Utilizzare criteri e regole firewall di rete regionali

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica dei criteri firewall di rete regionali.

Attività relative alle policy firewall

Questa sezione descrive come creare, associare e gestire le policy del firewall di rete regionali e le relative regole.

Crea una policy firewall di rete regionale

Puoi creare un criterio per qualsiasi rete Virtual Private Cloud (VPC) all'interno del tuo progettoGoogle Cloud . Dopo aver creato una policy, puoi associarla a qualsiasi rete VPC all'interno del tuo progetto. Una volta associata, le regole del criterio diventano attive nella rete associata.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il tuo progetto all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Nel campo Nome, inserisci un nome per la policy.

  5. In Ambito di deployment, seleziona A livello di regione. Seleziona la regione in cui vuoi creare questa policy di firewall.

  6. Se vuoi creare regole per le tue norme, fai clic su Continua e poi su Aggiungi regola.

    Per saperne di più, consulta Creare regole firewall di rete.

  7. Se vuoi associare la policy a una rete, fai clic su Continua e poi su Associa policy a reti VPC.

    Per saperne di più, consulta Associare una policy alla rete.

  8. Fai clic su Crea.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Sostituisci quanto segue:

  • NETWORK_FIREWALL_POLICY_NAME: un nome per la policy
  • DESCRIPTION: una descrizione della policy
  • REGION_NAME: la regione della policy

Associa un criterio alla rete

Puoi associare una policy firewall di rete regionale a una regione di una rete VPC e applicare le regole della policy a quella regione di rete.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazioni.

  6. Seleziona le reti all'interno del progetto.

  7. Fai clic su Associa.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy.
  • NETWORK_NAME: il nome della rete associata.
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione. Se non specificato, il nome è impostato su network-NETWORK_NAME.
  • REGION_NAME: la regione della policy.

Descrivi un criterio firewall di rete a livello di regione

Puoi descrivere un criterio per visualizzare i seguenti dettagli:

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene la policy firewall di rete a livello di regione.

  3. Fai clic sulla policy.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Aggiorna la descrizione di un criterio firewall di rete regionale

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene la policy firewall di rete a livello di regione.

  3. Fai clic sulla policy.

  4. Fai clic su Modifica.

  5. Nel campo Descrizione, modifica la descrizione.

  6. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Elenca i criteri firewall di rete regionali

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

    La sezione Criteri firewall di rete mostra i criteri disponibili nel tuo progetto.

gcloud 

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Elimina un criterio firewall di rete a livello di regione

Prima di poter eliminare una policy firewall di rete, devi eliminare tutte le associazioni.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma che vuoi eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le reti associate a un criterio firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Elimina singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo Amministratore della sicurezza Compute (roles/compute.SecurityAdmin) nella rete Virtual Private Cloud (VPC) associata.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Elimina la norma:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi sostituire una policy del firewall con un'altra, non devi prima eliminare l'associazione esistente. L'eliminazione di questa associazione lascerebbe un periodo di tempo in cui non viene applicato alcun criterio. Sostituisci invece la policy esistente quando associ una nuova policy.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il tuo progetto o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazioni.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Attività delle regole dei criteri firewall

Crea regole firewall di rete

Le regole della policy firewall di rete devono essere create in una policy firewall di rete regionale. Le regole non sono attive finché non associ la policy contenente a una rete VPC.

Ogni regola del criterio firewall di rete può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul nome della norma regionale.

  4. Per Regole firewall, fai clic su Crea.

  5. Compila i campi della regola:

    1. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona pratica è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).
    2. Imposta la raccolta Log su On o Off.
    3. Per Direzione del traffico, scegli in entrata o in uscita.
    4. Per Azione in caso di corrispondenza, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti), negate (Nega) o se la valutazione della connessione viene passata alla regola firewall successiva di livello inferiore nella gerarchia (Vai a successivo).
    5. Specifica i target della regola.
      • Se vuoi che la regola venga applicata a tutte le istanze nella rete, scegli Tutte le istanze nella rete.
      • Se vuoi che la regola venga applicata a istanze selezionate in base ai tag, scegli Tag sicuri. Fai clic su SELEZIONA AMBITO e seleziona l'organizzazione o il progetto in cui vuoi creare coppie chiave-valore di tag. Inserisci le coppie chiave-valore a cui applicare la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
      • Se vuoi che la regola venga applicata alle istanze selezionate da un account di servizio associato, scegli Service account, indica se il account di servizio si trova nel progetto corrente o in un altro in Ambito service account e scegli o digita il nome del service account nel campo Service account di destinazione.

    6. Per una regola in entrata, specifica il Filtro di origine:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6.
      • Per limitare l'origine in base ai tag, fai clic su SELEZIONA AMBITO nella sezione Tag. Seleziona l'organizzazione o il progetto in cui vuoi creare i tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.

    7. Per una regola Egress, specifica il Filtro di destinazione:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi destinazione IPv6.

    8. (Facoltativo) Se stai creando una regola Ingress, specifica i FQDN di origine a cui si applica questa regola. Se stai creando una regola Egress, seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti nome di dominio, vedi Oggetti nome di dominio.

    9. (Facoltativo) Se stai creando una regola Ingress, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola Egress, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta la sezione Oggetti di geolocalizzazione.

    10. (Facoltativo) Se stai creando una regola Ingress, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola Egress, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le policy firewall.

    11. (Facoltativo) Se stai creando una regola Ingress, seleziona gli elenchi di origine Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola Egress, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

    12. (Facoltativo) Per una regola Ingress, specifica i filtri Destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per ulteriori informazioni, vedi Destinazione per le regole di ingresso.

    13. (Facoltativo) Per una regola Egress, specifica il filtro Origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6. Per saperne di più, vedi Origine delle regole di uscita.

    14. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica.

    15. Fai clic su Crea.

  6. Fai clic su Aggiungi regola per aggiungere un'altra regola. Fai clic su Continua > Associa policy alle reti VPC per associare la policy a una rete oppure fai clic su Crea per creare la policy.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerico della regola

    Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad esempio 100, 200, 300).

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni che corrispondono alla regola

    • goto_next: passa alla policy successiva nell'ordine di valutazione.

      Se a una rete VPC sono associate più policy del firewall di rete regionali, la valutazione passa alla policy successiva nell'ordine di valutazione all'interno di queste policy regionali.

      Ad esempio, quando due policy firewall di rete regionali sono associate a una rete VPC e la policy con priorità più alta utilizza goto_next, la valutazione passa alla policy regionale con priorità più bassa, ignorando le regole firewall VPC e le policy di rete globali.

  • POLICY_NAME: il nome della policy firewall di rete

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli e intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio:

    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Per saperne di più, consulta protocolli e porte.

  • TARGET_SECURE_TAG: un elenco separato da virgole di tag protetti per definire i target

  • SERVICE_ACCOUNT: un elenco separato da virgole di service account per definire i target

  • DIRECTION: indica se la regola è una regola INGRESS o EGRESS; il valore predefinito è INGRESS

    • Includi --src-ip-ranges per specificare gli intervalli IP per l'origine del traffico
    • Includi --dest-ip-ranges per specificare gli intervalli IP per la destinazione del traffico

    Per saperne di più, consulta target, origine e destinazione.

  • SRC_NETWORK_TYPE: indica il tipo di traffico di rete di origine a cui viene applicata la regola di ingresso. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti i tipi di rete. Per saperne di più, consulta Tipi di rete.

  • SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC

    Puoi utilizzare --src-networks solo quando --src-network-type è impostato su VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica il tipo di traffico di rete di destinazione a cui viene applicata la regola di uscita. Puoi impostare questo argomento su uno dei seguenti valori:

    • INTERNET
    • NON_INTERNET

    Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti i tipi di rete. Per saperne di più, consulta Tipi di rete.

  • IP_RANGES: un elenco separato da virgole di intervalli IP in formato CIDR, tutti gli intervalli IPv4 o tutti gli intervalli IPv6. Esempi:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: un elenco separato da virgole di tag.

    Non puoi utilizzare i tag sicuri dell'origine se il tipo di rete è impostato su INTERNET.

  • COUNTRY_CODE: un elenco separato da virgole di codici paese di due lettere

    • Per la direzione di ingresso, specifica i codici paese di origine nel flag --src-region-code. Non puoi utilizzare il flag --src-region-code per la direzione di uscita o quando --src-network-type è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, specifica i codici paese di destinazione nel flag --dest-region-code; non puoi utilizzare il flag --dest-region-code per la direzione di ingresso

  • LIST_NAMES: un elenco separato da virgole di nomi di elenchi di Google Threat Intelligence

    • Per la direzione in entrata, specifica gli elenchi di Google Threat Intelligence di origine nel flag --src-threat-intelligence. Non puoi utilizzare il flag --src-threat-intelligence per la direzione di uscita o quando --src-network-type è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Per la direzione di uscita, specifica gli elenchi di Google Threat Intelligence di destinazione nel flag --dest-threat-intelligence; non puoi utilizzare il flag --dest-threat-intelligence per la direzione di ingresso

  • ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi

    • Per la direzione in entrata, specifica i gruppi di indirizzi di origine nel flag --src-address-groups; non puoi utilizzare il flag --src-address-groups per la direzione in uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-address-groups; non puoi utilizzare il flag --dest-address-groups per la direzione di ingresso

  • DOMAIN_NAME: un elenco separato da virgole di nomi di dominio nel formato descritto in Formato del nome di dominio

    • Per la direzione in entrata, specifica i nomi dei domini di origine nel flag --src-fqdns; non puoi utilizzare il flag --src-fqdns per la direzione in uscita
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-fqdns; non puoi utilizzare il flag --dest-fqdns per la direzione di ingresso

  • --enable-logging e --no-enable-logging: attiva o disattiva il logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, non deve essere presa in considerazione durante l'elaborazione delle connessioni; l'omissione di questo flag attiva la regola oppure puoi specificare --no-disabled

  • REGION_NAME: una regione in cui applicare la policy

Aggiornare una regola

Per le descrizioni dei campi, consulta Crea regole firewall di rete.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi che vuoi cambiare.

  7. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Descrivere una regola

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • POLICY_NAME: il nome della policy che contiene la regola
  • REGION_NAME: una regione in cui applicare la policy.

Eliminare una regola da una policy

L'eliminazione di una regola da un criterio fa sì che la regola non venga più applicata alle nuove connessioni da o verso la destinazione della regola.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla policy.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi eliminare dalla policy
  • POLICY_NAME: il criterio contenente la regola
  • REGION_NAME: una regione in cui applicare la policy

Clonare le regole da un criterio a un altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole del criterio di origine.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Fornisci il nome di una norma di destinazione.

  6. Fai clic su Continua > Associa la norma di rete alle risorse se vuoi associare immediatamente la nuova norma.

  7. Fai clic su Clona.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Sostituisci quanto segue:

  • POLICY_NAME: la policy in cui ricevere le regole copiate
  • SOURCE_POLICY: la policy da cui copiare le regole; deve essere l'URL della risorsa
  • REGION_NAME: una regione in cui applicare la policy

Recupera le policy firewall di rete regionali effettive

Puoi visualizzare tutte le regole firewall che si applicano a una regione di una rete VPC utilizzando il seguente comando. Questo comando mostra le regole derivanti da criteri firewall gerarchici, criteri firewall di rete globali, criteri firewall di rete regionali e regole firewall VPC.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Sostituisci quanto segue:

  • REGION_NAME: la regione per la quale vuoi visualizzare le regole effettive.
  • NETWORK_NAME: la rete per cui vuoi visualizzare le regole effettive.