Übersicht über Firewallrichtlinien und -regeln

Firewallrichtlinien sind eine Sammlung von Firewallregeln, mit denen Sie den eingehenden und ausgehenden Traffic in einem VPC-Netzwerk steuern können. Mit Firewallrichtlinienregeln können Sie Verbindungen explizit ablehnen oder zulassen.

Bei der In-Band-Netzwerksicherheitsintegration verwenden Sie hierarchische und globale Netzwerk-Firewallrichtlinien (empfohlen) und -regeln, um Netzwerk-Traffic umzuleiten. Der Traffic wird über die Abfangendpunktgruppe des VPC-Netzwerk, die Abfangbereitstellungsgruppe des Producers und dann zu den Computeressourcen des Producers zur Traffic-Prüfung weitergeleitet.

Auf dieser Seite werden die Firewallrichtlinien und ‑regeln beschrieben, die für die Paketprüfung verwendet werden.

Firewallrichtlinien und ‑regeln

Wenn Sie Traffic an eine Abfangendpunktgruppe weiterleiten möchten, können Sie Netzwerk- oder hierarchische Firewallrichtlinien und -regeln erstellen.

Wenn Sie eine Firewallrichtlinie erstellen, müssen Sie eine Firewallregel mit der Aktion APPLY_SECURITY_PROFILE_GROUP erstellen. Die Regel muss auf die Sicherheitsprofilgruppe verweisen, die die Aktion custom-intercept-profile enthält.

Priorität

Die Priorität der Firewallregel muss eine Ganzzahl zwischen 0 und 2.147.483.547 sein (jeweils einschließlich). Niedrigere Werte bedeuten eine höhere Priorität. Weitere Informationen finden Sie unter Priorität von Firewallregeln.

Aktion bei Übereinstimmung

Eine Regel in einer Firewallrichtlinie kann eine der folgenden Aktionen haben:

  • Die Aktion allow lässt Traffic zu und beendet die weitere Regelauswertung.
  • Die Aktion deny lehnt Traffic ab und beendet die weitere Regelauswertung.
  • Bei der Aktion apply_security_profile_group wird der Traffic transparent abgefangen und zur Prüfung an den konfigurierten Firewallendpunkt oder an die Intercept-Endpunktgruppe gesendet. Die Entscheidung, ob das Paket zugelassen oder abgelehnt wird, hängt dann vom Firewallendpunkt (oder von der Gruppe der Abfangendpunkte) und vom konfigurierten Sicherheitsprofil ab. In beiden Fällen wird der Prozess der Regelauswertung beendet.

Weitere Informationen finden Sie unter Reihenfolge der Richtlinien- und Regelauswertung.

Ausgehender und eingehender Traffic

Eine Regel für eingehenden Traffic mit einer deny-Aktion schützt alle Instanzen, indem eingehende Verbindungen an diese blockiert werden. Der eingehende Zugriff kann über eine Regel mit höherer Priorität zugelassen werden.

Bei einer Regel für ausgehenden Traffic mit einer allow-Aktion kann eine Instanz Traffic an die in der Regel angegebenen Ziele senden. Ausgehender Traffic kann durch Firewallregeln mit höherer Priorität abgelehnt werden. Google Cloud Außerdem blockiert oder begrenzt Google Cloud bestimmte Arten von Traffic.

Nachdem Sie die Firewallregel den Richtlinien hinzugefügt haben, verknüpfen Sie die Firewallrichtlinie mit Ihrem Netzwerk. Weitere Informationen finden Sie unter Regeln erstellen und verwalten.

Protokolle und Ports

Ähnlich wie bei Firewallregeln müssen Sie beim Erstellen einer Firewallregel eine oder mehrere Protokoll- und Porteinschränkungen angeben. Beim Angeben von TCP oder UDP in einer Firewallregel können Sie das Protokoll, das Protokoll und einen Zielport oder das Protokoll und einen Zielportbereich angeben. Sie können nicht nur einen Port oder Portbereich angeben. Außerdem können Sie nur Zielports angeben. Regeln für Quellports werden nicht unterstützt.

Sie können die folgenden Protokollnamen in Firewallregeln verwenden:

  • tcp
  • udp
  • icmp (für IPv4-ICMP)
  • esp
  • ah
  • sctp
  • ipip

Verwenden Sie für alle anderen Protokolle die IANA-Protokollnummern.

Weitere Informationen finden Sie unter Protokoll und Ports für Firewallregeln.

Richtung

Die Richtung, in der die Firewallregel angewendet wird. Er kann entweder INGRESS oder EGRESS sein.

  • INGRESS: Die Richtung „ingress“ bezieht sich auf die eingehenden Verbindungen, die von bestimmten Quellen an Google Cloud -Ziele gesendet werden. Eingangsregeln gelten für eingehende Pakete, bei denen das Ziel der Pakete das Ziel ist.

    Eine Regel für eingehenden Traffic mit einer „deny“-Aktion schützt alle Instanzen, indem eingehende Verbindungen an diese blockiert werden. Der eingehende Zugriff kann über eine Regel mit höherer Priorität zugelassen werden. Ein automatisch erstelltes Standardnetzwerk enthält einige vorkonfigurierte VPC-Firewallregeln, die eingehenden Traffic für bestimmte Arten von Traffic zulassen.

  • EGRESS: Die Richtung „Ausgehender Traffic“ bezieht sich auf den ausgehenden Traffic, der von einem Ziel an ein Ziel gesendet wird. Ausgangsregeln gelten für Pakete für neue Verbindungen, bei denen die Quelle des Pakets das Ziel ist.

Nächste Schritte