origine non possono essere utilizzati insieme e la scelta del contesto della rete di origine limita i parametri di origine che puoi utilizzare. Per maggiori informazioni, consulta Origini per le regole in entrata e Combinazioni di origini delle regole in entrata.

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6 e poi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6.
      • Per filtrare il traffico in entrata in base ai valori dei tag sicuri di origine, seleziona Seleziona ambito per i tag nella sezione Tag sicuri. Poi, fornisci chiavi e valori dei tag. Per aggiungere altri valori dei tag, fai clic su Aggiungi tag.
      • Per filtrare il traffico in entrata in base al nome di dominio completo di origine, inserisci i nomi di dominio completi nel campo Nomi di dominio completi. Per ulteriori informazioni, consulta Oggetti FQDN.
      • Per filtrare il traffico in entrata in base alla geolocalizzazione della sorgente, seleziona una o più località dal campo Geolocalizzazioni. Per saperne di più, consulta Oggetti di geolocalizzazione.
      • Per filtrare il traffico in entrata in base al gruppo di indirizzi di origine, seleziona uno o più gruppi di indirizzi dal campo Gruppi di indirizzi. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall.
      • Per filtrare il traffico in entrata in base alle liste di Google Threat Intelligence di origine, seleziona una o più liste di Google Threat Intelligence dal campo Google Cloud Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri del firewall.

   9. Destinazione: specifica i parametri di destinazione facoltativi. Per ulteriori informazioni, consulta Destinazioni per le regole in entrata.

      • Per ignorare il filtro del traffico in entrata in base all'indirizzo IP di destinazione, seleziona Nessuno.
      • Per filtrare il traffico in entrata in base all'indirizzo IP di destinazione, seleziona IPv4 o IPv6 e poi inserisci uno o più CIDR utilizzando lo stesso formato utilizzato per gli intervalli IPv4 di origine o gli intervalli IPv6 di origine.

   10. Protocolli e porte: specifica i protocolli e le porte di destinazione per il traffico in modo che corrispondano alla regola. Per ulteriori informazioni, consulta Protocolli e porte.

   11. Applicazione: specifica se la regola firewall viene applicata o meno:

       • Attivata: crea la regola e inizia ad applicarla alle nuove connessioni.
       • Disattivata: crea la regola, ma non la applica alle nuove connessioni.

5. Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Sostituisci quanto segue:

• PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
• POLICY_NAME: il nome della policy del firewall di rete regionale in cui vuoi creare la regola.
• PROJECT_ID: l'ID progetto che contiene la policy del firewall di rete regionale.
• POLICY_REGION: la regione della policy.
• DESCRIPTION: una descrizione facoltativa per la nuova regola.
• ACTION: specifica una delle seguenti azioni:
  • allow: consente le connessioni che corrispondono alla regola.
  • deny: nega le connessioni che corrispondono alla regola.
  • goto_next: continua il processo di valutazione delle regole firewall.
• I flag --enable-logging e --no-enable-logging attivano o disattivano la registrazione delle regole firewall VPC.
• I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
• Specifica un target:
  • Se ometti i flag --target-secure-tags e --target-service-accounts, Cloud NGFW utilizza i target di istanza più ampi.
  • TARGET_SECURE_TAGS: un elenco separato da virgole di valori di tag sicuri che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri.
  • TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM che utilizzano uno dei service account.
• LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
  • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
  • Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
  • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
• Specifica un'origine per la regola di ingresso. Per saperne di più sulle combinazioni di origini delle regole in entrata:
  • SRC_NETWORK_CONTEXT: definisce i contesti di rete di origine da utilizzare in combinazione con un altro parametro di origine supportato per produrre una combinazione di origine. I valori validi quando --target-type=INSTANCES sono: INTERNET, NON_INTERNET, VPC_NETWORKS o INTRA_VPC. Per saperne di più, consulta Contesti di rete.
  • SRC_VPC_NETWORKS: un elenco separato da virgole di reti VPC specificate dai relativi identificatori URL. Specifica questo flag solo quando --src-network-context è VPC_NETWORKS.
  • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
  • SRC_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci. I gruppi di indirizzi nell'elenco devono contenere tutti gli indirizzi IPv4 o tutti gli indirizzi IPv6, non una combinazione di entrambi.
  • SRC_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
  • SRC_SECURE_TAGS: un elenco separato da virgole di tag. Non puoi utilizzare il flag --src-secure-tags se --src-network-context è INTERNET.
  • SRC_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione. Non puoi utilizzare il flag --src-region-codes se --src-network-context è NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall. Non puoi utilizzare il flag --src-threat-intelligence se --src-network-context è NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
• (Facoltativo) specifica una destinazione per la regola in entrata:
  • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Sostituisci quanto segue:

• PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
• POLICY_NAME: il nome della policy del firewall di rete regionale in cui vuoi creare la regola.
• PROJECT_ID: l'ID progetto che contiene la policy del firewall di rete regionale.
• POLICY_REGION: la regione della policy.
• DESCRIPTION: una descrizione facoltativa per la nuova regola.
• ACTION: specifica una delle seguenti azioni:
  • allow: consente le connessioni che corrispondono alla regola.
  • deny: nega le connessioni che corrispondono alla regola.
  • goto_next: continua il processo di valutazione delle regole firewall.
• I flag --enable-logging e --no-enable-logging attivano o disattivano la registrazione delle regole firewall VPC.
• I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
• Specifica un target:
  • Se ometti il flag --target-forwarding-rules, Cloud NGFW utilizza i target del bilanciatore del carico più ampi.
  • TARGET_FORWARDING_RULES: una singola regola di forwarding per un bilanciatore del carico delle applicazioni interno o un bilanciatore del carico di rete proxy interno specificato nel formato delle regole di forwarding di destinazione. Questo parametro restringe i target del bilanciatore del carico più ampi a un bilanciatore del carico delle applicazioni interno o a un bilanciatore del carico di rete proxy interno specifico.
• LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
  • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
  • Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
  • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
• Specifica un'origine per la regola di ingresso. Per saperne di più sulle combinazioni di origini delle regole in entrata:
  • SRC_NETWORK_CONTEXT: definisce i contesti di rete di origine da utilizzare in combinazione con un altro parametro di origine supportato per produrre una combinazione di origine. I valori validi quando --target-type=INTERNAL_MANAGED_LB sono VPC_NETWORKS o INTRA_VPC. Per saperne di più, consulta Contesti di rete.
  • SRC_VPC_NETWORKS: un elenco separato da virgole di reti VPC specificate dai relativi identificatori URL. Specifica questo flag solo quando --src-network-context è VPC_NETWORKS.
  • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
  • SRC_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci. I gruppi di indirizzi nell'elenco devono contenere tutti gli indirizzi IPv4 o tutti gli indirizzi IPv6, non una combinazione di entrambi.
  • SRC_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
• (Facoltativo) specifica una destinazione per la regola in entrata:
  • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nell'elenco del selettore di progetti, seleziona un progetto che contiene una policy del firewall di rete regionale.

3. Nella sezione Policy del firewall di rete, fai clic sul nome di una policy del firewall di rete regionale in cui vuoi creare una regola.

4. Nella sezione Regole firewall, fai clic su Crea regola firewall e specifica i seguenti parametri di configurazione:

   1. Priorità: l'ordine di valutazione numerico della regola.

      Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.

   2. Descrizione: fornisci una descrizione facoltativa.

   3. Direzione del traffico: seleziona In uscita.

   4. Azione in caso di corrispondenza: seleziona una delle seguenti opzioni:

      • Consenti: per consentire le connessioni che corrispondono ai parametri della regola.
      • Nega: per bloccare le connessioni che corrispondono ai parametri della regola.
      • Vai al passaggio successivo: per continuare la procedura di valutazione della regola firewall.

   5. Log: seleziona On per attivare la registrazione dei log delle regole firewall o Off per disattivarla per questa regola.

   6. Target: seleziona una delle seguenti opzioni:

      • Applica a tutti: Cloud NGFW utilizza i target di istanza più ampi.
      • Service account: restringe i target delle istanze più ampi alle interfacce di rete delle istanze VM che utilizzano il account di servizio specificato:
        • Nella sezione Ambito del service account, seleziona In questo progetto > Service account di destinazione. per specificare un account di serviziot nello stesso progetto della policy del firewall di rete regionale.
        • Nella sezione Ambito del service account, seleziona In un altro progetto > Service account di destinazione. per specificare un account di servizio in un progetto di servizio VPC condiviso.
      • Tag sicuri: restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri specificati. Fai clic su Seleziona ambito per i tag e seleziona l'organizzazione o il progetto che contiene i valori dei tag da corrispondere. Per aggiungere altri valori dei tag, fai clic su Aggiungi tag.

   7. Contesto della rete di destinazione: specifica un contesto di rete:

      • Per ignorare il filtro del traffico in uscita in base al contesto di rete, seleziona Tutti i contesti di rete.
      • Per filtrare il traffico in uscita verso un contesto di rete specifico, seleziona Contesto di rete specifico, quindi seleziona un contesto di rete:
        • Internet: il traffico in uscita deve corrispondere al contesto di rete di internet per i pacchetti in uscita.
        • Non internet: il traffico in uscita deve corrispondere al contesto di rete non internet per i pacchetti in uscita.

   8. Filtri di destinazione: specifica parametri di destinazione aggiuntivi. Alcuni parametri di destinazione non possono essere utilizzati insieme e la scelta del contesto di rete di destinazione limita i filtri di destinazione che puoi utilizzare. Per saperne di più, consulta Destinazioni per le regole in uscita e Combinazioni di destinazioni delle regole in uscita.

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4 e poi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6 e poi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi destinazione IPv6.
      • Per filtrare il traffico in uscita in base al nome di dominio completo di destinazione, inserisci i nomi di dominio completi nel campo Nomi di dominio completi. Per ulteriori informazioni, consulta Oggetti FQDN.
      • Per filtrare il traffico in uscita in base alla geolocalizzazione di destinazione, seleziona una o più località dal campo Geolocalizzazioni. Per saperne di più, consulta Oggetti di geolocalizzazione.
      • Per filtrare il traffico in uscita in base al gruppo di indirizzi di destinazione, seleziona uno o più gruppi di indirizzi dal campo Gruppi di indirizzi. Per saperne di più, consulta Gruppi di indirizzi per i criteri firewall.
      • Per filtrare il traffico in uscita in base agli elenchi di Google Threat Intelligence di destinazione, seleziona uno o più elenchi di Google Threat Intelligence dal campo Google Cloud Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.

   9. Origine: specifica i parametri di origine facoltativi. Per saperne di più, consulta Origini per le regole in uscita.

      • Per saltare il filtro del traffico in uscita in base all'indirizzo IP di origine, seleziona Nessuno.
      • Per filtrare il traffico in uscita in base all'indirizzo IP di origine, seleziona IPv4 o IPv6 e poi inserisci uno o più CIDR utilizzando lo stesso formato utilizzato per gli intervalli IPv4 di destinazione o gli intervalli IPv6 di destinazione.

   10. Protocolli e porte: specifica i protocolli e le porte di destinazione per il traffico in modo che corrispondano alla regola. Per ulteriori informazioni, consulta Protocolli e porte.

   11. Applicazione: specifica se la regola firewall viene applicata o meno:

       • Attivata: crea la regola e inizia ad applicarla alle nuove connessioni.
       • Disattivata: crea la regola, ma non la applica alle nuove connessioni.

5. Fai clic su Crea.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Sostituisci quanto segue:

• PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
• POLICY_NAME: il nome della policy del firewall di rete regionale in cui vuoi creare la regola.
• PROJECT_ID: l'ID progetto che contiene la policy del firewall di rete regionale.
• POLICY_REGION: la regione della policy.
• DESCRIPTION: una descrizione facoltativa per la nuova regola.
• ACTION: specifica una delle seguenti azioni:
  • allow: consente le connessioni che corrispondono alla regola.
  • deny: nega le connessioni che corrispondono alla regola.
  • goto_next: continua il processo di valutazione delle regole firewall.
• I flag --enable-logging e --no-enable-logging attivano o disattivano la registrazione delle regole firewall VPC.
• I flag --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
• Specifica un target:
  • Se ometti i flag --target-secure-tags e --target-service-accounts, Cloud NGFW utilizza i target di istanza più ampi.
  • TARGET_SECURE_TAGS: un elenco separato da virgole di valori di tag sicuri che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM associate ad almeno uno dei valori dei tag sicuri.
  • TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account che restringono i target di istanza più ampi alle interfacce di rete delle istanze VM che utilizzano uno dei service account.
• LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
  • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
  • Un nome di protocollo IP e una porta di destinazione separati da due punti (tcp:80).
  • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
• Specifica una destinazione per la regola in uscita. Per saperne di più, consulta Combinazioni di destinazioni delle regole in uscita:
  • DEST_NETWORK_CONTEXT: definisce un contesto di rete di destinazione da utilizzare in combinazione con un altro parametro di destinazione supportato per produrre una combinazione di destinazioni. I valori validi sono INTERNET e NON_INTERNET. Per maggiori informazioni, vedi Contesti di rete.
  • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
  • DEST_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci.
  • DEST_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
  • DEST_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione.
  • DEST_THREAT_LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
• (Facoltativo) Specifica un'origine per la regola in uscita:
  • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.