Creare e gestire le regole firewall

Per ispezionare il traffico di rete dei consumer, utilizza i criteri firewall per reindirizzare il traffico al gruppo di endpoint di intercettazione del VPC. Il traffico passa quindi attraverso il gruppo di deployment di intercettazione del producer alle sue risorse di calcolo.

Questa pagina descrive come configurare e gestire le regole e i criteri firewall di rete globali. Se vuoi creare criteri e regole firewall gerarchici, consulta Utilizzo di criteri e regole firewall gerarchici.

Prima di iniziare

Ruoli

Per creare, visualizzare o eliminare regole firewall, chiedi all'amministratore di concederti i ruoli Identity and Access Management (IAM) necessari per il tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Per controllare lo stato di avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo ruolo utente disponga dei seguenti ruoli Compute Security Admin (roles/compute.securityAdmin), Compute Network Admin (roles/compute.networkAdmin) e Compute Viewer (roles/compute.viewer) a livello di progetto:

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Creare policy e regole firewall

Crea una policy firewall e una regola con l'azione APPLY_SECURITY_PROFILE_GROUP.

Console

Per creare una policy firewall di rete:

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nell'elenco del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Nel campo Nome, inserisci un nome per la policy.

  5. In Ambito di deployment, seleziona Globale.

  6. Per creare regole per la tua policy, fai clic su Continua, quindi su Aggiungi regola.

    1. Nel campo Priorità, imposta il numero d'ordine per la regola, dove 0 è la priorità più alta.
    2. Per Direzione del traffico, scegli In entrata.
    3. Per Azione in caso di corrispondenza, scegli Procedi all'ispezione L7.
    4. Per Scopo, scegli NSI in-band.
    5. Per Gruppo di profili di sicurezza, seleziona il gruppo di profili di sicurezza di intercettazione personalizzato.
    6. Per Tipo di target, specifica il target della regola.
    7. Per Filtri di origine, specifica il filtro di origine.
    8. Per Destinazioni, specifica i filtri di destinazione.
    9. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica la regola.
    10. Fai clic su Crea.

  7. Fai clic su Aggiungi regola per aggiungere un'altra regola.

  8. Se vuoi associare la policy a una rete, fai clic su Continua e poi su Associa policy a reti VPC.

  9. Fai clic su Crea.

Per saperne di più, consulta Creare regole firewall di rete globali.

gcloud

Per creare una policy firewall di rete, utilizza il comando gcloud compute firewall-policies create:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Per creare una regola firewall, utilizza il comando gcloud compute network-firewall-policies rules create:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola da aggiungere.

  • FIREWALL_POLICY: l'ID della policy del firewall con cui creare una regola.

  • ORGANIZATION_ID: l'ID dell'organizzazione in cui viene creato il gruppo di profili di sicurezza.

  • SECURITY_PROFILE_GROUP_ID: l'ID del gruppo di profili di sicurezza che ha un'azione custom-intercept-profile.

  • DIRECTION: indica se la regola è una regola ingress o egress. Se la direzione non è specificata, per impostazione predefinita la regola viene applicata al traffico in entrata. Per il traffico in entrata, non puoi specificare intervalli di destinazione. Per il traffico in uscita, non puoi specificare intervalli di origine o tag di origine.

  • LAYER4_CONFIG: un elenco di protocolli e porte di destinazione a cui si applica la regola firewall.

  • SRC_IP_RANGE: gli intervalli IP di origine. Questo valore viene specificato solo se DIRECTION è ingress.

  • DEST_IP_RANGE: gli intervalli IP di destinazione. Questo valore viene specificato solo se DIRECTION è egress.

Terraform

Per creare un criterio firewall, puoi utilizzare una risorsa google_compute_firewall_policy.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Per creare una regola del criterio firewall, puoi utilizzare una risorsa google_compute_network_firewall_policy_rule.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Descrivere criteri e regole firewall

Puoi visualizzare tutti i dettagli di un criterio, comprese tutte le relative regole firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nel selettore di progetti, seleziona il progetto che contiene la policy firewall di rete globale.

  3. Fai clic sulla policy.

  4. Per visualizzare i dettagli di una regola, fai clic sulla priorità della regola.

gcloud

Per descrivere una policy firewall, utilizza il comando gcloud compute network-firewall-policies describe:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Per descrivere una regola firewall, utilizza il comando gcloud compute network-firewall-policies rules describe:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Sostituisci FIREWALL_POLICY con l'ID policy firewall in cui è definita la regola.

Elimina criteri e regole firewall

Puoi eliminare una policy e le relative regole firewall. Prima di poter eliminare una policy firewall dell'organizzazione, devi eliminare tutte le associazioni.

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nel selettore di progetti, seleziona il progetto che contiene la policy.

  3. Fai clic sulla policy.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

  6. Fai clic sulla scheda Associazioni.

  7. Seleziona l'associazione che vuoi eliminare.

  8. Fai clic su Rimuovi associazioni.

  9. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Per eliminare una regola firewall, utilizza il comando gcloud compute network-firewall-policies rules delete:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Sostituisci FIREWALL_POLICY con l'ID policy firewall in cui è definita la regola.

Per eliminare un criterio firewall, utilizza il comando gcloud compute network-firewall-policies delete:

gcloud compute network-firewall-policies delete FIREWALL_POLICY