Regole delle policy firewall

Quando crei una regola del criterio firewall, specifichi un insieme di componenti che definiscono cosa fa la regola. Questi componenti specificano la direzione del traffico, l'origine, la destinazione e le caratteristiche del livello 4, come il protocollo e la porta di destinazione (se il protocollo utilizza le porte).

Ogni regola del criterio firewall si applica alle connessioni in entrata o in uscita, non a entrambe.

Regole in entrata

La direzione in entrata si riferisce alle connessioni in entrata inviate da origini specifiche a Google Cloud destinazioni. Le regole in entrata si applicano ai pacchetti in entrata, in cui la destinazione dei pacchetti è la destinazione.

Una regola di traffico in entrata con un'azione deny protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più alta potrebbe consentire l'accesso in entrata. Una rete predefinita creata automaticamente include alcune regole firewall VPC precompilate, che consentono l'ingresso per determinati tipi di traffico.

Regole in uscita

La direzione di uscita si riferisce al traffico in uscita inviato da una destinazione a una destinazione. Le regole in uscita si applicano ai pacchetti per le nuove connessioni in cui l'origine del pacchetto è la destinazione.

Una regola in uscita con un'azione allow consente a un'istanza di inviare traffico alle destinazioni specificate nella regola. Il traffico in uscita può essere negato da regole firewall denycon priorità più alta. Google Cloud Blocca o limita anche determinati tipi di traffico.

Componenti delle regole dei criteri firewall

Le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali utilizzano i componenti descritti in questa sezione. Il termine policy firewall si riferisce a uno di questi tre tipi di policy. Per ulteriori informazioni sui tipi di criteri firewall, consulta Criteri firewall.

Le regole delle policy del firewall in genere funzionano come le regole firewall VPC, ma ci sono alcune differenze descritte nelle sezioni seguenti.

Priorità

La priorità di una regola in una policy firewall è un numero intero compreso tra 0 e 2.147.483.647 inclusi. I numeri interi più bassi indicano le priorità più alte. La priorità di una regola in una policy firewall è simile alla priorità di una regola firewall VPC, con le seguenti differenze:

• Ogni regola di una policy firewall deve avere una priorità univoca.
• La priorità di una regola in una policy firewall funge da identificatore univoco della regola. Le regole nelle norme firewall non utilizzano i nomi per l'identificazione.
• La priorità di una regola in una policy firewall definisce l'ordine di valutazione all'interno della policy firewall stessa. Le regole firewall VPC e le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali vengono valutate come descritto in Ordine di valutazione di criteri e regole.

Azione in caso di corrispondenza

Una regola in una policy firewall può avere una delle seguenti azioni:

Parametro azione	Descrizione
allow	Consente i pacchetti per una nuova connessione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Indipendentemente dalla direzione della regola, se il protocollo del pacchetto e il tipo di criterio firewall supportano il monitoraggio della connessione, una regola allow crea una voce della tabella di monitoraggio della connessione del firewall che consente i pacchetti in entrata e in uscita.
deny	Non consente i pacchetti per una nuova connessione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Cloud NGFW verifica sempre la presenza di una voce nella tabella di monitoraggio della connessione firewall prima di valutare le regole firewall. Di conseguenza, se una regola di autorizzazione ha creato una voce nella tabella di monitoraggio delle connessioni, questa voce ha la precedenza.
apply_security_profile_group	Intercetta i pacchetti per una nuova connessione e li invia a un endpoint firewall o a un gruppo di endpoint di intercettazione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Indipendentemente dalla direzione della regola, se il protocollo del pacchetto e il tipo di criterio firewall supportano il monitoraggio delle connessioni, una regola con l'azione apply_security_profile_group crea una voce nella tabella di monitoraggio delle connessioni del firewall in modo che i pacchetti in entrata e in uscita vengano intercettati dall'endpoint firewall o dal gruppo di endpoint di intercettazione. Non puoi creare regole con l'azione apply_security_profile_group nelle policy firewall di rete regionali.
goto_next	Interrompe la valutazione di altre regole nella policy firewall e valuta le regole nel passaggio successivo dell' ordine di valutazione delle regole e delle policy firewall. Il passaggio successivo dell'ordine di valutazione delle regole e delle policy firewall potrebbe essere la valutazione delle regole in un'altra policy firewall o delle regole firewall implicite.

Applicazione

Puoi scegliere se una regola dei criteri firewall è applicata impostando il relativo stato su attivato o disattivato. Imposti lo stato di applicazione quando crei una regola o quando la aggiorni.

Se non imposti uno stato di applicazione quando crei una nuova regola firewall, questa viene attivata automaticamente.

Protocolli e porte

Analogamente alle regole firewall VPC, devi specificare uno o più vincoli di protocollo e porta quando crei una regola. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione oppure il protocollo e un intervallo di porte di destinazione. Non puoi specificare solo una porta o un intervallo di porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate sulle porte di origine non sono supportate.

Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, utilizza i numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e lo stesso numero sia in IPv4 che in IPv6, ma alcuni protocolli, come ICMP, non lo fanno. Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare ICMP IPv6, utilizza il numero di protocollo 58.

Le regole del firewall non supportano la specifica di tipi e codici ICMP, ma solo del protocollo.

Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

Se non specifichi i parametri di protocollo e porta, la regola si applica a tutti i protocolli e le porte di destinazione.

Logging

Il logging per le regole dei criteri firewall funziona allo stesso modo del logging delle regole firewall VPC, ad eccezione di quanto segue:

• Il campo di riferimento include l'ID policy del firewall e un numero che indica il livello della risorsa a cui è collegata la policy. Ad esempio, 0 indica che il criterio viene applicato a un'organizzazione, mentre 1 indica che il criterio viene applicato a una cartella di primo livello nell'organizzazione.

• I log per le regole dei criteri firewall includono un campo target_resource che identifica le reti VPC a cui si applica la regola.

• Il logging può essere attivato solo per le regole allow,deny e apply_security_profile_group; non può essere attivato per le regole goto_next.

Target, origine, destinazione

I parametri di destinazione identificano le interfacce di rete delle istanze a cui si applica una regola firewall.

Puoi specificare sia i parametri di origine sia i parametri di destinazione che si applicano alle origini o alle destinazioni dei pacchetti per le regole firewall in entrata e in uscita. La direzione della regola firewall determina i valori possibili per i parametri di origine e di destinazione.

I parametri di destinazione, origine e destinazione funzionano insieme.

Destinazioni

Tutte le regole firewall in entrata e in uscita hanno una destinazione. La destinazione identifica le interfacce di rete delle istanze Compute Engine, inclusi i nodi Google Kubernetes Engine e le istanze dell'ambiente flessibile di App Engine, a cui si applica la regola firewall.

Ogni regola firewall ha un target più ampio, che puoi restringere se specifichi un parametro target o una combinazione di parametri target. Se non specifichi un parametro di destinazione né una combinazione di parametri di destinazione, la regola firewall si applica alla destinazione più ampia.

• Destinazione più ampia per le regole nelle policy del firewall gerarchiche: tutte le interfacce di rete VM in una subnet in qualsiasi regione di qualsiasi rete VPC che si trova in un progetto nel nodo Resource Manager (cartella o organizzazione) associato alla policy del firewall gerarchica.

• Destinazione più ampia per le regole nelle policy del firewall di rete globali: tutte le interfacce di rete VM in una subnet in qualsiasi regione della rete VPC associata alla policy del firewall di rete globale.

• Destinazione più ampia per le regole nelle policy firewall di rete regionali: tutte le interfacce di rete VM in una subnet all'interno della regione e la rete VPC associata alla policy firewall di rete regionale.

La seguente tabella elenca i parametri di destinazione e le combinazioni validi che puoi utilizzare per restringere il target di una regola firewall:

Parametro target	Supporto nei criteri firewall gerarchici	Supporto nei criteri firewall di rete globali e regionali
Risorse di rete VPC di destinazione Un elenco di una o più reti VPC specificate utilizzando il parametro target-resources. Questo elenco restringe il target più ampio della regola firewall alle interfacce di rete VM che si trovano in almeno una delle reti VPC specificate.
Account di servizio di destinazione Un elenco di uno o più service account specificati utilizzando il parametro target-service-accounts. Questo elenco restringe il target più ampio della regola firewall alle interfacce di rete VM appartenenti alle istanze VM associate ad almeno uno dei service account specificati.
Combinazione di account di servizio di destinazione e risorse di rete VPC di destinazione Una combinazione che utilizza sia i parametri target-service-accounts che target-resources nella stessa regola. Questa combinazione restringe il target più ampio della regola firewall alle interfacce di rete VM che soddisfano entrambi i seguenti criteri: Interfacce che si trovano in almeno una delle reti VPC specificate Interfacce appartenenti a istanze VM associate ad almeno uno dei service account specificati
Targeting dei valori dei tag sicuri da una chiave tag con dati per scopi di rete Un elenco di uno o più valori di tag di una chiave di tag i cui dati di scopo specificano una singola rete VPC. Questo elenco restringe il target più ampio della regola firewall alle interfacce di rete VM che si trovano nella rete VPC specificata nei dati di scopo. Per saperne di più, consulta Tag sicuri per firewall.
Targeting dei valori dei tag sicuri da una chiave tag con dati sullo scopo dell'organizzazione Un elenco di uno o più valori di tag di una chiave di tag i cui dati sullo scopo sono organization=auto. In questo modo, il target più ampio della regola firewall viene limitato alle interfacce di rete VM che si trovano in qualsiasi rete VPC dell'organizzazione. Per maggiori informazioni, consulta Tag sicuri per firewall.

Destinazioni e indirizzi IP per le regole in entrata

I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:

• Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti in modo esplicito.

• Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP:

  • L'indirizzo IPv4 interno principale assegnato alla NIC dell'istanza.

  • Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC dell'istanza.

  • L'indirizzo IPv4 esterno associato alla NIC dell'istanza.

  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico pass-through, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, in cui l'istanza viene referenziata da un'istanza di destinazione.

  • Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza (next-hop-instance o next-hop-address) come VM di hop successivo.

  • Un indirizzo IP compreso nell'intervallo di destinazione di una route statica personalizzata che utilizza un bilanciatore del carico di rete passthrough interno (next-hop-ilb) come hop successivo se la VM è un backend per quel bilanciatore del carico.

Destinazioni e indirizzi IP per le regole in uscita

L'elaborazione dei pacchetti emessi dall'interfaccia di rete di una destinazione dipende dalla configurazione dell'inoltro IP sulla VM di destinazione. L'inoltro IP è disattivato per impostazione predefinita.

• Quando l'IP forwarding è disabilitato per la VM di destinazione, la VM può emettere pacchetti con le seguenti origini:

  • L'indirizzo IPv4 interno principale della NIC di un'istanza.

  • Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC di un'istanza.

  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico pass-through o il forwarding del protocollo. Questo è valido se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o se viene fatto riferimento a un'istanza di destinazione.

  Se la regola firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono comunque limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro di origine può essere utilizzato per perfezionare questo set. L'utilizzo di un parametro di origine senza abilitare l'inoltro IP non espande l'insieme di possibili indirizzi di origine dei pacchetti.

  Se la regola firewall di uscita non include un intervallo di indirizzi IP di origine, sono consentiti tutti gli indirizzi IP di origine menzionati in precedenza.

• Quando il forwarding IP è abilitato nella VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per definire con maggiore precisione l'insieme di origini dei pacchetti consentite.

Fonti

I valori dei parametri di origine dipendono da:

• Il tipo di criterio firewall che contiene la regola firewall
• La direzione della regola firewall

Origini delle regole in entrata

La seguente tabella elenca i parametri di origine che possono essere utilizzati singolarmente o in combinazione tra loro in una singola regola della policy firewall in entrata. Cloud NGFW richiede di specificare almeno un parametro di origine.

Parametro di origine della regola in entrata	Supporto nei criteri firewall gerarchici	Supporto nei criteri firewall di rete globali e regionali
Intervalli di indirizzi IP di origine Un semplice elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è archiviato all'interno della regola della policy del firewall stessa.
Gruppi di indirizzi di origine Raccolte riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola firewall fa riferimento alla raccolta. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall.
Nomi di dominio di origine Un elenco di uno o più nomi di dominio di origine. Per saperne di più, incluso come i nomi di dominio vengono convertiti in indirizzi IP, consulta Oggetti basati sul nome di dominio completo (FQDN).
Recuperare i valori dei tag sicuri da una chiave tag con dati per scopi di rete Un elenco di uno o più valori di tag di una chiave di tag i cui dati di scopo specificano una singola rete VPC. Per ulteriori informazioni, vedi Tag sicuri per firewall e In che modo i tag sicuri di origine implicano le origini dei pacchetti.
Recuperare i valori dei tag sicuri da una chiave tag con dati sullo scopo dell'organizzazione Un elenco di uno o più valori di tag di una chiave di tag i cui dati sullo scopo sono organization=auto. Per ulteriori informazioni, vedi Tag sicuri per firewall e In che modo i tag sicuri di origine implicano le origini dei pacchetti.
Localizzazioni di origine Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione.
Elenchi di Google Threat Intelligence di origine Un elenco di uno o più nomi di elenchi Google Threat Intelligence predefiniti. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
Tipo di rete di origine Un vincolo che definisce un confine di sicurezza. Per saperne di più, consulta Tipi di rete.

In una singola regola di ingresso, puoi utilizzare due o più parametri di origine per produrre una combinazione di origini. Cloud NGFW applica i seguenti vincoli alle combinazioni di origine di ogni regola di ingresso:

• Gli intervalli di indirizzi IP di origine devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
• Un gruppo di indirizzi di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
• Un intervallo di indirizzi IP di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
• Un intervallo di indirizzi IP di origine che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv4.
• Il tipo di rete internet non può essere utilizzato con i tag sicuri dell'origine.
• I tipi non internet, reti VPC e inter-VPC non possono essere utilizzati con gli elenchi di Google Threat Intelligence di origine o le geolocalizzazioni di origine .

Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di ingresso che utilizza una combinazione di origine:

• Se la combinazione di origine non include un tipo di rete di origine, i pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno un parametro di origine nella combinazione di origine.

• Se la combinazione di origine include un tipo di rete di origine, i pacchetti corrispondono alla regola di ingresso se corrispondono al tipo di rete di origine e ad almeno uno degli altri parametri di origine nella combinazione di origine.

Come i tag di origine protetti implicano le origini dei pacchetti

Le regole di traffico in entrata nelle policy firewall possono specificare le origini utilizzando tag sicuri di origine (valori tag). I valori dei tag sicuri identificano le interfacce di rete, non le caratteristiche dei pacchetti come gli indirizzi IP.

I pacchetti inviati da un'interfaccia di rete di un'istanza VM corrispondono a una regola in entrata che utilizza un valore di tag sicuro di origine in base alle seguenti regole:

• Se la regola di ingresso si trova in un criterio di rete regionale, l'istanza VM deve trovarsi in una zona della stessa regione del criterio firewall di rete regionale. In caso contrario, l'istanza VM può trovarsi in qualsiasi zona.

• L'istanza VM deve essere associata allo stesso valore del tag sicuro utilizzato come tag sicuro di origine in una regola firewall in entrata.

• Il valore del tag sicuro associato alla VM e utilizzato dalla regola firewall in entrata deve provenire da una chiave tag il cui attributo purpose-data identifica almeno una rete VPC che contiene un'interfaccia di rete della VM:

  • Se i dati sullo scopo della chiave del tag specificano una singola rete VPC, le regole firewall in entrata che utilizzano il valore del tag sicuro di origine si applicano alle interfacce di rete dell'istanza VM che si trovano in quella rete VPC.

  • Se i dati relativi allo scopo della chiave del tag specificano l'organizzazione, le regole firewall in entrata che utilizzano il valore del tag sicuro di origine si applicano alle interfacce di rete dell'istanza VM che si trovano in qualsiasi rete VPC dell'organizzazione.

• L'interfaccia di rete della VM identificata deve soddisfare uno dei seguenti criteri:

  • L'interfaccia di rete della VM si trova nella stessa rete VPC della rete VPC a cui si applica la policy firewall.
  • L'interfaccia di rete VM si trova in una rete VPC connessa, tramite peering di rete VPC, alla rete VPC a cui si applica la policy firewall.

Per saperne di più sui tag sicuri per i firewall, consulta Specifiche.

Origini delle regole in uscita

Puoi utilizzare le seguenti origini per le regole di uscita sia nei criteri firewall gerarchici che nei criteri firewall di rete:

• Predefinito, implicito per la destinazione: se ometti il parametro di origine da una regola di uscita, le origini dei pacchetti vengono definite implicitamente come descritto in Destinazioni e indirizzi IP per le regole di uscita.

• Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:

• Se a un'interfaccia VM sono assegnati indirizzi IPv4 sia interni che esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.

• Se nella regola di uscita hai un intervallo di indirizzi IP di origine e parametri di destinazione, questi ultimi vengono risolti nella stessa versione IP dell'origine.

  Ad esempio, in una regola di uscita, hai un intervallo di indirizzi IPv4 nel parametro di origine e un oggetto FQDN nel parametro di destinazione. Se l'FQDN viene risolto sia in indirizzi IPv4 che IPv6, durante l'applicazione della regola viene utilizzato solo l'indirizzo IPv4 risolto.

Destinazioni

Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP, supportati dalle regole in entrata e in uscita nelle policy firewall gerarchiche e di rete. Il comportamento predefinito della destinazione dipende dalla direzione della regola.

Destinazioni per le regole in entrata

Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata sia nei criteri firewall gerarchici sia in quelli di rete:

• Predefinito, implicito per la destinazione: se ometti il parametro di destinazione da una regola in entrata, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Destinazioni e indirizzi IP per le regole in entrata.

• Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole di ingresso:

• Se a un'interfaccia VM sono assegnati indirizzi IPv4 sia interni che esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.

• Se hai definito parametri di origine e di destinazione in una regola di ingresso, i parametri di origine vengono risolti nella stessa versione IP della versione IP di destinazione. Per scoprire di più su come definire un'origine per le regole in entrata, consulta Origini per le regole in entrata nelle policy firewall gerarchiche e Origini per le regole in entrata nelle policy firewall di rete.

  Ad esempio, in una regola di ingresso, hai un intervallo di indirizzi IPv6 nel parametro di destinazione e un codice paese di geolocalizzazione nel parametro di origine. Durante l'applicazione della regola, per il codice paese di origine specificato viene utilizzato solo l'indirizzo IPv6 mappato.

Destinazioni per le regole in uscita

La seguente tabella elenca i parametri di destinazione che possono essere utilizzati singolarmente o in combinazione tra loro in una singola regola della policy firewall di uscita. Cloud NGFW richiede di specificare almeno un parametro di destinazione.

Parametro di destinazione della regola in uscita	Supporto nei criteri firewall gerarchici	Supporto nei criteri firewall di rete globali e regionali
Intervalli di indirizzi IP di destinazione Un semplice elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è archiviato all'interno della regola della policy del firewall stessa.
Gruppi di indirizzi di destinazione Raccolte riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola del criterio firewall fa riferimento alla raccolta. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall.
Nomi di dominio di destinazione Un elenco di uno o più nomi di dominio di origine. Per saperne di più, incluso come i nomi di dominio vengono convertiti in indirizzi IP, consulta Oggetti basati sul nome di dominio completo (FQDN).
Geolocalizzazioni delle destinazioni Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione.
Elenchi di destinazione di Google Threat Intelligence Un elenco di uno o più nomi di elenchi Google Threat Intelligence predefiniti. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
Tipo di rete di destinazione Un vincolo che definisce un confine di sicurezza. Per saperne di più, consulta Tipi di rete.

In una singola regola di uscita, puoi utilizzare due o più parametri di destinazione per produrre una combinazione di destinazioni. Cloud NGFW applica i seguenti vincoli alle combinazioni di destinazione di ogni regola di uscita:

• Gli intervalli di indirizzi IP di destinazione devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
• Un gruppo di indirizzi di destinazione che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
• Un intervallo di indirizzi IP di destinazione che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
• Un intervallo di indirizzi IP di destinazione che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv4.
• Gli elenchi di Google Threat Intelligence o le geolocalizzazioni di destinazione non possono essere utilizzati con il tipo di rete non internet di destinazione.

Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di uscita che utilizza una combinazione di destinazione:

• Se la combinazione di destinazioni non include un tipo di rete di destinazione, i pacchetti corrispondono alla regola di uscita se corrispondono ad almeno un parametro di destinazione nella combinazione di destinazioni.

• Se la combinazione di destinazione include un tipo di rete di destinazione, i pacchetti corrispondono alla regola di uscita se corrispondono al tipo di rete di destinazione e ad almeno uno degli altri parametri di destinazione nella combinazione di destinazione.

Tipi di rete

I tipi di rete ti aiutano a raggiungere i tuoi obiettivi di sicurezza utilizzando in modo più efficiente un numero inferiore di regole delle policy firewall. Cloud NGFW supporta quattro tipi di rete che possono essere utilizzati per creare una combinazione di origine o di destinazione in una regola di un criterio firewall gerarchico, di un criterio firewall di rete globale o di un criterio firewall di rete regionale.

La tabella seguente elenca i quattro tipi di rete e indica se un tipo di rete può essere utilizzato in una combinazione di origine di una regola di ingresso, in una combinazione di destinazione di una regola di uscita o in entrambi.

Tipo di rete	Origini delle regole in entrata	Destinazioni per le regole in uscita
Internet (INTERNET)
Non internet (NON_INTERNET)
Reti VPC (VPC_NETWORKS)
Interno al VPC (INTRA_VPC)

I tipi di rete internet e non internet si escludono a vicenda. I tipi di rete VPC e intra-VPC sono sottoinsiemi del tipo di rete non internet.

Tipo di rete internet

Il tipo di rete internet (INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola di ingresso o come parte di una combinazione di destinazione di una regola di uscita:

• Per una regola in entrata, specifica l'origine del tipo di internet e almeno un altro parametro di origine, ad eccezione di un'origine tag sicuro. I pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno uno degli altri parametri di origine e corrispondono al parametro di origine del tipo di internet.

• Per una regola di uscita, specifica la destinazione di tipo internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e al parametro di destinazione del tipo di internet.

Il resto di questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al tipo di rete internet.

Tipo di rete internet per i pacchetti in entrata

I pacchetti in entrata instradati a un'interfaccia di rete VM da un Maglev di Google sono considerati appartenenti al tipo di rete internet. I pacchetti vengono instradati da Maglev a un'interfaccia di rete VM quando la destinazione del pacchetto corrisponde a una delle seguenti:

• Un indirizzo IPv4 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno, e il pacchetto non è stato instradato utilizzando una route di subnet importata dal peering di rete VPC o da uno spoke VPC in un hub Network Connectivity Center.

Per ulteriori informazioni sui pacchetti instradati da Maglev alle VM di backend per un bilanciatore del carico di rete passthrough esterno o per il forwarding del protocollo esterno, consulta Percorsi per i bilanciatori del carico di rete passthrough esterni e il forwarding del protocollo esterno.

Tipo di rete internet per i pacchetti in uscita

I pacchetti in uscita inviati dalle interfacce di rete VM e instradati utilizzando route statiche che utilizzano l'hop successivo del gateway internet predefinito sono considerati appartenenti al tipo di rete internet. Tuttavia, se l'indirizzo IP di destinazione di questi pacchetti in uscita è per le API e i servizi Google, questi pacchetti vengono considerati appartenenti al tipo di rete non internet. Per ulteriori informazioni sulla connettività alle API e ai servizi Google, consulta Tipo di rete non internet.

Quando i pacchetti vengono instradati utilizzando una route statica che utilizza l'hop successivo del gateway internet predefinito, tutti i pacchetti inviati dalle interfacce di rete della VM alle seguenti destinazioni sono considerati di tipo internet:

• Una destinazione con indirizzo IP esterno al di fuori della rete di Google.
• Un indirizzo IPv4 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• Una destinazione di indirizzi IPv4 e IPv6 esterni globali di una regola di forwarding di un bilanciatore del carico esterno globale.

I pacchetti inviati dalle interfacce di rete VM ai gateway Cloud VPN e Cloud NAT sono considerati di tipo internet:

• I pacchetti in uscita inviati da un'interfaccia di rete di una VM che esegue il software VPN a un indirizzo IPv4 esterno regionale di un gateway Cloud VPN sono considerati appartenenti al tipo internet.
• I pacchetti in uscita inviati da un gateway Cloud VPN a un altro gateway Cloud VPN non sono considerati appartenenti a nessun tipo di rete perché le regole firewall si applicano solo alle VM.
• Per Public NAT, i pacchetti di risposta inviati da un'interfaccia di rete VM a un indirizzo IPv4 esterno regionale di un gateway Cloud NAT sono considerati di tipo internet.

Se le reti VPC sono connesse tramite il peering di rete VPC o se partecipano come spoke VPC nello stesso hub Network Connectivity Center, le route delle subnet IPv6 possono fornire connettività alle destinazioni degli indirizzi IPv6 esterni regionali delle interfacce di rete VM, alle regole di forwarding del bilanciatore del carico esterno regionale e alle regole di forwarding del protocollo esterno. Quando la connettività a queste destinazioni di indirizzi IPv6 esterni regionali viene fornita utilizzando una route di subnet, le destinazioni si trovano invece nel tipo di rete non internet.

Tipo di rete non internet

Il tipo di rete non-internet (NON-INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola di ingresso o come parte di una combinazione di destinazione di una regola di uscita:

• Per una regola in entrata, specifica l'origine di tipo non internet e almeno un altro parametro di origine, ad eccezione di un'origine elenco di threat intelligence o un'origine di geolocalizzazione. I pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno uno degli altri parametri di origine e corrispondono al parametro di origine di tipo non internet.

• Per una regola di uscita, specifica la destinazione di tipo non internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e corrispondono al parametro di destinazione di tipo non internet.

Il resto di questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al tipo di rete non internet.

Tipo di rete non internet per i pacchetti in entrata

I pacchetti in entrata instradati a un'interfaccia di rete VM utilizzando hop successivi all'interno di una rete VPC o da API e servizi Google sono considerati appartenenti al tipo di rete non internet.

I pacchetti vengono instradati utilizzando gli hop successivi all'interno di una rete VPC o dalle API e dai servizi Google nei seguenti scenari:

• La destinazione del pacchetto corrisponde a una delle seguenti:

  • Un indirizzo IPv4 o IPv6 interno regionale di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico di rete passthrough interno o di una regola di forwarding per il forwarding del protocollo interno.
  • Un indirizzo IPv6 esterno a livello regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno, e il pacchetto è stato instradato utilizzando una route di subnet locale, una route di subnet di peering o una route di subnet di Network Connectivity Center.
  • Qualsiasi indirizzo all'interno dell'intervallo di destinazione di una route statica in cui la VM di ricezione è una VM di hop successivo o una VM di backend di un hop successivo bilanciatore del carico di rete passthrough interno.

• L'origine del pacchetto corrisponde a uno dei seguenti elementi:

  • Un indirizzo IP per i domini predefiniti utilizzati dalle API e dai servizi Google globali.
  • Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
  • Un indirizzo IP di un Google Front End (GFE) utilizzato da un bilanciatore del carico delle applicazioni esterno globale, da un bilanciatore del carico delle applicazioni classico, da un bilanciatore del carico di rete proxy esterno globale o da un bilanciatore del carico di rete proxy classico. Per ulteriori informazioni, vedi Percorsi tra i frontend di Google e i backend.
  • Un indirizzo IP di un prober del controllo di integrità. Per saperne di più, consulta Percorsi per i controlli di integrità.
  • Un indirizzo IP utilizzato da Identity-Aware Proxy per l'inoltro TCP. Per saperne di più, consulta Percorsi per Identity-Aware Proxy (IAP).
  • Un indirizzo IP utilizzato da Cloud DNS o Service Directory. Per saperne di più, consulta Percorsi per Cloud DNS e Service Directory.
  • Un indirizzo IP utilizzato da Accesso VPC serverless. Per saperne di più, consulta Percorsi per l'accesso VPC serverless.
  • Un indirizzo IP di un endpoint Private Service Connect per le API di Google globali. Per ulteriori informazioni, consulta Percorsi per gli endpoint Private Service Connect per le API di Google globali.

Tipo di rete non internet per i pacchetti in uscita

I pacchetti in uscita inviati dalle interfacce di rete VM e instradati all'interno di una rete VPC o inviati alle API e ai servizi Google sono considerati appartenenti al tipo di rete non internet.

I pacchetti vengono instradati utilizzando gli hop successivi all'interno di una rete VPC o alle API e ai servizi Google nei seguenti scenari:

• I pacchetti vengono instradati utilizzando le route di subnet, che includono le seguenti destinazioni:
  • Un indirizzo IPv4 o IPv6 interno regionale di una scheda di rete VM, di una regola di forwarding di un bilanciatore del carico interno o di una regola di forwarding per il forwarding del protocollo interno.
  • Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando le route dinamiche.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano un hop successivo che non è il gateway internet predefinito.
• I pacchetti vengono instradati alle API e ai servizi Google globali a cui si accede utilizzando una route statica con un hop successivo del gateway internet predefinito. Le destinazioni globali delle API e dei servizi Google includono gli indirizzi IP per i domini predefiniti e gli indirizzi IP per private.googleapis.com e restricted.googleapis.com.
• Destinazioni per i servizi Google a cui si accede utilizzando uno dei seguenti percorsi:
  • Percorsi tra i frontend e i backend di Google
  • Percorsi per i controlli di integrità
  • Percorsi per Identity-Aware Proxy (IAP)
  • Percorsi per Cloud DNS e Service Directory
  • Percorsi per l'accesso VPC serverless
  • Percorsi per gli endpoint Private Service Connect per le API di Google globali

Tipo di reti VPC

Il tipo di reti VPC (VPC_NETWORKS) può essere utilizzato solo come parte di una combinazione di origine di una regola di ingresso. Non puoi utilizzare il tipo di reti VPC come parte di una combinazione di destinazione di una regola di uscita.

Per utilizzare il tipo di reti VPC come parte di una combinazione di origine di una regola in entrata:

1. Devi specificare un elenco di reti VPC di origine:

   • L'elenco delle reti di origine deve contenere almeno una rete VPC. Puoi aggiungere un massimo di 250 reti VPC all'elenco delle reti di origine.
   • Una rete VPC deve esistere prima di poter essere aggiunta all'elenco delle reti di origine.
   • Puoi aggiungere l'emittente utilizzando l'identificatore URL parziale o completo.
   • Le reti VPC che aggiungi all'elenco delle reti di origine non devono essere connesse tra loro. Ogni rete VPC può trovarsi in qualsiasi progetto.
   • Se una rete VPC viene eliminata dopo essere stata aggiunta all'elenco delle reti di origine, il riferimento alla rete eliminata rimane nell'elenco. Cloud NGFW ignora le reti VPC eliminate quando applica una regola di traffico in entrata. Se tutte le reti VPC nell'elenco delle reti di origine vengono eliminate, le regole in entrata che si basano sull'elenco non sono efficaci perché non corrispondono ad alcun pacchetto.

2. Devi specificare almeno un altro parametro di origine, ad eccezione di un'origine elenco di intelligence sulle minacce o di un'origine di geolocalizzazione .

Un pacchetto corrisponde a una regola di ingresso che utilizza il tipo di reti VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova in una delle reti VPC di origine.

• La rete VPC di origine e la rete VPC a cui si applica la policy del firewall contenente la regola di ingresso sono la stessa rete VPC o sono connesse tramite il peering di rete VPC o come spoke VPC in un hub Network Connectivity Center.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete VM
• Tunnel Cloud VPN
• Collegamenti VLAN Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless

Tipo di rete VPC interna

Il tipo di rete intra-VPC (INTRA_VPC) può essere utilizzato solo come parte di una combinazione di origine di una regola di ingresso. Non puoi utilizzare il tipo di rete intra-VPC come parte di una combinazione di destinazione di una regola di uscita.

Per utilizzare il tipo intra-VPC come parte di una combinazione di origine di una regola in entrata, devi specificare almeno un altro parametro di origine, ad eccezione di un'origine elenco di intelligence sulle minacce o di un'origine geolocalizzazione.

Un pacchetto corrisponde a una regola di ingresso che utilizza il tipo intra-VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova nella rete VPC a cui si applica la policy firewall contenente la regola in entrata.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete VM
• Tunnel Cloud VPN
• Collegamenti VLAN Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless

Oggetti di geolocalizzazione

Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri firewall per filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o località geografiche specifiche.

Puoi applicare regole con oggetti di geolocalizzazione al traffico in entrata e in uscita. A seconda della direzione del traffico, gli indirizzi IP associati ai codici paese vengono confrontati con l'origine o la destinazione del traffico.

• Puoi configurare oggetti di geolocalizzazione per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.

• Per aggiungere geolocalizzazioni alle regole dei criteri del firewall, utilizza i codici paese o regione di due lettere definiti nei codici paese ISO 3166 alpha-2.

  Ad esempio, se vuoi consentire il traffico in entrata solo dagli Stati Uniti nella rete, crea una regola di policy firewall in entrata con il codice paese di origine impostato su US e l'azione impostata su allow. Allo stesso modo, se vuoi consentire il traffico in uscita solo verso gli Stati Uniti, configura una regola della policy del firewall in uscita con il codice paese di destinazione impostato su US e l'azione impostata su allow.

• Cloud NGFW consente di configurare regole firewall per i seguenti territori soggetti a sanzioni statunitensi complete:

  Territori	Codice assegnato
  Crimea	XC
  Le cosiddette repubbliche popolari di Donetsk e Lugansk	XD

• Se in una singola regola firewall sono inclusi codici paese duplicati, viene conservata una sola voce per quel codice paese. La voce duplicata viene rimossa. Ad esempio, nell'elenco dei codici paese ca,us,us, viene mantenuto solo ca,us.

• Google gestisce un database con mapping di indirizzi IP e codici paese. I firewallGoogle Cloud utilizzano questo database per mappare gli indirizzi IP del traffico di origine e di destinazione al codice paese, quindi applicano la regola di policy firewall corrispondente con gli oggetti di geolocalizzazione.

• A volte, le assegnazioni degli indirizzi IP e i codici paese cambiano a causa delle seguenti condizioni:

  • Spostamento degli indirizzi IP tra località geografiche
  • Aggiornamenti allo standard dei codici paese ISO 3166 alpha-2

  Poiché è necessario del tempo prima che queste modifiche vengano riportate nel database di Google, potresti notare alcune interruzioni del traffico e cambiamenti nel comportamento di alcuni tipi di traffico bloccati o consentiti.

Utilizzare gli oggetti di geolocalizzazione con altri filtri delle regole dei criteri firewall

Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. A seconda della direzione della regola, la regola del criterio firewall viene applicata al traffico in entrata o in uscita che corrisponde all'unione di tutti i filtri specificati.

Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di origine nelle regole di entrata, consulta Origini per le regole di entrata nelle policy firewall gerarchiche e Origini per le regole di entrata nelle policy firewall di rete.

Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

Google Threat Intelligence per le regole dei criteri firewall

Le regole delle policy firewall ti consentono di proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Google Threat Intelligence. I dati di Google Threat Intelligence includono elenchi di indirizzi IP in base alle seguenti categorie:

• Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita Tor (gli endpoint in cui il traffico esce dalla rete Tor).
• Indirizzi IP dannosi noti: indirizzi IP noti per essere l'origine di attacchi alle applicazioni web. Per migliorare la security posture della tua applicazione, blocca questi indirizzi IP.
• Motori di ricerca: indirizzi IP che puoi consentire per abilitare l'indicizzazione del sito.
• Intervalli di indirizzi IP cloud pubblici: questa categoria può essere bloccata per impedire a strumenti automatizzati dannosi di navigare nelle applicazioni web o consentita se il tuo servizio utilizza altri cloud pubblici. Questa categoria è ulteriormente suddivisa nelle seguenti sottocategorie:
  • Intervalli di indirizzi IP utilizzati da Amazon Web Services
  • Intervalli di indirizzi IP utilizzati da Microsoft Azure
  • Intervalli di indirizzi IP utilizzati da Google Cloud
  • Intervalli di indirizzi IP utilizzati dai servizi Google

Gli elenchi di dati di Google Threat Intelligence possono includere indirizzi IPv4, indirizzi IPv6 o entrambi. Per configurare Google Threat Intelligence nelle regole delle policy firewall, utilizza i nomi degli elenchi predefiniti di Google Threat Intelligence in base alla categoria che vuoi consentire o bloccare. Questi elenchi vengono aggiornati continuamente, proteggendo i servizi da nuove minacce senza necessità di ulteriori passaggi di configurazione. I nomi delle liste validi sono i seguenti.

Nome elenco	Descrizione
iplist-tor-exit-nodes	Corrisponde agli indirizzi IP dei nodi di uscita TOR
iplist-known-malicious-ips	Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web
iplist-search-engines-crawlers	Corrisponde agli indirizzi IP dei crawler dei motori di ricerca
iplist-vpn-providers	Corrisponde agli indirizzi IP appartenenti a provider VPN con reputazione bassa
iplist-anon-proxies	Corrisponde agli indirizzi IP appartenenti a proxy anonimi aperti
iplist-crypto-miners	Corrisponde agli indirizzi IP appartenenti a siti di mining di criptovalute
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	Corrisponde agli indirizzi IP appartenenti ai cloud pubblici Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud Corrisponde agli intervalli di indirizzi IP utilizzati dai servizi Google

Utilizzare Google Threat Intelligence con altri filtri delle regole dei criteri firewall

Per definire una regola del criterio firewall con Google Threat Intelligence, segui queste linee guida:

• Per le regole in uscita, specifica la destinazione utilizzando uno o più elenchi di Google Threat Intelligence.

• Per le regole in entrata, specifica l'origine utilizzando uno o più elenchi di Google Threat Intelligence.

• Puoi configurare gli elenchi di Google Threat Intelligence per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.

• Puoi utilizzare questi elenchi insieme ad altri componenti di filtro delle regole di origine o destinazione.

  Per informazioni su come gli elenchi di Google Threat Intelligence funzionano con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy dei firewall gerarchiche e Origini per le regole in entrata nelle policy dei firewall di rete.

  Per informazioni su come funzionano gli elenchi di Google Threat Intelligence con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

• Il logging del firewall viene eseguito a livello di regola. Per semplificare il debug e l'analisi dell'effetto delle regole firewall, non includere più elenchi di Google Threat Intelligence in una singola regola firewall.

• Puoi aggiungere più elenchi di Google Threat Intelligence a una regola di policy firewall. Ogni nome di elenco incluso nella regola viene conteggiato come un attributo, indipendentemente dal numero di indirizzi IP o intervalli di indirizzi IP inclusi nell'elenco. Ad esempio, se hai incluso i nomi degli elenchi iplist-tor-exit-nodes, iplist-known-malicious-ips e iplist-search-engines-crawlers nella regola del criterio firewall, il conteggio degli attributi della regola per criterio firewall viene aumentato di tre. Per saperne di più sul conteggio degli attributi delle regole, consulta Quote e limiti.

Creare eccezioni agli elenchi di Google Threat Intelligence

Se hai regole che si applicano agli elenchi di Google Threat Intelligence, puoi utilizzare le seguenti tecniche per creare regole di eccezione applicabili a determinati indirizzi IP all'interno di un elenco di Google Threat Intelligence:

• Regola firewall di autorizzazione selettiva: supponiamo che tu abbia una regola firewall in entrata o in uscita che nega i pacchetti da o verso un elenco di Google Threat Intelligence. Per consentire i pacchetti da o verso un indirizzo IP selezionato all'interno di questo elenco di Google Threat Intelligence, crea una regola firewall di autorizzazione in entrata o in uscita separata con priorità più elevata che specifichi l'indirizzo IP di eccezione come origine o destinazione.

• Regola firewall di negazione selettiva: supponiamo che tu abbia una regola firewall in entrata o in uscita che consente i pacchetti da o verso un elenco di Google Threat Intelligence. Per negare pacchetti da o verso un indirizzo IP selezionato all'interno di questo elenco di Google Threat Intelligence, crea una regola firewall di negazione in entrata o in uscita con priorità più elevata che specifichi l'indirizzo IP di eccezione come origine o destinazione.

Gruppi di indirizzi per le policy firewall

I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento molte regole firewall. I gruppi di indirizzi possono essere aggiornati senza modificare le regole firewall che li utilizzano. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le norme firewall.

Puoi definire gruppi di indirizzi di origine e di destinazione rispettivamente per le regole firewall in entrata e in uscita.

Per informazioni su come funzionano i gruppi di indirizzi di origine con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy firewall gerarchiche e Origini per le regole in entrata nelle policy firewall di rete.

Per informazioni su come funzionano i gruppi di indirizzi di destinazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

Oggetti FQDN

Gli oggetti nome di dominio completo (FQDN) contengono i nomi di dominio che specifichi nel formato del nome di dominio. Puoi utilizzare gli oggetti FQDN come origini per le regole in entrata o come destinazioni per le regole in uscita in un criterio firewall gerarchico, in un criterio firewall di rete globale o in un criterio firewall di rete regionale.

Puoi combinare i nomi di dominio completi con altri parametri. Per informazioni dettagliate sulle combinazioni di parametri di origine nelle regole in entrata, consulta Origini per le regole in entrata. Per informazioni dettagliate sulle combinazioni di parametri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

Gli oggetti FQDN supportano le policy di risposta di Cloud DNS, le zone private gestite con ambito di rete VPC, i nomi DNS interni di Compute Engine e le zone DNS pubbliche. Questo supporto si applica a condizione che la rete VPC non abbia una policy dei server in uscita che specifica un server dei nomi alternativo. Per saperne di più, consulta Ordine di risoluzione della rete VPC.

Mappare gli oggetti FQDN agli indirizzi IP

Cloud NGFW risolve periodicamente gli oggetti FQDN in indirizzi IP. Cloud NGFW segue l'ordine di risoluzione dei nomi VPC di Cloud DNS nella rete VPC che contiene le destinazioni della regola firewall.

Cloud NGFW utilizza il seguente comportamento per la risoluzione degli indirizzi IP:

• Supporta la ricerca del CNAME. Cloud NGFW utilizza la ricerca del CNAME di Cloud DNS se la risposta a una query di un oggetto FQDN è un record CNAME.

• Indirizzi IP del programma. Cloud NGFW utilizza gli indirizzi IP risolti quando programma le regole firewall che utilizzano oggetti FQDN. Ogni oggetto FQDN può essere mappato a un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6.

  Se la risposta DNS a una query di un oggetto FQDN viene risolta in più di 32 indirizzi IPv4 o più di 32 indirizzi IPv6, Cloud NGFW limita gli indirizzi IP programmati nelle regole firewall ai primi 32 indirizzi IPv4 e ai primi 32 indirizzi IPv6.

• Ignora oggetti FQDN. Se Cloud NGFW non riesce a risolvere un oggetto FQDN in un indirizzo IP, lo ignora. Nelle seguenti situazioni, Cloud NGFW ignora un oggetto FQDN:

  • Quando vengono ricevute NXDOMAIN risposte. Le risposte NXDOMAIN sono risposte esplicite di un server dei nomi che indicano che non esiste alcun record DNS per la query dell'oggetto FQDN.

  • Quando in una risposta non esiste un indirizzo IP. In questa situazione, una query di oggetti FQDN non restituisce una risposta con un indirizzo IP che Cloud NGFW può utilizzare per programmare una regola firewall.

  • Quando il server Cloud DNS non è raggiungibile. Cloud NGFW ignora gli oggetti FQDN se un server DNS che fornisce la risposta non è raggiungibile.

  Quando un oggetto FQDN viene ignorato, Cloud NGFW programma le parti rimanenti di una regola firewall, se possibile.

Considerazioni sugli oggetti FQDN

Considera quanto segue per gli oggetti FQDN:

1. Poiché gli oggetti FQDN vengono mappati e programmati come indirizzi IP, Cloud NGFW utilizza il seguente comportamento quando due o più oggetti FQDN vengono mappati allo stesso indirizzo IP. Supponiamo di avere le seguenti due regole firewall che si applicano allo stesso target:

   • Regola 1: priorità 100, ingresso consentito dal nome di dominio completo di origine example1.com
   • Regola 2: priorità 200, ingresso consentito dall'FQDN di origine example2.com

   Se sia example1.com che example2.com vengono risolti nello stesso indirizzo IP, i pacchetti in entrata sia da example1.com che da example2.com corrispondono alla prima regola firewall perché questa regola ha una priorità più alta.

2. Le considerazioni per l'utilizzo degli oggetti FQDN includono quanto segue:

   • Una query DNS può avere risposte uniche in base alla posizione del client richiedente.

   • Le risposte DNS possono variare notevolmente quando è coinvolto un sistema di bilanciamento del carico basato su DNS.

   • Una risposta DNS potrebbe contenere più di 32 indirizzi IPv4.

   • Una risposta DNS potrebbe contenere più di 32 indirizzi IPv6.

   Nelle situazioni precedenti, poiché Cloud NGFW esegue query DNS in ogni regione che contiene l'interfaccia di rete VM a cui si applica la regola firewall, gli indirizzi IP programmati nelle regole firewall non contengono tutti gli indirizzi IP possibili associati all'FQDN.

   La maggior parte dei nomi di dominio Google, come googleapis.com, è soggetta a una o più di queste situazioni. Utilizza invece indirizzi IP o gruppi di indirizzi.

3. Evita di utilizzare oggetti FQDN con record DNS A che hanno una durata (TTL) inferiore a 90 secondi.

Formattare i nomi di dominio

Gli oggetti FQDN devono seguire il formato FQDN standard.Questo formato è definito in RFC 1035, RFC 1123 e RFC 4343. Cloud NGFW rifiuta gli oggetti FQDN che includono un nome di dominio che non soddisfa tutte le seguenti regole di formattazione:

• Ogni oggetto FQDN deve essere un nome di dominio con almeno due etichette:

  • Ogni etichetta deve corrispondere a un'espressione regolare che include solo questi caratteri: [a-z]([-a-z0-9][a-z0-9])?..
  • Ogni etichetta deve avere una lunghezza compresa tra 1 e 63 caratteri.
  • Le etichette devono essere concatenate con un punto (.).

  Di conseguenza, gli oggetti FQDN non supportano caratteri jolly (*) o nomi di dominio di primo livello (o radice), come *.example.com. e .org, perché includono una sola etichetta.

• Gli oggetti FQDN supportano i nomi di dominio internazionalizzati (IDN). Puoi fornire un IDN in formato Unicode o Punycode. Considera quanto segue:

  • Se specifichi un IDN in formato Unicode, Cloud NGFW lo converte in formato Punycode prima dell'elaborazione.

  • Puoi utilizzare il convertitore IDN per creare la rappresentazione Punycode di un IDN.

  • Il limite di caratteri di 1-63 per etichetta si applica agli IDN dopo la conversione nel formato Punycode.

• La lunghezza codificata di un nome di dominio completo (FQDN) non può superare i 255 byte (ottetti).

Cloud NGFW non supporta nomi di dominio equivalenti nella stessa regola firewall. Ad esempio, se i due nomi di dominio (o le rappresentazioni Punycode degli IDN) differiscono al massimo per un punto finale (.), Cloud NGFW li considera equivalenti.

Passaggi successivi

• Criteri firewall gerarchici
• Policy del firewall di rete globali
• Policy firewall di rete regionali