Hierarchische Firewallrichtlinien und -regeln verwenden

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über hierarchische Firewallrichtlinien beschrieben werden. Beispiele für die Implementierung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Beschränkungen

  • Regeln für hierarchische Firewallrichtlinien unterstützen für die Definition von Zielen keine Netzwerk-Tags. Stattdessen müssen Sie ein Ziel-VPC-Netzwerk (Virtual Private Cloud) oder ein Zieldienstkonto verwenden.
  • Firewallrichtlinien können auf Ordner- und Organisationsebene angewendet werden, jedoch nicht auf VPC-Netzwerkebene. Für VPC-Netzwerke werden reguläre VPC-Firewallregeln unterstützt.
  • Einer Ressource (Ordner oder Organisation) kann jeweils nur eine Firewallrichtlinie zugeordnet werden. Die VM-Instanzen in einem Ordner können jedoch die Regeln aus der gesamten Ressourcenhierarchie übernehmen, die der VM übergeordnet ist.
  • Logging von Firewallregeln wird für die Regeln allow und deny unterstützt, nicht aber für goto_next-Regeln.
  • Das IPv6-Hop-by-Hop-Protokoll wird in Firewallregeln nicht unterstützt.

Aufgaben im Zusammenhang mit Firewallrichtlinien

In diesem Abschnitt wird beschrieben, wie Sie hierarchische Firewallrichtlinien erstellen und verwalten.

Wenn Sie den Fortschritt eines Vorgangs prüfen möchten, der sich aus einer Aufgabe in diesem Abschnitt ergibt, muss Ihr IAM-Hauptkonto zusätzlich zu den für die einzelnen Aufgaben erforderlichen Berechtigungen oder Rollen die folgenden Berechtigungen oder Rollen haben.

Firewallrichtlinie erstellen

Wenn Sie eine hierarchische Firewallrichtlinie erstellen, können Sie als übergeordnete Ressource entweder die Organisation oder einen Ordner innerhalb der Organisation festlegen. Nachdem Sie die Richtlinie erstellt haben, können Sie sie mit der Organisation oder einem Ordner in der Organisation verknüpfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder einen Ordner innerhalb Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie im Feld Richtlinienname einen Namen für die Richtlinie ein.

  5. Optional: Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.

  6. Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen. Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter:

  7. Optional: Wenn Sie die Richtlinie mit einer Ressource verknüpfen möchten, klicken Sie auf Weiter.

  8. Klicken Sie im Abschnitt Richtlinie mit Ressourcen verknüpfen auf Hinzufügen.

    Weitere Informationen finden Sie unter Richtlinie mit der Organisation oder dem Ordner verknüpfen.

  9. Klicken Sie auf Erstellen.

gcloud

Führen Sie diese Befehle aus, um eine hierarchische Firewallrichtlinie zu erstellen, deren übergeordnete Einheit eine Organisation ist:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Führen Sie diese Befehle aus, um eine hierarchische Firewallrichtlinie zu erstellen, deren übergeordnetes Element ein Ordner in einer Organisation ist:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Ersetzen Sie Folgendes:

  • ORG_ID: ID Ihrer Organisation

    Geben Sie eine Organisations-ID an, um eine Richtlinie zu erstellen, deren übergeordnete Ressource eine Organisation ist. Die Richtlinie kann mit der Organisation oder einem Ordner innerhalb der Organisation verknüpft werden.

  • SHORT_NAME: ein Name für die Richtlinie

    Eine Richtlinie, die mithilfe der Google Cloud CLI erstellt wird, hat zwei Namen: einen vom System generierten Namen und einen Kurznamen, den Sie selbst festlegen. Wenn Sie eine vorhandene Richtlinie über die gcloud CLI aktualisieren, können Sie entweder den vom System generierten Namen oder den Kurznamen und die Organisations-ID angeben. Wenn Sie die API zum Aktualisieren der Richtlinie verwenden, müssen Sie den vom System generierten Namen angeben.

  • FOLDER_ID: die ID eines Ordners

    Geben Sie eine Ordner-ID an, um eine Richtlinie zu erstellen, deren übergeordnetes Element ein Ordner ist. Die Richtlinie kann mit der Organisation, die den Ordner enthält, oder mit einem beliebigen Ordner in dieser Organisation verknüpft werden.

Richtlinie mit der Organisation oder dem Ordner verknüpfen

Wenn Sie eine hierarchische Firewallrichtlinie mit einer Organisation oder einem Ordner in einer Organisation verknüpfen, gelten die Regeln der Firewallrichtlinie (mit Ausnahme deaktivierter Regeln und abhängig vom Ziel jeder Regel) für Ressourcen in VPC-Netzwerken in Projekten der verknüpften Organisation oder des verknüpften Ordners.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Klicken Sie auf Verknüpfung hinzufügen.

  6. Wählen Sie den Organisationsstamm oder die Ordner innerhalb der Organisation aus.

  7. Klicken Sie auf Hinzufügen.

gcloud

Normalerweise schlägt der Vorgang fehl, wenn Sie versuchen, eine Richtlinie mit einer Ressource auf Organisations- oder Ordnerebene zu verknüpfen, für die bereits eine Verknüpfung besteht. Wenn Sie das --replace-association-on-target-Flag angeben, wird die vorhandene Verknüpfung gelöscht, sobald Sie die neue Verknüpfung erstellen. Dadurch wird verhindert, dass die Ressource während der Umstellung keine Richtlinie hat.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ersetzen Sie Folgendes:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie
  • ORG_ID: ID Ihrer Organisation
  • FOLDER_ID: Wenn Sie die Richtlinie mit einem Ordner verknüpfen, geben Sie diesen hier an. Lassen Sie den Platzhalter unverändert, wenn Sie die Richtlinie auf Organisationsebene verknüpfen
  • ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name "Organisation ORG_ID" oder "Ordner FOLDER_ID" festgelegt.

Richtlinie von einer Ressource in eine andere verschieben

Wenn Sie eine Richtlinie verschieben, wird nur das übergeordnete Element der Richtlinie geändert. Wenn Sie das übergeordnete Element der Richtlinie ändern, kann sich ändern, welche IAM-Hauptkonten Regeln in der Richtlinie erstellen und aktualisieren können und welche IAM-Hauptkonten zukünftige Zuordnungen erstellen können.

Das Verschieben einer Richtlinie wirkt sich nicht auf vorhandene Richtlinienverknüpfungen oder die Auswertung von Regeln in der Richtlinie aus.

Console

Verwenden Sie für dieses Verfahren die Google Cloud CLI.

gcloud

Führen Sie diese Befehle aus, um die hierarchische Firewallrichtlinie in eine Organisation zu verschieben:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Führen Sie diese Befehle aus, um die hierarchische Firewallrichtlinie in einen Ordner in einer Organisation zu verschieben:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Ersetzen Sie Folgendes:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie, die Sie verschieben
  • ORG_ID: die Organisations-ID, in die die Richtlinie verschoben wird
  • FOLDER_ID: die Ordner-ID, in die die Richtlinie verschoben wird

Richtlinienbeschreibung aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf Bearbeiten.

  5. Ändern Sie die Beschreibung.

  6. Klicken Sie auf Speichern.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Listenrichtlinien

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

    Für eine Organisation werden im Bereich Mit dieser Organisation verknüpfte Firewallrichtlinien die verknüpften Richtlinien angezeigt. Im Bereich Firewallrichtlinien in dieser Organisation werden die Richtlinien aufgeführt, die der Organisation gehören.

    Für einen Ordner werden im Bereich Mit diesem Ordner verknüpfte oder von diesem Ordner übernommene Firewallrichtlinien die Richtlinien angezeigt, die mit dem Ordner verknüpft sind oder von diesem übernommen wurden. Im Bereich Firewallrichtlinien in diesem Ordner werden Richtlinien aufgeführt, die dem Ordner gehören.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Richtlinie beschreiben

Sie können Details zu einer hierarchischen Firewallrichtlinie aufrufen, einschließlich der Richtlinienregeln und der zugehörigen Regelattribute. Alle diese Regelattribute werden auf das Kontingent für Regelattribute angerechnet. Weitere Informationen finden Sie in der Tabelle Pro Firewallrichtlinie unter „Regelattribute pro hierarchischer Firewallrichtlinie“.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Richtlinie löschen

Bevor Sie eine hierarchische Firewallrichtlinie löschen können, müssen Sie alle zugehörigen Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfung entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden Befehl, um die Richtlinie zu löschen:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Verknüpfungen für eine Ressource auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Für die ausgewählte Ressource (Organisation oder Ordner) wird eine Liste der zugehörigen und übernommenen Richtlinien angezeigt.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Verknüpfung löschen

Wenn Sie die hierarchische Firewallrichtlinie ändern müssen, die mit einer Organisation oder einem Ordner verknüpft ist, empfehlen wir, eine neue Richtlinie zu verknüpfen, anstatt eine vorhandene verknüpfte Richtlinie zu löschen. Sie können eine neue Richtlinie in einem Schritt verknüpfen. So wird sichergestellt, dass immer eine hierarchische Firewallrichtlinie mit der Organisation oder dem Ordner verknüpft ist.

Wenn Sie eine Verknüpfung zwischen einer hierarchischen Firewallrichtlinie und einer Organisation oder einem Ordner löschen möchten, folgen Sie der Anleitung in diesem Abschnitt. Regeln in der hierarchischen Firewallrichtlinie werden nicht auf neue Verbindungen angewendet, nachdem die zugehörige Verknüpfung gelöscht wurde.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Verknüpfung entfernen.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Aufgaben im Zusammenhang mit Firewallregeln

In diesem Abschnitt wird beschrieben, wie Sie Regeln für hierarchische Firewallrichtlinien erstellen und verwalten.

Regel für eingehenden Traffic für VM-Ziele erstellen

In diesem Abschnitt wird beschrieben, wie Sie eine Ingress-Regel erstellen, die für Netzwerkschnittstellen von Compute Engine-Instanzen gilt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl eine Organisation oder einen Ordner aus, die bzw. der eine hierarchische Firewallrichtlinie enthält.

  3. Wählen Sie bei Bedarf im Abschnitt Hierarchieindex einen untergeordneten Ordner aus.

  4. Klicken Sie im Bereich Firewallrichtlinien auf den Namen einer hierarchischen Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

  5. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

    1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu trennen (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

    2. Beschreibung: Geben Sie optional eine Beschreibung ein.

    3. Trafficrichtung: Wählen Sie Eingehend aus.

    4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
      • Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
        • Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
        • Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.

    5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

    6. Zielnetzwerke: Wenn die Firewallrichtlinie optional auf Ziele in bestimmten VPC-Netzwerken angewendet werden soll, klicken Sie auf Netzwerk hinzufügen und wählen Sie dann das Projekt und das Netzwerk aus.

    7. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das Dienstkonto verwenden, das Sie unter Zieldienstkonto angeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Umfang für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

    8. Quellnetzwerktyp: Geben Sie einen Netzwerktyp an:

      • Wenn Sie eingehenden Traffic nicht nach Netzwerktyp filtern möchten, wählen Sie Alle Netzwerktypen aus.
      • Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerktyp filtern möchten, wählen Sie Bestimmter Netzwerktyp und dann einen Netzwerktyp aus:

    9. Quellfilter: Geben Sie zusätzliche Quellparameter an. Einige Quellparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Quellnetzwerktyps eingeschränkt, welche Quellparameter Sie verwenden können. Weitere Informationen finden Sie unter Quellen für Regeln für eingehenden Traffic und Kombinationen von Quellen für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Wenn Sie eingehenden Traffic nach Werten für sichere Quell-Tags filtern möchten, wählen Sie im Bereich Sichere Tags die Option Bereich für Tags auswählen aus. Geben Sie dann Tag-Schlüssel und Tag-Werte an. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
      • Wenn Sie eingehenden Traffic nach Quell-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie eingehenden Traffic nach Quellstandort filtern möchten, wählen Sie einen oder mehrere Standorte aus dem Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie eingehenden Traffic nach Quelladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie eingehenden Traffic nach Google Threat Intelligence-Quelllisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

    10. Ziel: Geben Sie optionale Zielparameter an. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nicht nach Ziel-IP-Adresse filtern möchten, wählen Sie Kein aus.
      • Wenn Sie eingehenden Traffic nach Ziel-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Quellbereiche oder IPv6-Quellbereiche ein.

    11. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

    12. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird:

      • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
      • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

  6. Klicken Sie auf Erstellen.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
  • ORG_ID: die Organisations-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element eine Organisation ist.
  • FOLDER_ID: die Ordner-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element ein Ordner ist.
  • DESCRIPTION: eine optionale Beschreibung für die neue Regel.
  • ACTION: Geben Sie eine der folgenden Aktionen an:

    • apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.
      • Wenn die Aktion apply_security_profile_group ist, müssen Sie --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist.
      • Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfang-Endpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
      • Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
  • Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
  • Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
  • Geben Sie ein Ziel an:

    • Wenn Sie die Flags --target-resources, --target-secure-tags und --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
    • TARGET_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre Netzwerkressourcen-URLs im Format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME angegeben werden. Das Flag --target-resources kann allein oder in Kombination mit einem anderen Zielflag verwendet werden. Weitere Informationen finden Sie unter Spezifische Zielkombinationen.
    • TARGET_SECURE_TAGS: eine durch Kommas getrennte Liste von sicheren Tags, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
    • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
  • LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
    • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
    • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
    • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
  • Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:

    • SRC_NETWORK_TYPE: Definiert einen Quellnetzwerktyp, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INSTANCES sind INTERNET, NON_INTERNET, VPC_NETWORKS oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerktypen.
    • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-type VPC_NETWORKS ist.
    • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
    • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
    • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
    • SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können das Flag --src-secure-tags nicht verwenden, wenn --src-network-type INTERNET ist.
    • SRC_COUNTRY_CODES: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Sie können das Flag --src-region-codes nicht verwenden, wenn --src-network-type NON_INTERNET, VPC_NETWORKS oder INTRA_VPC ist.
    • SRC_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln. Sie können das Flag --src-threat-intelligence nicht verwenden, wenn --src-network-type den Wert NON_INTERNET, VPC_NETWORKS oder INTRA_VPC hat.
  • Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:

    • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Ausgangsregel für VM-Ziele erstellen

In der folgenden Anleitung wird beschrieben, wie Sie eine Regel für ausgehenden Traffic erstellen. Ausgangsregeln gelten nur für Ziele, die Netzwerkschnittstellen von Compute Engine-Instanzen sind.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl eine Organisation oder einen Ordner aus, die bzw. der eine hierarchische Firewallrichtlinie enthält.

  3. Wählen Sie bei Bedarf im Abschnitt Hierarchieindex einen untergeordneten Ordner aus.

  4. Klicken Sie im Bereich Firewallrichtlinien auf den Namen einer hierarchischen Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

  5. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

    1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu trennen (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

    2. Beschreibung: Geben Sie optional eine Beschreibung ein.

    3. Trafficrichtung: Wählen Sie Ausgehend aus.

    4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
      • Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
        • Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
        • Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.

    5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

    6. Zielnetzwerke: Wenn die Firewallrichtlinie optional auf Ziele in bestimmten VPC-Netzwerken angewendet werden soll, klicken Sie auf Netzwerk hinzufügen und wählen Sie dann das Projekt und das Netzwerk aus.

    7. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das Dienstkonto verwenden, das Sie unter Zieldienstkonto angeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Umfang für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

    8. Zielnetzwerktyp: Geben Sie einen Netzwerktyp an:

    9. Zielfilter: Geben Sie zusätzliche Zielparameter an. Einige Zielparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Zielnetzwerktyps eingeschränkt, welche Zielfilter Sie verwenden können. Weitere Informationen finden Sie unter Ziele für Regeln für ausgehenden Traffic und Kombinationen von Zielen für Regeln für ausgehenden Traffic.

      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
      • Wenn Sie ausgehenden Traffic nach Ziel-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie ausgehenden Traffic nach geografischem Zielort filtern möchten, wählen Sie im Feld Standorte einen oder mehrere Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie ausgehenden Traffic nach Zieladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.
      • Wenn Sie ausgehenden Traffic nach Google Threat Intelligence-Ziellisten filtern möchten, wählen Sie im Feld Google Cloud Threat Intelligence eine oder mehrere Google Threat Intelligence-Listen aus. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

    10. Quelle: Geben Sie optionale Quellparameter an. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.

      • Wenn Sie das Filtern von ausgehendem Traffic nach Quell-IP-Adresse überspringen möchten, wählen Sie Kein aus.
      • Wenn Sie ausgehenden Traffic nach Quell-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Zielbereiche oder IPv6-Zielbereiche ein.

    11. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

    12. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird:

      • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
      • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

  6. Klicken Sie auf Erstellen.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
  • ORG_ID: die Organisations-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element eine Organisation ist.
  • FOLDER_ID: die Ordner-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element ein Ordner ist.
  • DESCRIPTION: eine optionale Beschreibung für die neue Regel.
  • ACTION: Geben Sie eine der folgenden Aktionen an:

    • apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.
      • Wenn die Aktion apply_security_profile_group ist, müssen Sie --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist.
      • Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfang-Endpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
      • Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
  • Mit den Flags --enable-logging und --no-enable-logging wird das Logging von Firewallregeln aktiviert oder deaktiviert.
  • Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
  • Geben Sie ein Ziel an:

    • Wenn Sie die Flags --target-resources, --target-secure-tags und --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
    • TARGET_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre Netzwerkressourcen-URLs im Format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME angegeben werden. Das Flag --target-resources kann allein oder in Kombination mit einem anderen Zielflag verwendet werden. Weitere Informationen finden Sie unter Spezifische Zielkombinationen.
    • TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
    • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
  • LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
    • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
    • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
    • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Start- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
  • Geben Sie ein Ziel für die Ausgangsregel an. Weitere Informationen finden Sie unter Kombinationen von Zielen für Regeln für ausgehenden Traffic:

    • DEST_NETWORK_TYPE: Definiert einen Zielnetzwerktyp, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet werden soll, um eine Zielkombination zu erstellen. Gültige Werte sind INTERNET und NON_INTERNET. Weitere Informationen finden Sie unter Netzwerktypen.
    • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.
    • DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.
    • DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
    • DEST_COUNTRY_CODES: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.
    • DEST_THREAT_LIST_NAMES: Eine durch Kommas getrennte Liste von Namen von Google Threat Intelligence-Listen. Weitere Informationen finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.
  • Optional können Sie eine Quelle für die Regel für ausgehenden Traffic angeben:

    • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, aber keine Kombination aus beidem.

Alle Regeln in einer Richtlinie auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie. Im Tab Firewallregeln sind alle Regeln aufgelistet.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, die die Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, die die neue Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Regel aktualisieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl die Organisation oder den Ordner aus, die bzw. der die hierarchische Firewallrichtlinie enthält.

  3. Klicken Sie auf den Namen der hierarchischen Firewallrichtlinie, die die zu aktualisierende Regel enthält.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die Felder der Firewallregel, die Sie ändern möchten. Beschreibungen der einzelnen Felder finden Sie in einem der folgenden Artikel:

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Geben Sie die Flags an, die Sie ändern möchten. Beschreibungen der Flags finden Sie in einem der folgenden Artikel:

Regeln von einer Richtlinie in eine andere kopieren

Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter, um den Bereich Richtlinie mit Ressourcen verknüpfen zu öffnen.

  7. Klicken Sie auf Klonen.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Ersetzen Sie Folgendes:

  • POLICY_NAME: Richtlinie, in die die kopierten Regeln eingefügt werden sollen
  • SOURCE_POLICY: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource sein
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Regel löschen

Wenn Sie eine Regel aus einer Richtlinie löschen, wird sie nicht mehr auf neue Verbindungen zum oder vom Ziel der Regel angewendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ersetzen Sie Folgendes:

  • PRIORITY: die Priorität der Regel, die Sie aus der Richtlinie löschen möchten.
  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, die die Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Für ein Netzwerk geltende Firewallregeln abrufen

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale Netzwerk-Firewallrichtlinienregeln ansehen, die für alle Regionen eines VPC-Netzwerk gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.

  3. Klicken Sie auf Firewalls.

  4. Erweitern Sie jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ersetzen Sie NETWORK_NAME durch das Netzwerk, für das Sie die effektiven Regeln aufrufen möchten.

Auf der Seite Firewall können Sie auch die effektiven Firewallregeln für ein Netzwerk aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

  3. Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Für eine VM-Schnittstelle geltende Firewallregeln abrufen

Sie können alle Firewallregeln aus allen anwendbaren Firewallrichtlinien und VPC-Firewallregeln aufrufen, die für eine Netzwerkschnittstelle einer Compute Engine-VM gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Wählen Sie in der Projektauswahl das Projekt aus, das die VM enthält.

  3. Klicken Sie auf die VM.

  4. Klicken Sie unter Netzwerkschnittstellen auf die Schnittstelle.

  5. Effektive Firewallregeln werden im Tab Firewalls im Abschnitt Analyse der Netzwerkkonfiguration angezeigt.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ersetzen Sie dabei Folgendes:

  • INSTANCE_NAME: die VM, für die Sie die gültigen Regeln ansehen möchten; wenn keine Schnittstelle angegeben wurde, gibt der Befehl Regeln für die primäre Schnittstelle (nic0) zurück.
  • INTERFACE: die VM-Schnittstelle, für die Sie die gültigen Regeln anzeigen möchten; der Standardwert ist nic0.
  • ZONE: die Zone der VM; diese Zeile ist optional, wenn die gewünschte Zone bereits als Standard eingestellt ist.

Fehlerbehebung

Dieser Abschnitt enthält Erläuterungen zu möglichen Fehlermeldungen.

  • FirewallPolicy may not specify a name. One will be provided.

    Sie können keinen Richtliniennamen angeben. Die hierarchischen Firewallrichtlinien „Namen“ sind numerische IDs, die von Google Cloud beim Erstellen der Richtlinie generiert werden. Sie können aber auch einen Kurznamen angeben, der in vielen Kontexten als Alias fungiert.

  • FirewallPolicy may not specify associations on creation.

    Verknüpfungen können erst erstellt werden, nachdem hierarchische Firewallrichtlinien erstellt wurden.

  • Can't move firewall policy to a different organization.

    hierarchische Firewall-Richtlinienverschiebungen müssen innerhalb derselben Organisation erfolgen.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Wenn bereits eine Ressource mit einer hierarchischen Firewallrichtlinie verknüpft ist, schlägt der Anhangsvorgang fehl, es sei denn, die Option zum Ersetzen der vorhandenen Verknüpfungen ist auf „true“ gesetzt.

  • Can't have rules with the same priorities.

    Die Prioritäten von Regeln dürfen innerhalb einer hierarchischen Firewallrichtlinie nur einmal vorkommen.

  • Direction must be specified for a firewall policy rule.

    Beim Erstellen hierarchischer Firewallregeln für das direkte Senden von REST-Anfragen muss die Richtung der Regel angegeben werden. Wenn Sie die Google Cloud CLI verwenden und keine Richtung angegeben ist, ist die Standardeinstellung INGRESS.

  • Can't specify enable_logging on a goto_next rule.

    Firewall Logging ist für Regeln mit „goto_next“-Aktionen nicht zulässig, da diese verwendet werden, um die Auswertungsreihenfolge verschiedener Firewallrichtlinien darzustellen. Ebenso sind keine Terminalaktionen wie „ALLOW“ oder „DENY“ zulässig.

  • Must specify at least one destination on Firewall policy rule.

    Das Flag layer4Configs in der Firewallrichtlinienregel muss mindestens ein Protokoll oder Protokoll und Zielport angeben.

    Weitere Informationen zur Fehlerbehebung bei Firewallrichtlinien-Regeln finden Sie unter Fehlerbehebung bei VPC-Firewallregeln.

Nächste Schritte