Creare e gestire le regole di mirroring

Console

Per creare una policy firewall di rete:

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nell'elenco del selettore dei progetti, seleziona il tuo Google Cloud progetto all'interno della tua organizzazione.

3. Fai clic su Crea criterio firewall.

4. Nel campo Nome policy, inserisci un nome per la policy.

5. In Ambito di deployment, seleziona Globale.

6. Per creare regole di mirroring per il criterio, fai clic su Continua > Continua.

7. Nella sezione Aggiungi regole di mirroring, fai clic su Crea regola di mirroring.

   1. Nel campo Priorità, imposta il numero d'ordine per la regola, dove 0 è la priorità più alta.
   2. Per Direzione del traffico, scegli In entrata.
   3. Per Azione in caso di corrispondenza, scegli Mirror.
   4. Per Gruppo di profili di sicurezza, seleziona il gruppo di profili di sicurezza di mirroring personalizzato.
   5. Per Target, specifica il target della regola.
   6. Per Origine, specifica il filtro di origine.
   7. Per Destinazioni, specifica i filtri di destinazione.
   8. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure a quali protocolli e porte di destinazione si applica la regola.
   9. Fai clic su Crea.

8. Se vuoi associare la policy a una rete, fai clic su Continua e poi su Associa policy alle reti. Per saperne di più, consulta Associare una policy alla rete.

9. Fai clic su Crea.

gcloud

Per creare una regola di mirroring in una policy firewall di rete, utilizza il comando gcloud compute network-firewall-policies mirroring-rules create:

 gcloud compute network-firewall-policies mirroring-rules create PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Sostituisci quanto segue:

• PRIORITY: la priorità della regola da aggiungere.

• ACTION: l'azione da eseguire se la richiesta corrisponde alla condizione di corrispondenza. ACTION deve essere mirror o do_not_mirror.

• FIREWALL_POLICY: l'ID della policy del firewall con cui creare una regola.

• SECURITY_PROFILE_GROUP: il nome del gruppo di profili di sicurezza che ha un profilo di sicurezza CUSTOM_MIRRORING e viene utilizzato con l'azione mirror.

• DESCRIPTION: una descrizione facoltativa della regola di mirroring.

• DIRECTION: indica se la regola è una regola ingress o egress. Se la direzione non è specificata, per impostazione predefinita la regola viene applicata al traffico in entrata. Per il traffico in entrata, non puoi specificare intervalli di destinazione. Per il traffico in uscita, non puoi specificare intervalli di origine o tag di origine.

• LAYER4_CONFIG: un elenco di protocolli e porte di destinazione a cui si applica la regola firewall.

• SRC_IP_RANGE: gli intervalli IP di origine. Questo valore viene specificato solo se DIRECTION è ingress.

• DEST_IP_RANGE: gli intervalli IP di destinazione. Questo valore viene specificato solo se DIRECTION è egress.

Terraform

Per creare una regola di mirroring, puoi utilizzare una risorsa google_compute_network_firewall_policy_packet_mirroring_rule.

resource "google_compute_network_firewall_policy_packet_mirroring_rule" "default" {
  provider               = google-beta
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "mirror"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nel selettore di progetti, seleziona il tuo Google Cloud progetto che contiene la policy firewall di rete globale.

3. Fai clic sulla policy.

4. Per visualizzare i dettagli di una regola, fai clic sulla priorità della regola.

gcloud

Per descrivere una regola di mirroring in una policy firewall di rete, utilizza il comando gcloud compute network-firewall-policies mirroring-rules describe:

 gcloud compute network-firewall-policies mirroring-rules describe PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Sostituisci quanto segue:

• PRIORITY: la priorità della regola da descrivere

• FIREWALL_POLICY: l'ID della policy del firewall con cui descrivere la regola

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nel selettore di progetti, seleziona il tuo progetto Google Cloud che contiene la policy.

3. Fai clic sulla policy.

4. Nella sezione Regole di mirroring, fai clic sulla priorità della regola che vuoi aggiornare.

5. Fai clic su Modifica.

6. Dopo aver modificato la regola, fai clic su Salva.

gcloud

Per aggiornare una regola di mirroring in una policy firewall di rete, utilizza il comando gcloud compute network-firewall-policies mirroring-rules update:

 gcloud compute network-firewall-policies mirroring-rules update PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Sostituisci quanto segue:

• PRIORITY: la priorità della regola da aggiornare.

• ACTION: l'azione da eseguire se la richiesta corrisponde alla condizione di corrispondenza. ACTION deve essere mirror o do_not_mirror.

• FIREWALL_POLICY: l'ID della policy del firewall con cui aggiornare una regola.

• SECURITY_PROFILE_GROUP: il nome del gruppo di profili di sicurezza che ha un profilo di sicurezza CUSTOM_MIRRORING o se ACTION è mirror.

• DESCRIPTION: una descrizione facoltativa della regola di mirroring.

• DIRECTION: indica se la regola è una regola ingress o egress. Se la direzione non è specificata, per impostazione predefinita la regola viene applicata al traffico in entrata. Per il traffico in entrata, non puoi specificare intervalli di destinazione. Per il traffico in uscita, non puoi specificare intervalli di origine o tag di origine.

• LAYER4_CONFIG: un elenco di protocolli e porte di destinazione a cui verrà applicata la regola firewall.

• SRC_IP_RANGE: gli intervalli IP di origine. Questo valore viene specificato solo se DIRECTION è ingress.

• DEST_IP_RANGE: gli intervalli IP di destinazione. Questo valore viene specificato solo se DIRECTION è egress.

Console

1. Nella console Google Cloud , vai alla pagina Policy del firewall.

   Vai a Criteri firewall

2. Nel selettore di progetti, seleziona il tuo progetto Google Cloud che contiene la policy.

3. Fai clic sulla policy.

4. Seleziona la regola di mirroring che vuoi eliminare.

5. Fai clic su Elimina.

gcloud

Per eliminare una regola di mirroring da una policy firewall di rete, utilizza il comando gcloud compute network-firewall-policies mirroring-rules delete:

 gcloud compute network-firewall-policies mirroring-rules delete PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Sostituisci quanto segue:

• PRIORITY: la priorità della regola da eliminare

• FIREWALL_POLICY: l'ID della policy del firewall con cui eliminare una regola