Creare e gestire le regole firewall

Per ispezionare il traffico di rete dei consumer, utilizza le policy firewall per reindirizzare il traffico a l gruppo di endpoint di intercettazione del VPC. Il traffico passa quindi attraverso il gruppo di deployment di intercettazione del producer alle relative risorse di calcolo.

Questa pagina descrive come configurare e gestire le regole e le policy firewall di rete globali. Se vuoi creare regole e policy firewall gerarchiche, consulta Utilizzare regole e policy firewall gerarchiche.

Prima di iniziare

Ruoli

Per creare, visualizzare o eliminare le regole firewall, chiedi all'amministratore di concederti i ruoli Identity and Access Management (IAM) necessari per il tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Per controllare l'avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga dei seguenti ruoli Compute Security Admin (roles/compute.securityAdmin), Compute Network Admin (roles/compute.networkAdmin) e Compute Viewer (roles/compute.viewer) a livello di progetto:

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Creare regole e policy firewall

Crea una policy del firewall e una regola con l'azione APPLY_SECURITY_PROFILE_GROUP.

Console

Per creare una policy del firewall di rete, segui questi passaggi:

  1. Nella Google Cloud console, vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nell'elenco del selettore di progetti, seleziona il tuo progetto all'interno dell'organizzazione.

  3. Fai clic su Crea policy del firewall.

  4. Nel campo Nome, inserisci un nome per la policy.

  5. In Ambito di deployment, seleziona Globale.

  6. Per creare regole per la policy, fai clic su Continua, quindi su Aggiungi regola.

    1. Nel campo Priorità, imposta il numero di ordine per la regola, dove 0 è la priorità più alta.
    2. In Direzione del traffico, scegli In entrata.
    3. In Azione in caso di corrispondenza, scegli Procedi all'ispezione L7.
    4. In Scopo, scegli NSI in-band.
    5. In Gruppo di profili di sicurezza, seleziona il gruppo di profili di sicurezza di intercettazione personalizzato.
    6. In Tipo di destinazione, specifica la destinazione della regola.
    7. In Filtri di origine, specifica il filtro di origine.
    8. In Destinazioni, specifica i filtri di destinazione.
    9. In Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure a quali protocolli e porte di destinazione si applica la regola.
    10. Fai clic su Crea.

  7. Fai clic su Aggiungi regola per aggiungere un'altra regola.

  8. Se vuoi associare la policy a una rete, fai clic su Continua, quindi su Associa policy a reti VPC.

  9. Fai clic su Crea.

Per saperne di più, consulta Creare regole firewall di rete globali.

gcloud

Per creare una policy del firewall di rete, utilizza il gcloud compute firewall-policies create comando:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Per creare una regola firewall, utilizza il gcloud compute network-firewall-policies rules create comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola da aggiungere.

  • FIREWALL_POLICY: l'ID della policy del firewall con cui creare una regola.

  • ORGANIZATION_ID: l'ID dell'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • SECURITY_PROFILE_GROUP_ID: l'ID del gruppo di profili di sicurezza con un'azione custom-intercept-profile.

  • DIRECTION: indica se la regola è ingress o egress. Se la direzione non è specificata, per impostazione predefinita la regola viene applicata al traffico in entrata. Per il traffico in entrata, non puoi specificare intervalli di destinazione. Per il traffico in uscita, non puoi specificare intervalli di origine o tag di origine.

  • LAYER4_CONFIG: un elenco di protocolli e porte di destinazione a cui si applica la regola firewall.

  • SRC_IP_RANGE: gli intervalli IP di origine. Questo valore viene specificato solo se DIRECTION è ingress.

  • DEST_IP_RANGE: gli intervalli IP di destinazione. Questo valore viene specificato solo se DIRECTION è egress.

Terraform

Per creare una policy del firewall, puoi utilizzare una google_compute_firewall_policy risorsa.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Per creare una regola della policy del firewall, puoi utilizzare una google_compute_network_firewall_policy_rule risorsa.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Descrivere regole e policy firewall

Puoi visualizzare tutti i dettagli di una policy, incluse tutte le relative regole firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nel selettore di progetti, seleziona il progetto che contiene la policy del firewall di rete globale.

  3. Fai clic sulla policy.

  4. Per visualizzare i dettagli di una regola, fai clic sulla priorità della regola.

gcloud

Per descrivere una policy del firewall, utilizza il gcloud compute network-firewall-policies describe comando:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Per descrivere una regola firewall, utilizza il gcloud compute network-firewall-policies rules describe comando:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Sostituisci FIREWALL_POLICY con l'ID della policy del firewall in cui è definita la regola.

Eliminare regole e policy firewall

Puoi eliminare una policy e le relative regole firewall. Prima di poter eliminare una policy del firewall dell'organizzazione, devi eliminare tutte le associazioni.

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nel selettore di progetti, seleziona il progetto che contiene la policy.

  3. Fai clic sulla policy.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

  6. Fai clic sulla scheda Associazioni.

  7. Seleziona l'associazione che vuoi eliminare.

  8. Fai clic su Rimuovi associazioni.

  9. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Per eliminare una regola firewall, utilizza il gcloud compute network-firewall-policies rules delete comando:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Sostituisci FIREWALL_POLICY con l'ID della policy del firewall in cui è definita la regola.

Per eliminare una policy del firewall, utilizza il gcloud compute network-firewall-policies delete comando:

gcloud compute network-firewall-policies delete FIREWALL_POLICY