Regole firewall VPC

Le regole firewall VPC (Virtual Private Cloud) si applicano a un determinato progetto e a una determinata rete. Se vuoi applicare regole firewall a più reti VPC in un'organizzazione, vedi Policy firewall. Il resto di questa pagina riguarda solo le regole firewall VPC.

Le regole firewall VPC consentono o negano le connessioni da o verso le istanze di macchine virtuali (VM) nella tua rete VPC. Le regole firewall abilitate per il VPC vengono applicate sempre in modo da proteggere le istanze a prescindere dalla configurazione e dal sistema operativo, anche se non sono state avviate.

Ogni rete VPC funziona come un firewall distribuito. Sebbene le regole firewall siano definite a livello di rete, le connessioni vengono consentite o negate a livello di singola istanza. Puoi considerare le regole firewall VPC come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze nella stessa rete.

Per ulteriori informazioni sui firewall, vedi Firewall (informatica).

Best practice per le regole firewall

Quando progetti e valuti le regole firewall, tieni presente le seguenti best practice:

• Implementa i principi del privilegio minimo. Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione della regola ai soli protocolli e porte necessari.
• Utilizza le regole dei criteri firewall gerarchici per bloccare il traffico che non deve mai essere consentito a livello di organizzazione o cartella.
• Per le regole "consenti", limita l'accesso a VM specifiche specificando il service account delle VM.
• Se devi creare regole basate sugli indirizzi IP, prova a ridurre al minimo il numero di regole. È più facile monitorare una regola che consente il traffico a un intervallo di 16 VM rispetto a 16 regole separate.
• Utilizza i criteri firewall per raggruppare le regole firewall per una configurazione e un deployment semplificati. Le regole di policy firewall forniscono diversi componenti di regole che offrono un controllo granulare del traffico:
  • Utilizza i gruppi di indirizzi per semplificare l'utilizzo di più intervalli di indirizzi IP nelle regole firewall.
  • Utilizza gli oggetti FQDN nel criterio firewall per filtrare il traffico in entrata o in uscita da o verso domini specifici. Potresti incorrere in addebiti per l'elaborazione dei dati di Cloud Next Generation Firewall Standard.
  • Utilizza oggetti di geolocalizzazione nelle policy firewall quando devi filtrare il traffico IPv4 e IPv6 esterno in base a regioni o posizioni geografiche specifiche. Potresti incorrere in costi di elaborazione standard di Cloud Next Generation Firewall.
• Attiva il logging delle regole firewall e utilizza Firewall Insights per verificare che le regole firewall vengano utilizzate nel modo previsto. Il logging delle regole firewall può comportare costi, quindi ti consigliamo di utilizzarlo in modo selettivo.

Regole firewall in Google Cloud

Quando crei una regola firewall VPC, specifichi una rete VPC e un insieme di componenti che definiscono la funzione della regola. I componenti ti consentono di scegliere come target determinati tipi di traffico in base a protocollo, porte di destinazione, origini e destinazioni del traffico. Per saperne di più, consulta Componenti delle regole firewall.

Crea o modifica le regole firewall VPC utilizzando la Google Cloud console, la Google Cloud CLI e l'API REST. Quando crei o modifichi una regola firewall, puoi specificare le istanze a cui deve essere applicata utilizzando il parametro target della regola. Per esempi di regole firewall, vedi Altri esempi di configurazione.

Oltre alle regole firewall che crei, Google Cloud ha altre regole che possono influire sulle connessioni in entrata o in uscita:

• Google Cloud blocca o limita determinati tipi di traffico. Per ulteriori informazioni, consulta Traffico bloccato e limitato.

• Google Cloud consente sempre la comunicazione tra un'istanza VM e il relativo server metadati all'indirizzo 169.254.169.254. Per maggiori informazioni, vedi Traffico sempre consentito.

• Ogni rete ha due regole firewall implicite che consentono le connessioni in uscita e bloccano quelle in entrata. Le regole firewall che crei possono ignorare queste regole implicite.

• La rete predefinita è precompilata con regole firewall che puoi eliminare o modificare.

Specifiche

Le regole firewall VPC hanno le seguenti caratteristiche:

• Ogni regola firewall si applica alle connessioni in entrata o in uscita, non a entrambe. Per saperne di più, vedi Direzione della connessione.

• Le regole firewall supportano le connessioni IPv4. Le connessioni IPv6 sono supportate anche nelle reti VPC in cui è abilitato IPv6. Quando specifichi un'origine o una destinazione per una regola di ingresso o di uscita per indirizzo, puoi specificare indirizzi o blocchi IPv4 o IPv6 nella notazione CIDR.

• Ogni regola firewall può contenere intervalli IPv4 o IPv6, ma non entrambi.

• L'azione di ogni regola firewall è allow o deny. La regola si applica alle connessioni finché è applicata. Ad esempio, puoi disattivare una regola per la risoluzione dei problemi.

• Quando crei una regola firewall, devi selezionare una rete VPC. Sebbene la regola venga applicata a livello di istanza, la sua configurazione è associata a una rete VPC. Ciò significa che non puoi condividere regole firewall tra reti VPC, incluse le reti connesse tramite peering di rete VPC o utilizzando tunnel Cloud VPN.

• Le regole firewall VPC sono stateful:

  • Quando una connessione è consentita tramite il firewall in una delle due direzioni, è consentito anche il traffico di ritorno corrispondente a questa connessione. Non puoi configurare una regola firewall per negare il traffico di risposta associato.
  • Il traffico di ritorno deve corrispondere alla 5-tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione, protocollo) del traffico di richiesta accettato, ma con gli indirizzi e le porte di origine e di destinazione invertiti.
  • Google Cloud associa i pacchetti in entrata a quelli in uscita corrispondenti utilizzando una tabella di monitoraggio della connessione. Le connessioni IPv4 supportano i protocolli TCP, UDP, SCTP e ICMP. Le connessioni IPv6 supportano i protocolli TCP, UDP, SCTP e ICMPv6.
  • Google Cloud implementa il monitoraggio delle connessioni indipendentemente dal fatto che il protocollo supporti le connessioni. Se una connessione è consentita tra un'origine e una destinazione (per una regola in entrata) o tra una destinazione e una destinazione (per una regola in uscita), tutto il traffico di risposta è consentito finché lo stato di monitoraggio della connessione del firewall è attivo. Lo stato di monitoraggio di una regola firewall è considerato attivo se viene inviato almeno un pacchetto ogni 10 minuti.
  • Quando una connessione frammentata è consentita tramite il firewall, Google Cloud utilizza il monitoraggio della connessione per consentire solo il primo frammento del traffico di ritorno. Per consentire i frammenti di ritorno successivi, devi aggiungere una regola firewall.
  • Il traffico di risposta ICMP, ad esempio "ICMP TYPE 3, DESTINATION UNREACHABLE", generato in risposta a una connessione TCP/UDP consentita, è consentito tramite il firewall. Questo comportamento è coerente con la RFC 792.

• Le regole firewall VPC non riassemblano i pacchetti TCP frammentati. Pertanto, una regola firewall applicabile al protocollo TCP può essere applicata solo al primo frammento perché contiene l'intestazione TCP. Le regole firewall applicabili al protocollo TCP non si applicano ai frammenti TCP successivi.

• Il numero massimo di connessioni monitorate nella tabella delle regole firewall dipende dal numero di connessioni stateful supportate dal tipo di macchina dell'istanza. Se viene superato il numero massimo di connessioni monitorate, il monitoraggio viene interrotto per le connessioni con l'intervallo di inattività più lungo per consentire il monitoraggio di nuove connessioni.

  Tipo di macchina dell'istanza	Numero massimo di connessioni stateful
  Tipi di macchine con core condivisi	130.000
  Istanze con 1-8 vCPU	130.000 connessioni per vCPU
  Istanze con più di 8 vCPU	1.040.000 (130.000 x 8) connessioni totali

Regole implicite

Ogni rete VPC ha due regole firewall IPv4 implicite. Se IPv6 è abilitato in una rete VPC, la rete ha anche due regole firewall IPv6 implicite. Queste regole non vengono visualizzate nella console Google Cloud .

Le regole firewall IPv4 implicite sono presenti in tutte le reti VPC, indipendentemente da come vengono create e dal fatto che siano reti VPC in modalità automatica o personalizzata. La rete predefinita ha le stesse regole implicite.

• Regola di traffico in uscita IPv4 implicito. Una regola di uscita la cui azione è allow, la destinazione è 0.0.0.0/0 e la priorità è la più bassa possibile (65535) consente a qualsiasi istanza di inviare traffico a qualsiasi destinazione, ad eccezione del traffico bloccato da Google Cloud. Una regola firewall con priorità più elevata potrebbe limitare l'accesso in uscita. L'accesso a internet è consentito se nessun'altra regola firewall nega il traffico in uscita e se l'istanza ha un indirizzo IP esterno o utilizza un'istanza Cloud NAT. Per ulteriori informazioni, consulta la sezione Requisiti di accesso a internet.

  Per informazioni sui requisiti di routing, consulta Requisiti di accesso a internet.

• Regola di traffico in entrata IPv4 implicito. Una regola in entrata la cui azione è deny, l'origine è 0.0.0.0/0 e la priorità è la più bassa possibile (65535) protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più elevata potrebbe consentire l'accesso in entrata. La rete predefinita include alcune regole aggiuntive che sostituiscono questa, consentendo determinati tipi di connessioni in entrata.

Se IPv6 è abilitato, la rete VPC ha anche queste due regole implicite:

• Regola di traffico in uscita IPv6 implicito. Una regola di uscita la cui azione è allow, la destinazione è ::/0 e la priorità è la più bassa possibile (65535) consente a qualsiasi istanza di inviare traffico a qualsiasi destinazione, ad eccezione del traffico bloccato da Google Cloud. Una regola firewall con priorità più elevata potrebbe limitare l'accesso in uscita. Per informazioni sui requisiti di routing, consulta Requisiti di accesso a internet.

• Regola di traffico in entrata IPv6 implicito. Una regola in entrata la cui azione è deny, l'origine è ::/0 e la priorità è la più bassa possibile (65535) protegge tutte le istanze bloccando le connessioni in entrata. Una regola con priorità più elevata potrebbe consentire l'accesso in entrata.

Le regole implicite non possono essere rimosse, ma hanno le priorità più basse possibili. Puoi creare regole che le sostituiscono, a condizione che le tue regole abbiano priorità più elevate (numeri di priorità inferiori a 65535). Poiché le regole deny hanno la precedenza sulle regole allow con la stessa priorità, una regola allow in entrata con una priorità di 65535 non ha mai effetto.

Regole precompilate nella rete predefinita

La rete predefinita è precompilata con regole firewall che consentono le connessioni in entrata alle istanze. Queste regole possono essere eliminate o modificate in base alle esigenze:

Nome regola	Direzione	Priorità	Intervalli di origine	Azione	Protocolli e porte	Descrizione
default-allow-internal	ingress	65534	10.128.0.0/9	allow	tcp:0-65535 udp:0-65535 icmp	Consente le connessioni in entrata alle istanze VM da altre istanze all'interno della stessa rete VPC.
default-allow-ssh	ingress	65534	0.0.0.0/0	allow	tcp:22	Consente di connetterti alle istanze con strumenti come ssh, scp o sftp.
default-allow-rdp	ingress	65534	0.0.0.0/0	allow	tcp:3389	Consente di connetterti alle istanze utilizzando il protocollo Microsoft Remote Desktop Protocol (RDP).
default-allow-icmp	ingress	65534	0.0.0.0/0	allow	icmp	Consente di utilizzare strumenti come ping.

Puoi creare regole firewall simili per reti diverse da quella predefinita. Per saperne di più, vedi Configurare le regole firewall per i casi d'uso comuni.

Traffico bloccato e limitato

Separate dalle regole firewall VPC e dalle policy del firewall gerarchiche, Google Cloud bloccano o limitano determinati tipi di traffico come descritto nella tabella seguente.

Tipo di traffico	Dettagli
Velocità pacchetti e larghezza di banda Si applica a: Tutti i pacchetti in uscita Tutti i pacchetti in entrata	Google Cloud tiene conto della larghezza di banda per istanza VM, per ogni interfaccia di rete (NIC) o indirizzo IP. Il tipo di macchina di una VM definisce la velocità di uscita massima possibile; tuttavia, puoi raggiungere questa velocità solo in situazioni specifiche. Per maggiori dettagli, consulta Larghezza di banda di rete nella documentazione di Compute Engine.
Offerte e riconoscimenti DHCP Si applica a: Pacchetti in entrata alla porta UDP 68 (DHCPv4) Pacchetti in entrata alla porta UDP 546 (DHCPv6)	Google Cloud blocca le offerte e gli ACK DHCP in entrata da tutte le origini ad eccezione dei pacchetti DHCP provenienti dal server di metadati.
Protocolli supportati dagli Google Cloud indirizzi IP esterni Si applica a: Pacchetti in entrata verso indirizzi IP esterni	Gli indirizzi IPv4 ed IPv6 esterni accettano solo pacchetti TCP, UDP, ICMP, IPIP, AH, ESP, SCTP e GRE. Le risorse che utilizzano indirizzi IP esterni impongono ulteriori limitazioni del protocollo: Le regole di forwarding per il forwarding del protocollo, bilanciatori del carico delle applicazioni esterni, bilanciatori del carico di rete proxy esterni, e bilanciatori del carico di rete passthrough esterni elaborano solo i protocolli e le porte configurati nella regola di forwarding. I gateway Cloud VPN accettano solo protocolli VPN.
Traffico SMTP (porta 25) Si applica a: Pacchetti in uscita verso indirizzi IP esterni sulla porta TCP 25	Per impostazione predefinita, Google Cloud blocca i pacchetti in uscita inviati alla porta di destinazione TCP 25 di un indirizzo IP esterno (incluso un indirizzo IP esterno di un'altra risorsa Google Cloud ). Tuttavia, questo traffico non viene bloccato nei progetti di proprietà di clienti Google Cloud selezionati. Nella console Google Cloud , la pagina Reti VPC e la pagina Criteri firewall mostrano entrambe un messaggio che indica se la porta SMTP 25 è consentita o non consentita nel tuo progetto. Questo blocco non si applica ai pacchetti in uscita inviati alla porta di destinazione TCP 25 di un indirizzo IP interno, incluso un indirizzo IP pubblico utilizzato privatamente in una rete VPC o in una rete on-premise. Se il traffico in uscita SMTP esterno sulla porta 25 è consentito nel tuo progetto e vuoi inviare questo tipo di traffico, devono essere soddisfatte le seguenti condizioni aggiuntive: Le regole firewall in uscita nella rete VPC e le policy firewall gerarchiche applicabili alla rete VPC devono consentire l'uscita verso l'indirizzo IP esterno sulla porta TCP 25. Le regole di traffico in uscita implicite di tipo "allow" soddisfano questo requisito perché consentono il traffico in uscita verso (e le risposte in entrata stabilite da) qualsiasi indirizzo IP. La route applicabile per la destinazione deve utilizzare l'hop successivo del gateway internet predefinito. Le route predefinite generate dal sistema soddisfano questo requisito. L'istanza che invia pacchetti all'indirizzo IP esterno deve soddisfare i requisiti di accesso a internet. Puoi impedire il traffico SMTP in uscita esterno creando regole firewall VPC di negazione del traffico in uscita o policy firewall gerarchiche.

Traffico sempre consentito

Per le istanze VM, le regole firewall VPC e i criteri firewall gerarchici non si applicano a quanto segue:

• Pacchetti inviati e ricevuti dal server di metadati Google Cloud

• Pacchetti inviati a un indirizzo IP assegnato a una delle interfacce di rete (NIC) dell'istanza in cui i pacchetti rimangono all'interno della VM. Gli indirizzi IP assegnati alla NIC di un'istanza includono:

  • L'indirizzo IPv4 interno principale della NIC
  • Qualsiasi indirizzo IPv4 interno di un intervallo IP alias della NIC
  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC
  • Un indirizzo IPv4 interno o esterno associato a una regola di forwarding, per il bilanciamento del carico o l'inoltro di protocollo, se l'istanza è un backend per il bilanciatore del carico o è un'istanza di destinazione per l'inoltro di protocollo
  • Indirizzi di loopback
  • Indirizzi configurati come parte del software di overlay di rete che esegui all'interno dell'istanza stessa

Google Cloud server di metadati

Google Cloud esegue un server di metadati locale insieme a ogni istanza all'indirizzo 169.254.169.254. Questo server è essenziale per il funzionamento dell'istanza, quindi l'istanza può accedervi indipendentemente dalle regole firewall che configuri. Il server di metadati fornisce i seguenti servizi di base all'istanza:

• DHCP
• Risoluzione DNS, seguendo l'ordine di risoluzione dei nomi DNS per la rete VPC.
• Metadati dell'istanza
• Network Time Protocol (NTP)

Interazioni con il prodotto

Le sezioni seguenti descrivono l'interazione tra le regole firewall e le policy firewall gerarchiche con altri prodotti Google Cloud .

Regole firewall e bilanciatori del carico pass-through

Le regole firewall VPC e le policy dei firewall gerarchiche controllano quali protocolli e porte supportati della regola di forwarding possono accedere ai backend del bilanciatore del carico pass-through. Per maggiori dettagli, vedi:

• Regole firewall nella documentazione del bilanciatore del carico di rete passthrough esterno
• Regole firewall nella documentazione del bilanciatore del carico di rete passthrough interno

Regole firewall e bilanciatori del carico proxy

Per i bilanciatori del carico delle applicazioni esterni, i bilanciatori del carico delle applicazioni interni, i bilanciatori del carico di rete proxy interni e i bilanciatori del carico di rete proxy esterni, le regole firewall VPC e i criteri firewall gerarchici non controllano quali protocolli e porte vengono accettati dall'indirizzo IP della regola di forwarding del bilanciatore del carico proxy. La sola regola di forwarding determina quali protocolli e porte sono accettati dal bilanciatore del carico proxy.

Le regole firewall VPC e i criteri firewall gerarchici controllano il modo in cui questi bilanciatori del carico proxy comunicano con i relativi backend. Per maggiori dettagli, vedi:

• Regole firewall nella documentazione del bilanciatore del carico delle applicazioni esterno
• Regole firewall nella documentazione del bilanciatore del carico delle applicazioni interno
• Regole firewall nella documentazione del bilanciatore del carico di rete proxy interno
• Regole firewall nella documentazione del bilanciatore del carico di rete proxy esterno

Regole firewall e Cloud VPN

Le regole firewall e le policy dei firewall gerarchiche non controllano quali protocolli e porte vengono accettati dal gateway Cloud VPN.

I gateway Cloud VPN accettano solo pacchetti per i protocolli e le porte descritti nelle specifiche di Cloud VPN.

Regole firewall e GKE

Google Kubernetes Engine crea e gestisce automaticamente le regole firewall quando crei un cluster o risorse nel cluster (inclusi servizi e ingress). Per maggiori informazioni, consulta Regole firewall create automaticamente nella documentazione di Google Kubernetes Engine.

Componenti delle regole firewall

Ogni regola firewall è costituita dai seguenti componenti di configurazione:

• Una direzione dal punto di vista del target. La direzione può essere in entrata o in uscita.

• Una priorità numerica, che determina se la regola viene applicata. Viene applicata solo la regola con la priorità più alta (numero di priorità più basso) i cui altri componenti corrispondono al traffico; le regole in conflitto con priorità inferiori vengono ignorate.

• Un'azione in caso di corrispondenza, allow o deny, che determina se la regola consente o blocca le connessioni.

• Lo stato di applicazione della regola firewall: puoi attivare e disattivare le regole firewall senza eliminarle.

• Un target, che definisce le istanze (inclusi i cluster GKE e le istanze dell'ambiente flessibile App Engine) a cui si applica la regola.

• Un filtro di origine o di destinazione per le caratteristiche dei pacchetti.

• Il protocollo (ad esempio TCP, UDP o ICMP) e la porta di destinazione.

• Un'opzione booleana logs che registra le connessioni che corrispondono alla regola in Cloud Logging.

Riepilogo dei componenti

Regola in entrata
Priorità	Azione	Applicazione	Parametro target	Filtri di origine e destinazione	Protocolli e porte
Numero intero compreso tra 0 e 65535 inclusi; valore predefinito 1000	allow o deny	enabled (impostazione predefinita) o disabled	Specifica le istanze che ricevono i pacchetti.	Origini per le regole in entrata Destinazioni per le regole in entrata	Specifica un protocollo o un protocollo e una porta di destinazione. Se non viene impostata, la regola si applica a tutti i protocolli e alle porte di destinazione. Per ulteriori informazioni, consulta Protocolli e porte.
Regola in uscita
Priorità	Azione	Applicazione	Parametro target	Filtri di origine e destinazione	Protocolli e porte
Numero intero compreso tra 0 e 65535 inclusi; valore predefinito 1000	allow o deny	enabled (impostazione predefinita) o disabled	Specifica le istanze che inviano i pacchetti.	Origini per le regole in uscita Destinazioni per le regole in uscita	Specifica un protocollo o un protocollo e una porta di destinazione. Se non viene impostata, la regola si applica a tutti i protocolli e alle porte di destinazione. Per ulteriori informazioni, consulta Protocolli e porte.

Direzione del traffico

Puoi creare regole firewall che si applicano al traffico in entrata o in uscita. Una singola regola non può essere applicata sia al traffico in entrata sia a quello in uscita. Tuttavia, puoi creare più regole per definire il traffico in entrata e in uscita che consenti o neghi tramite il firewall.

• L'ingresso (in entrata) descrive i pacchetti che entrano in un'interfaccia di rete di una destinazione.

• Il traffico in uscita descrive i pacchetti che escono da un'interfaccia di rete di una destinazione.

• Se non specifichi una direzione, Google Cloud utilizza l'ingresso.

Priorità

La priorità della regola firewall è un numero intero compreso tra 0 e 65535 inclusi. I numeri interi più bassi indicano priorità più elevate. Se non specifichi una priorità quando crei una regola, viene assegnata una priorità pari a 1000.

La priorità relativa di una regola firewall determina se è applicabile quando viene valutata rispetto ad altre. La logica di valutazione funziona nel seguente modo:

• La regola di priorità più alta applicabile a una destinazione per un determinato tipo di traffico ha la precedenza. La specificità del target non è importante. Ad esempio, una regola di ingresso con priorità più elevata per determinati protocolli e porte di destinazione destinati a tutti i target sostituisce una regola definita in modo simile con priorità inferiore per gli stessi protocolli e porte di destinazione destinati a target specifici.

• La regola con la priorità più alta applicabile a un determinato protocollo e definizione della porta di destinazione ha la precedenza, anche quando la definizione del protocollo e della porta di destinazione è più generale. Ad esempio, una regola di ingresso con priorità più alta che consente il traffico per tutti i protocolli e le porte di destinazione destinate a determinati target sostituisce una regola di ingresso con priorità inferiore che nega TCP 22 per gli stessi target.

• Una regola con un'azione deny sostituisce un'altra con un'azione allow solo se le due regole hanno la stessa priorità. Utilizzando le priorità relative, è possibile creare regole allow che sostituiscono le regole deny e regole deny che sostituiscono le regole allow.

• Le regole con la stessa priorità e la stessa azione hanno lo stesso risultato. Tuttavia, la regola utilizzata durante la valutazione è indeterminata. Normalmente, non importa quale regola viene utilizzata, tranne quando abiliti il logging delle regole firewall. Se vuoi che i log mostrino le regole firewall valutate in un ordine coerente e ben definito, assegna loro priorità univoche.

Considera l'esempio seguente in cui esistono due regole firewall:

• Una regola di ingresso dalle origini 0.0.0.0/0 (qualsiasi indirizzo IPv4) applicabile a tutte le destinazioni, a tutti i protocolli e a tutte le porte di destinazione, con un'azione deny e una priorità di 1000.

• Una regola di ingresso dalle origini 0.0.0.0/0 (qualsiasi indirizzo IPv4) applicabile a target specifici con il tag di rete webserver, per il traffico su TCP 80, con un'azione allow.

La priorità della seconda regola determina se il traffico TCP verso la porta 80 è consentito per le destinazioni webserver:

• Se la priorità della seconda regola è impostata su un numero maggiore di 1000, ha una priorità inferiore, quindi si applica la prima regola che nega tutto il traffico.

• Se la priorità della seconda regola è impostata su 1000, le due regole hanno priorità identiche, quindi viene applicata la prima regola che nega tutto il traffico.

• Se la priorità della seconda regola è impostata su un numero inferiore a 1000, ha una priorità maggiore, consentendo così il traffico sulla porta TCP 80 per i target webserver. In assenza di altre regole, la prima regola negherebbe comunque altri tipi di traffico alle destinazioni webserver e negherebbe anche tutto il traffico, incluso TCP 80, alle istanze senza il tag di rete webserver.

L'esempio precedente mostra come puoi utilizzare le priorità per creare regole selettive allow e regole globali deny per implementare una best practice di sicurezza del privilegio minimo.

Azione in caso di corrispondenza

Il componente azione di una regola firewall determina se consente o blocca il traffico, in base agli altri componenti della regola:

• Un'azione allow consente le connessioni che corrispondono agli altri componenti specificati.

• Un'azione deny blocca le connessioni che corrispondono agli altri componenti specificati.

Applicazione

Puoi scegliere se una regola firewall è applicata impostando il relativo stato su enabled o disabled. Imposti lo stato di applicazione quando crei una regola o quando aggiorni una regola.

Se non imposti uno stato di applicazione quando crei una nuova regola firewall, la regola firewall viene automaticamente enabled.

Casi d'uso

La disattivazione e l'attivazione sono utili per la risoluzione dei problemi e l'esecuzione della manutenzione. Valuta la possibilità di modificare l'applicazione di una regola firewall nelle seguenti situazioni:

• Per la risoluzione dei problemi: in combinazione con il logging delle regole firewall, puoi disattivare temporaneamente una regola firewall per determinare se è responsabile del blocco o dell'autorizzazione del traffico. Questa opzione è utile per le situazioni in cui si applicano più regole firewall allo stesso traffico. Disattivare e attivare le regole è più utile che eliminarle e ricrearle, perché non vengono persi gli altri componenti della regola.

• Per la manutenzione: la disattivazione delle regole firewall può semplificare la manutenzione periodica. Ad esempio, potresti scegliere di attivare una regola firewall in entrata che consenta l'accesso SSH solo nei momenti in cui devi eseguire la manutenzione utilizzando SSH. Quando non esegui la manutenzione, puoi disattivare la regola.

Effetti sul traffico esistente

Quando modifichi lo stato di applicazione di una regola firewall o quando crei una nuova regola che è enforced, la modifica si applica solo alle nuove connessioni. Le connessioni esistenti non sono interessate dalla modifica.

Protocolli e porte

Puoi restringere l'ambito di una regola firewall specificando i protocolli o i protocolli e le porte di destinazione. Puoi specificare un protocollo o una combinazione di protocolli e le relative porte di destinazione. Se ometti sia i protocolli che le porte, la regola firewall è applicabile a tutto il traffico su qualsiasi protocollo e qualsiasi porta di destinazione. Le regole basate sulle porte di origine non sono supportate.

Non tutti i protocolli supportano le porte. Ad esempio, esistono porte per TCP e UDP, ma non per ICMP. ICMP ha diversi tipi di ICMP, ma non sono porte e non possono essere specificati in una regola firewall.

Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, devi utilizzare i numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e lo stesso numero sia in IPv4 che in IPv6, ma alcuni protocolli, come ICMP, non lo fanno.

Il protocollo hop-by-hop IPv6 non è supportato nelle regole firewall.

La seguente tabella riepiloga le combinazioni valide di protocollo e specifica della porta di destinazione per le regole firewall Google Cloud .

Specifica	Esempio	Spiegazione
Nessun protocollo e porta	—	Se non specifichi un protocollo, la regola firewall si applica a tutti i protocolli e alle relative porte di destinazione.
Protocollo	tcp	Se specifichi un protocollo senza informazioni sulla porta, la regola firewall si applica a quel protocollo e a tutte le relative porte.
Protocollo e porta singola	tcp:80	Se specifichi un protocollo e una singola porta di destinazione, la regola firewall si applica a quella porta di destinazione del protocollo.
Intervallo di protocolli e porte	tcp:20-22	Se specifichi un protocollo e un intervallo di porte, la regola firewall si applica a quell'intervallo di porte di destinazione per il protocollo.
Combinazioni	icmp,tcp:80 tcp:443 udp:67-69	Puoi specificare varie combinazioni di protocolli e porte di destinazione a cui si applica la regola firewall. Per saperne di più, consulta Creare regole firewall.

Target, origine, destinazione

Le destinazioni identificano le interfacce di rete delle istanze a cui si applica la regola firewall.

Puoi specificare parametri di origine e destinazione che si applicano alle origini o alle destinazioni dei pacchetti per le regole firewall in entrata e in uscita. La direzione della regola firewall determina i possibili valori per i parametri di origine e di destinazione.

Parametro target

Il parametro target identifica le interfacce di rete delle istanze di Compute Engine, inclusi i nodi GKE e le istanze dell'ambiente flessibile di App Engine.

Puoi definire i seguenti target per le regole in entrata o in uscita. I parametri target, source e destination funzionano insieme come descritto in Origine, destinazione, target.

• Destinazione predefinita: tutte le istanze nella rete VPC. Quando ometti una specifica di destinazione, la regola firewall si applica a tutte le istanze nella rete VPC.

• Istanze per tag di rete di destinazione. La regola firewall si applica solo alle istanze con interfacce di rete nella rete VPC della regola firewall se le istanze hanno un tag di rete che corrisponde ad almeno uno dei tag di rete di destinazione della regola firewall. Per il numero massimo di tag di rete di destinazione che puoi specificare per regola firewall, consulta i limiti per regola firewall.

• Istanze per account di servizio di destinazione. La regola firewall si applica solo alle istanze con interfacce di rete nella rete VPC della regola firewall se le istanze utilizzano un service account che corrisponde ad almeno uno dei service account di destinazione della regola firewall. Per il numero massimo di account di servizio di destinazione che puoi specificare per regola firewall, consulta Limiti per regola firewall.

Per informazioni sui vantaggi e sui limiti dei tag di rete di destinazione e dei service account di destinazione, consulta Filtro per account di servizio anziché per tag di rete.

Destinazioni e indirizzi IP per le regole in entrata

I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:

• Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti in modo esplicito.

• Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP:

  • L'indirizzo IPv4 interno principale assegnato alla NIC dell'istanza.

  • Qualsiasi intervallo IP alias configurato sulla NIC dell'istanza.

  • L'indirizzo IPv4 esterno associato alla NIC dell'istanza.

  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico pass-through, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, in cui l'istanza viene referenziata da un'istanza di destinazione.

  • Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza come VM hop successivo (next-hop-instance o next-hop-address).

  • Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza un hop successivo del bilanciatore del carico di rete passthrough interno (next-hop-ilb), se la VM è un backend per questo bilanciatore del carico.

Destinazioni e indirizzi IP per le regole in uscita

L'elaborazione dei pacchetti emessi dall'interfaccia di rete di una destinazione dipende dalla configurazione dell'inoltro IP nella VM di destinazione. L'inoltro IP è disattivato per impostazione predefinita.

• Quando l'IP forwarding è disabilitato nella VM di destinazione, la VM può emettere pacchetti con le seguenti origini:

  • L'indirizzo IPv4 interno principale del NIC di un'istanza.

  • Qualsiasi intervallo IP alias configurato sulla NIC di un'istanza.

  • Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.

  • Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico pass-through o il forwarding del protocollo, se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o se viene fatto riferimento a un'istanza di destinazione.

  Se la regola firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono comunque limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro di origine può essere utilizzato per perfezionare questo insieme. L'utilizzo di un parametro di origine senza abilitare l'inoltro IP non espande l'insieme dei possibili indirizzi di origine dei pacchetti.

  Se la regola firewall di uscita non include un intervallo di indirizzi IP di origine, tutti gli indirizzi IP di origine menzionati in precedenza sono consentiti.

• Quando il forwarding IP è abilitato nella VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per definire con maggiore precisione l'insieme delle origini dei pacchetti consentite.

Parametro di origine

I valori dei parametri di origine dipendono dalla direzione della regola firewall.

Origini delle regole in entrata

Puoi utilizzare le seguenti origini per le regole firewall in entrata:

• Intervallo di origine predefinito:quando ometti una specifica di origine in una regola di ingresso, Google Cloud utilizza l'intervallo di indirizzi IPv4 di origine predefinito 0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include le origini IPv6.

• Intervalli IPv4 di origine:un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli IPv6 di origine:un elenco di indirizzi IPv6 in formato CIDR.

• Tag di rete di origine:uno o più tag di rete che identificano le interfacce di rete delle istanze VM nella stessa rete VPC della regola firewall. Per il numero massimo di tag di rete di origine per regola firewall, consulta Limiti per regola firewall�. Per informazioni dettagliate su come vengono abbinati gli indirizzi di origine dei pacchetti quando si utilizza questa specifica di origine implicita, consulta In che modo i tag di rete di origine e i service account di origine implicano le origini dei pacchetti.

• Service account di origine:uno o più service account che identificano le interfacce di rete delle istanze VM nella stessa rete VPC della regola firewall. Per il numero massimo di account di servizio di origine per regola firewall, consulta Limiti per regola firewall. Per informazioni dettagliate su come vengono abbinati gli indirizzi di origine dei pacchetti quando utilizzi questa specifica di origine implicita, consulta la sezione In che modo i tag di rete di origine e gli account di servizio di origine implicano le origini dei pacchetti.

• Una combinazione di origine valida:per tutte le seguenti combinazioni, l'insieme di origini effettivo è l'unione degli indirizzi IPv4 o IPv6 specificati in modo esplicito e degli intervalli di indirizzi IP impliciti dal tag di rete di origine o dall'account di servizio di origine:

  • Una combinazione di intervalli IPv4 di origine e tag di rete di origine.
  • Una combinazione di intervalli IPv6 di origine e tag di rete di origine.
  • Una combinazione di intervalli IPv4 di origine e service account di origine.
  • Una combinazione di intervalli IPv6 di origine e service account di origine.

In che modo i tag di rete di origine e i service account di origine implicano le origini dei pacchetti

Quando una regola firewall in entrata utilizza un tag di rete di origine, i pacchetti devono essere emessi da un'interfaccia di rete che soddisfi i seguenti criteri:

• L'interfaccia di rete deve trovarsi nella rete VPC in cui è definita la regola firewall e
• L'interfaccia di rete deve essere associata a una VM con un tag di rete che corrisponde ad almeno uno dei tag di rete di origine della regola firewall.

Quando una regola firewall in entrata utilizza un account di servizio di origine, i pacchetti devono essere emessi da un'interfaccia di rete che soddisfi i seguenti criteri:

• L'interfaccia di rete deve trovarsi nella rete VPC in cui è definita la regola firewall e
• L'interfaccia di rete deve essere associata a una VM con un account di servizio che corrisponda a uno dei service account di origine della regola firewall.

Oltre a specificare un'interfaccia di rete, quando una regola firewall in entrata utilizza un tag di rete di origine o un account di servizio di origine, i pacchetti emessi dall'interfaccia di rete della VM devono utilizzare uno dei seguenti indirizzi IP di origine validi:

• L'indirizzo IPv4 interno principale dell'interfaccia di rete.
• Eventuali indirizzi IPv6 assegnati a questa interfaccia di rete.

Se una regola firewall in entrata contiene anche intervalli di indirizzi IP di destinazione, l'interfaccia di rete associata a un tag di rete viene risolta nella stessa versione IP dell'intervallo IP di destinazione.

Quando utilizzi i tag di rete di origine o gli account di servizio di origine, non vengono implicati altri indirizzi IP di origine dei pacchetti. Ad esempio, gli intervalli IP alias e l'indirizzo IPv4 esterno associato all'interfaccia di rete sono esclusi. Se devi creare regole firewall in entrata le cui origini includono intervalli di indirizzi IP alias o indirizzi IPv4 esterni, utilizza intervalli IPv4 di origine.

Origini per le regole in uscita

Puoi utilizzare le seguenti origini per le regole firewall in uscita:

• Predefinito: implicito per la destinazione. Se ometti il parametro source da una regola di uscita, le origini dei pacchetti vengono definite implicitamente come descritto in Destinazioni e indirizzi IP per le regole di uscita.

• Intervalli IPv4 di origine. Un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli IPv6 di origine. Un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole di uscita:

• Se a un'interfaccia VM sono assegnati indirizzi IPv4 sia interni che esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.

• Se specifichi i parametri di origine e destinazione in una regola di uscita, utilizza la stessa versione IP per entrambi i parametri. Puoi utilizzare un intervallo di indirizzi IPv4 o un intervallo di indirizzi IPv6, ma non entrambi. Per maggiori dettagli, vedi Destinazioni per le regole di uscita.

Parametro di destinazione

Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP, supportati da regole in entrata e in uscita. Il comportamento predefinito della destinazione dipende dalla direzione della regola.

Destinazioni per le regole in entrata

Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata:

• Predefinito: implicito per la destinazione. Se ometti il parametro di destinazione da una regola di ingresso, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di ingresso.

• Intervalli IPv4 di destinazione. Un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli IPv6 di destinazione. Un elenco di indirizzi IPv6 in formato CIDR.

Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole di ingresso:

• Se a un'interfaccia VM sono assegnati indirizzi IPv4 sia interni che esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.

• Se specifichi sia i parametri di origine che quelli di destinazione in una regola di ingresso, i parametri di origine vengono risolti nella stessa versione IP dell'intervallo di indirizzi IP di destinazione. Per saperne di più su come definire le origini per le regole di ingresso, consulta Origini per le regole di ingresso.

Destinazioni per le regole in uscita

Puoi utilizzare le seguenti destinazioni per le regole firewall in uscita:

• Intervallo di destinazione predefinito. Quando ometti una specifica di destinazione in una regola di uscita, Google Cloud utilizza l'intervallo di indirizzi IPv4 di destinazione predefinito0.0.0.0/0 (qualsiasi indirizzo IPv4). Il valore predefinito non include le destinazioni IPv6.

• Intervalli IPv4 di destinazione. Un elenco di indirizzi IPv4 in formato CIDR.

• Intervalli IPv6 di destinazione. Un elenco di indirizzi IPv6 in formato CIDR.

Filtro di origine e destinazione per account di servizio

Puoi utilizzare i service account per creare regole firewall più specifiche:

• Per le regole in entrata e in uscita, puoi utilizzare i service account per specificare le destinazioni.

• Per le regole di ingresso, puoi specificare l'origine dei pacchetti in entrata come l'indirizzo IP interno principale di qualsiasi VM nella rete in cui la VM utilizza unaccount di serviziont specifico.

Il account di servizio deve essere creato nello stesso progetto della regola firewall prima di creare una regola firewall che si basa su di esso. Sebbene il sistema non ti impedisca di creare una regola che utilizza un service account di un altro progetto, la regola non viene applicata se il service account non esiste nel progetto della regola firewall.

Le regole firewall che utilizzano i service account per identificare le istanze si applicano sia alle nuove istanze create e associate al service account sia alle istanze esistenti se modificate i service account. La modifica del account di servizio associato a un'istanza richiede l'arresto e il riavvio. Puoi associare i service account a singole istanze e a modelli di istanza utilizzati dai gruppi di istanze gestite.

Filtra per account di servizio anziché per tag di rete

Questa sezione evidenzia i punti chiave da considerare quando decidi se utilizzare service account o tag di rete per definire target e origini (per le regole di ingresso).

Se hai bisogno di un controllo rigoroso su come vengono applicate le regole firewall alle VM, utilizza account di servizio di destinazione e account di servizio di origine anziché tag di rete di destinazione e tag di rete di origine:

• Un tag di rete è un attributo arbitrario. Uno o più tag di rete possono essere associati a un'istanza da qualsiasi entità Identity and Access Management (IAM) che disponga dell'autorizzazione per modificarla. Le entità IAM con il ruolo Amministratore istanza Compute Engine per un progetto dispongono di questa autorizzazione. I principal IAM che possono modificare un'istanza possono cambiarne i tag di rete, il che potrebbe modificare l'insieme di regole firewall applicabili a quell'istanza.

• Un account di servizio rappresenta un'identità associata a un'istanza. A un'istanza può essere associato un solo account di servizio. Controlli l'accesso all'account di servizio controllando la concessione del ruolo Utente account di servizio per altre entità IAM. Affinché un'entità IAM possa avviare un'istanza utilizzando un account di servizio, deve disporre del ruolo Utente service account per utilizzare almeno quel account di servizio e delle autorizzazioni appropriate per creare istanze (ad esempio, il ruolo Amministratore istanze Compute Engine per il progetto).

Non puoi combinare account di servizio e tag di rete in una regola firewall:

• Non puoi utilizzare contemporaneamente account di servizio di destinazione e tag di rete di destinazione in nessuna regola firewall (in entrata o in uscita).

• Se specifichi le destinazioni in base al tag di rete di destinazione o all'account di servizio di destinazione, le seguenti sono origini non valide per le regole firewall in entrata.

  Destinazioni	Origini non valide
  Tag di rete di destinazione	Service account di origine Combinazione di intervalli IP di origine e service account di origine
  Service account di destinazione	Tag di rete di origine Combinazione di intervalli IP di origine e tag di rete di origine

Di seguito sono riportate le considerazioni operative per i service account e i tag di rete:

• La modifica di un account di servizio per un'istanza richiede l'arresto e il riavvio dell'istanza. L'aggiunta o la rimozione dei tag di rete può essere eseguita mentre l'istanza è in esecuzione.

• Esiste un numero massimo di service account di destinazione, service account di origine, tag di rete di destinazione e tag di rete di origine che possono essere specificati per le regole firewall. Per saperne di più, consulta i limiti per regola firewall.

• Se identifichi le istanze in base al tag di rete, la regola firewall si applica all'indirizzo IP interno principale dell'istanza.

• Le regole firewall dell'account di servizio si applicano al nodo GKE, non al pod GKE.

Ruoli e autorizzazioni

La seguente tabella descrive le autorizzazioni Identity and Access Management (IAM) necessarie per lavorare con le regole firewall VPC.

Attività	Autorizzazione obbligatoria	Ruolo di esempio
Crea una regola firewall	compute.firewalls.create	Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Elimina una regola firewall	compute.firewalls.delete	Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Apportare modifiche alle regole firewall	compute.firewalls.update	Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Visualizza i dettagli di una regola firewall	compute.firewalls.get	Visualizzatore rete Compute (roles/compute.networkViewer)
Visualizzare un elenco di regole firewall	compute.firewalls.list	Visualizzatore rete Compute (roles/compute.networkViewer)

Casi d'uso

I seguenti casi d'uso mostrano come funzionano le regole firewall. In questi esempi, tutte le regole firewall sono abilitate.

Richieste Ingress

Le regole firewall in entrata controllano le connessioni in entrata da un'origine alle istanze di destinazione nella tua rete VPC. L'origine di una regola in entrata può essere definita come una delle seguenti:

• Un intervallo di indirizzi IPv4 o IPv6; il valore predefinito è qualsiasi indirizzo IPv4 (0.0.0.0/0)
• Altre istanze nella tua rete VPC identificate dai tag di rete
• Altre istanze nella tua rete VPC identificate dall'account di servizio
• Altre istanze nella tua rete VPC identificate dall'intervallo di indirizzi IPv4 o IPv6 e dal tag di rete
• Altre istanze nella tua rete VPC identificate dall'intervallo di indirizzi IPv4 o IPv6 e dall'account di servizio

L'origine predefinita è qualsiasi indirizzo IPv4 (0.0.0.0/0). Se vuoi controllare le connessioni in entrata per le origini esterne alla tua rete VPC, incluse altre origini su internet, utilizza un intervallo di indirizzi IP in formato CIDR.

Le regole di ingresso con un'azione allow consentono il traffico in entrata in base agli altri componenti della regola. Oltre a specificare l'origine e la destinazione della regola, puoi limitare la regola in modo che si applichi a protocolli e porte di destinazione specifici. Allo stesso modo, le regole in entrata con un'azione deny possono essere utilizzate per proteggere le istanze bloccando il traffico in entrata in base ai componenti della regola firewall.

Esempi di Ingress

La Figura 1 illustra alcuni esempi in cui le regole firewall possono controllare le connessioni in entrata. Gli esempi utilizzano il parametro target nelle assegnazioni delle regole per applicarle a istanze specifiche.

• Una regola di ingresso con priorità 1000 è applicabile a VM 1. Questa regola consente il traffico TCP in entrata da qualsiasi origine IPv4 (0.0.0.0/0). Il traffico TCP da altre istanze nella rete VPC è consentito, in base alle regole di uscita applicabili per queste altre istanze. VM 4 è in grado di comunicare con VM 1 tramite TCP perché VM 4 non ha regole di uscita che bloccano questa comunicazione (è applicabile solo la regola di uscita implicita). Poiché VM 1 ha un IP esterno, questa regola consente anche il traffico TCP in entrata da host esterni su internet e da VM 2 tramite indirizzi IP esterni.

• VM 2 non ha una regola firewall in entrata specificata, quindi la regola implicita per negare tutto il traffico in entrata blocca tutto il traffico in entrata. Le connessioni provenienti da altre istanze della rete vengono bloccate, indipendentemente dalle regole di uscita per le altre istanze. Poiché VM 2 ha un IP esterno, esiste un percorso per raggiungerla da host esterni su internet, ma la regola di negazione implicita in entrata blocca anche il traffico in entrata esterno.

• Una regola di ingresso con priorità 1000 è applicabile a VM 3. Questa regola consente il traffico TCP dalle istanze nella rete con il tag di rete client, ad esempio VM 4. Il traffico TCP dalla VM 4 alla VM 3 è consentito perché la VM 4 non ha una regola di uscita che blocca questa comunicazione (è applicabile solo la regola di uscita di autorizzazione implicita). Poiché VM 3 non ha un indirizzo IP esterno, non esiste un percorso per raggiungerla dagli host esterni su internet.

Richieste di uscita

Le regole firewall in uscita controllano le connessioni in uscita dalle istanze di destinazione nella tua rete VPC. Le regole di uscita con un'azione allow consentono il traffico dalle istanze in base agli altri componenti della regola. Ad esempio, puoi consentire il traffico in uscita verso destinazioni specifiche, ad esempio un intervallo di indirizzi IPv4, su protocolli e porte di destinazione che specifichi. Analogamente, le regole di uscita con un'azione deny bloccano il traffico in base agli altri componenti della regola.

Ogni regola di uscita ha bisogno di una destinazione. La destinazione predefinita è qualsiasi indirizzo IPv4 (0.0.0.0/0), ma puoi creare una destinazione più specifica utilizzando un intervallo di indirizzi IPv4 o IPv6 in formato CIDR. Quando specifichi un intervallo di indirizzi IP, puoi controllare il traffico verso le istanze nella tua rete e verso le destinazioni al di fuori della rete, incluse quelle su internet.

Esempi di traffico in uscita

La Figura 2 illustra alcuni esempi in cui le regole firewall possono controllare le connessioni in uscita. Gli esempi utilizzano il parametro target nelle assegnazioni delle regole per applicarle a istanze specifiche.

• VM 1 non ha una regola firewall per il traffico in uscita specificata, quindi la regola implicita per il traffico in uscita consente di inviare traffico a qualsiasi destinazione. Le connessioni ad altre istanze nella rete VPC sono consentite, in base alle regole di ingresso applicabili per queste altre istanze. La VM 1 è in grado di inviare traffico alla VM 4 perché la VM 4 ha una regola in entrata che consente il traffico in entrata da qualsiasi intervallo di indirizzi IP. Poiché VM 1 ha un indirizzo IP esterno, può inviare traffico a host esterni su internet. Le risposte in entrata al traffico inviato dalla VM 1 sono consentite perché le regole firewall sono stateful.

• Una regola di uscita con priorità 1000 è applicabile a VM 2. Questa regola nega tutto il traffico in uscita verso tutte le destinazioni IPv4 (0.0.0.0/0). Il traffico in uscita verso altre istanze nella rete VPC viene bloccato, indipendentemente dalle regole in entrata applicate alle altre istanze. Anche se VM 2 ha un indirizzo IP esterno, questa regola firewall blocca il traffico in uscita verso host esterni su internet.

• Una regola di uscita con priorità 1000 è applicabile a VM 3. Questa regola blocca il traffico TCP in uscita verso qualsiasi destinazione nell'intervallo IP 192.168.1.0/24. Anche se le regole in entrata per la VM 4 consentono tutto il traffico in entrata, la VM 3 non può inviare traffico TCP alla VM 4. Tuttavia, VM 3 è libera di inviare traffico UDP a VM 4 perché la regola di uscita si applica solo al protocollo TCP.

  Inoltre, VM 3 può inviare qualsiasi traffico ad altre istanze nella rete VPC al di fuori dell'intervallo IP 192.168.1.0/24, a condizione che queste altre istanze abbiano regole di ingresso per consentire tale traffico. Poiché non ha un indirizzo IP esterno, non ha un percorso per inviare traffico al di fuori della rete VPC.

Passaggi successivi

• Per creare e utilizzare le regole firewall, vedi Utilizzo delle regole firewall VPC.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud NGFW in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti senza addebiti per l'esecuzione, il test e il deployment dei workload.

Prova Cloud NGFW gratuitamente