Le policy firewall di rete globali consentono di aggiornare in batch tutte le regole firewall raggruppandole in un unico oggetto policy. Puoi assegnare policy firewall di rete a una rete Virtual Private Cloud (VPC). Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni.
Specifiche
- I criteri firewall di rete globali sono risorse contenitore per le regole firewall.
Ogni risorsa di policy firewall di rete globale è definita all'interno di un progetto.
- Dopo aver creato una policy del firewall di rete globale, puoi aggiungere, aggiornare ed eliminare le regole firewall nella policy.
- Per informazioni sulle specifiche delle regole nelle policy del firewall di rete globali, consulta Regole delle policy firewall.
- Per applicare le regole della policy firewall di rete globale a una rete VPC, devi associare la policy firewall a quella rete VPC.
- Puoi associare un criterio firewall di rete globale a più reti VPC. Assicurati che la policy firewall e le reti associate appartengano allo stesso progetto.
- Ogni rete VPC può essere associata a un solo criterio firewall di rete globale.
- Se il criterio firewall non è associato ad alcuna rete VPC, le regole in questo criterio non hanno effetto. Un criterio firewall non associato ad alcuna rete è un criterio firewall di rete globale non associato.
- Quando una policy firewall di rete globale è associata a una o più reti VPC, le regole della policy firewall vengono applicate nei seguenti modi:
- Le regole esistenti vengono applicate alle risorse applicabili nelle reti VPC associate.
- Qualsiasi modifica apportata alle regole viene applicata alle risorse pertinenti nelle reti VPC associate.
- Le regole nelle policy firewall di rete globali vengono applicate insieme ad altre regole firewall come descritto in Ordine di valutazione di policy e regole.
Le regole delle policy globali del firewall di rete vengono utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio durante l'utilizzo del servizio di rilevamento e prevenzione delle intrusioni.
Crea una regola di policy firewall con l'azione
apply_security_profile_groupe il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola dei criteri firewall viene inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7. Per scoprire come creare una regola della policy firewall, consulta Creare regole firewall di rete globali.
Dettagli della regola del criterio firewall di rete globale
Per ulteriori informazioni sui componenti e sui parametri delle regole in un criterio firewall di rete globale, vedi Regole dei criteri firewall.
La seguente tabella riepiloga le principali differenze tra le regole dei criteri firewall di rete globali e le regole firewall VPC:
| Regole dei criteri firewall di rete globali | Regole firewall VPC | |
|---|---|---|
| Numero di priorità | Deve essere univoco all'interno di un criterio | Priorità duplicate consentite |
| Service account come target | Sì | Sì |
| Service account come origini (solo regole in entrata) |
No | Sì |
| Tipo di tag | Tag protetto | Tag di rete |
| Nome e descrizione | Nome della norma, norma e descrizione della regola | Nome e descrizione della regola |
| Aggiornamento batch | Sì, per le funzioni di clonazione, modifica e sostituzione delle policy | No |
| Riutilizza | Sì | No |
| Quota | Conteggio degli attributi: in base alla complessità totale di ogni regola nel criterio | Conteggio regole: le regole firewall complesse e semplici hanno lo stesso impatto sulla quota |
Regole predefinite
Quando crei una policy del firewall di rete globale, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa alla policy. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita in modo esplicito nel criterio, facendo sì che queste connessioni vengano trasmesse a criteri o regole di rete di livello inferiore.
Per scoprire i vari tipi di regole predefinite e le loro caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative ai criteri firewall di rete globali:
- Creazione di una policy del firewall di rete globale
- Associazione di un criterio a una rete
- Modifica di una policy esistente
- Visualizzare le regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni azione:
| Azione | Ruolo necessario |
|---|---|
| Crea una nuova policy del firewall di rete globale | Ruolo compute.securityAdmin sul progetto a cui appartiene il criterio |
| Associa un criterio a una rete | Ruolo compute.networkAdmin nel progetto in cui risiederà il criterio |
| Modifica la policy aggiungendo, aggiornando o eliminando le regole firewall della policy | Ruolo compute.securityAdmin nel progetto in cui verrà archiviata la norma |
| Elimina la policy | Ruolo compute.networkAdmin nel progetto in cui risiederà il criterio |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I seguenti ruoli sono pertinenti per le policy firewall di rete globali.
| Nome ruolo | Descrizione |
|---|---|
| compute.securityAdmin | Possono essere concessi a livello di progetto o di policy. Se concessa per un progetto, consente agli utenti di creare, aggiornare ed eliminare le policy del firewall di rete globali e le relative regole. A livello di policy, consente agli utenti di aggiornare le regole dei criteri, ma non di creare o eliminare i criteri. Questo ruolo consente inoltre agli utenti di associare un criterio a una rete. |
| compute.networkAdmin | Concessi a livello di progetto o di rete. Se concesso per una rete, consente agli utenti di visualizzare l'elenco dei criteri firewall di rete globali. |
|
compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls
per le reti e l'autorizzazione compute.instances.getEffectiveFirewalls per le istanze. |