Firewallregeln erstellen und verwalten

Um den Netzwerk-Traffic von Verbrauchern zu prüfen, verwenden Sie Firewallrichtlinien, um den Traffic an die Abfangendpunktgruppe der VPC weiterzuleiten. Der Traffic wird dann über die Abfangbereitstellungsgruppe des Erstellers an seine Computeressourcen weitergeleitet.

Auf dieser Seite wird beschrieben, wie Sie globale Netzwerk-Firewallrichtlinien und ‑regeln konfigurieren und verwalten. Informationen zum Erstellen von hierarchischen Firewallrichtlinien und -regeln finden Sie unter Hierarchische Firewallrichtlinien und -regeln verwenden.

Hinweise

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen (Identity and Access Management) für Ihr Projekt zuzuweisen, damit Sie Firewallregeln erstellen, aufrufen oder löschen können. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Rollen auf Projektebene haben: Compute-Sicherheitsadministrator (roles/compute.securityAdmin), Compute-Netzwerkadministrator (roles/compute.networkAdmin) und Compute-Betrachter (roles/compute.viewer):

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Firewallrichtlinien und ‑regeln erstellen

Sie erstellen eine Firewallrichtlinie und eine Regel mit der Aktion APPLY_SECURITY_PROFILE_GROUP.

Console

So erstellen Sie eine Netzwerkfirewall-Richtlinie:

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl Ihr Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie im Feld Name einen Namen für die Richtlinie ein.

  5. Wählen Sie unter Bereitstellungsbereich Global aus.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen.

    1. Legen Sie im Feld Priorität die Reihenfolgenummer für die Regel fest, wobei 0 die höchste Priorität ist.
    2. Wählen Sie unter Traffic-Richtung die Option Eingehend aus.
    3. Wählen Sie für Aktion bei Übereinstimmung die Option Weiter zur L7-Prüfung aus.
    4. Wählen Sie als Zweck die Option NSI in-band aus.
    5. Wählen Sie unter Sicherheitsprofilgruppe die benutzerdefinierte Sicherheitsprofilgruppe für das Abfangen aus.
    6. Geben Sie unter Zieltyp das Ziel der Regel an.
    7. Geben Sie für Quellfilter den Quellfilter an.
    8. Geben Sie für Ziele die Zielfilter an.
    9. Geben Sie für Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.
    10. Klicken Sie auf Erstellen.

  7. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

  8. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter und dann auf Richtlinie mit VPC-Netzwerken verknüpfen.

  9. Klicken Sie auf Erstellen.

Weitere Informationen finden Sie unter Globale Netzwerk-Firewallregeln erstellen.

gcloud

Verwenden Sie zum Erstellen einer Netzwerk-Firewallrichtlinie den gcloud compute firewall-policies create-Befehl:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Verwenden Sie zum Erstellen einer Firewallregel den Befehl gcloud compute network-firewall-policies rules create:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Ersetzen Sie Folgendes:

  • PRIORITY: die Priorität der hinzuzufügenden Regel.

  • FIREWALL_POLICY: die ID der Firewallrichtlinie, mit der eine Regel erstellt werden soll.

  • ORGANIZATION_ID: die ID der Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  • SECURITY_PROFILE_GROUP_ID: die ID der Sicherheitsprofilgruppe mit einer custom-intercept-profile-Aktion.

  • DIRECTION: Gibt an, ob die Regel eine ingress- oder egress-Regel ist. Wenn keine Richtung angegeben ist, wird die Regel standardmäßig auf eingehenden Traffic angewendet. Für eingehenden Traffic können Sie keine Zielbereiche angeben. Für ausgehenden Traffic können Sie keine Quellbereiche oder Quell-Tags angeben.

  • LAYER4_CONFIG: eine Liste der Zielprotokolle und -ports, auf die die Firewallregel angewendet wird.

  • SRC_IP_RANGE: die Quell-IP-Bereiche. Dies wird nur angegeben, wenn DIRECTION ingress ist.

  • DEST_IP_RANGE: die Ziel-IP-Bereiche. Dies wird nur angegeben, wenn DIRECTION gleich egress ist.

Terraform

Zum Erstellen einer Firewallrichtlinie können Sie eine google_compute_firewall_policy-Ressource verwenden.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Zum Erstellen einer Firewallrichtlinienregel können Sie eine google_compute_network_firewall_policy_rule-Ressource verwenden.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Firewallrichtlinien und ‑regeln beschreiben

Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Projektauswahl das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität einer Regel, um die Details der Regel aufzurufen.

gcloud

Verwenden Sie den gcloud compute network-firewall-policies describe-Befehl, um eine Firewallrichtlinie zu beschreiben:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Verwenden Sie den Befehl gcloud compute network-firewall-policies rules describe, um eine Firewallregel zu beschreiben:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Ersetzen Sie FIREWALL_POLICY durch die ID der Firewallrichtlinie, in der die Regel definiert ist.

Firewallrichtlinien und ‑regeln löschen

Sie können eine Richtlinie und die zugehörigen Firewallregeln löschen. Bevor Sie die Firewallrichtlinie einer Organisation löschen können, müssen Sie zuerst alle ihre Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

  6. Klicken Sie auf den Tab Verknüpfungen.

  7. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  8. Klicken Sie auf Verknüpfungen entfernen.

  9. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Firewallregel den Befehl gcloud compute network-firewall-policies rules delete:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Ersetzen Sie FIREWALL_POLICY durch die ID der Firewallrichtlinie, in der die Regel definiert ist.

Verwenden Sie zum Löschen einer Firewallrichtlinie den Befehl gcloud compute network-firewall-policies delete:

gcloud compute network-firewall-policies delete FIREWALL_POLICY