Questa pagina mostra esempi di implementazioni di criteri firewall di rete globali e regionali. Si presume che tu abbia familiarità con i concetti descritti in Criteri firewall di rete globali e Criteri firewall di rete regionali.
Puoi associare un criterio firewall di rete globale e più criteri firewall di rete regionali a una rete Virtual Private Cloud (VPC). Un criterio firewall di rete globale si applica a tutte le subnet in tutte le regioni della rete VPC. Un criterio firewall di rete regionale si applica solo alle sottoreti della rete VPC nella regione di destinazione.
La Figura 1 descrive l'ambito di un criterio firewall di rete globale e di un criterio firewall di rete regionale in una rete VPC.
Esempio: nega tutte le connessioni esterne tranne quelle a porte specifiche
In questo caso d'uso, un criterio firewall di rete globale blocca tutte le connessioni da origini internet esterne, ad eccezione delle connessioni sulle porte di destinazione 80, 443 e 22. Una connessione a internet in entrata su porte diverse da 80,
443 o 22 è bloccata. L'applicazione delle regole è delegata al criterio firewall di rete regionale per tutte le connessioni sulle porte 80, 443 o 22.
In questo esempio, a region-a viene applicato un criterio di firewall di rete regionale che consente il traffico interno dall'origine 10.2.0.0/16 e il traffico in entrata alle porte 443 e 80 da qualsiasi origine. La Figura 2 descrive la configurazione per questo caso d'uso.
Norme vigenti applicate nelle VM
Questa sezione descrive il criterio firewall di rete efficace applicabile in questo esempio dopo aver valutato le regole nella gerarchia.
Connessioni in entrata
Eventuali connessioni in entrata da
10.0.0.0/8corrispondono alla regola della policy firewall di rete globaledelegate-internal-trafficcon la priorità più alta e ignorano il resto delle regole nel criterio firewall di rete globale. Nella regola del criterio firewall di rete regionale, le connessioni in entrata da10.2.0.0/16sono consentite e il resto delle connessioni viene valutato in base alla regola in entratadenyimplicita.Le connessioni in entrata con un intervallo IP di origine diverso da
10.0.0.0/8e le porte di destinazione22,80e443vengono delegate al livello della regola del criterio firewall della rete regionale. Nella regola del criterio firewall di rete regionale, le porte80e443sono consentite, ma non la porta22.
Connessione in uscita
- Non esiste una corrispondenza tra le regole dei criteri firewall di rete globali. Di conseguenza, si applicano le regole di sistema implicite, che consentono le connessioni in uscita.
Modalità di configurazione
Crea una policy del firewall di rete globale contenente la seguente regola:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Associa il criterio alla rete VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyAggiungi una regola per associare tutte le connessioni in entrata da
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyAggiungi una regola per delegare il traffico esterno da porte specifiche:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyAggiungi una regola per bloccare tutto il traffico in entrata rimanente:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyCrea una policy firewall di rete a livello di regione:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Associa il criterio di firewall di rete regionale a una rete VPC per attivare le regole del criterio per tutte le VM all'interno di quella rete in una regione specifica:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aAggiungi una regola per consentire il traffico interno per il criterio firewall di rete regionale:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aAggiungi una regola per consentire il traffico esterno da porte specifiche:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Passaggi successivi
Per creare e modificare le policy e le regole del firewall di rete globale, consulta Utilizzare le policy e le regole del firewall di rete globale.
Per creare e modificare criteri e regole firewall di rete regionali, consulta Utilizzare criteri e regole firewall di rete regionali.