Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יצירה של כללים ומדיניות היררכית לחומת אש

בדף הזה מוסבר איך לשלוט בתעבורת הרשת בGoogle Cloud ארגון ובתיקיות באמצעות כללי מדיניות וכללים היררכיים של חומת אש. מידע נוסף על הגדרת כללי מדיניות ברמת הארגון או התיקייה, ואז שיוך שלהם למשאבים ספציפיים.

לפני שקוראים את הדף הזה, חשוב להכיר את המושגים שמתוארים בסקירה הכללית על מדיניות חומת אש היררכית. דוגמאות להטמעה של מדיניות חומת אש היררכית

מגבלות

כללים של מדיניות חומת אש היררכית לא תומכים בשימוש בתגי רשת להגדרת יעדים. במקום זאת, צריך להשתמש ברשת יעד של ענן וירטואלי פרטי (VPC) או בחשבון שירות יעד.
אפשר להחיל מדיניות חומת אש ברמת התיקייה וברמת הארגון, אבל לא ברמת רשת ה-VPC. כללי חומת אש רגילים של VPC נתמכים ברשתות VPC.
אפשר לשייך רק מדיניות חומת אש אחת למשאב (תיקייה או ארגון), אבל המכונות הווירטואליות בתיקייה יכולות לרשת כללים מכל היררכיית המשאבים שמעל למכונה הווירטואלית.
רישום ביומן של כללי מדיניות חומת אש נתמך בכללי allow ו-deny, אבל לא בכללי goto_next.
אין תמיכה בפרוטוקול IPv6 Hop-by-Hop בכללי חומת האש.

משימות שקשורות למדיניות חומת האש

בקטע הזה מוסבר איך ליצור מדיניות פיירוול היררכית ואיך לשייך אותה.

יצירת מדיניות חומת אש

כשיוצרים מדיניות היררכית של חומת אש, אפשר להגדיר את ההורה שלה כארגון או כתיקייה בתוך הארגון. אחרי שיוצרים את המדיניות, אפשר לשייך אותה לארגון או לתיקייה בארגון.

ההרשאות שנדרשות למשימה הזו

כדי לבצע את המשימה הזו, אתם צריכים את ההרשאות או אחד מתפקידי ה-IAM שמצוינים כאן.

הרשאות

compute.firewallPolicies.create

תפקידים

‫Compute Organization Firewall Policy Admin ‏ (roles/compute.orgFirewallPolicyAdmin) בארגון או בתיקייה שבהם רוצים ליצור את המדיניות
אדמין אבטחה של Compute‏ (roles/compute.securityAdmin) בארגון או בתיקייה שבהם רוצים ליצור את המדיניות

המסוף

נכנסים לדף Firewall policies במסוף Google Cloud .

לדף Firewall policies
בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או תיקייה בארגון.
לוחצים על יצירת מדיניות חומת אש.
בשדה Policy name, כותבים את השם של המדיניות.
אופציונלי: אם רוצים ליצור כללים למדיניות, לוחצים על המשך.
בקטע הוספת כללים, לוחצים על יצירת כלל חומת אש. למידע נוסף על יצירת כללים של חומת אש:
- יצירת כלל לתעבורת נתונים נכנסת (ingress) למכונות וירטואליות
- יצירת כלל לתעבורת נתונים יוצאת (egress) ליעדים של מכונות וירטואליות
אופציונלי: אם רוצים לשייך את המדיניות למשאב, לוחצים על המשך.
בקטע Associate policy with resources (שיוך מדיניות למשאבים), לוחצים על Add (הוספה).

מידע נוסף זמין במאמר קישור מדיניות לארגון או לתיקייה.
לוחצים על יצירה.

gcloud

מריצים את הפקודות הבאות כדי ליצור מדיניות היררכית של חומת אש שההורה שלה הוא ארגון:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

מריצים את הפקודות הבאות כדי ליצור מדיניות היררכית של חומת אש שההורה שלה הוא תיקייה בארגון:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

מחליפים את מה שכתוב בשדות הבאים:

‫ORG_ID: מזהה הארגון

מציינים מזהה ארגון כדי ליצור מדיניות שההורה שלה הוא ארגון. אפשר לשייך את המדיניות לארגון או לתיקייה בתוך הארגון.
SHORT_NAME: שם למדיניות

למדיניות שנוצרת באמצעות Google Cloud CLI יש שני שמות: שם שהמערכת יוצרת ושם קצר שאתם מספקים. כשמשתמשים ב-CLI של gcloud כדי לעדכן מדיניות קיימת, אפשר לציין את השם שנוצר על ידי המערכת או את השם המקוצר ואת מזהה הארגון. כשמשתמשים ב-API כדי לעדכן את המדיניות, צריך לציין את השם שנוצר על ידי המערכת.
‫FOLDER_ID: המזהה של תיקייה

מציינים מזהה תיקייה כדי ליצור מדיניות שהתיקייה היא ההורה שלה. אפשר לשייך את המדיניות לארגון שמכיל את התיקייה או לכל תיקייה בארגון.

שיוך מדיניות לארגון או לתיקייה

כשמשייכים מדיניות חומת אש היררכית לארגון או לתיקייה בארגון, הכללים של מדיניות חומת האש – למעט כללים מושבתים, ובכפוף ליעד של כל כלל – חלים על משאבים ברשתות VPC בפרויקטים של הארגון או התיקייה המשויכים.

ההרשאות שנדרשות למשימה הזו

כדי לבצע את המשימה הזו, אתם צריכים את ההרשאות או אחד מתפקידי ה-IAM שמצוינים כאן.

הרשאות

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

תפקידים

אדמין של משאבי ארגון ב-Compute ‏ (roles/compute.orgSecurityResourceAdmin) בארגון או בתיקייה שבהם רוצים להחיל את מדיניות חומת האש
בנוסף, צריך להיות לכם אחד מהתפקידים הבאים:
- אדמין של רשת מחשוב (roles/compute.networkAdmin) במדיניות חומת האש, בארגון או בתיקייה שמכילים את מדיניות חומת האש
- ‫Compute Organization Firewall Policy Admin ‏ (roles/compute.orgFirewallPolicyAdmin) במדיניות חומת האש או בארגון או בתיקייה שמכילים את מדיניות חומת האש
- ‫Compute Organization Firewall Policy User ‏ (roles/compute.orgFirewallPolicyUser ) במדיניות חומת האש או בארגון או בתיקייה שמכילים את מדיניות חומת האש
- אדמין של מדיניות אבטחה בארגון Compute ‏ (roles/compute.orgSecurityPolicyAdmin) במדיניות חומת האש או בארגון או בתיקייה שמכילים את מדיניות חומת האש
- המשתמש Compute Organization Security Policy User‏ (roles/compute.orgSecurityPolicyUser) במדיניות חומת האש או בארגון או בתיקייה שמכילים את מדיניות חומת האש
- אדמין לענייני אבטחה ב-Compute‏ (roles/compute.securityAdmin) במדיניות חומת האש או בארגון או בתיקייה שמכילים את מדיניות חומת האש

המסוף

נכנסים לדף Firewall policies במסוף Google Cloud .

לדף Firewall policies
בתפריט לבחירת פרויקט, בוחרים את מזהה הארגון או את התיקייה שמכילה את המדיניות.
לוחצים על המדיניות הרלוונטית.
לוחצים על הכרטיסייה שיוכים.
לוחצים על הוספת שיוך.
בוחרים את שורש הארגון או תיקיות בתוך הארגון.
לוחצים על הוספה.

gcloud

כברירת מחדל, אם מנסים להוסיף שיוך לארגון או לתיקייה שכבר משויכים, השיטה נכשלת. אם מציינים את הדגל --replace-association-on-target, השיוך הקיים נמחק בו-זמנית עם יצירת השיוך החדש. כך המשאב לא יישאר ללא מדיניות במהלך המעבר.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

מחליפים את מה שכתוב בשדות הבאים:

POLICY_NAME: השם הקצר או השם שנוצר על ידי המערכת של המדיניות
‫ORG_ID: מזהה הארגון
‫FOLDER_ID: אם משייכים את המדיניות לתיקייה, מציינים אותה כאן. אם משייכים את המדיניות לרמת הארגון, מדלגים על השלב הזה.
‫ASSOCIATION_NAME: שם אופציונלי של הקישור. אם לא מציינים שם, השם מוגדר כ'ארגון ORG_ID' או 'תיקייה FOLDER_ID'

משימות של כללי מדיניות חומת אש

בקטע הזה מוסבר איך ליצור כללים היררכיים למדיניות חומת האש.

יצירת כלל תעבורת נתונים נכנסת (ingress) למכונות וירטואליות כיעדים

ההרשאות שנדרשות למשימה הזו

כדי לבצע את המשימה הזו, אתם צריכים את ההרשאות או אחד מתפקידי ה-IAM שמצוינים כאן.

הרשאות

compute.firewallPolicies.update

תפקידים

‫Compute Organization Firewall Policy Admin (roles/compute.orgFirewallPolicyAdmin) במדיניות חומת האש, בארגון או בתיקייה שמכילים את המדיניות
אדמין לענייני אבטחה ב-Compute ‏ (roles/compute.securityAdmin) במדיניות חומת האש, בארגון או בתיקייה שמכילים את המדיניות

בקטע הזה מוסבר איך ליצור כלל תעבורה נכנסת שחל על ממשקי רשת של מכונות Compute Engine.

המסוף

נכנסים לדף Firewall policies במסוף Google Cloud .

לדף Firewall policies
ברשימת הפרויקטים, בוחרים ארגון או תיקייה שמכילים מדיניות היררכית של חומת אש.
אם צריך, בקטע Hierarchy index, בוחרים תיקיית צאצא.
בקטע Firewall policies (מדיניות חומת אש), לוחצים על השם של מדיניות חומת אש היררכית שרוצים ליצור בה כלל.
בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:
1. עדיפות: סדר ההערכה המספרי של הכלל.
  
  הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.
2. תיאור: אפשר לספק תיאור אופציונלי.
3. כיוון התנועה: בוחרים באפשרות תנועה נכנסת (ingress).
4. פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:
  - Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
  - דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
  - הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
  - ‫Apply security profile group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצה של נקודות קצה ליירוט בהתאם למטרה שבוחרים.
    - כדי לשלוח מנות לנקודת קצה של חומת אש Cloud NGFW, בוחרים באפשרות Cloud NGFW Enterprise ואז בוחרים קבוצת פרופילי אבטחה. כדי להפעיל בדיקת TLS של החבילות, בוחרים באפשרות Enable TLS inspection (הפעלת בדיקת TLS).
    - כדי לשלוח מנות לקבוצת נקודות קצה של Network Security Integration (NSI) לצורך שילוב בתוך תדרים, בוחרים באפשרות NSI In-Band (NSI בתוך תדרים) ואז בוחרים Security profile group (קבוצת פרופילי אבטחה).
5. יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.
6. רשתות יעד: אם רוצים שמדיניות חומת האש תחול על יעדים ברשתות VPC ספציפיות, לוחצים על הוספת רשת ואז בוחרים את הפרויקט ואת הרשת.
7. טירגוט: בוחרים אחת מהאפשרויות הבאות:
  - החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
  - חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם בחשבון שירות יעד.
  - תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
8. Source network context: specify a network context:
  - כדי לדלג על סינון התנועה הנכנסת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
  - כדי לסנן תנועה נכנסת להקשר רשת ספציפי, בוחרים באפשרות הקשר רשת ספציפי ואז בוחרים הקשר רשת:
    - אינטרנט: תעבורה נכנסת צריכה להתאים להקשר של רשת האינטרנט לחבילות נתונים נכנסות.
    - לא אינטרנט: תעבורה נכנסת צריכה להתאים להקשר של רשת לא אינטרנט לחבילות נכנסות.
    - בתוך VPC: תעבורת נתונים נכנסת צריכה להתאים לקריטריונים של הקשר ברשת בתוך VPC.
    - רשתות VPC: תעבורה נכנסת צריכה להתאים לקריטריונים להקשר של רשתות VPC. צריך לבחור לפחות רשת VPC אחת:
      - בחירת הפרויקט הנוכחי: מאפשרת להוסיף רשת VPC אחת או יותר מהפרויקט שמכיל את מדיניות חומת האש.
      - הזנה ידנית של רשת: מאפשרת להזין באופן ידני פרויקט ורשת VPC.
      - בחירת פרויקט: מאפשרת לבחור פרויקט שממנו אפשר לבחור רשת VPC.
9. מסנני מקור: מציינים פרמטרים נוספים של מקור. אי אפשר להשתמש בחלק מהפרמטרים של מקורות תנועה ביחד, וההקשר של רשת המקורות שתבחרו מגביל את הפרמטרים של מקורות התנועה שבהם תוכלו להשתמש. מידע נוסף זמין במאמרים מקורות לכללי תעבורה נכנסת ושילובים של מקורות לכללי תעבורה נכנסת.
  - כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv4 של המקור, בוחרים באפשרות IPv4 ואז מזינים את בלוקי ה-CIDR בשדה טווחי כתובות IP. משתמשים בערך 0.0.0.0/0 לכל מקור IPv4.
  - כדי לסנן תנועה נכנסת לפי טווחי כתובות IPv6 של המקור, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווח כתובות IPv6. משתמשים ב-::/0 לכל מקור IPv6.
  - כדי לסנן תנועה נכנסת לפי ערכי תגים מאובטחים של מקורות, בוחרים באפשרות בחירת היקף לתגים בקטע תגים מאובטחים. לאחר מכן, מציינים את מפתחות התגים ואת ערכי התגים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
  - כדי לסנן תנועה נכנסת לפי FQDN של המקור, מזינים FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
  - כדי לסנן תנועה נכנסת לפי מיקום גיאוגרפי של המקור, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
  - כדי לסנן תנועה נכנסת לפי קבוצת כתובות מקור, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר קבוצות כתובות למדיניות של חומת אש.
  - כדי לסנן תנועה נכנסת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא Google Threat Intelligence לכללים של מדיניות חומת האש.
10. יעד: מציינים פרמטרים אופציונליים של יעד. מידע נוסף זמין במאמר יעדים לכללי תעבורה נכנסת.
  - כדי לדלג על סינון תנועה נכנסת לפי כתובת IP של יעד, בוחרים באפשרות ללא.
  - כדי לסנן תנועה נכנסת לפי כתובת IP של היעד, בוחרים באפשרות IPv4 או IPv6 ומזינים CIDR אחד או יותר באותו פורמט שבו השתמשתם לטווחים של כתובות IPv4 או IPv6 של המקור.
11. פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.
12. אכיפה: מציינים אם כלל חומת האש נאכף או לא:
  - מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
  - מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
לוחצים על יצירה.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

מחליפים את מה שכתוב בשדות הבאים:

‫PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.
‫POLICY_NAME: השם של מדיניות חומת האש ההיררכית שבה רוצים ליצור את הכלל.
‫ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית, אם ההורה שלה הוא ארגון.
‫FOLDER_ID: מזהה התיקייה שמכילה את מדיניות חומת האש ההיררכית, אם ההורה שלה הוא תיקייה.
‫DESCRIPTION: תיאור אופציונלי של הכלל החדש.
‫ACTION: מציינים אחת מהפעולות הבאות:
- ‫allow: מאפשרת חיבורים שתואמים לכלל.
- ‫deny: דוחה חיבורים שתואמים לכלל.
- ‫goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
- ‫apply_security_profile_group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצת נקודות קצה ליירוט.
  - אם הפעולה היא apply_security_profile_group, צריך לכלול את --security-profile-group SECURITY_PROFILE_GROUP, כאשר SECURITY_PROFILE_GROUP הוא השם של קבוצת פרופילים של אבטחה.
  - פרופיל האבטחה של קבוצת פרופילי האבטחה יכול להפנות לנקודת קצה של חומת אש Cloud NGFW או לקבוצה של נקודות קצה ליירוט של Network Security Integration לשילוב בתוך פס התדרים.
  - אם פרופיל האבטחה של קבוצת פרופילי האבטחה מפנה לנקודת קצה של חומת אש Cloud NGFW, צריך לכלול את --tls-inspect או את --no-tls-inspect כדי להפעיל או להשבית את בדיקת ה-TLS.
הדגלים --enable-logging ו---no-enable-logging מאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC.
הדגלים --disabled ו---no-disabled קובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף).
מציינים יעד:
- אם לא מציינים את הדגלים --target-resources, ‏--target-secure-tags ו---target-service-accounts,‏ Cloud NGFW משתמש ביעדי המכונה הרחבים ביותר.
- ‫TARGET_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו באמצעות כתובות ה-URL של משאבי הרשת בפורמט https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. אפשר להשתמש בדגל --target-resources לבד או בשילוב עם דגל טירגוט אחר. מידע נוסף זמין במאמר בנושא שילובים ספציפיים של טירגוט.
- ‫TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעי מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים.
- ‫TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
‫LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:
- שם של פרוטוקול IP ‏ (tcp) או מספר פרוטוקול IP של IANA ‏ (17) בלי יציאת יעד.
- שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (tcp:80).
- שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
מציינים מקור לכלל הכניסה. מידע נוסף על שילובים של מקורות של כללי Ingress
- ‫SRC_NETWORK_CONTEXT: מגדיר הקשרים של רשתות מקור לשימוש בשילוב עם פרמטר מקור נתמך אחר כדי ליצור שילוב מקורות. הערכים התקפים כשמשתמשים בערך --target-type=INSTANCES הם: INTERNET,‏ NON_INTERNET,‏ VPC_NETWORKS או INTRA_VPC. מידע נוסף זמין במאמר בנושא הקשרים של רשתות.
- ‫SRC_VPC_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו לפי מזהי כתובות ה-URL שלהן. מציינים את הדגל הזה רק אם הערך של --src-network-context הוא VPC_NETWORKS.
- ‫SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
- ‫SRC_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים. קבוצות הכתובות ברשימה צריכות להכיל את כל כתובות IPv4 או את כל כתובות IPv6, ולא שילוב של שתיהן.
- ‫SRC_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין.
- ‫SRC_SECURE_TAGS: רשימה מופרדת בפסיקים של תגים. אי אפשר להשתמש בדגל --src-secure-tags אם הערך של --src-network-context הוא INTERNET.
- ‫SRC_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי. אי אפשר להשתמש בדגל --src-region-codes אם הערך של --src-network-context הוא NON_INTERNET,‏ VPC_NETWORKS או INTRA_VPC.
- ‫SRC_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence. אי אפשר להשתמש בדגל --src-threat-intelligence אם הערך של --src-network-context הוא NON_INTERNET,‏ VPC_NETWORKS או INTRA_VPC.
אפשר גם לציין יעד לכלל התעבורה הנכנסת:
- ‫DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה חייבים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.

יצירת כלל לתעבורת נתונים יוצאת (egress) למכונות וירטואליות (VM) כיעדים

ההרשאות שנדרשות למשימה הזו

כדי לבצע את המשימה הזו, אתם צריכים את ההרשאות או אחד מתפקידי ה-IAM שמצוינים כאן.

הרשאות

compute.firewallPolicies.update

תפקידים

‫Compute Organization Firewall Policy Admin (roles/compute.orgFirewallPolicyAdmin) במדיניות חומת האש, בארגון או בתיקייה שמכילים את המדיניות
אדמין לענייני אבטחה ב-Compute ‏ (roles/compute.securityAdmin) במדיניות חומת האש, בארגון או בתיקייה שמכילים את המדיניות

בהוראות הבאות מוסבר איך ליצור כלל יציאה. כללי תעבורת נתונים יוצאת (egress) חלים רק על יעדים שהם ממשקי רשת של מכונות ב-Compute Engine.

המסוף

נכנסים לדף Firewall policies במסוף Google Cloud .

לדף Firewall policies
ברשימת הפרויקטים, בוחרים ארגון או תיקייה שמכילים מדיניות היררכית של חומת אש.
אם צריך, בקטע Hierarchy index, בוחרים תיקיית צאצא.
בקטע Firewall policies (מדיניות חומת אש), לוחצים על השם של מדיניות חומת אש היררכית שרוצים ליצור בה כלל.
בקטע Firewall rules (כללי חומת אש), לוחצים על Create firewall rule (יצירת כלל חומת אש) ומציינים את פרמטרי ההגדרה הבאים:
1. עדיפות: סדר ההערכה המספרי של הכלל.
  
  הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד בלבד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.
2. תיאור: אפשר לספק תיאור אופציונלי.
3. כיוון התנועה: בוחרים באפשרות יציאה.
4. פעולה במקרה של התאמה: בוחרים אחת מהאפשרויות הבאות:
  - Allow: כדי לאשר חיבורים שתואמים לפרמטרים של הכלל.
  - דחייה: כדי לחסום חיבורים שתואמים לפרמטרים של הכלל.
  - הבא: כדי להמשיך בתהליך הערכת כללי חומת האש.
  - ‫Apply security profile group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצה של נקודות קצה ליירוט בהתאם למטרה שבוחרים.
    - כדי לשלוח מנות לנקודת קצה של חומת אש Cloud NGFW, בוחרים באפשרות Cloud NGFW Enterprise ואז בוחרים קבוצת פרופילי אבטחה. כדי להפעיל בדיקת TLS של החבילות, בוחרים באפשרות Enable TLS inspection (הפעלת בדיקת TLS).
    - כדי לשלוח מנות לקבוצת נקודות קצה של Network Security Integration (NSI) לצורך שילוב בתוך תדרים, בוחרים באפשרות NSI In-Band (NSI בתוך תדרים) ואז בוחרים Security profile group (קבוצת פרופילי אבטחה).
5. יומנים: בוחרים באפשרות מופעל כדי להפעיל את הרישום ביומן של כללי חומת האש, או באפשרות מושבת כדי להשבית את הרישום ביומן של כללי חומת האש עבור הכלל הזה.
6. רשתות יעד: אם רוצים שמדיניות חומת האש תחול על יעדים ברשתות VPC ספציפיות, לוחצים על הוספת רשת ואז בוחרים את הפרויקט ואת הרשת.
7. טירגוט: בוחרים אחת מהאפשרויות הבאות:
  - החלה על כל המקרים: Cloud NGFW משתמש ביעדי המופעים הרחבים ביותר.
  - חשבונות שירות: מצמצם את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות בחשבון השירות שציינתם בחשבון שירות יעד.
  - תגים מאובטחים: מצמצמים את טווח היעדים הרחב ביותר של המכונה לממשקי הרשת של מכונות וירטואליות שמקושרות לפחות לאחד מהערכים של התג המאובטח שצוין. לוחצים על Select scope for tags (בחירת היקף התגים) ובוחרים את הארגון או הפרויקט שמכילים את ערכי התגים שרוצים להתאים. כדי להוסיף עוד ערכי תגים, לוחצים על הוספת תג.
8. הקשר של רשת היעד: מציינים הקשר של רשת:
  - כדי לדלג על סינון התנועה היוצאת לפי הקשר הרשת, בוחרים באפשרות כל הקשרי הרשת.
  - כדי לסנן תנועה יוצאת להקשר רשת ספציפי, בוחרים באפשרות Specific network context (הקשר רשת ספציפי) ואז בוחרים הקשר רשת:
    - אינטרנט: תנועה יוצאת חייבת להתאים להקשר של רשת האינטרנט עבור מנות יוצאות.
    - לא אינטרנטית: תעבורת נתונים יוצאת צריכה להתאים להקשר של רשת לא אינטרנטית למנות יוצאות.
9. מסנני יעד: מציינים פרמטרים נוספים של יעד. אי אפשר להשתמש בחלק מהפרמטרים של היעד ביחד, וההקשר של רשת היעד מגביל את המסננים שאפשר להשתמש בהם. מידע נוסף זמין במאמרים יעדים לכללי תעבורה יוצאת ושילובים של יעדים לכללי תעבורה יוצאת.
  - כדי לסנן תנועה יוצאת לפי טווחי יעד של כתובות IPv4, בוחרים באפשרות IPv4 ומזינים את בלוקי ה-CIDR בשדה IP ranges (טווחי כתובות IP). אפשר להשתמש ב-0.0.0.0/0 לכל יעד IPv4.
  - כדי לסנן תנועה יוצאת לפי טווחי יעד של IPv6, בוחרים באפשרות IPv6 ומזינים את בלוקי ה-CIDR בשדה טווחים של IPv6. שימוש ב-::/0 לכל יעד IPv6.
  - כדי לסנן תנועה יוצאת לפי FQDN של היעד, מזינים את ה-FQDN בשדה FQDNs. מידע נוסף מופיע במאמר בנושא אובייקטים של FQDN.
  - כדי לסנן תנועה יוצאת לפי מיקום גיאוגרפי של היעד, בוחרים מיקום אחד או יותר בשדה מיקומים גיאוגרפיים. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
  - כדי לסנן תנועה יוצאת לפי קבוצת כתובות יעד, בוחרים קבוצה אחת או יותר של כתובות בשדה קבוצות כתובות. מידע נוסף זמין במאמר בנושא קבוצות כתובות לכללי מדיניות של חומת אש.
  - כדי לסנן תנועה יוצאת לפי רשימות של Google Threat Intelligence, בוחרים רשימה אחת או יותר של Google Threat Intelligence בשדה Google Cloud Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
10. מקור: מציינים פרמטרים אופציונליים של מקור. מידע נוסף זמין במאמר בנושא מקורות לכללי תעבורה יוצאת.
  - כדי לדלג על סינון תנועה יוצאת לפי כתובת IP של מקור, בוחרים באפשרות ללא.
  - כדי לסנן תנועה יוצאת לפי כתובת IP של המקור, בוחרים באפשרות IPv4 או IPv6 ואז מזינים CIDR אחד או יותר באותו פורמט שבו משתמשים לטווחים של כתובות IPv4 של היעד או לטווחים של כתובות IPv6 של היעד.
11. פרוטוקולים ויציאות: מציינים את הפרוטוקולים ויציאות היעד של תעבורת הנתונים שצריכים להתאים לכלל. מידע נוסף מופיע במאמר בנושא פרוטוקולים ויציאות.
12. אכיפה: מציינים אם כלל חומת האש נאכף או לא:
  - מופעל: הכלל נוצר והמערכת מתחילה לאכוף אותו על חיבורים חדשים.
  - מושבת: יוצר את הכלל אבל לא אוכף אותו על חיבורים חדשים.
לוחצים על יצירה.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

מחליפים את מה שכתוב בשדות הבאים:

‫PRIORITY: סדר ההערכה המספרי של הכלל במדיניות. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר. העדיפויות צריכות להיות ייחודיות לכל כלל. מומלץ להפריד בין ערכי העדיפות של הכללים ביותר מאשר בהפרש של אחד (לדוגמה, 100, 200, 300), כדי שתוכלו ליצור כללים חדשים בין הכללים הקיימים בהמשך.
‫POLICY_NAME: השם של מדיניות חומת האש ההיררכית שבה רוצים ליצור את הכלל.
‫ORG_ID: מזהה הארגון שמכיל את מדיניות חומת האש ההיררכית, אם ההורה שלה הוא ארגון.
‫FOLDER_ID: מזהה התיקייה שמכילה את מדיניות חומת האש ההיררכית, אם ההורה שלה הוא תיקייה.
‫DESCRIPTION: תיאור אופציונלי של הכלל החדש.
‫ACTION: מציינים אחת מהפעולות הבאות:
- ‫allow: מאפשרת חיבורים שתואמים לכלל.
- ‫deny: דוחה חיבורים שתואמים לכלל.
- ‫goto_next: ממשיך את תהליך ההערכה של כלל חומת האש.
- ‫apply_security_profile_group: שולח את החבילות אל נקודת קצה של חומת אש או אל קבוצת נקודות קצה ליירוט.
  - אם הפעולה היא apply_security_profile_group, צריך לכלול את --security-profile-group SECURITY_PROFILE_GROUP, כאשר SECURITY_PROFILE_GROUP הוא השם של קבוצת פרופילים של אבטחה.
  - פרופיל האבטחה של קבוצת פרופילי האבטחה יכול להפנות לנקודת קצה של חומת אש Cloud NGFW או לקבוצת נקודות קצה של Network Security Integration ליירוט לצורך שילוב בתוך הפס.
  - אם פרופיל האבטחה של קבוצת פרופילי האבטחה מפנה לנקודת קצה של חומת אש Cloud NGFW, צריך לכלול את --tls-inspect או את --no-tls-inspect כדי להפעיל או להשבית את בדיקת ה-TLS.
הדגלים --enable-logging ו---no-enable-logging מאפשרים להפעיל או להשבית את הרישום ביומן של כללי חומת האש של VPC.
הדגלים --disabled ו---no-disabled קובעים אם הכלל מושבת (לא נאכף) או מופעל (נאכף).
מציינים יעד:
- אם לא מציינים את הדגלים --target-resources, ‏--target-secure-tags ו---target-service-accounts,‏ Cloud NGFW משתמש ביעדי המכונה הרחבים ביותר.
- ‫TARGET_NETWORKS: רשימה מופרדת בפסיקים של רשתות VPC שצוינו באמצעות כתובות ה-URL של משאבי הרשת בפורמט https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. אפשר להשתמש בדגל --target-resources לבד או בשילוב עם דגל טירגוט אחר. מידע נוסף זמין במאמר בנושא שילובים ספציפיים של טירגוט.
- ‫TARGET_SECURE_TAGS: רשימה מופרדת בפסיקים של ערכי תגים מאובטחים שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מופעים של מכונות וירטואליות שמקושרים לפחות לאחד מהערכים של התגים המאובטחים.
- ‫TARGET_SERVICE_ACCOUNTS: רשימה מופרדת בפסיקים של חשבונות שירות שמצמצמת את היעדים הרחבים ביותר של המופעים לממשקי הרשת של מכונות וירטואליות שמשתמשות באחד מחשבונות השירות.
‫LAYER_4_CONFIGS: רשימה מופרדת בפסיקים של הגדרות בשכבה 4. כל הגדרה של שכבה 4 יכולה להיות אחת מהאפשרויות הבאות:
- שם של פרוטוקול IP ‏ (tcp) או מספר פרוטוקול IP של IANA ‏ (17) בלי יציאת יעד.
- שם פרוטוקול ה-IP ויציאת היעד, מופרדים בנקודתיים (tcp:80).
- שם פרוטוקול ה-IP וטווח יציאות היעד, מופרדים באמצעות נקודתיים (:) וקו מקף (-) מפריד בין יציאת היעד הראשונה ליציאת היעד האחרונה (tcp:5000-6000). מידע נוסף זמין במאמר פרוטוקולים ויציאות.
מציינים יעד לכלל התעבורה היוצאת (egress). מידע נוסף על שילובים של יעדים בכלל יציאה
- DEST_NETWORK_CONTEXT: מגדיר הקשרים של רשת היעד לשימוש בשילוב עם פרמטר יעד נתמך אחר כדי ליצור שילוב יעד. הערכים התקינים הם INTERNET ו-NON_INTERNET. מידע נוסף זמין במאמר בנושא הקשרים של הרשת.
- ‫DEST_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.
- ‫DEST_ADDRESS_GROUPS: רשימה מופרדת בפסיקים של קבוצות כתובות שצוינו על ידי מזהי כתובות URL ייחודיים.
- ‫DEST_DOMAIN_NAMES: רשימה מופרדת בפסיקים של אובייקטים מסוג FQDN שצוינו בפורמט של שם דומיין.
- ‫DEST_COUNTRY_CODES: רשימה מופרדת בפסיקים של קודי מדינות בני שתי אותיות. מידע נוסף זמין במאמר בנושא אובייקטים של מיקום גיאוגרפי.
- ‫DEST_THREAT_LIST_NAMES: רשימה מופרדת בפסיקים של שמות של רשימות של Google Threat Intelligence. מידע נוסף זמין במאמר בנושא כללים של מדיניות חומת האש ב-Google Threat Intelligence.
אופציונלי: מציינים מקור לכלל התעבורה היוצאת:
- ‫SRC_IP_RANGES: רשימה מופרדת בפסיקים של טווחי כתובות IP בפורמט CIDR. כל הטווחים ברשימה צריכים להיות בפורמט IPv4 CIDR או IPv6 CIDR, ולא שילוב של שניהם.

יצירה של כללים ומדיניות היררכית לחומת אש קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מגבלות

משימות שקשורות למדיניות חומת האש

יצירת מדיניות חומת אש

ההרשאות שנדרשות למשימה הזו

המסוף

gcloud

שיוך מדיניות לארגון או לתיקייה

ההרשאות שנדרשות למשימה הזו

המסוף

gcloud

משימות של כללי מדיניות חומת אש

יצירת כלל תעבורת נתונים נכנסת (ingress) למכונות וירטואליות כיעדים

ההרשאות שנדרשות למשימה הזו

המסוף

gcloud

יצירת כלל לתעבורת נתונים יוצאת (egress) למכונות וירטואליות (VM) כיעדים

ההרשאות שנדרשות למשימה הזו

המסוף

gcloud

המאמרים הבאים

יצירה של כללים ומדיניות היררכית לחומת אש

ההרשאות שנדרשות למשימה הזו

ההרשאות שנדרשות למשימה הזו

ההרשאות שנדרשות למשימה הזו

ההרשאות שנדרשות למשימה הזו