Le policy firewall sono una raccolta di regole firewall che consentono di controllare il flusso di traffico in entrata e in uscita in una rete VPC. Le regole dei criteri firewall ti consentono di negare o consentire esplicitamente le connessioni.
Nell'integrazione della sicurezza di rete in banda, utilizzi policy e regole firewall gerarchiche e di rete globali (consigliate) per reindirizzare il traffico di rete. Il traffico passa attraverso il gruppo di endpoint di intercettazione della rete VPC, il gruppo di deployment di intercettazione del producer e poi alle risorse di calcolo del producer per l'ispezione del traffico.
Questa pagina descrive le policy e le regole firewall utilizzate per l'ispezione dei pacchetti.
Criteri e regole firewall
Per reindirizzare il traffico al gruppo di endpoint di intercettazione, puoi creare regole e policy firewall gerarchiche o di rete.
Quando crei una policy firewall, devi creare una regola firewall con l'azione APPLY_SECURITY_PROFILE_GROUP. La regola deve fare riferimento al gruppo di profili di sicurezza contenente l'azione custom-intercept-profile.
Priorità
La priorità della regola firewall deve essere un numero intero compreso tra 0 e 2.147.483.547, inclusi. I numeri interi più bassi indicano le priorità più alte. Per saperne di più, consulta Priorità delle regole firewall.
Azione in caso di corrispondenza
Una regola in una policy firewall può avere una delle seguenti azioni:
- L'azione
allowconsente il traffico e interrompe l'ulteriore valutazione delle regole. - L'azione
denynega il traffico e interrompe l'ulteriore valutazione delle regole. - L'azione
apply_security_profile_groupintercetta in modo trasparente il traffico e lo invia all'endpoint firewall configurato o al gruppo di endpoint di intercettazione per l'ispezione. La decisione di consentire o negare il pacchetto dipende quindi dall'endpoint firewall (o dal gruppo di endpoint di intercettazione) e dal profilo di sicurezza configurato. In entrambi i casi, il processo di valutazione delle regole si interrompe.
Per saperne di più, consulta Ordine di valutazione delle policy e delle regole.
In uscita e in entrata
Una regola di traffico in entrata con un'azione deny protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più alta potrebbe consentire l'accesso in entrata.
Una regola in uscita con un'azione allow consente a un'istanza di inviare traffico alle destinazioni specificate nella regola. L'uscita può essere negata da regole firewall di negazione con priorità più alta. Google Cloud Inoltre, blocca o
limita determinati tipi di traffico.
Dopo aver aggiunto la regola firewall ai criteri, associa il criterio firewall alla tua rete. Per saperne di più, consulta Creare e gestire regole.
Protocolli e porte
Analogamente alle regole firewall, devi specificare uno o più vincoli di protocollo e porta quando crei una regola firewall. Quando specifichi TCP o UDP in una regola firewall, puoi specificare il protocollo, il protocollo e una porta di destinazione oppure il protocollo e un intervallo di porte di destinazione; non puoi specificare solo una porta o un intervallo di porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate sulle porte di origine non sono supportate.
Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall:
tcpudpicmp(per ICMP IPv4)espahsctpipip
Per tutti gli altri protocolli, utilizza i numeri di protocollo IANA.
Per saperne di più, consulta Protocollo e porte delle regole firewall.
Direzione
La direzione in cui si applica la regola firewall. Può essere INGRESS o
EGRESS.
INGRESS: la direzione in entrata si riferisce alle connessioni in entrata inviate da origini specifiche a destinazioni Google Cloud . Le regole in entrata si applicano ai pacchetti in entrata, in cui la destinazione dei pacchetti è la destinazione.Una regola di traffico in entrata con un'azione di negazione protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più elevata potrebbe consentire l'accesso in entrata. Una rete predefinita creata automaticamente include alcune regole firewall Virtual Private Cloud precompilate, che consentono l'ingresso per determinati tipi di traffico.
EGRESS: la direzione in uscita si riferisce al traffico in uscita inviato da una destinazione a una destinazione. Le regole di uscita si applicano ai pacchetti per le nuove connessioni in cui l'origine del pacchetto è la destinazione.