Firewallrichtlinien

Mit Firewallrichtlinien können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen (Identity and Access Management). Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln (Virtual Private Cloud).

Hierarchische Firewallrichtlinien

Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen.

Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.

Globale Netzwerk-Firewallrichtlinien

Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen (global) gilt. Eine Firewallrichtlinie wird erst wirksam, wenn sie mit einem VPC-Netzwerk verknüpft ist. Informationen zum Verknüpfen einer globalen Netzwerk-Firewallrichtlinie mit einem Netzwerk finden Sie unter Richtlinie mit dem Netzwerk verknüpfen. Nachdem Sie eine globale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen im VPC-Netzwerk angewendet werden. Sie können eine Netzwerk-Firewallrichtlinie nur mit einem VPC-Netzwerk verknüpfen.

Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.

Regionale Netzwerk-Firewallrichtlinien

Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region gilt. Eine regionale Netzwerk-Firewallrichtlinie wird erst wirksam, wenn sie mit einem VPC-Netzwerk in derselben Region verknüpft ist. Informationen zum Verknüpfen einer regionalen Netzwerk-Firewallrichtlinie mit einem Netzwerk finden Sie unter Richtlinie mit dem Netzwerk verknüpfen. Nachdem Sie eine regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen in dieser Region des VPC-Netzwerks angewendet werden.

Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.

Firewallrichtlinien und ‑regeln auf ein Netzwerk anwenden

Reguläre VPC-Netzwerke unterstützen Firewallregeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien, regionalen Netzwerk-Firewallrichtlinien und VPC-Firewallregeln. Alle Firewallregeln werden als Teil des Andromeda-Netzwerkvirtualisierungs-Stacks programmiert.

Informationen zu RoCE-VPC-Netzwerken finden Sie anstelle dieses Abschnitts unter Cloud NGFW für RoCE-VPC-Netzwerke.

Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien

Jedes reguläre VPC-Netzwerk hat eine Reihenfolge für die Erzwingung von Netzwerk-Firewallrichtlinien, die steuert, wann Regeln in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien ausgewertet werden.

  • AFTER_CLASSIC_FIREWALL (Standard): Cloud NGFW wertet VPC-Firewallregeln aus, bevor Regeln in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien ausgewertet werden.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW wertet Regeln in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien aus, bevor VPC-Firewallregeln ausgewertet werden.

So ändern Sie die Reihenfolge der Durchsetzung von Netzwerk-Firewallrichtlinien:

  • Verwenden Sie die Methode networks.patch und legen Sie das Attribut networkFirewallPolicyEnforcementOrder des VPC-Netzwerks fest.

  • Führen Sie den Befehl gcloud compute networks update mit dem Flag --network-firewall-policy-enforcement-order aus.

    Beispiel:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Prozess zur Auswertung von Firewallregeln

Für ein bestimmtes Paket wertet Cloud NGFW die folgenden Regeln ausschließlich auf Grundlage der Traffic-Richtung aus:

  • Firewallregeln für eingehenden Traffic, wenn eine Zielressource das Paket empfängt.
  • Firewallregeln für ausgehenden Traffic, wenn eine Zielressource das Paket sendet.

Cloud NGFW wertet Firewallregeln in einer bestimmten Reihenfolge aus. Die Reihenfolge hängt von der Erzwingungsreihenfolge der Netzwerk-Firewallrichtlinie ab, die entweder AFTER_CLASSIC_FIREWALL oder BEFORE_CLASSIC_FIREWALL sein kann.

Regelauswertungsreihenfolge in der AFTER_CLASSIC_FIREWALL-Erzwingungsreihenfolge

In der AFTER_CLASSIC_FIREWALL-Netzwerk-Firewallrichtlinie werden VPC-Firewallregeln von Cloud NGFW nach der Auswertung von Regeln in hierarchischen Firewallrichtlinien ausgewertet. Das ist die Standardreihenfolge für die Auswertung.

Die Firewallregeln werden in der folgenden Reihenfolge ausgewertet:

  1. Hierarchische Firewallrichtlinien:

    Cloud NGFW wertet hierarchische Firewallrichtlinien in der folgenden Reihenfolge aus:

    1. Die hierarchische Firewallrichtlinie, die mit der Organisation verknüpft ist, die die Zielressource enthält.
    2. Hierarchische Firewallrichtlinien, die mit übergeordneten Ordnern verknüpft sind, vom Ordner der obersten Ebene bis zum Ordner, der das Projekt der Zielressource enthält.

    Bei der Auswertung von Regeln in jeder hierarchischen Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer hierarchischen Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit einer der folgenden Optionen fortgesetzt:
      • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
      • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

    Wenn keine Regel in einer hierarchischen Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Bei dieser Aktion wird die Auswertung in einem der folgenden Fälle fortgesetzt:

    • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
    • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

  2. VPC-Firewallregeln.

    Bei der Auswertung von VPC-Firewallregeln führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    Wenn eine oder zwei VPC-Firewallregeln mit dem Traffic übereinstimmen, kann die Aktion bei Übereinstimmung der Firewallregel eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.

    Wenn zwei Regeln übereinstimmen, müssen sie dieselbe Priorität, aber unterschiedliche Aktionen haben. In diesem Fall erzwingt Cloud NGFW die VPC-Firewallregel deny und ignoriert die VPC-Firewallregel allow.

    Wenn keine VPC-Firewallregeln mit dem Traffic übereinstimmen, verwendet Cloud NGFW die implizierte Aktion goto_next, um mit dem nächsten Schritt in der Auswertungsreihenfolge fortzufahren.

  3. Globale Netzwerk-Firewallrichtlinie

    Beim Auswerten von Regeln in einer globalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer globalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer globalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Auswertung mit dem Schritt für die regionale Netzwerk-Firewallrichtlinie in der Auswertungsreihenfolge fortgesetzt.

  4. Regionale Netzwerk-Firewallrichtlinien.

    Cloud NGFW wertet Regeln in regionalen Netzwerk-Firewallrichtlinien aus, die der Region und dem VPC-Netzwerk der Zielressource zugeordnet sind.

    Beim Auswerten von Regeln in einer regionalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer regionalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • goto_next: Die Regelauswertung wird mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer regionalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Dadurch wird die Auswertung mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

  5. Implizite Firewallregeln:

    Cloud NGFW erzwingt die folgenden impliziten Firewallregeln, wenn alle Regeln, die mit dem Traffic übereinstimmten, eine explizite goto_next-Aktion hatten oder wenn die Regelauswertung durch implizite goto_next-Aktionen fortgesetzt wurde.

    • Implizites Zulassen von ausgehendem Traffic
    • Implizierte Ablehnung von eingehendem Traffic

Das folgende Diagramm zeigt die Auswertungsreihenfolge, wenn die Erzwingungsreihenfolge für Netzwerkfirewallrichtlinien AFTER_CLASSIC_FIREWALL ist:

Ablauf der Auflösung von Firewallregeln.
Abbildung 1. Ablauf der Auflösung von Firewallregeln, wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien AFTER_CLASSIC_FIREWALL ist (zum Vergrößern klicken).

Regelauswertungsreihenfolge in der BEFORE_CLASSIC_FIREWALL-Erzwingungsreihenfolge

In der BEFORE_CLASSIC_FIREWALL-Netzwerk-Firewallrichtlinie werden VPC-Firewallregeln von Cloud NGFW nach der Auswertung von Regeln in Netzwerk-Firewallrichtlinien ausgewertet.

Die Firewallregeln werden in der folgenden Reihenfolge ausgewertet:

  1. Hierarchische Firewallrichtlinien:

    Cloud NGFW wertet hierarchische Firewallrichtlinien in der folgenden Reihenfolge aus:

    1. Die hierarchische Firewallrichtlinie, die mit der Organisation verknüpft ist, die die Zielressource enthält.
    2. Die hierarchischen Firewallrichtlinien, die den übergeordneten Ordnern zugeordnet sind, vom Ordner auf oberster Ebene bis zum Ordner, der das Projekt der Zielressource enthält.

    Bei der Auswertung von Regeln in jeder hierarchischen Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer hierarchischen Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit einer der folgenden Optionen fortgesetzt:
      • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
      • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

    Wenn keine Regel in einer hierarchischen Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Bei dieser Aktion wird die Auswertung in einem der folgenden Fälle fortgesetzt:

    • Eine hierarchische Firewallrichtlinie, die mit einem Ordner-Ancestor verknüpft ist, der sich näher an der Zielressource befindet, sofern vorhanden.
    • Der nächste Schritt in der Auswertungsreihenfolge, wenn alle hierarchischen Firewallrichtlinien ausgewertet wurden.

  2. Globale Netzwerk-Firewallrichtlinie

    Beim Auswerten von Regeln in einer globalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer globalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • apply_security_profile_group: Die Regel leitet den Traffic an einen konfigurierten Firewallendpunkt weiter und die gesamte Regelauswertung wird beendet. Die Entscheidung, ob das Paket zugelassen oder verworfen wird, hängt vom konfigurierten Sicherheitsprofil der Sicherheitsprofilgruppe ab.
    • goto_next: Die Regelauswertung wird mit dem Schritt für die Firewallrichtlinie für regionale Netzwerke in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer globalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Durch diese Aktion wird die Auswertung mit dem Schritt für die regionale Netzwerk-Firewallrichtlinie in der Auswertungsreihenfolge fortgesetzt.

  3. Regionale Netzwerk-Firewallrichtlinien.

    Cloud NGFW wertet Regeln in regionalen Netzwerk-Firewallrichtlinien aus, die der Region und dem VPC-Netzwerk der Zielressource zugeordnet sind. Wenn mehrere Richtlinien derselben Region und demselben Netzwerk zugeordnet sind, wird die Richtlinie mit der höchsten Zuordnungspriorität zuerst ausgewertet.

    Beim Auswerten von Regeln in einer regionalen Netzwerk-Firewallrichtlinie führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    In einer regionalen Netzwerk-Firewallrichtlinie kann höchstens eine Regel mit dem Traffic übereinstimmen. Die Aktion bei Übereinstimmung der Firewallregel kann eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.
    • goto_next: Die Regelauswertung wird mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

    Wenn keine Regel in einer regionalen Netzwerk-Firewallrichtlinie mit dem Traffic übereinstimmt, verwendet Cloud NGFW die implizierte Aktion goto_next. Dadurch wird die Auswertung mit dem nächsten Schritt in der Auswertungsreihenfolge fortgesetzt.

  4. VPC-Firewallregeln.

    Bei der Auswertung von VPC-Firewallregeln führt Cloud NGFW die folgenden Schritte aus:

    1. Ignorieren Sie alle Regeln, deren Ziele nicht mit der Zielressource übereinstimmen.
    2. Ignorieren Sie alle Regeln, die nicht mit der Richtung des Pakets übereinstimmen.
    3. Werten Sie die verbleibenden Regeln von der höchsten bis zur niedrigsten Priorität aus.

      Die Auswertung wird beendet, wenn eine der folgenden Bedingungen erfüllt ist:

      • Eine Regel, die für die Zielressource gilt, stimmt mit dem Traffic überein.
      • Keine Regeln, die für die Zielressource gelten, stimmen mit dem Traffic überein.

    Wenn eine oder zwei VPC-Firewallregeln mit dem Traffic übereinstimmen, kann die Aktion bei Übereinstimmung der Firewallregel eine der folgenden sein:

    • allow: Die Regel lässt den Traffic zu und die gesamte Regelauswertung wird beendet.
    • deny: Die Regel lehnt den Traffic ab und die gesamte Regelauswertung wird beendet.

    Wenn zwei Regeln übereinstimmen, müssen sie dieselbe Priorität, aber unterschiedliche Aktionen haben. In diesem Fall erzwingt Cloud NGFW die VPC-Firewallregel deny und ignoriert die VPC-Firewallregel allow.

    Wenn keine VPC-Firewallregeln mit dem Traffic übereinstimmen, verwendet Cloud NGFW die implizierte Aktion goto_next, um mit dem nächsten Schritt in der Auswertungsreihenfolge fortzufahren.

  5. Implizite Firewallregeln:

    Cloud NGFW erzwingt die folgenden impliziten Firewallregeln, wenn alle Regeln, die mit dem Traffic übereinstimmten, eine explizite goto_next-Aktion hatten oder wenn die Regelauswertung durch implizite goto_next-Aktionen fortgesetzt wurde.

    • Implizites Zulassen von ausgehendem Traffic
    • Implizierte Ablehnung von eingehendem Traffic

Das folgende Diagramm zeigt die Reihenfolge der Auswertung, wenn die Reihenfolge der Erzwingung von Netzwerkfirewallrichtlinien BEFORE_CLASSIC_FIREWALL ist:

Ablauf der Auflösung von Firewallregeln.
Abbildung 2. Ablauf der Auflösung von Firewallregeln, wenn die Reihenfolge der Erzwingung von Netzwerk-Firewallrichtlinien BEFORE_CLASSIC_FIREWALL ist (zum Vergrößern klicken).

Gültige Firewallregeln

Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale und regionale Netzwerk-Firewall-Richtlinienregeln steuern Verbindungen. Es kann hilfreich sein, alle Firewallregeln aufzurufen, die sich auf ein einzelnes Netzwerk oder eine einzelne VM-Schnittstelle auswirken.

Netzwerk-effektive Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf ein VPC-Netzwerk angewendet werden. Die Liste enthält alle folgenden Regelarten:

  • Von hierarchischen Firewallrichtlinien übernommene Regeln
  • VPC-Firewallregeln
  • Regeln, die aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden

Instanz-gültige Firewallregeln

Sie können alle Firewallregeln aufrufen, die auf die Netzwerkschnittstelle einer VM angewendet werden. Die Liste enthält alle folgenden Regelarten:

  • Von hierarchischen Firewallrichtlinien übernommene Regeln
  • Regeln, die von der VPC-Firewall der Schnittstelle angewendet werden
  • Regeln, die aus den globalen und regionalen Netzwerk-Firewallrichtlinien angewendet werden

Die Regeln werden angefangen bei der Organisationsebene bis zu dem VPC-Netzwerk sortiert. Es werden nur Regeln angezeigt, die für die VM-Schnittstelle gelten. Regeln in anderen Richtlinien werden nicht angezeigt.

Informationen zur Anzeige der effektiven Firewallregeln innerhalb einer Region finden Sie unter Effektive regionale Firewallrichtlinien für ein Netzwerk abrufen.

Vordefinierte Regeln

Wenn Sie eine hierarchische Firewallrichtlinie, eine globale Netzwerk-Firewallrichtlinie oder eine regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud NGFW der Richtlinie vordefinierte Regeln hinzu. Die vordefinierten Regeln, die Cloud NGFW der Richtlinie hinzufügt, hängen davon ab, wie Sie die Richtlinie erstellen.

Wenn Sie eine Firewallrichtlinie mit der Google Cloud Console erstellen, fügt Cloud NGFW der neuen Richtlinie die folgenden Regeln hinzu:

  1. Zu den nächsten Regeln für private IPv4-Bereiche
  2. Vordefinierte Ablehnungsregeln für Google Threat Intelligence
  3. Vordefinierte Ablehnungsregeln für Geo-Standorte
  4. Niedrigste mögliche Priorität unter den nächsten Regeln

Wenn Sie eine Firewallrichtlinie mit der Google Cloud CLI oder der API erstellen, fügt Cloud NGFW der Richtlinie nur die niedrigste mögliche Priorität zur nächsten Seite hinzu.

Alle vordefinierten Regeln in einer neuen Firewallrichtlinie verwenden absichtlich niedrige Prioritäten (hohe Prioritätsnummern), damit Sie sie überschreiben können. Dazu erstellen Sie Regeln mit höheren Prioritäten. Mit Ausnahme der niedrigsten möglichen Priorität zu den nächsten Regeln können Sie auch die vordefinierten Regeln anpassen.

Zu den nächsten Regeln für private IPv4-Bereiche

  • Einer Ausgangsregel mit den IPv4-Zielbereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Aktion 1000 und goto_next-Aktion.

  • Eine Regel für eingehenden Traffic mit den Quell-IPv4-Bereichen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, Priorität 1001 und goto_next-Aktion.

Vordefinierte Google Threat Intelligence-Ablehnungsregeln

  • Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste iplist-tor-exit-nodes, der Priorität 1002 und der Aktion deny.

  • Eine Regel für eingehenden Traffic mit der Google Threat Intelligence-Quellliste iplist-known-malicious-ips, der Priorität 1003 und der Aktion deny.

  • Einer Ausgangsregel mit der Google Threat Intelligence-Liste iplist-known-malicious-ips, der Priorität 1004 und der Aktion deny.

Weitere Informationen zu Google Threat Intelligence finden Sie unter Google Threat Intelligence für Firewallrichtlinien-Regeln.

Vordefinierte Ablehnungsregeln für Geo-Standorte

  • Eine Regel für eingehenden Traffic mit Quellen, die den geografischen Standorten CU, IR, KP, SY, XC und XD entsprechen, der Priorität 1005 und der deny-Aktion.

Weitere Informationen zu geografischen Standorten finden Sie unter Geostandortobjekte.

Niedrigste mögliche Priorität zur nächsten Regel

Folgende Regeln können nicht geändert oder gelöscht werden:

  • Regel für ausgehenden Traffic mit dem IPv6-Zielbereich ::/0, der Aktion 2147483644 und der Aktion goto_next.

  • Einer Eingangsregel mit dem IPv6-Quellbereich ::/0, der Priorität 2147483645 und der Aktion goto_next.

  • Einer Regel für ausgehenden Traffic mit dem IPv4-Zielbereich 0.0.0.0/0, der Priorität 2147483646 und der Aktion goto_next.

  • Einer Eingangsregel mit dem IPv4-Quellbereich 0.0.0.0/0, der Priorität 2147483647 und der Aktion goto_next.

Nächste Schritte