Utilizzo di criteri e regole firewall gerarchici

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica dei criteri firewall gerarchici. Per visualizzare esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Limitazioni

  • Le regole dei criteri firewall gerarchici non supportano l'utilizzo di tag di rete per definire le destinazioni. Devi invece utilizzare una rete Virtual Private Cloud (VPC) di destinazione o un account di servizio di destinazione.
  • I criteri firewall possono essere applicati a livello di cartella e organizzazione, ma non a livello di rete VPC. Le regole firewall VPC standard sono supportate per le reti VPC.
  • A una risorsa (cartella o organizzazione) può essere associato un solo criterio firewall, anche se le istanze di macchine virtuali (VM) in una cartella possono ereditare le regole dall'intera gerarchia di risorse sopra la VM.
  • Il logging delle regole firewall è supportato per le regole allow e deny, ma non per le regole goto_next.
  • Il protocollo hop-by-hop IPv6 non è supportato nelle regole firewall.

Attività relative alle policy del firewall

Questa sezione descrive come creare e gestire le policy firewall gerarchiche.

Per controllare l'avanzamento di un'operazione risultante da un'attività elencata in questa sezione, assicurati che la tua entità IAM disponga delle seguenti autorizzazioni o ruoli oltre a quelli richiesti per ogni attività.

Crea una policy firewall

Quando crei un criterio firewall gerarchico, puoi impostare il relativo elemento principale sull'organizzazione o su una cartella all'interno dell'organizzazione. Dopo aver creato il criterio, puoi associarlo all'organizzazione o a una cartella dell'organizzazione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o una cartella all'interno dell'organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. Nel campo Nome policy, inserisci un nome per la policy.

  5. (Facoltativo) Se vuoi creare regole per la tua policy, fai clic su Continua.

  6. Nella sezione Aggiungi regole, fai clic su Crea regola firewall.

    Per saperne di più, vedi Creare una regola.

  7. (Facoltativo) Se vuoi associare la policy a una risorsa, fai clic su Continua.

  8. Nella sezione Associa criterio alle risorse, fai clic su Aggiungi.

    Per saperne di più, consulta Associare una policy all'organizzazione o alla cartella.

  9. Fai clic su Crea.

gcloud

Esegui questi comandi per creare una policy del firewall gerarchica la cui organizzazione principale è un'organizzazione:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Esegui questi comandi per creare un criterio firewall gerarchico il cui elemento padre è una cartella all'interno di un'organizzazione:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Sostituisci quanto segue:

  • ORG_ID: l'ID della tua organizzazione

    Specifica un ID organizzazione per creare una policy la cui organizzazione principale sia un'organizzazione. Il criterio può essere associato all'organizzazione o a una cartella all'interno dell'organizzazione.

  • SHORT_NAME: un nome per la policy

    Una policy creata utilizzando Google Cloud CLI ha due nomi: un nome generato dal sistema e un nome breve fornito da te. Quando utilizzi gcloud CLI per aggiornare una policy esistente, puoi fornire il nome generato dal sistema o il nome breve e l'ID organizzazione. Quando utilizzi l'API per aggiornare la policy, devi fornire il nome generato dal sistema.

  • FOLDER_ID: l'ID di una cartella

    Specifica un ID cartella per creare una policy la cui risorsa principale è una cartella. Il criterio può essere associato all'organizzazione che contiene la cartella o a qualsiasi cartella all'interno di questa organizzazione.

Associa un criterio all'organizzazione o alla cartella

Quando associ una policy firewall gerarchica a un'organizzazione o a una cartella in un'organizzazione, le regole della policy firewall, ad eccezione delle regole disattivate e in base alla destinazione di ogni regola, si applicano alle risorse nelle reti VPC nei progetti dell'organizzazione o della cartella associata.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazione.

  6. Seleziona la radice dell'organizzazione o le cartelle all'interno dell'organizzazione.

  7. Fai clic su Aggiungi.

gcloud

Per impostazione predefinita, se tenti di inserire un'associazione a un'organizzazione o a una cartella che ha già un'associazione, il metodo non riesce. Se specifichi il flag --replace-association-on-target, l'associazione esistente viene eliminata contemporaneamente alla creazione della nuova associazione. In questo modo si evita che la risorsa rimanga senza policy durante la transizione.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy
  • ORG_ID: l'ID della tua organizzazione
  • FOLDER_ID: se stai associando la policy a una cartella, specificala qui; omettila se stai associando la policy a livello di organizzazione
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome viene impostato su "organizzazione ORG_ID" o "cartella FOLDER_ID"

Spostare un criterio da una risorsa a un'altra

Lo spostamento di una policy modifica solo il relativo elemento principale. La modifica del parent della policy potrebbe modificare le entità IAM che possono creare e aggiornare le regole nella policy e le entità IAM che possono creare associazioni future.

Lo spostamento di una policy non modifica le associazioni esistenti né la valutazione delle regole nella policy.

Console

Utilizza Google Cloud CLI per questa procedura.

gcloud

Esegui questi comandi per spostare la policy firewall gerarchica in un'organizzazione:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Esegui questi comandi per spostare la policy firewall gerarchica in una cartella di un'organizzazione:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema della policy che stai spostando
  • ORG_ID: l'ID dell'organizzazione a cui viene spostata la policy
  • FOLDER_ID: l'ID della cartella in cui viene spostata la policy

Aggiorna la descrizione di una policy

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic su Modifica.

  5. Modifica la descrizione.

  6. Fai clic su Salva.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Elenco dei criteri

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

    Per un'organizzazione, la sezione Policy firewall associate a questa organizzazione mostra le policy associate. La sezione Criteri firewall situati in questa organizzazione elenca i criteri di proprietà dell'organizzazione.

    Per una cartella, la sezione Criteri firewall associati a questa cartella o ereditati da questa cartella mostra i criteri associati o ereditati dalla cartella. La sezione Criteri firewall situati in questa cartella elenca i criteri di cui la cartella è proprietaria.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descrivere una norma

Puoi visualizzare i dettagli di un criterio firewall gerarchico, incluse le regole del criterio e gli attributi delle regole associati. Tutti questi attributi delle regole vengono conteggiati come parte della quota degli attributi delle regole. Per saperne di più, consulta "Attributi delle regole per criterio firewall gerarchico" nella tabella Per criterio firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminare una policy

Prima di poter eliminare una policy firewall gerarchica, devi eliminare tutte le relative associazioni.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy che vuoi eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazione.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Utilizza questo comando per eliminare la policy:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Elenca le associazioni per una risorsa

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Per la risorsa selezionata (organizzazione o cartella), viene visualizzato un elenco delle policy associate e ereditate.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Eliminare un'associazione

Se devi modificare la policy del firewall gerarchica associata a un'organizzazione o a una cartella, ti consigliamo di associare una nuova policy anziché eliminare una policy associata esistente. Puoi associare una nuova policy in un solo passaggio, il che contribuisce a garantire che una policy firewall gerarchica sia sempre associata all'organizzazione o alla cartella.

Per eliminare un'associazione tra un criterio firewall gerarchico e un'organizzazione o una cartella, segui i passaggi descritti in questa sezione. Le regole nel criterio firewall gerarchico non si applicano alle nuove connessioni dopo l'eliminazione dell'associazione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazione.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Attività delle regole dei criteri firewall

Questa sezione descrive come creare e gestire le regole dei criteri firewall gerarchici.

Crea una regola

Le regole dei criteri firewall gerarchici devono essere create in un criterio firewall gerarchico. Le regole non sono attive finché non associ la norma contenente a una risorsa.

Ogni regola della policy firewall gerarchica può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore di progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sul nome della policy.

  4. Fai clic su Crea regola firewall.

  5. Compila i campi della regola:

    1. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
    2. Imposta la raccolta Log su On o Off.
    3. Per Direzione del traffico, specifica se questa regola è una regola Ingress o Egress.
    4. Per Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
      1. Consenti: consente le connessioni che corrispondono alla regola.
      2. Nega: nega le connessioni che corrispondono alla regola.
      3. Vai al successivo: supera la valutazione della connessione alla regola firewall successiva di livello inferiore nella gerarchia.
      4. Applica gruppo di profili di sicurezza: invia i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7.
        • Nell'elenco Gruppo di profili di sicurezza, seleziona il nome di un gruppo di profili di sicurezza.
        • Per abilitare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS. Per saperne di più su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, consulta Ordine di valutazione di policy e regole.
    5. (Facoltativo) Puoi limitare la regola a determinate reti specificandole nel campo Reti di destinazione. Fai clic su Aggiungi rete, quindi seleziona il Progetto e la Rete. Puoi aggiungere più reti di destinazione a una regola.
    6. (Facoltativo) Puoi limitare la regola alle VM in esecuzione con accesso a determinati service account specificando gli account nel campo Service account di destinazione.

    7. (Facoltativo) Puoi selezionare Tag sicuri per specificare le origini per le regole in entrata e le destinazioni per le regole in entrata o in uscita in una policy. Per saperne di più, consulta Creare e gestire tag sicuri.

    8. Per una regola in entrata, specifica il tipo di rete di origine:

      • Per filtrare il traffico in entrata appartenente a qualsiasi tipo di rete, seleziona Tutti i tipi di rete.
      • Per filtrare il traffico in entrata appartenente a un tipo di rete specifico, seleziona Tipo di rete specifico.
        • Per filtrare il traffico in entrata appartenente al tipo di rete internet (INTERNET), seleziona Internet.
        • Per filtrare il traffico in entrata appartenente al tipo di rete non internet (NON-INTERNET), seleziona Non internet.
        • Per filtrare il traffico in entrata appartenente al tipo di rete VPC interno (INTRA_VPC), seleziona VPC interno.
        • Per filtrare il traffico in entrata appartenente al tipo di reti VPC (VPC_NETWORKS), seleziona Reti VPC e poi specifica una o più reti utilizzando il seguente pulsante:
          • Seleziona progetto corrente: consente di aggiungere una o più reti dal progetto corrente.
          • Inserisci manualmente la rete: ti consente di inserire manualmente un progetto e una rete.
          • Seleziona progetto: ti consente di scegliere un progetto da cui puoi scegliere una rete. Per saperne di più sui tipi di rete, vedi Tipi di rete.

    9. Per una regola di uscita, specifica il tipo di rete di destinazione:

      • Per filtrare il traffico in uscita appartenente a qualsiasi tipo di rete, seleziona Tutti i tipi di rete.
      • Per filtrare il traffico in uscita appartenente a un tipo di rete specifico, seleziona Tipo di rete specifico.
        • Per filtrare il traffico in uscita appartenente al tipo di rete internet (INTERNET), seleziona Internet.
        • Per filtrare il traffico in uscita appartenente al tipo di rete non internet (NON-INTERNET), seleziona Non internet. Per saperne di più sui tipi di rete, vedi Tipi di rete.

    10. Per una regola Ingress, specifica il filtro Source:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6.

    11. Per una regola in uscita, specifica il filtro di destinazione:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi destinazione IPv6.

    12. (Facoltativo) Se stai creando una regola in entrata, specifica i nomi di dominio completi (FQDN) di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona i nomi di dominio completi di destinazione a cui si applica questa regola. Per saperne di più sugli oggetti basati sul nome di dominio, consulta Oggetti FQDN.

    13. (Facoltativo) Se stai creando una regola di ingresso, seleziona le geolocalizzazioni di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta la sezione Oggetti di geolocalizzazione.

    14. (Facoltativo) Se stai creando una regola di ingresso, seleziona i gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola di uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.

    15. (Facoltativo) Se stai creando una regola in entrata, seleziona gli elenchi di Google Cloud Threat Intelligence a cui si applica questa regola. Se stai creando una regola di uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

    16. (Facoltativo) Per una regola Ingress, specifica i filtri Destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per saperne di più, consulta Destinazioni per le regole in entrata.

    17. (Facoltativo) Per una regola In uscita, specifica il filtro Origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6. Utilizza ::/0 per qualsiasi origine IPv6. Per saperne di più, consulta Origini per le regole in uscita.

    18. Per Protocolli e porte, specifica se la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure specifica a quali protocolli e porte di destinazione si applica la regola.

      Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare ICMP IPv6, utilizza il numero di protocollo 58. Per saperne di più sui protocolli, consulta Protocolli e porte.

    19. Fai clic su Crea.

  6. Fai clic su Crea regola firewall per aggiungere un'altra regola.

gcloud

Per creare una regola in entrata, utilizza il seguente comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
  • POLICY_NAME: il nome del criterio firewall di rete gerarchico che contiene la nuova regola.
  • ORG_ID: l'ID organizzazione che contiene la policy firewall gerarchica.
  • DESCRIPTION: una descrizione facoltativa della nuova regola
  • ACTION: specifica una delle seguenti azioni:
    • allow: consente le connessioni che corrispondono alla regola.
    • deny: nega le connessioni che corrispondono alla regola.
    • apply_security_profile_group: invia in modo trasparente i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7. Quando l'azione è apply_security_profile_group:
      • Devi includere --security-profile-group SECURITY_PROFILE_GROUP, dove SECURITY_PROFILE_GROUP è il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione del livello 7.
      • Includi --tls-inspect o --no-tls-inspect per attivare o disattivare l'ispezione TLS.
    • goto_next: continua con il passaggio successivo della procedura di valutazione delle regole firewall.
  • I parametri --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
  • I parametri --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
  • Specifica un target:
    • TARGET_NETWORKS: un elenco separato da virgole di reti VPC specificate dai relativi URL delle risorse di rete nel formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
    • TARGET_SECURE_TAGS: un elenco separato da virgole di tag sicuri. I valori dei tag protetti di targeting devono provenire da una chiave di tag protetta con dati sullo scopo dell'organizzazione.
    • TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account.
    • Se ometti i parametri target-resources, --target-secure-tags e --target-service-accounts, la regola si applica al target più ampio.
  • LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
    • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
    • Un nome di protocollo IP e una porta di destinazione separati dai due punti (tcp:80).
    • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
  • Specifica un'origine per la regola di ingresso:
    • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
    • SRC_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci. I gruppi di indirizzi nell'elenco devono contenere tutti gli indirizzi IPv4 o tutti gli indirizzi IPv6, non una combinazione di entrambi.
    • SRC_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
    • SRC_SECURE_TAGS: un elenco separato da virgole di tag. Non puoi utilizzare il parametro --src-secure-tags se --src-network-type è INTERNET.
    • SRC_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, consulta Oggetti di geolocalizzazione. Non puoi utilizzare il parametro --src-region-codes se --src-network-type è NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: un elenco separato da virgole dei nomi degli elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole delle norme firewall. Non puoi utilizzare il parametro --src-threat-intelligence se --src-network-type è NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • SRC_NETWORK_TYPE: definisce i tipi di rete di origine da utilizzare insieme a un altro parametro di destinazione supportato per produrre una combinazione di destinazione specifica. I valori validi sono INTERNET, NON_INTERNET, VPC_NETWORK o INTRA_VPC. Per saperne di più, consulta Tipi di rete.
    • SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC specificate dai relativi identificatori URL. Specifica questo parametro solo quando --src-network-type è VPC_NETWORKS.
  • (Facoltativo) Specifica una destinazione per la regola di ingresso:
    • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.

Per creare una regola in uscita, utilizza il seguente comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerico della regola all'interno della policy. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Ti consigliamo di separare i valori di priorità delle regole con una differenza superiore a uno (ad esempio, 100, 200, 300) in modo da poter creare nuove regole tra quelle esistenti in un secondo momento.
  • POLICY_NAME: il nome del criterio firewall di rete gerarchico che contiene la nuova regola.
  • ORG_ID: l'ID organizzazione che contiene la policy firewall gerarchica.
  • DESCRIPTION: una descrizione facoltativa della nuova regola
  • ACTION: specifica una delle seguenti azioni:
    • allow: consente le connessioni che corrispondono alla regola.
    • deny: nega le connessioni che corrispondono alla regola.
    • apply_security_profile_group: invia in modo trasparente i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7. Quando l'azione è apply_security_profile_group:
      • Devi includere --security-profile-group SECURITY_PROFILE_GROUP, dove SECURITY_PROFILE_GROUP è il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione del livello 7.
      • Includi --tls-inspect o --no-tls-inspect per attivare o disattivare l'ispezione TLS.
    • goto_next: continua con il passaggio successivo della procedura di valutazione delle regole firewall.
  • I parametri --enable-logging e --no-enable-logging attivano o disattivano il logging delle regole firewall.
  • I parametri --disabled e --no-disabled controllano se la regola è disattivata (non applicata) o attivata (applicata).
  • Specifica un target:
    • TARGET_NETWORKS: un elenco separato da virgole di reti VPC specificate dai relativi URL delle risorse di rete nel formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
    • TARGET_SECURE_TAGS: un elenco separato da virgole di tag sicuri. I valori dei tag protetti di targeting devono provenire da una chiave di tag protetta con dati sullo scopo dell'organizzazione.
    • TARGET_SERVICE_ACCOUNTS: un elenco separato da virgole di service account.
    • Se ometti i parametri target-resources, --target-secure-tags e --target-service-accounts, la regola si applica al target più ampio.
  • LAYER_4_CONFIGS: un elenco separato da virgole di configurazioni di livello 4. Ogni configurazione di livello 4 può essere una delle seguenti:
    • Un nome di protocollo IP (tcp) o un numero di protocollo IP IANA (17) senza alcuna porta di destinazione.
    • Un nome di protocollo IP e una porta di destinazione separati dai due punti (tcp:80).
    • Un nome di protocollo IP e un intervallo di porte di destinazione separati da due punti con un trattino per separare le porte di destinazione iniziale e finale (tcp:5000-6000). Per ulteriori informazioni, consulta Protocolli e porte.
  • (Facoltativo) Specifica un'origine per la regola di uscita:
    • SRC_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Tutti gli intervalli nell'elenco devono essere CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
  • Specifica una destinazione per la regola di uscita:
    • DEST_IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR. Gli intervalli nell'elenco devono essere tutti CIDR IPv4 o CIDR IPv6, non una combinazione di entrambi.
    • DEST_ADDRESS_GROUPS: un elenco separato da virgole di gruppi di indirizzi specificati dai relativi identificatori URL univoci.
    • DEST_DOMAIN_NAMES: un elenco separato da virgole di oggetti FQDN specificati nel formato del nome di dominio.
    • DEST_COUNTRY_CODES: un elenco separato da virgole di codici paese di due lettere. Per saperne di più, vedi Oggetti di geolocalizzazione.
    • DEST_THREAT_LIST_NAMES: un elenco separato da virgole dei nomi degli elenchi di Google Threat Intelligence. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall.
    • DEST_NETWORK_TYPE: definisce i tipi di rete di destinazione da utilizzare in combinazione con un altro parametro di destinazione supportato per produrre una combinazione di destinazioni specifica. I valori validi sono INTERNET e NON_INTERNET. Per saperne di più, consulta Tipi di rete.

Elenca tutte le regole in un criterio

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy. Le regole sono elencate nella scheda Regole firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Descrivere una regola

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • ORG_ID: l'ID della tua organizzazione
  • POLICY_NAME: il nome breve o generato dal sistema della policy che contiene la regola

Aggiornare una regola

Per le descrizioni dei campi, vedi Creare una regola.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi che vuoi cambiare.

  7. Fai clic su Salva.

gcloud 

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonare le regole da un criterio a un altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con le regole del criterio di origine.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla norma da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Fornisci il nome di una norma di destinazione.

  6. Se vuoi associare immediatamente la nuova policy, fai clic su Continua per aprire la sezione Associa policy alle risorse.

  7. Fai clic su Clona.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Sostituisci quanto segue:

  • POLICY_NAME: la policy in cui ricevere le regole copiate
  • ORG_ID: l'ID della tua organizzazione
  • SOURCE_POLICY: la policy da cui copiare le regole; deve essere l'URL della risorsa

Eliminare una regola

L'eliminazione di una regola da un criterio fa sì che la regola non venga più applicata alle nuove connessioni da o verso la destinazione della regola.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona l'ID organizzazione o la cartella che contiene la policy.

  3. Fai clic sulla policy.

  4. Seleziona la regola che vuoi eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi eliminare dalla policy
  • ORG_ID: l'ID della tua organizzazione
  • POLICY_NAME: la policy che contiene la regola

Recupera le regole firewall effettive per una rete

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali che si applicano a tutte le regioni di una rete VPC.

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sulla rete per cui vuoi visualizzare le regole dei criteri firewall.

  3. Fai clic su Firewall.

  4. Espandi ogni policy firewall per visualizzare le regole che si applicano a questa rete.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci NETWORK_NAME con la rete per cui vuoi visualizzare le regole effettive.

Puoi anche visualizzare le regole firewall effettive per una rete dalla pagina Firewall.

Console

  1. Nella console Google Cloud , vai alla pagina Policy firewall.

    Vai a Criteri firewall

  2. Le policy firewall sono elencate nella sezione Policy firewall ereditate da questo progetto.

  3. Fai clic su ogni criterio firewall per visualizzare le regole che si applicano a questa rete.

Recupera le regole firewall effettive per un'interfaccia VM

Puoi visualizzare tutte le regole firewall, provenienti da tutti i criteri firewall applicabili e dalle regole firewall VPC, che si applicano a un'interfaccia di rete di una VM Compute Engine.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la VM.

  3. Fai clic sulla VM.

  4. In Interfacce di rete, fai clic sull'interfaccia.

  5. Le regole firewall effettive vengono visualizzate nella scheda Firewall disponibile nella sezione Analisi della configurazione di rete.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Sostituisci quanto segue:

  • INSTANCE_NAME: la VM per cui vuoi visualizzare le regole effettive; se non viene specificata alcuna interfaccia, il comando restituisce le regole per l'interfaccia principale (nic0).
  • INTERFACE: l'interfaccia VM per cui vuoi visualizzare le regole effettive; il valore predefinito è nic0.
  • ZONE: la zona della VM; questa riga è facoltativa se la zona scelta è già impostata come predefinita.

Risoluzione dei problemi

Questa sezione contiene le spiegazioni dei messaggi di errore che potresti riscontrare.

  • FirewallPolicy may not specify a name. One will be provided.

    Non puoi specificare un nome per la policy. I "nomi" delle policy del firewall gerarchiche sono ID numerici generati da Google Cloud quando viene creata la policy. Tuttavia, puoi specificare un nome breve più intuitivo che funge da alias in molti contesti.

  • FirewallPolicy may not specify associations on creation.

    Le associazioni possono essere create solo dopo la creazione dei criteri firewall gerarchici.

  • Can not move firewall policy to a different organization.

    Gli spostamenti dei criteri firewall gerarchici devono rimanere all'interno della stessa organizzazione.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Se una risorsa è già collegata a un criterio firewall gerarchico, l'operazione di collegamento non riesce a meno che l'opzione di sostituzione delle associazioni esistenti non sia impostata su true.

  • Cannot have rules with the same priorities.

    Le priorità delle regole devono essere univoche all'interno di un criterio firewall gerarchico.

  • Direction must be specified on firewall policy rule.

    Quando crei regole della policy del firewall gerarchico inviando richieste REST direttamente, devi specificare la direzione della regola. Quando utilizzi Google Cloud CLI e non viene specificata alcuna direzione, il valore predefinito è INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    Il logging del firewall non è consentito per le regole con l'azione goto_next perché le azioni goto_next vengono utilizzate per rappresentare l'ordine di valutazione di diverse policy firewall e non sono azioni terminali, ad esempio ALLOW o DENY.

  • Must specify at least one destination on Firewall policy rule.

    Il flag layer4Configs nella regola del criterio firewall deve specificare almeno un protocollo o un protocollo e una porta di destinazione.

    Per saperne di più sulla risoluzione dei problemi relativi alle regole dei criteri firewall, consulta Risoluzione dei problemi relativi alle regole firewall VPC.

Passaggi successivi