Übersicht über Firewallrichtlinien und -regeln

Mit Firewallrichtlinien können Sie mehrere Firewall- und Spiegelungsregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen (Identity and Access Management). Weitere Informationen zu Firewallrichtlinien finden Sie unter Übersicht über Firewallrichtlinien.

Mit Firewallrichtlinienregeln können Sie Verbindungen explizit ablehnen oder zulassen. Mit Spiegelungsregeln können Sie Traffic filtern, den Sie spiegeln möchten.

In diesem Dokument werden die Firewallrichtlinien mit Spiegelungsregeln und ihre Komponenten beschrieben.

Firewallrichtlinien erstellen

Sie können eine Spiegelungsregel in globalen Netzwerk-Firewallrichtlinien erstellen. Globale Netzwerk-Firewallrichtlinien enthalten Spiegelungsregeln, mit denen der definierte Traffic explizit gespiegelt oder nicht gespiegelt werden kann. Weitere Informationen zum Erstellen dieser Richtlinien und zum Verknüpfen mit dem Netzwerk finden Sie unter Globale Netzwerk-Firewallrichtlinien und -regeln verwenden.

Eine Firewallrichtlinie kann sowohl Firewallregeln als auch Paketspiegelungsregeln enthalten. Diese Regeln sind jedoch unabhängig und werden separat ausgewertet. Das bedeutet, dass sowohl Firewallregeln als auch Regeln für die Paketspiegelung dieselbe Priorität haben können. Weitere Informationen finden Sie unter Reihenfolge der Richtlinien- und Regelauswertung für Spiegelungsregeln.

Spiegelungsregeln

Packet Mirroring, ein Out-of-Band-Netzwerksicherheitsintegrationsdienst, verwendet Paketspiegelungsregeln, um anzugeben, welcher Traffic im Consumernetzwerk gespiegelt wird. Dieser gespiegelte Traffic wird dann an die Bereitstellungsgruppe im Produzentennetzwerk gesendet. Um Traffic zu spiegeln, müssen Sie zuerst eine Paketspiegelungsregel in einer globalen Netzwerk-Firewallrichtlinie erstellen.

Komponenten von Spiegelungsregeln

Spiegelungsregeln funktionieren im Allgemeinen wie die Firewallrichtlinie, es gibt jedoch einige Unterschiede, die in den folgenden Abschnitten beschrieben werden.

Priorität

Die Priorität einer Spiegelungsregel ist eine Ganzzahl von 0 bis einschließlich 2.147.483.547. Niedrigere Werte bedeuten eine höhere Priorität. Die Priorität einer Spiegelungsregel ähnelt der Priorität einer Firewallregel.

Aktion bei Übereinstimmung

Spiegelungsregeln legen fest, ob eingehende oder ausgehende Datenpakete gespiegelt werden. Eine Spiegelungsregel kann eine der folgenden Aktionen haben:

Für eine Paketspiegelungsregel werden die folgenden Aktionen unterstützt:
- MIRROR: Entsprechender Traffic wird gespiegelt und an die Bereitstellungsgruppe weitergeleitet.
- DO_NOT_MIRROR: Entsprechender Traffic wird nicht gespiegelt und die Auswertung weiterer Firewallregeln für die Paketspiegelung wird übersprungen. DO_NOT_MIRROR-Regeln werden verwendet, um Flows, die nicht gespiegelt werden müssen, detailliert zu filtern.
- GOTO_NEXT: Aktion, mit der Sie die Verbindungsbewertung an niedrigere Ebenen delegieren können. Die Spiegelungsregel ermöglicht die Verarbeitung nachfolgender Regeln, wenn eine der folgenden Bedingungen erfüllt ist:
  - Wenn diese Aktion goto_next ist, wird die Auswertung mit der nächsten Regel fortgesetzt. Daher haben mehrere goto_next-Regeln keinen Einfluss aufeinander.
  - Wenn eingehender Traffic mit keiner vorhandenen Regel übereinstimmt, wird standardmäßig die Aktion goto_next ausgeführt. Das bedeutet, dass auf der aktuellen Richtlinienebene keine relevante Aktion gefunden wurde. Die Auswertung wird daher auf der nächstniedrigeren Ebene fortgesetzt.
  Hinweis :Regeln auf niedrigerer Ebene können keine Regeln von einer höheren Ebene in der Ressourcenhierarchie überschreiben. Auf diese Weise können organisationsweite Administratoren kritische Regeln an einem Ort verwalten.
Eine Spiegelungsregel mit der Aktion mirror muss auf eine Sicherheitsprofilgruppe verweisen, die ein CUSTOM_MIRRORING-Sicherheitsprofil enthält.

Bei einer Regel für ausgehenden Traffic mit einer „allow“-Aktion kann eine Instanz Traffic an die in der Regel angegebenen Ziele senden. Ausgehender Traffic kann durch Firewallregeln mit höherer Priorität abgelehnt werden. Google Cloud Außerdem blockiert oder begrenzt Google Cloud bestimmte Arten von Traffic.

Nachdem Sie die Spiegelungsregel den Richtlinien hinzugefügt haben, verknüpfen Sie sie mit Ihrem Netzwerk, um die erstellte Regel anzuwenden. Weitere Informationen zum Erstellen und Verknüpfen einer Spiegelungsregel finden Sie unter Spiegelungsregeln erstellen und verwalten.

Protokolle und Ports

Ähnlich wie bei Firewallregeln müssen Sie beim Erstellen einer Spiegelungsregel eine oder mehrere Protokoll- und Porteinschränkungen angeben. Beim Angeben von TCP oder UDP in einer Spiegelungsregel können Sie das Protokoll, das Protokoll und einen Zielport oder das Protokoll und einen Zielportbereich angeben. Sie können nicht nur einen Port oder Portbereich angeben. Außerdem können Sie nur Zielports angeben. Regeln für Quellports werden nicht unterstützt.

Sie können die folgenden Protokollnamen in Spiegelungsregeln verwenden: tcp, udp, icmp (für IPv4-ICMP), esp, ah, sctp und ipip. Verwenden Sie für alle anderen Protokolle die IANA-Protokollnummern. Viele Protokolle verwenden bei IPv4 und IPv6 denselben Namen und dieselbe Nummer, einige Protokolle wie ICMP jedoch nicht. Verwenden Sie „icmp“ oder die Protokollnummer 1, um IPv4 ICMP anzugeben. Verwenden Sie für IPv6 ICMP die Protokollnummer 58.

Spiegelungsregeln unterstützen nicht die Angabe von ICMP-Typen und -Codes, sondern nur das Protokoll. Das IPv6-Hop-by-Hop-Protokoll wird in Spiegelungsregeln nicht unterstützt. Wenn Sie keine Protokoll- und Portparameter angeben, gilt die Regel für alle Protokolle und Zielports.

Richtung

Die Richtung, in der die Spiegelungsregel angewendet wird. Sie kann entweder INGRESS oder EGRESS sein.

INGRESS: Die Richtung „ingress“ bezieht sich auf die eingehenden Verbindungen, die von bestimmten Quellen an Google Cloud -Ziele gesendet werden. Eingangsregeln gelten für eingehende Pakete, bei denen das Ziel der Pakete das Ziel ist.

Eine Regel für eingehenden Traffic mit einer „deny“-Aktion schützt alle Instanzen, indem eingehende Verbindungen an diese blockiert werden. Der eingehende Zugriff kann über eine Regel mit höherer Priorität zugelassen werden. Ein automatisch erstelltes Standardnetzwerk enthält einige vorausgefüllte VPC-Firewallregeln (Virtual Private Cloud), die eingehenden Traffic für bestimmte Arten von Traffic zulassen.
EGRESS: Die Richtung „Ausgehender Traffic“ bezieht sich auf den ausgehenden Traffic, der von einem Ziel an ein anderes Ziel gesendet wird. Ausgangsregeln gelten für Pakete für neue Verbindungen, bei denen die Quelle des Pakets das Ziel ist.