Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di criteri e regole firewall gerarchici

Questa pagina presuppone che tu abbia familiarità con i concetti descritti in Criteri firewall gerarchici. Per vedere esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Limitazioni

Le regole dei criteri firewall gerarchici non supportano i tag di origine o gli account di servizio di origine.
Le regole dei criteri firewall gerarchici non supportano l'utilizzo di tag di rete per definire i target. Devi utilizzare una rete VPC target o un account di servizio target.
I criteri firewall possono essere applicati a livello di cartella e di organizzazione, ma non a livello di rete VPC. Le regole firewall VPC standard sono supportate per le reti VPC.
A una risorsa (cartella o organizzazione) può essere associato un solo criterio firewall, anche se le istanze di macchine virtuali (VM) in una cartella possono ereditare le regole dall'intera gerarchia di risorse sopra la VM.
Il logging delle regole firewall è supportato per le regole allow e deny, ma non per le regole goto_next.
Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

Attività relative ai criteri firewall

Nota: per controllare l'avanzamento delle operazioni elencate in questa sezione, assicurati che il tuo ruolo utente disponga delle seguenti autorizzazioni Ruolo Amministratore delle norme del firewall dell'organizzazione (roles/compute.orgFirewallPolicyAdmin) assegnate a livello di organizzazione:

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Crea una policy firewall

Puoi creare un criterio in qualsiasi risorsa (organizzazione o cartella) della gerarchia dell'organizzazione. Dopo aver creato un criterio, puoi associarlo a qualsiasi risorsa della tua organizzazione. Una volta associate, le regole del criterio diventano attive per le VM nella risorsa associata nella gerarchia.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.create

Ruoli

compute.orgFirewallPolicyAdmin nella risorsa in cui vuoi creare il criterio

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore di progetti, seleziona l'ID della tua organizzazione o una cartella all'interno dell'organizzazione.
Fai clic su Crea criterio firewall.
Assegna un nome al criterio.
Se vuoi creare regole per il criterio, fai clic su Continua > Aggiungi regola.

Per informazioni dettagliate, vedi Creare regole firewall.
Se vuoi associare il criterio a una risorsa, fai clic su Continua > Associa il criterio alle risorse.

Per maggiori dettagli, vedi Associare un criterio all'organizzazione o a una cartella.
Fai clic su Crea.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Sostituisci quanto segue:

ORG_ID: l'ID della tua organizzazione
Specifica questo ID se crei il criterio a livello di organizzazione. Questo ID indica solo dove risiede il criterio, ma non lo associa automaticamente alla risorsa dell'organizzazione.
FOLDER_ID: l'ID di una cartella
Specifica questo ID se stai creando il criterio in una determinata cartella. Questo ID indica solo dove risiede il criterio, ma non lo associa automaticamente alla cartella.
SHORT_NAME: un nome per il criterio
Un criterio creato utilizzando Google Cloud CLI ha due nomi: un nome generato dal sistema e un nome breve fornito da te. Quando utilizzi Google Cloud CLI per aggiornare un criterio esistente, puoi fornire il nome generato dal sistema o il nome breve e l'ID organizzazione. Quando utilizzi l'API per aggiornare il criterio, devi fornire il nome generato dal sistema.

Crea regole firewall

Le regole dei criteri firewall gerarchici devono essere create in un criterio firewall gerarchico. Le regole non sono attive finché non associ la norma contenente a una risorsa.

Ogni regola della policy firewall gerarchica può includere intervalli IPv4 o IPv6, ma non entrambi.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

compute.orgFirewallPolicyAdmin nella risorsa contenente il criterio o nel criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID organizzazione o la cartella contenente il criterio.
Fai clic sul nome del criterio.
Fai clic su Aggiungi regola.
Compila i campi della regola:
1. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi consiste nel assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad es. 100, 200, 300).
2. Imposta la raccolta Log su On o Off.
3. In Direzione del traffico, specifica se questa è una regola Ingress o Egress.
4. Per Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
  1. Consenti:consente le connessioni corrispondenti alla regola.
  2. Deny:nega le connessioni che corrispondono alla regola.
  3. Vai alla successiva:la valutazione della connessione viene passata alla successiva regola firewall di livello inferiore nella gerarchia.
  4. Procedi all'ispezione L7:invia i pacchetti all'endpoint firewall configurato per l'ispezione di livello 7.
    - Nell'elenco Gruppo di profili di sicurezza, seleziona il nome di un gruppo di profili di sicurezza.
    - Per attivare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS.
  Per scoprire di più su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, consulta Ordine di valutazione delle norme e delle regole.
5. (Facoltativo) Puoi limitare la regola a determinate reti specificandole nel campo Emittenti target. Fai clic su AGGIUNGI RETE e seleziona il Progetto e la Rete. Puoi aggiungere più emittenti target a una regola.
6. (Facoltativo) Puoi limitare la regola alle VM in esecuzione con accesso a determinati account di servizio specificando gli account nel campo Account di servizio di destinazione.
7. Per una regola in entrata, specifica il filtro Origine:
  - Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
  - Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6.
8. Per una regola in uscita, specifica il filtro Destinazione:
  - Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
  - Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi destinazione IPv6.
9. (Facoltativo) Se stai creando una regola In entrata, specifica i FQDN di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti nome di dominio, consulta Oggetti nome di dominio.
10. (Facoltativo) Se stai creando una regola Ingress, seleziona le località geografiche di origine a cui si applica questa regola. Se stai creando una regola in uscita, seleziona le geolocalizzazioni di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, consulta Oggetti di geolocalizzazione.
11. (Facoltativo) Se stai creando una regola Ingresso, seleziona i Gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola In uscita, seleziona i Gruppi di indirizzi di destinazione a cui si applica questa regola. Per ulteriori informazioni sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.
12. (Facoltativo) Se stai creando una regola Ingresso, seleziona gli elenchi di Google Cloud Threat Intelligence di origine a cui si applica questa regola. Se stai creando una regola In uscita, seleziona gli elenchi di destinazione Google Cloud Threat Intelligence a cui si applica questa regola. Per ulteriori informazioni su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.
13. (Facoltativo) Per una regola Ingresso, specifica i filtri Destinazione:
  - Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
  - Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per ulteriori informazioni, consulta Destinazione per le regole di ingresso.
14. (Facoltativo) Per una regola In uscita, specifica il filtro Origine:
  - Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
  - Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6. Per ulteriori informazioni, vedi Origine per le regole di uscita.
15. In Protocolli e porte, specifica che la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure a quali protocolli e porte di destinazione si applica.
  
  Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare IPv6 ICMP, utilizza il numero di protocollo 58. Per ulteriori informazioni sui protocolli, consulta Protocolli e porte.
16. Fai clic su Crea.
Fai clic su Aggiungi regola per aggiungere un'altra regola.
Fai clic su Continua > Associa criteri alle risorse per associare il criterio alle risorse oppure fai clic su Crea per creare il criterio.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Sostituisci quanto segue:

PRIORITY: l'ordine di valutazione numerico della regola

Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano l'inserimento successivo (ad es. 100, 200, 300).
ORG_ID: l'ID della tua organizzazione
POLICY_NAME: il nome breve o il nome generato dal sistema del criterio
DIRECTION: indica se la regola è INGRESS (valore predefinito) o EGRESS
- Includi --src-ip-ranges per specificare gli intervalli IP per la sorgente del traffico.
- Includi --dest-ip-ranges per specificare gli intervalli IP per la destinazione del traffico.
Per ulteriori informazioni, consulta target, origine e destinazione.
SRC_NETWORK_SCOPE: indica l'ambito del traffico di rete di origine a cui viene applicata la regola di ingresso. Puoi impostare questo argomento su uno dei seguenti valori:
- INTERNET
- NON_INTERNET
- VPC_NETWORKS
- INTRA_VPC
Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti gli ambiti di rete. Per saperne di più, vedi Informazioni sui tipi di ambito della rete.
SRC_VPC_NETWORK: un elenco separato da virgole di reti VPC

Puoi utilizzare --src-networks solo quando --src-network-scope è impostato su VPC_NETWORKS.
DEST_NETWORK_SCOPE: indica l'ambito del traffico di rete di destinazione a cui viene applicata la regola in uscita. Puoi impostare questo argomento su uno dei seguenti valori:
- INTERNET
- NON_INTERNET
Per cancellare il valore di questo argomento, utilizza una stringa vuota. Un valore vuoto indica tutti gli ambiti di rete.

Per saperne di più, vedi Informazioni sui tipi di ambito della rete.
IP_RANGES: un elenco separato da virgole di intervalli IP in formato CIDR, tutti gli intervalli IPv4 o tutti gli intervalli IPv6. Esempi:
--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE: un elenco separato da virgole di codici paese di due lettere
- Per la direzione di ingresso, specifica i codici paese di origine nel --src-region-code flag. Non puoi utilizzare il flag --src-region-code per la direzione di uscita o quando --src-network-scope è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
- Per la direzione di uscita, specifica i codici paese di destinazione nel --dest-region-code flag. Non puoi utilizzare il flag --dest-region-code per la direzione di ingresso o quando --dest-network-scope è impostato su NON_INTERNET.
LIST_NAMES: un elenco separato da virgole dei nomi degli elenchi di Google Threat Intelligence
- Per la direzione di ingresso, specifica gli elenchi di Google Threat Intelligence di origine nel flag --src-threat-intelligence. Non puoi utilizzare il --src-threat-intelligence per la direzione di uscita o quando --src-network-scope è impostato su NON_INTERNET, VPC_NETWORK o INTRA_VPC.
- Per la direzione in uscita, specifica gli elenchi di destinazione di Google Threat Intelligence nel flag --dest-threat-intelligence. Non puoi utilizzare il flag --dest-threat-intelligence per la direzione di ingresso o quando --dest-network-scope è impostato su NON_INTERNET.
ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi
- Per la direzione di ingresso, specifica i gruppi di indirizzi di origine nel --src-address-groups flag; non puoi utilizzare il --src-address-groups flag per la direzione di uscita
- Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-address-groups. Non puoi utilizzare il flag --dest-address-groups per la direzione in entrata.
DOMAIN_NAME: un elenco di nomi di dominio separati da virgola nel formato descritto in Formato del nome di dominio
- Per la direzione di ingresso, specifica i nomi di dominio di origine nel flag --src-fqdns. Non puoi utilizzare il flag --src-fqdns per la direzione di uscita.
- Per la direzione in uscita, specifica i gruppi di indirizzi di destinazione nel flag --dest-fqdns. Non puoi utilizzare il flag --dest-fqdns per la direzione in entrata.
ACTION: una delle seguenti azioni:
- allow: consente le connessioni che corrispondono alla regola
- deny: nega le connessioni che corrispondono alla regola
- apply_security_profile_group: invia in modo trasparente i pacchetti all'endpoint del firewall configurato per l'ispezione di livello 7
- goto_next: passa la valutazione della connessione al livello successivo della gerarchia, una cartella o la rete
Per scoprire di più su come vengono valutate le regole e le azioni corrispondenti per ogni interfaccia di rete della VM, consulta Ordine di valutazione di criteri e regole.
SECURITY_PROFILE_GROUP: il nome di un gruppo di profili di sicurezza utilizzato per l'ispezione a livello 7. Specifica questo argomento solo quando è selezionata l'azione apply_security_profile_group
--tls-inspect: ispeziona il traffico TLS utilizzando il criterio di ispezione TLS quando l'azione apply_security_profile_group è selezionata nella regola. Per impostazione predefinita, l'ispezione TLS è disattivata oppure puoi specificare --no-tls-inspect
PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocolli (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli e intervalli di porte di destinazione (tcp:5000-6000)

Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non puoi specificare una porta o un intervallo di porte, ad esempio: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare IPv6 ICMP, utilizza il numero di protocollo 58. Per ulteriori informazioni, consulta Protocolli e porte.
NETWORKS: un elenco separato da virgole di URL delle risorse di rete VPC nel formatohttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, dove PROJECT_ID è l'ID progetto del progetto che contiene la rete VPC e NETWORK_NAME è il nome della rete. Se omesso, la regola si applica a tutte le reti VPC della risorsa.

Per ulteriori informazioni, consulta Destinatari per le regole dei criteri firewall gerarchici.
SERVICE_ACCOUNTS: un elenco di account di servizio separati da virgola. La regola viene applicata solo alle VM in esecuzione con accesso all'account di servizio specificato

Per ulteriori informazioni, consulta Destinatari per le regole dei criteri firewall gerarchici.
--enable-logging e --no-enable-logging: attiva o disattiva il logging delle regole firewall per la regola specificata
--disabled: indica che la regola firewall, sebbene esista, non deve essere considerata durante l'elaborazione delle connessioni. Se ometti questo flag, la regola viene attivata oppure puoi specificare --no-disabled

Associare un criterio all'organizzazione o alla cartella

Associa un criterio a una risorsa per attivare le regole del criterio per tutte le VM sotto la risorsa nella gerarchia.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.organizations.setFirewallPolicy nella risorsa target
compute.firewallPolicies.addAssociation nel criterio firewall

Ruoli

compute.orgSecurityResourceAdmin nella risorsa di destinazione e compute.orgFirewallPolicyUser nella risorsa del criterio o nel criterio stesso

compute.orgSecurityResourceAdmin nella risorsa di destinazione e compute.orgFirewallPolicyAdmin nella risorsa del criterio o nel criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Fai clic sulla scheda Associazioni.
Fai clic su Aggiungi associazione.
Seleziona la cartella principale dell'organizzazione o cartelle al suo interno.
Fai clic su Aggiungi.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Sostituisci quanto segue:

POLICY_NAME: il nome breve o il nome generato dal sistema del criterio
ORG_ID: l'ID della tua organizzazione
FOLDER_ID: se associ il criterio a una cartella, specificalo qui; omettilo se associ il criterio al livello dell'organizzazione
ASSOCIATION_NAME: un nome facoltativo per l'associazione. Se non specificato, il nome viene impostato su "organizzazione ORG_ID" o "cartella FOLDER_ID"
--replace-association-on-target
Per impostazione predefinita, se tenti di inserire un'associazione a un'organizzazione o a una cartella che ha già un'associazione, il metodo non va a buon fine. Se specifichi questo flag, l'associazione esistente viene eliminata contemporaneamente alla creazione della nuova associazione. In questo modo, la risorsa non rimane senza criteri durante la transizione.

Spostare un criterio da una risorsa all'altra

Lo spostamento di un criterio modifica la risorsa che lo possiede. Per spostare un criterio, devi disporre delle autorizzazioni move sia per le risorse precedenti che per quelle nuove.

Lo spostamento di un criterio non influisce sulle associazioni di criteri esistenti o sulla valutazione delle regole esistenti, ma potrebbe influire su chi ha le autorizzazioni per modificare o associare il criterio dopo lo spostamento.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.move

Ruoli

compute.orgFirewallPolicyAdmin sulla nuova risorsa e sulla risorsa precedente o sul criterio stesso

Console

Utilizza Google Cloud CLI per questa procedura.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Sostituisci quanto segue:

POLICY_NAME: il nome breve o il nome generato dal sistema del criterio da spostare
ORG_ID: l'ID della tua organizzazione. Se sposti il criterio all'organizzazione, specifica questo ID, ma non specificare una cartella
FOLDER_ID: se associ il criterio a una cartella, specificalo qui; omettilo se associ il criterio all' organizzazione

Aggiornare la descrizione di un criterio

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

compute.orgFirewallPolicyAdmin nella risorsa in cui si trova il criterio o nel criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Fai clic su Modifica.
Modifica la descrizione.
Fai clic su Salva.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Elenco dei criteri

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.list

Ruoli

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.

Per un'organizzazione, la sezione Criteri firewall associati a questa organizzazione mostra i criteri associati. La sezione Criteri firewall situati in questa organizzazione elenca i criteri di proprietà dell'organizzazione.

Per una cartella, la sezione Criteri firewall associati a questa cartella o ereditati da questa cartella mostra i criteri associati o ereditati dalla cartella. La sezione Criteri firewall situati in questa cartella elenca i criteri di proprietà della cartella.

Nota: i criteri di proprietà di una risorsa (organizzazione o cartella) potrebbero non essere associati a quella risorsa, ma essere disponibili per essere associati a quella o ad altre risorse.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descrivere una norma

Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Inoltre, puoi vedere molti attributi presenti in tutte le regole del criterio. Questi attributi vengono conteggiati ai fini di un limite per norma.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.get

Ruoli

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser sulla risorsa o sul criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminare una norma

Devi eliminare tutte le associazioni di un criterio firewall dell'organizzazione prima di poterlo eliminare.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.delete

Ruoli

compute.orgFirewallPolicyAdmin sulla risorsa o sul criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio che vuoi eliminare.
Fai clic sulla scheda Associazioni.
Seleziona tutte le associazioni.
Fai clic su Rimuovi associazioni.
Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

Elenca tutte le risorse associate a un criterio firewall:

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminare singole associazioni. Per rimuovere l'associazione, devi disporre del ruolo compute.orgSecurityResourceAdmin nella risorsa associata o nell'antenato di quella risorsa.
```
gcloud compute firewall-policies associations delete RESOURCE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME
```

Elimina il criterio:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Elenco delle associazioni per una risorsa

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.organizations.listAssociations

Ruoli

compute.orgSecurityResourceAdmin

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Per la risorsa selezionata (organizzazione o cartella), viene visualizzato un elenco di criteri associati e ereditati.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Elencare le associazioni per un criterio

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.organizations.listAssociations

Ruoli

compute.orgSecurityResourceAdmin nella risorsa o nel criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Fai clic sulla scheda Associazioni.
Le associazioni sono elencate nella tabella.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall all'organizzazione o a una cartella, elimina l'associazione.

Tuttavia, se intendi sostituire un criterio firewall con un altro, non è necessario eliminare prima l'associazione esistente. In questo modo, verrebbe lasciato un periodo di tempo in cui nessuna delle due norme viene applicata. Sostituisci invece il criterio esistente quando associ un nuovo criterio.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.organizations.setFirewallPolicy nella risorsa target
compute.firewallPolicies.addAssociation nel criterio firewall

Ruoli

compute.orgSecurityResourceAdmin nella risorsa di destinazione e compute.orgFirewallPolicyUser nella risorsa del criterio o nel criterio stesso

compute.orgSecurityResourceAdmin nella risorsa di destinazione e compute.orgFirewallPolicyAdmin nella risorsa del criterio o nel criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Fai clic sulla scheda Associazioni.
Seleziona l'associazione che vuoi eliminare.
Fai clic su Rimuovi associazioni.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Attività relative alle regole del criterio firewall

Creare una regola in una policy firewall esistente

Consulta Creare regole firewall.

Elenco di tutte le regole in un criterio

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.get

Ruoli

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser sulla risorsa o sul criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio. Le regole sono elencate nella scheda Regole firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Descrivere una regola

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.get

Ruoli

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Fai clic sulla priorità della regola.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Sostituisci quanto segue:

PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
ORG_ID: l'ID della tua organizzazione
POLICY_NAME: il nome breve o generato dal sistema del precedente che contiene la regola

Aggiornare una regola

Per le descrizioni dei campi, consulta Creare regole firewall.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

compute.orgFirewallPolicyAdmin

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Fai clic sulla priorità della regola.
Fai clic su Modifica.
Modifica i campi che vuoi modificare.
Fai clic su Salva.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonare le regole da un criterio all'altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con quelle del criterio di origine.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.copyRule

Ruoli

compute.orgFirewallPolicyAdmin sulla risorsa o sui criteri stessi

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio da cui vuoi copiare le regole.
Fai clic su Clona nella parte superiore dello schermo.
Specifica il nome di una norma di destinazione.
Fai clic su Continua > Associa norma alle risorse se vuoi associare immediatamente la nuova norma.
Fai clic su Clona.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Sostituisci quanto segue:

POLICY_NAME: il criterio per ricevere le regole copiate
ORG_ID: l'ID della tua organizzazione
SOURCE_POLICY: il criterio da cui copiare le regole; deve essere l'URL della risorsa

Eliminare una regola da un criterio

L'eliminazione di una regola da un criterio comporta la rimozione della regola da tutte le VM che la ereditano.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewallPolicies.update

Ruoli

compute.orgFirewallPolicyAdmin sulla risorsa che ospita il criterio o sul criterio stesso

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
Nel menu a discesa del selettore dei progetti, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul criterio.
Seleziona la regola che vuoi eliminare.
Fai clic su Elimina.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Sostituisci quanto segue:

PRIORITY: la priorità della regola che vuoi eliminare dal criterio
ORG_ID: l'ID della tua organizzazione
POLICY_NAME: il criterio contenente la regola

Ottenere regole firewall efficaci per una rete

Mostra tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali applicate a una rete VPC specificata.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.networks.getEffectiveFirewalls sulla rete

Ruoli

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

Nella console Google Cloud, vai alla pagina Reti VPC.

Vai a Reti VPC
Fai clic sulla rete per cui vuoi visualizzare le regole del criterio firewall.
Fai clic su Criteri firewall.
Espandi ogni criterio firewall per visualizzare le regole che si applicano a questa rete.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci quanto segue:

NETWORK_NAME: la rete per cui ottenere regole efficaci

Puoi anche visualizzare le regole firewall efficaci per una rete dalla pagina Firewall.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.organizations.listAssociations sulla rete
(Facoltativo) resourcemanager.folders.get e resourcemanager.organizations.get per visualizzare le informazioni nelle colonne Ereditato da e Indirizzo

Ruoli

Per visualizzare le regole del firewall:

compute.orgSecurityResourceAdmin
compute.viewer

(Facoltativo) Per visualizzare le informazioni nelle colonne Ereditato da e Posizione:

browser
resourcemanager.organizationAdmin

Console

Nella console Google Cloud, vai alla pagina Criteri firewall.

Vai a Policy del firewall
I criteri firewall sono elencati nella sezione Criteri firewall ereditati da questo progetto.
Fai clic su ogni criterio del firewall per visualizzare le regole che si applicano a questa rete.

Ottenere regole firewall efficaci per un'interfaccia VM

Mostra tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali applicati a un'interfaccia VM Compute Engine specificata.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.instances.getEffectiveFirewalls sulla rete

Ruoli

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

Nella console Google Cloud, vai alla pagina Istanze VM.

Vai a Istanze VM
Nel menu a discesa del selettore dei progetti, seleziona il progetto contenente la VM.
Fai clic sulla VM.
In Interfacce di rete, fai clic sull'interfaccia.
Le regole firewall valide vengono visualizzate in Dettagli firewall e route.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Sostituisci quanto segue:

INSTANCE_NAME: la VM per cui recuperare le regole effettive. Se non viene specificata alcuna interfaccia, vengono restituite le regole per l'interfaccia principale (nic0).
INTERFACE: l'interfaccia della VM per cui ottenere le regole efficaci. Il valore predefinito è nic0
ZONE: la zona della VM; facoltativo se la zona scelta è già impostata come predefinita

Risoluzione dei problemi

Questa sezione contiene spiegazioni dei messaggi di errore che potresti riscontrare.

FirewallPolicy may not specify a name. One will be provided.

Non puoi specificare un nome per il criterio. I "nomi" dei criteri firewall gerarchici sono ID numerici generati da Google Cloud al momento della creazione del criterio. Tuttavia, puoi specificare un nome breve più facile da ricordare che funge da alias in molti contesti.
FirewallPolicy may not specify associations on creation.

Le associazioni possono essere create solo dopo la creazione dei criteri firewall gerarchici.
Can not move firewall policy to a different organization.

I trasferimenti dei criteri firewall gerarchici devono rimanere all'interno della stessa organizzazione.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Se una risorsa è già collegata a un criterio di firewall gerarchico, l'operazione di collegamento non va a buon fine, a meno che l'opzione di sostituzione delle associazioni esistenti non sia impostata su true.
Cannot have rules with the same priorities.

Le priorità delle regole devono essere univoche all'interno di un criterio firewall gerarchico.
Direction must be specified on firewall policy rule.

Quando crei regole di criteri firewall gerarchici inviando direttamente richieste REST, devi specificare la direzione della regola. Quando utilizzi Google Cloud CLI e non viene specificata alcuna direzione, il valore predefinito è INGRESS.
Can not specify enable_logging on a goto_next rule.

Il logging firewall non è consentito per le regole con l'azione goto_next perché le azioni goto_next vengono utilizzate per rappresentare l'ordine di valutazione di diversi criteri firewall e non sono azioni finali, ad esempio ALLOW o DENY.
Must specify at least one destination on Firewall policy rule.

Il flag layer4Configs nella regola del criterio del firewall deve specificare almeno un protocollo o un protocollo e una porta di destinazione.

Per ulteriori dettagli sulla risoluzione dei problemi relativi alle regole dei criteri firewall, consulta Risoluzione dei problemi relativi alle regole firewall VPC.