Quando crei una regola del criterio del firewall, specifichi un insieme di componenti che definiscono il funzionamento della regola. Questi componenti specificano la direzione, l'origine, la destinazione e le caratteristiche del livello 4 del traffico, come il protocollo e la porta di destinazione (se il protocollo utilizza porte).
Ogni regola del criterio firewall si applica alle connessioni in entrata (ingress) o in uscita (egress), non a entrambe.
Regole in entrata
La direzione di ingresso si riferisce alle connessioni in entrata inviate da origini specifiche ai target Google Cloud. Le regole di ingresso si applicano ai pacchetti in entrata, dove la destinazione dei pacchetti è la destinazione.
Una regola di ingresso con un'azione deny
protegge tutte le istanze bloccando le connessioni in arrivo. Una regola con priorità più alta potrebbe consentire l'accesso in entrata. Una rete predefinita creata automaticamente include alcune regole firewall VPC predefinite che consentono l'ingresso per determinati tipi di traffico.
Regole in uscita
La direzione di uscita si riferisce al traffico in uscita inviato da un target a una destinazione. Le regole in uscita si applicano ai pacchetti per le nuove connessioni in cui la destinazione del pacchetto è la destinazione.
Una regola di uscita con un'azione allow
consente a un'istanza di inviare traffico alle destinazioni specificate nella regola. Il traffico in uscita può essere negato da regole firewalldeny
con priorità più elevata. Google Cloud blocca o limita anche determinati tipi di traffico.
Componenti delle regole del criterio firewall
Le regole dei criteri firewall gerarchici, dei criteri firewall di rete globali e dei criteri firewall di rete regionali utilizzano i componenti descritti in questa sezione. Il termine criterio firewall si riferisce a uno di questi tre tipi di criteri. Per ulteriori informazioni sui tipi di criteri firewall, consulta Criteri firewall.
In genere, le regole dei criteri firewall funzionano come le regole firewall VPC, ma ci sono alcune differenze, come descritto nelle sezioni seguenti.
Priorità
La priorità di una regola in un criterio firewall è un numero intero compreso tra 0 e 2.147.483.647, inclusi. Gli interi più bassi indicano priorità più elevate. La priorità di una regola in un criterio firewall è simile alla priorità di una regola firewall VPC, con le seguenti differenze:
- Ogni regola in un criterio firewall deve avere una priorità univoca.
- La priorità di una regola in un criterio firewall funge da identificatore unico della regola. Le regole nei criteri firewall non utilizzano nomi per l'identificazione.
- La priorità di una regola in un criterio firewall definisce l'ordine di valutazione all'interno del criterio firewall stesso. Le regole firewall VPC e le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali vengono valutate come descritto nell'ordine di valutazione dei criteri e delle regole.
Azione in caso di corrispondenza
Una regola in un criterio firewall può avere una delle seguenti azioni:
allow
consente il traffico e interrompe l'ulteriore valutazione delle regole.deny
non consente il traffico e interrompe l'ulteriore valutazione delle regole.
apply_security_profile_group
intercetta in modo trasparente il traffico e lo invia all'endpoint firewall configurato per l'ispezione di livello 7.
goto_next
continua la procedura di valutazione delle regole.
Applicazione
Puoi scegliere se una regola del criterio del firewall deve essere applicata impostando il relativo stato su attivo o disattivato. Imposti lo stato di applicazione quando crei o aggiorni una regola.
Se non imposti uno stato di applicazione quando crei una nuova regola firewall, la regola firewall viene attivata automaticamente.
Protocolli e porte
Come per le regole firewall VPC, devi specificare uno o più vincoli per protocolli e porte quando crei una regola. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione o il protocollo e un intervallo di porte di destinazione. Non puoi specificare solo una porta o un intervallo di porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate su porte di origine non sono supportate.
Nelle regole del firewall puoi utilizzare i seguenti nomi di protocollo: tcp
, udp
, icmp
(per ICMP IPv4), esp
, ah
, sctp
e ipip
. Per tutti gli altri protocolli, utilizza
i numeri di protocollo IANA.
Molti protocolli utilizzano lo stesso nome e numero sia in IPv4 che in IPv6, ma alcuni
protocolli, come ICMP, non lo fanno. Per specificare ICMP IPv4, utilizza icmp
o il numero di protocollo 1
. Per ICMP IPv6, utilizza il numero di protocollo 58
.
Le regole del firewall non supportano la specifica di tipi e codici ICMP, ma solo del protocollo.
Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.
Se non specifichi i parametri di protocollo e porta, la regola si applica a tutti i protocolli e le porte di destinazione.
Logging
Il logging per le regole dei criteri firewall funziona come per la registrazione delle regole firewall della VPC, ad eccezione di quanto segue:
Il campo di riferimento include l'ID del criterio del firewall e un numero che indica il livello della risorsa a cui è associato il criterio. Ad esempio,
0
indica che il criterio viene applicato a un'organizzazione e1
indica che il criterio viene applicato a una cartella di primo livello all'interno dell'organizzazione.I log per le regole del criterio firewall includono un campo
target_resource
che identifica le reti VPC a cui si applica la regola.
- Il logging può essere attivato solo per le regole
allow
,deny
eapply_security_profile_group
; non può essere attivato per le regolegoto_next
.
Target, origine, destinazione
I parametri target identificano le interfacce di rete delle istanze a cui si applica una regola firewall.
Puoi specificare sia i parametri di origine sia i parametri di destinazione da applicare alle origini o alle destinazioni dei pacchetti sia per le regole del firewall in entrata che per quelle in uscita. La direzione della regola del firewall determina i valori possibili per i parametri di origine e di destinazione.
I parametri target, source e destination funzionano insieme.
Destinazioni
Il parametro target identifica le interfacce di rete delle istanze Compute Engine, inclusi i nodi GKE e le istanze dell'ambiente flessibile App Engine.
Puoi definire target sia per le regole in entrata che per quelle in uscita. Le opzioni di destinazione valide dipendono dal tipo di criterio firewall.
Destinatari per le regole della policy firewall gerarchica
Le regole della policy firewall gerarchica supportano i seguenti target:
Target più ampio predefinito: se ometti la specifica del target in una regola del criterio firewall gerarchico, la regola del firewall si applica a tutte le istanze in tutte le reti VPC di tutti i progetti nel nodo Resource Manager (cartella o organizzazione) associato al criterio firewall. Si tratta dell'insieme più ampio di target.
Reti specifiche: se specifichi una o più reti VPC utilizzando il parametro
target-resources
, l'insieme più ampio di target viene limitato alle VM con un'interfaccia di rete in almeno una delle reti VPC specificate.Istanze identificate dall'account di servizio: se specifichi uno o più account di servizio utilizzando il parametro
target-service-accounts
, l'insieme più ampio di target viene limitato alle VM che utilizzano uno degli account di servizio specificati.Reti e istanze specifiche identificate dall'account di servizio: se specifichi sia il parametro
target-resources
sia il parametrotarget-service-accounts
, l'insieme più ampio di target viene limitato alle VM che soddisfano entrambi i seguenti criteri:- Le VM hanno un'interfaccia di rete in una delle reti VPC specificate.
- Le VM utilizzano uno dei service account specificati.
Destinatari per le regole dei criteri firewall di rete globali
Le regole dei criteri firewall di rete globali supportano i seguenti target:
Destinazione predefinita: tutte le istanze nella rete VPC: quando ometti la specifica del target in una regola del criterio firewall di rete globale, la regola firewall si applica alle istanze che hanno un'interfaccia di rete nella rete VPC associata al criterio. Le istanze possono trovarsi in qualsiasi regione. Si tratta dell'insieme più ampio di target.
Istanze per tag di sicurezza target: se specifichi i tag target con il parametro
target-secure-tags
, l'insieme più ampio di target viene limitato in modo da includere solo le VM associate ai tag.Istanze per account di servizio di destinazione: se specifichi gli account di servizio con il parametro
target-service-accounts
, l'insieme più ampio di destinazioni viene ridotto in modo da includere solo le VM che utilizzano uno degli account di servizio specificati.
Destinatari per le regole del criterio firewall di rete a livello di regione
Le regole dei criteri firewall di rete a livello di regione supportano i seguenti target:
Destinazione predefinita: tutte le istanze nella regione e nella rete VPC: se ometti la specifica del target in una regola del criterio firewall di rete regionale, la regola del firewall si applica alle istanze che hanno un'interfaccia di rete nella rete VPC associata al criterio. Le istanze devono trovarsi nella stessa regione del criterio. Si tratta dell'insieme più ampio di target.
Istanze per tag di sicurezza target: se specifichi i tag target con il parametro
target-secure-tags
, l'insieme più ampio di target viene limitato in modo da includere solo le VM associate ai tag.Istanze per account di servizio di destinazione: se specifichi gli account di servizio con il parametro
target-service-accounts
, l'insieme più ampio di destinazioni viene ridotto in modo da includere solo le VM che utilizzano uno degli account di servizio specificati.
Destinazioni e indirizzi IP per le regole in entrata
I pacchetti instradati all'interfaccia di rete di una VM di destinazione vengono elaborati in base alle seguenti condizioni:
Se la regola del firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti esplicitamente.
Se la regola del firewall di ingresso non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP:
L'indirizzo IPv4 interno principale assegnato alla NIC dell'istanza.
Eventuali intervalli di indirizzi IP alias configurati sulla NIC dell'istanza.
L'indirizzo IPv4 esterno associato alla NIC dell'istanza.
Se IPv6 è configurato sulla subnet, uno degli indirizzi IPv6 assegnati alla NIC.
Un indirizzo IP interno o esterno associato a una regola di forwarding impiegata per il bilanciamento del carico passthrough, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.
Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per l'inoltro del protocollo, in cui l'istanza è richiamata da un'istanza di destinazione.
Un indirizzo IP compreso nell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza (
next-hop-instance
onext-hop-address
) come VM hop successivo.Un indirizzo IP compreso nell'intervallo di destinazione di una route statica personalizzata che utilizza un bilanciatore del carico di rete passthrough interno (
next-hop-ilb
) come hop successivo se la VM è un backend per quel bilanciatore del carico.
Destinazioni e indirizzi IP per le regole in uscita
L'elaborazione dei pacchetti emessi dall'interfaccia di rete di un target dipende dalla configurazione dell'inoltro IP sulla VM di destinazione. L'inoltro IP è disattivato per impostazione predefinita.
Quando l'IP forwarding è disabilitato nella VM di destinazione, la VM può emettere pacchetti con le seguenti origini:
L'indirizzo IPv4 interno principale della scheda NIC di un'istanza.
Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC di un'istanza.
Se IPv6 è configurato sulla subnet, uno degli indirizzi IPv6 assegnati alla NIC.
Un indirizzo IP interno o esterno associato a una regola di forwarding per il bilanciamento del carico passthrough o l'inoltro del protocollo. Questo vale se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o se è riferito da un'istanza di destinazione.
Se la regola del firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono comunque limitate agli indirizzi IP di origine menzionati in precedenza, ma il parametro source può essere utilizzato per perfezionare questo insieme. L'utilizzo di un parametro di origine senza attivare il forwarding IP non espande l'insieme di possibili indirizzi di origine dei pacchetti.
Se la regola del firewall in uscita non include un intervallo di indirizzi IP di origine, tutti gli indirizzi IP di origine menzionati in precedenza sono consentiti.
Quando il forwarding IP è abilitato nella VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per definire con maggiore precisione l'insieme di origini dei pacchetti consentite.
Fonti
I valori dei parametri di origine dipendono da quanto segue:
- Il tipo di criterio firewall che contiene la regola firewall
- La direzione della regola firewall
Origini delle regole in entrata
La tabella seguente elenca i parametri di origine che possono essere utilizzati singolarmente o in combinazione tra loro in una singola regola del criterio del firewall in entrata. Cloud NGFW richiede di specificare almeno un parametro di origine.
Parametro di origine della regola in entrata | Supporto nei criteri firewall gerarchici | Supporto nei criteri firewall di rete globali e regionali |
---|---|---|
Intervalli di indirizzi IP di origine
Un semplice elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è memorizzato all'interno della stessa regola del criterio firewall. |
||
Gruppi di indirizzi di origine
Collezioni riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola del firewall fa riferimento alla raccolta. Per ulteriori informazioni, consulta Gruppi di indirizzi per i criteri del firewall. |
||
Nomi di dominio di origine
Un elenco di uno o più nomi di dominio di origine. Per ulteriori informazioni, inclusa la modalità di conversione dei nomi di dominio in indirizzi IP, consulta Oggetti FQDN. |
||
Tag di origine protetti
Un elenco di uno o più tag di origine protetti. Per ulteriori informazioni, consulta In che modo i tag di sicurezza delle origini implicano le origini dei pacchetti. |
||
Localizzazioni geografiche delle sorgenti
Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione. |
||
Elenchi di origine di Google Threat Intelligence
Un elenco di uno o più nomi di elenchi di Google Threat Intelligence predefiniti. Per ulteriori informazioni, consulta Google Threat Intelligence per le regole dei criteri firewall. |
||
Ambito della rete di origine
Un vincolo che definisce un confine di sicurezza. Per ulteriori informazioni, consulta la sezione Ampiezze di rete. |
In una singola regola di ingresso, puoi utilizzare due o più parametri di origine per produrre una combinazione di origini. Cloud NGFW applica i seguenti vincoli alle combinazioni di origini di ogni regola di ingresso:
- Gli intervalli di indirizzi IP di origine devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
- Un gruppo di indirizzi di origine contenente CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine contenente CIDR IPv6.
- Un intervallo di indirizzi IP di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di origine che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv4.
- L'ambito della rete internet non può essere utilizzato con i tag sicuri di origine.
- L'ambito non internet, l'ambito delle reti VPC e l'ambito inter-VPC non possono essere utilizzati con gli elenchi di Google Threat Intelligence di origine o le geolocalizzazioni di origine.
Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di ingresso che utilizza una combinazione di origini:
Se la combinazione di origini non include un ambito di rete di origine, i pacchetti corrisponderanno alla regola di ingresso se corrispondono ad almeno un parametro di origine nella combinazione di origini.
Se la combinazione di origini include un ambito di rete di origine, i pacchetti corrisponderanno alla regola di ingresso se corrispondono all'ambito di rete di origine e almeno a uno degli altri parametri di origine nella combinazione di origini.
In che modo i tag di origine protetti implicano le origini dei pacchetti
Le regole di ingresso nei criteri firewall di rete globali e regionali possono specificare le origini utilizzando tag sicuri. Ogni tag sicuro è associato a una singola rete VPC e può essere associato a una VM solo se ha un'interfaccia di rete nella rete VPC a cui è associato.
I pacchetti inviati da un'interfaccia di rete di una VM corrispondono a una regola di ingresso che utilizza un'origine tag sicura quando le seguenti condizioni sono vere:
Se la regola di ingresso si trova in un criterio di rete regionale, la VM deve essere situata in una zona della regione del criterio firewall di rete. Se la regola di ingresso è in un criterio firewall di rete globale, la VM può trovarsi in qualsiasi zona.
L'interfaccia di rete della VM che invia i pacchetti soddisfa uno dei seguenti criteri:
- L'interfaccia di rete della VM si trova nella stessa rete VPC della rete VPC a cui si applica il criterio del firewall di rete globale o regionale.
- L'interfaccia di rete della VM si trova in una rete VPC collegata, tramite il peering di rete VPC, alla rete VPC a cui si applica il criterio del firewall di rete globale o regionale.
- La rete VPC utilizzata dall'interfaccia di rete della VM e la rete VPC a cui si applica il criterio firewall di rete globale o regionale sono entrambi spoke VPC nello stesso hub di Network Connectivity Center.
L'indirizzo IP di origine del pacchetto è uno dei seguenti:
- L'indirizzo IPv4 interno principale dell'interfaccia di rete.
- Qualsiasi indirizzo IPv6 (interno o esterno) assegnato all'interfaccia di rete.
Nessun altro indirizzo IP di origine del pacchetto viene risolto quando vengono utilizzati i tag di sicurezza di origine. Ad esempio, gli intervalli di indirizzi IP degli alias e gli indirizzi IPv4 esterni associati all'interfaccia di rete sono esclusi. Se devi creare regole firewall in entrata con origini che includono intervalli di indirizzi IP alias o indirizzi IPv4 esterni, utilizza un intervallo di indirizzi di origine o un gruppo di indirizzi di origine.
Origini per le regole in uscita
Puoi utilizzare le seguenti origini per le regole in uscita sia nei criteri firewall gerarchici sia nei criteri firewall di rete:
Valore predefinito: implicito per il target: se ometti il parametro source da una regola di Egress, le origini dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di Egress.
Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.
Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.
Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole di uscita:
- Se a un'interfaccia VM sono assegnati indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene utilizzato solo l'indirizzo IPv4 interno.
Se nella regola di uscita è presente un intervallo di indirizzi IP di origine e parametri di destinazione, i parametri di destinazione vengono risolti nella stessa versione IP della versione IP di origine.
Ad esempio, in una regola di uscita, hai un intervallo di indirizzi IPv4 nel parametro di origine e un oggetto FQDN nel parametro di destinazione. Se l'FQDN si risolve in indirizzi IPv4 e IPv6, durante l'applicazione delle regole viene utilizzato solo l'indirizzo IPv4 risolto.
Destinazioni
Le destinazioni possono essere specificate utilizzando intervalli di indirizzi IP, supportati sia dalle regole in entrata sia da quelle in uscita nei criteri firewall di rete e gerarchici. Il comportamento predefinito della destinazione dipende dalla direzione della regola.
Destinazioni per le regole in entrata
Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata sia nei criteri firewall gerarchici sia in quelli di rete:
Valore predefinito: implicito per il target: se ometti il parametro di destinazione da una regola di ingresso, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di ingresso.
Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 in formato CIDR.
Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 in formato CIDR.
Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole di ingresso:
Se a un'interfaccia VM sono assegnati indirizzi IPv4 interni ed esterni, durante la valutazione delle regole viene utilizzato solo l'indirizzo IPv4 interno.
Se in una regola di ingresso sono definiti sia i parametri di origine sia quelli di destinazione, i parametri di origine vengono risolti nella stessa versione IP della versione IP di destinazione. Per scoprire di più su come definire un'origine per le regole in entrata, consulta Origini per le regole in entrata nei criteri firewall gerarchici e Origini per le regole in entrata nei criteri firewall di rete.
Ad esempio, in una regola di ingresso, hai un intervallo di indirizzi IPv6 nel parametro destinazione e un codice paese di geolocalizzazione nel parametro di origine. Durante l'applicazione delle regole, viene utilizzato solo l'indirizzo IPv6 mappato per il codice paese di origine specificato.
Destinazioni per le regole in uscita
La tabella seguente elenca i parametri di destinazione che possono essere utilizzati singolarmente o in combinazione tra loro in una singola regola del criterio del firewall in uscita. Cloud NGFW richiede di specificare almeno un parametro di destinazione.
Parametro di destinazione della regola in uscita | Supporto nei criteri firewall gerarchici | Supporto nei criteri firewall di rete globali e regionali |
---|---|---|
Intervalli di indirizzi IP di destinazione
Un semplice elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è memorizzato all'interno della stessa regola del criterio firewall. |
||
Gruppi di indirizzi di destinazione
Collezioni riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola del criterio firewall fa riferimento alla raccolta. Per ulteriori informazioni, consulta Gruppi di indirizzi per i criteri del firewall. |
||
Nomi di dominio di destinazione
Un elenco di uno o più nomi di dominio di origine. Per ulteriori informazioni, inclusa la modalità di conversione dei nomi di dominio in indirizzi IP, consulta Oggetti FQDN. |
||
Geolocalizzazioni di destinazione
Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione. |
||
Elenchi di Google Threat Intelligence di destinazione
Un elenco di uno o più nomi di elenchi di Google Threat Intelligence predefiniti. Per ulteriori informazioni, consulta Google Threat Intelligence per le regole dei criteri firewall. |
||
Ambito della rete di destinazione
Un vincolo che definisce un confine di sicurezza. Per ulteriori informazioni, consulta la sezione Ampiezze di rete. |
In una singola regola di uscita, puoi utilizzare due o più parametri di destinazione per produrre una combinazione di destinazioni. Cloud NGFW applica i seguenti vincoli alle combinazioni di destinazioni di ogni regola di uscita:
- Gli intervalli di indirizzi IP di destinazione devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
- Un gruppo di indirizzi di destinazione che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di destinazione che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di destinazione che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv4.
- Gli elenchi di Google Threat Intelligence o le località geografiche di destinazione non possono essere utilizzati con l'ambito della rete di destinazione non internet.
Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di uscita che utilizza una combinazione di destinazioni:
Se la combinazione di destinazione non include un ambito di rete di destinazione, i pacchetti corrispondono alla regola di uscita se corrispondono ad almeno un parametro di destinazione nella combinazione di destinazione.
Se la combinazione di destinazione include un ambito di rete di destinazione, i pacchetti corrisponderanno alla regola di uscita se corrispondono all'ambito di rete di destinazione e almeno a uno degli altri parametri di destinazione nella combinazione di destinazione.
Ambiti di rete
Gli ambiti di rete ti aiutano a raggiungere i tuoi obiettivi di sicurezza utilizzando meno regole di criteri firewall in modo più efficiente. Cloud NGFW supporta quattro tipi di ambiti di rete che possono essere utilizzati per creare una combinazione di origine o una combinazione di destinazione in una regola di un criterio firewall gerarchico, di un criterio firewall di rete globale o di un criterio firewall di rete regionale.
Tipi di ambito della rete
La tabella seguente elenca i quattro tipi di ambiti di rete e indica se un tipo di ambito può essere utilizzato in una combinazione di origine di una regola di ingresso, in una combinazione di destinazione di una regola di uscita o in entrambe.
Tipo di ambito della rete | Origini delle regole in entrata | Destinazioni per le regole in uscita |
---|---|---|
Internet (INTERNET ) |
||
Non internet (NON_INTERNET ) |
||
Reti VPC (VPC_NETWORKS ) |
||
Interno al VPC (INTRA_VPC ) |
Gli ambiti internet e non internet sono mutuamente esclusivi. Le reti VPC e gli ambiti intra-VPC sono sottoinsiemi dell'ambito non internet.
Ambito di internet
L'ambito internet (INTERNET
) può essere utilizzato come parte di una combinazione di origini di una regola di ingresso o di una combinazione di destinazioni di una regola di uscita:
Per una regola in entrata, specifica l'origine ambito internet e almeno un altro parametro di origine, ad eccezione di un'origine tag sicura. I pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno uno degli altri parametri di origine e corrispondono al parametro di origine ambito internet.
Per una regola di uscita, specifica la destinazione dell'ambito di internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e corrispondono al parametro di destinazione ambito internet.
Il resto di questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene all'ambito di internet.
Ambito internet per i pacchetti in entrata
I pacchetti in entrata instradati a un'interfaccia di rete VM da un Maglev di Google sono considerati nell'ambito di internet. I pacchetti vengono indirizzati da Maglev a un'interfaccia di rete VM quando la destinazione del pacchetto corrisponde a uno dei seguenti elementi:
- Un indirizzo IPv4 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per l'inoltro di protocollo esterno.
- Un indirizzo IPv6 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per l'inoltro di protocollo esterno, e il pacchetto non è stato inoltrato utilizzando una route di subnet importata da un peering di rete VPC o da uno spoke VPC su un hub di Network Connectivity Center.
Per ulteriori informazioni sui pacchetti instradati da Maglev alle VM di backend per un bilanciatore del carico di rete passthrough esterno o per il forwarding del protocollo esterno, consulta Percorsi per bilanciatori del carico di rete passthrough esterni e forwarding del protocollo esterno.
Ambito internet per i pacchetti in uscita
I pacchetti in uscita inviati dalle interfacce di rete della VM e instradati utilizzando route statiche che utilizzano l'hop successivo del gateway internet predefinito sono considerati nell'ambito di internet. Tuttavia, se l'indirizzo IP di destinazione di questi pacchetti in uscita è destinato ad API e servizi Google, questi pacchetti vengono considerati nell'ambito non internet. Per ulteriori informazioni sulla connettività ai servizi e alle API di Google, consulta Ambito non internet.
Quando i pacchetti vengono instradati utilizzando una route statica che utilizza l'hop successivo del gateway internet predefinito, tutti i pacchetti inviati dalle interfacce di rete della VM alle seguenti destinazioni sono considerati nell'ambito di internet:
- Una destinazione dell'indirizzo IP esterno esterna alla rete di Google.
- Un indirizzo IPv4 esterno regionale di destinazione di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico esterno regionale o una regola di forwarding per l'inoltro del protocollo esterno.
- Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico esterno regionale o una regola di forwarding per l'inoltro del protocollo esterno.
- Un indirizzo IPv4 e IPv6 esterno globale di destinazione di una regola di forwarding di un bilanciatore del carico esterno globale.
I pacchetti inviati dalle interfacce di rete della VM a Cloud VPN e ai gateway Cloud NAT sono considerati nell'ambito di internet:
- I pacchetti in uscita inviati da un'interfaccia di rete di una VM che esegue software VPN all'indirizzo IPv4 esterno regionale di un gateway Cloud VPN sono considerati nell'ambito di internet.
- I pacchetti in uscita inviati da un gateway Cloud VPN a un altro gateway Cloud VPN non vengono presi in considerazione in nessun ambito di rete perché le regole del firewall si applicano solo alle VM.
- Per Public NAT, i pacchetti di risposta inviati da un'interfaccia di rete della VM all'indirizzo IPv4 esterno regionale di un gateway Cloud NAT vengono considerati nell'ambito di internet.
Se le reti VPC sono connesse utilizzando il peering di rete VPC o se le reti VPC partecipano come spoke VPC nello stesso hub Network Connectivity Center, le route di subnet IPv6 possono fornire connettività alle destinazioni degli indirizzi IPv6 esterni regionali delle interfacce di rete VM, alle regole di inoltro dei bilanciatori del carico esterni regionali e alle regole di inoltro dei protocolli esterni. Quando la connettività a queste destinazioni di indirizzi IPv6 esterni a livello regionale viene fornita utilizzando un percorso di subnet, le destinazioni rientrano invece nell'ambito non internet.
Ambito non internet
L'ambito non internet (NON-INTERNET
) può essere utilizzato come parte di una combinazione di origini di una regola di ingresso o come parte di una combinazione di destinazioni di una regola di uscita:
Per una regola in entrata, specifica l'origine dell'ambito non internet e almeno un altro parametro di origine, ad eccezione di un'origine dell'elenco di informazioni sulle minacce o di un'origine di geolocalizzazione. I pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno uno degli altri parametri di origine e corrispondono al parametro di origine ambito non internet.
Per una regola di uscita, specifica la destinazione dell'ambito non internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono almeno a uno degli altri parametri di destinazione e corrispondono al parametro di destinazione ambito non internet.
Il resto di questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene all'ambito non internet.
Ambito non internet per i pacchetti in entrata
I pacchetti in entrata instradati a un'interfaccia di rete VM utilizzando gli hop successivi all'interno di una rete VPC o da API e servizi Google vengono considerati nell'ambito non internet.
I pacchetti vengono instradati utilizzando gli hop successivi all'interno di una rete VPC o da API e servizi Google nei seguenti scenari:
La destinazione del pacchetto corrisponde a uno dei seguenti valori:
- Un indirizzo IPv4 o IPv6 interno regionale di un'interfaccia di rete VM, la regola di forwarding di un bilanciatore del carico di rete passthrough interno o la regola di forwarding per l'inoltro di protocolli interni.
- Un indirizzo IPv6 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per l'inoltro di protocolli esterni e il pacchetto è stato instradato utilizzando una route di subnet locale, una route di subnet di peering o una route di subnet di Network Connectivity Center.
- Qualsiasi indirizzo compreso nell'intervallo di destinazione di una route statica in cui la VM di destinazione è una VM di hop successivo o una VM di backend di un bilanciatore del carico di rete passthrough interno di hop successivo.
L'origine del pacchetto corrisponde a uno dei seguenti valori:
- Un indirizzo IP per i domini predefiniti utilizzati dall'API e dai servizi Google globali.
- Un indirizzo IP per
private.googleapis.com
orestricted.googleapis.com
. - Un indirizzo IP di un Google Front End (GFE) utilizzato da un bilanciatore del carico delle applicazioni esterno globale, da un bilanciatore del carico delle applicazioni classico, da un bilanciatore del carico di rete con proxy esterno globale o da un bilanciatore del carico di rete con proxy classico. Per ulteriori informazioni, consulta Percorsi tra front-end e backend di Google.
- Un indirizzo IP di un controllo di integrità. Per ulteriori informazioni, consulta Percorsi per i controlli di integrità.
- Un indirizzo IP utilizzato da Identity-Aware Proxy per l'inoltro TCP. Per ulteriori informazioni, consulta Percorsi per Identity-Aware Proxy (IAP).
- Un indirizzo IP utilizzato da Cloud DNS o Service Directory. Per ulteriori informazioni, consulta Percorsi per Cloud DNS e Service Directory.
- Un indirizzo IP utilizzato da accesso VPC serverless. Per saperne di più, consulta Percorsi per l'accesso VPC serverless.
- Un indirizzo IP di un endpoint Private Service Connect per le API di Google globali. Per ulteriori informazioni, consulta Percorsi per gli endpoint Private Service Connect per le API di Google globali.
Ambito non internet per i pacchetti in uscita
I pacchetti in uscita inviati dalle interfacce di rete della VM e instradati all'interno di una rete VPC o inviati ad API e servizi Google vengono considerati nell'ambito non internet.
I pacchetti vengono instradati utilizzando gli hop successivi all'interno di una rete VPC o alle API e ai servizi Google nei seguenti scenari:
- I pacchetti vengono instradati utilizzando le route di subnet, che includono le seguenti destinazioni:
- Un indirizzo IPv4 o IPv6 interno regionale di destinazione di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico interno o una regola di forwarding per l'inoltro di protocolli interni.
- Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, una regola di inoltro di un bilanciatore del carico esterno regionale o una regola di forwarding per l'inoltro del protocollo esterno.
- I pacchetti vengono instradati utilizzando route dinamiche.
- I pacchetti vengono indirizzati utilizzando route statiche che utilizzano un hop successivo diverso dal gateway internet predefinito.
- I pacchetti vengono indirizzati alle API e ai servizi Google globali a cui si accede utilizzando una route statica con un hop successivo del gateway internet predefinito. Le destinazioni di servizi e API Google globali includono gli indirizzi IP per i domini predefiniti e gli indirizzi IP per
private.googleapis.com
erestricted.googleapis.com
. - Destinazioni per i servizi Google a cui si accede utilizzando uno dei seguenti percorsi:
Ambito delle reti VPC
L'ambito Reti VPC (VPC_NETWORKS
) può essere utilizzato solo come parte di una combinazione di origini di una regola di ingresso. Non puoi utilizzare l'ambito delle reti VPC come parte di una combinazione di destinazione di una regola di uscita.
Per utilizzare l'ambito delle reti VPC all'interno di una combinazione di origini di una regola di ingresso:
Devi specificare un elenco di reti VPC di origine:
- L'elenco delle reti di origine deve contenere almeno una rete VPC. Puoi aggiungere un massimo di 250 reti VPC all'elenco di reti di origine.
- Una rete VPC deve esistere prima che tu possa aggiungerla all'elenco di reti di origine.
- Puoi aggiungere la rete utilizzando l'identificatore dell'URL completo o parziale.
- Le reti VPC aggiunte all'elenco delle reti di origine non devono essere collegate tra loro. Ogni rete VPC può essere collocata in qualsiasi progetto.
- Se una rete VPC viene eliminata dopo essere stata aggiunta all'elenco di reti di origine, il riferimento alla rete eliminata rimane nell'elenco. Cloud NGFW ignora le reti VPC eliminate quando applica una regola di ingresso. Se tutte le reti VPC nell'elenco di reti di origine vengono eliminate, le regole di ingresso che si basano sull'elenco non sono efficaci perché non corrispondono a nessun pacchetto.
Devi specificare almeno un altro parametro di origine, ad eccezione di un'origine dell'elenco di informazioni sulla minaccia o dell'origine della geolocalizzazione.
Un pacchetto corrisponde a una regola di ingresso che utilizza l'ambito delle reti VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:
Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.
Il pacchetto viene inviato da una risorsa situata in una delle reti VPC di origine.
La rete VPC di origine e la rete VPC a cui si applica il criterio firewall contenente la regola di ingresso sono la stessa rete VPC o sono connesse utilizzando il peering di rete VPC o come spoke VPC su un hub Network Connectivity Center.
Le seguenti risorse si trovano in una rete VPC:
- Interfacce di rete VM
- Tunnel Cloud VPN
- Collegamenti VLAN Cloud Interconnect
- Appliance router
- Proxy Envoy in una subnet solo proxy
- Endpoint di Private Service Connect
- Connettori di accesso VPC serverless
Ambito intra-VPC
L'ambito di rete intra-VPC (INTRA_VPC
) può essere utilizzato solo come parte di una combinazione di origini di una regola di ingresso. Non puoi utilizzare l'ambito intra-VPC come parte di una combinazione di destinazione di una regola di uscita.
Per utilizzare l'ambito intra-VPC all'interno di una combinazione di origini di una regola di ingresso, devi specificare almeno un altro parametro di origine, ad eccezione di un'origine dell'elenco di informazioni sulle minacce o dell'origine di geolocalizzazione.
Un pacchetto corrisponde a una regola di ingresso che utilizza l'ambito intra-VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:
Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.
Il pacchetto viene inviato da una risorsa situata nella rete VPC a cui si applica il criterio firewall contenente la regola di ingresso.
Le seguenti risorse si trovano in una rete VPC:
- Interfacce di rete VM
- Tunnel Cloud VPN
- Collegamenti VLAN Cloud Interconnect
- Appliance router
- Proxy Envoy in una subnet solo proxy
- Endpoint di Private Service Connect
- Connettori di accesso VPC serverless
Oggetti di geolocalizzazione
Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri del firewall per filtrare il traffico IPv4 e IPv6 esterno in base a regioni o località geografiche specifiche.
Puoi applicare regole con oggetti di geolocalizzazione al traffico in entrata e in uscita. In base alla direzione del traffico, gli indirizzi IP associati ai codici paese vengono abbinati all'origine o alla destinazione del traffico.
Puoi configurare oggetti di geolocalizzazione per i criteri firewall gerarchici, per i criteri firewall di rete globali e per i criteri firewall di rete regionali.
Per aggiungere le geolocalizzazioni alle regole del criterio del firewall, utilizza i codici paese o regione di due lettere come definiti nei codici paese ISO 3166 alpha-2.
Ad esempio, se vuoi consentire il traffico in entrata solo dagli Stati Uniti nella rete, crea una regola del criterio del firewall in entrata con il codice paese di origine impostato su
US
e l'azione impostata suallow
. Analogamente, se vuoi consentire il traffico in uscita solo verso gli Stati Uniti, configura una regola del criterio del firewall in uscita con il codice paese di destinazione impostato suUS
e l'azione impostata suallow
.Cloud NGFW ti consente di configurare regole firewall per i seguenti territori soggetti a sanzioni complete degli Stati Uniti:
Territori Codice assegnato Crimea XC Le cosiddette repubbliche popolari di Donetsk e Lugansk XD Se in una singola regola firewall sono inclusi codici paese duplicati, viene conservata solo una voce per quel codice paese. La voce duplicata viene rimuovere. Ad esempio, nell'elenco dei codici paese
ca,us,us
, viene conservato soloca,us
.Google gestisce un database con indirizzi IP e mappature dei codici paese. I firewall Google Cloud utilizzano questo database per mappare gli indirizzi IP del traffico di origine e di destinazione al codice paese e poi applicare la regola del criterio del firewall corrispondente agli oggetti di geolocalizzazione.
A volte, le assegnazioni degli indirizzi IP e i codici paese cambiano a causa delle seguenti condizioni:
- Movimento degli indirizzi IP nelle varie località geografiche
- Aggiornamenti allo standard dei codici paese ISO 3166 alpha-2
Poiché queste modifiche richiedono del tempo per essere applicate al database di Google, potresti notare alcune interruzioni del traffico e cambiamenti di comportamento per determinati tipi di traffico bloccati o consentiti.
Utilizzare gli oggetti di geolocalizzazione con altri filtri delle regole dei criteri firewall
Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. A seconda della direzione della regola, la regola del criterio firewall viene applicata al traffico in entrata o in uscita che corrisponde all'unione di tutti i filtri specificati.
Per informazioni su come gli oggetti di geolocalizzazione funzionano con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nei criteri firewall gerarchici e Origini per le regole in entrata nei criteri firewall di rete.
Per informazioni su come gli oggetti di geolocalizzazione funzionano con altri filtri di destinazione nelle regole di uscita, consulta Destinazioni per le regole di uscita.
Google Threat Intelligence per le regole del criterio firewall
Le regole delle policy firewall ti consentono di proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Google Threat Intelligence. I dati di Google Threat Intelligence includono elenchi di indirizzi IP in base alle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la loro identità, blocca gli indirizzi IP dei nodi di uscita di Tor (endpoint in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP noti per essere la fonte di attacchi alle applicazioni web. Per migliorare la strategia di sicurezza della tua applicazione, blocca questi indirizzi IP.
- Motori di ricerca: gli indirizzi IP che puoi consentire per attivare l'indicizzazione del sito.
- Intervalli di indirizzi IP di cloud pubblici: questa categoria può essere bloccata per impedire a strumenti automatici dannosi di navigare nelle applicazioni web oppure consentita se il servizio utilizza altri cloud pubblici. Questa categoria è ulteriormente suddivisa nelle seguenti sottocategorie:
- Intervalli di indirizzi IP utilizzati da Amazon Web Services
- Intervalli di indirizzi IP utilizzati da Microsoft Azure
- Intervalli di indirizzi IP utilizzati da Google Cloud
- Intervalli di indirizzi IP utilizzati dai servizi Google
Gli elenchi di dati di Google Threat Intelligence possono includere indirizzi IPv4, indirizzi IPv6 o entrambi. Per configurare Google Threat Intelligence nelle regole dei criteri del firewall, utilizza i nomi degli elenchi di Google Threat Intelligence predefiniti in base alla categoria che vuoi consentire o bloccare. Questi elenchi vengono aggiornati continuamente, proteggendo i servizi da nuove minacce senza ulteriori passaggi di configurazione. I nomi degli elenchi validi sono riportati di seguito.
Nome elenco | Descrizione |
---|---|
iplist-tor-exit-nodes |
Corrisponde agli indirizzi IP dei nodi di uscita TOR |
iplist-known-malicious-ips |
Corrispondenza con indirizzi IP noti per gli attacchi alle applicazioni web |
iplist-search-engines-crawlers |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
iplist-vpn-providers |
Corrisponde agli indirizzi IP che appartengono a provider VPN con reputazione bassa |
iplist-anon-proxies |
Corrisponde agli indirizzi IP che appartengono a proxy anonimi aperti |
iplist-crypto-miners |
Corrisponde agli indirizzi IP che appartengono a siti di mining di criptovalute |
iplist-public-clouds
|
Corrispondenza degli indirizzi IP appartenenti ai cloud pubblici
|
Utilizzare Google Threat Intelligence con altri filtri delle regole delle policy del firewall
Per definire una regola del criterio firewall con Google Threat Intelligence, segui queste linee guida:
Per le regole in uscita, specifica la destinazione utilizzando uno o più elenchi di destinazione Google Threat Intelligence.
Per le regole di ingresso, specifica l'origine utilizzando uno o più elenchi di Google Threat Intelligence.
Puoi configurare gli elenchi di Google Threat Intelligence per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.
Puoi utilizzare questi elenchi insieme ad altri componenti di filtro delle regole di origine o di destinazione.
Per informazioni su come gli elenchi di Google Threat Intelligence funzionano con altri filtri delle origini nelle regole di ingresso, consulta Origini per le regole di ingresso nei criteri firewall gerarchici e Origini per le regole di ingresso nei criteri firewall di rete.
Per informazioni su come gli elenchi di Google Threat Intelligence funzionano con altri filtri di destinazione nelle regole di uscita, consulta Destinazioni per le regole di uscita.
Il logging del firewall viene eseguito a livello di regola. Per semplificare il debug e l'analisi dell'effetto delle tue regole firewall, non includere più elenchi di Google Threat Intelligence in una singola regola firewall.
Puoi aggiungere più elenchi di Google Threat Intelligence a una regola del criterio firewall. Ogni nome di elenco incluso nella regola viene conteggiato come un attributo, indipendentemente dal numero di indirizzi IP o intervalli di indirizzi IP inclusi nell'elenco. Ad esempio, se hai incluso i nomi degli elenchi
iplist-tor-exit-nodes
,iplist-known-malicious-ips
eiplist-search-engines-crawlers
nella regola del criterio firewall, il conteggio degli attributi della regola per criterio firewall viene aumentato di tre. Per ulteriori informazioni sul conteggio degli attributi delle regole, consulta Quote e limiti.
Creazione di eccezioni agli elenchi di Google Threat Intelligence
Se hai regole che si applicano agli elenchi di Google Threat Intelligence, puoi utilizzare le seguenti tecniche per creare regole di eccezione applicabili a determinati indirizzi IP all'interno di un elenco di Google Threat Intelligence:
Lista consentita selettiva: supponiamo che tu abbia una regola del firewall di entrata o di uscita che nega i pacchetti da o verso un elenco di Google Threat Intelligence. Per consentire i pacchetti da o verso un indirizzo IP selezionato all'interno dell'elenco di Google Threat Intelligence, crea una regola firewall di autorizzazione in entrata o in uscita separata con priorità più alta che specifichi l'indirizzo IP dell'eccezione come origine o destinazione.
Lista di rifiuto selettiva: supponiamo che tu abbia una regola di firewall di entrata o di uscita che consenta i pacchetti da o verso un elenco di Google Threat Intelligence. Per negare i pacchetti da o verso un indirizzo IP selezionato all'interno dell'elenco di Google Threat Intelligence, crea una regola firewall di rifiuto in entrata o in uscita con priorità più elevata che specifichi l'indirizzo IP dell'eccezione come origine o destinazione.
Gruppi di indirizzi per i criteri firewall
I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento molte regole firewall. I gruppi di indirizzi possono essere aggiornati senza modificare le regole del firewall che li utilizzano. Per ulteriori informazioni sui gruppi di indirizzi, vedi Gruppi di indirizzi per i criteri di firewall.
Puoi definire gruppi di indirizzi di origine e di destinazione rispettivamente per le regole firewall in ingresso e in uscita.
Per informazioni su come i gruppi di indirizzi di origine funzionano con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy firewall gerarchiche e Origini per le regole in entrata nelle policy firewall di rete.
Per informazioni su come i gruppi di indirizzi di destinazione funzionano con altri filtri di destinazione nelle regole di uscita, consulta Destinazioni per le regole di uscita.
Oggetti FQDN
Utilizza gli oggetti nome di dominio completo (FQDN) nelle regole dei criteri del firewall perfiltrare il traffico in entrata o in uscita da o verso domini specifici.
Puoi applicare regole dei criteri firewall che utilizzano oggetti FQDN sia al traffico in entrata che a quello in uscita. In base alla direzione del traffico, gli indirizzi IP associati ai nomi di dominio vengono abbinati all'origine o alla destinazione del traffico.
Puoi configurare oggetti FQDN nelle regole dei criteri firewall per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.
Devi specificare gli oggetti FQDN nella sintassi FQDN standard
Per ulteriori informazioni sui formati dei nomi di dominio, consulta Formato del nome di dominio.
A intervalli periodici, Cloud NGFW aggiorna le regole del criterio firewall che contengono oggetti FQDN con i risultati più recenti della risoluzione dei nomi di dominio.
I nomi di dominio specificati nelle regole del criterio firewall vengono risolti in indirizzi IP in base all'ordine di risoluzione dei nomi VPC di Cloud DNS. Cloud DNS invia una notifica a Cloud NGFW in caso di modifiche ai risultati della risoluzione del nome di dominio, noti anche come record DNS (Domain Name System).
Se due nomi di dominio vengono risolti nello stesso indirizzo IP, la regola del criterio del firewall si applica a quell'indirizzo IP, non solo a un dominio. In altre parole, gli oggetti FQDN sono entità di livello 3.
Se l'oggetto FQDN nella regola del criterio del firewall in uscita include un dominio che ha CNAME nel record DNS, devi configurare la regola del criterio del firewall in uscita con tutti i nomi di dominio che le VM possono eseguire query, inclusi tutti i potenziali alias, per garantire un comportamento affidabile della regola del firewall. Se le VM eseguono query su CNAME non configurati nella regola del criterio del firewall in uscita, il criterio potrebbe non funzionare durante la modifica dei record DNS.
Puoi anche utilizzare i nomi DNS interni di Compute Engine nelle regole del criterio del firewall di rete. Tuttavia, assicurati che la tua rete non sia configurata per utilizzare un server dei nomi alternativo nel policy del server in uscita.
Se vuoi aggiungere nomi di dominio personalizzati nelle regole del criterio della firewall di rete, puoi utilizzare le zone gestite Cloud DNS per la risoluzione dei nomi di dominio. Tuttavia, assicurati che la tua rete non sia configurata per utilizzare un server DNS alternativo nel criterio del server in uscita. Per saperne di più sulla gestione delle zone, consulta Creare, modificare ed eliminare le zone.
Limitazioni
Le seguenti limitazioni si applicano sia alle regole di firewall di entrata sia a quelle di uscita che utilizzano oggetti FQDN:
- Gli oggetti FQDN non supportano i caratteri jolly (*) e i nomi di dominio di primo livello (principali).
Ad esempio,
*.example.com.
e.org
non sono supportati.
Puoi utilizzare gli oggetti FQDN nelle regole del criterio firewall in entrata. Devi prendere in considerazione le seguenti limitazioni quando definisci gli oggetti FQDN per le regole di ingresso:
Un nome di dominio può risolvere in un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6. Le query DNS che risolvono in più di 32 indirizzi IPv4 e 32 IPv6 vengono troncate in modo da includere solo 32 indirizzi IPv4 o IPv6 di questi indirizzi IP risolti. Pertanto, non includere nomi di dominio che risolvono in più di 32 indirizzi IPv4 e IPv6 nelle regole del criterio firewall in entrata.
Alcune query sui nomi di dominio hanno risposte univoche in base alla località del cliente richiedente. La posizione da cui viene eseguita la risoluzione DNS della regola del criterio firewall è la regione Google Cloud contenente la VM a cui si applica la regola del criterio firewall.
Non utilizzare regole di ingresso che utilizzano oggetti FQDN se i risultati della risoluzione del nome di dominio sono molto variabili o se la risoluzione del nome di dominio utilizza una forma di bilanciamento del carico basato su DNS. Ad esempio, molti nomi di dominio Google utilizzano uno schema di bilanciamento del carico basato su DNS.
Puoi utilizzare oggetti FQDN nelle regole del criterio del firewall in uscita, ma sconsigliamo di utilizzare oggetti FQDN con record A DNS che hanno un TTL (time-to-live) inferiore a 90 secondi.
Utilizzare gli oggetti FQDN con altri filtri delle regole dei criteri firewall
In una regola del criterio firewall, puoi definire oggetti FQDN insieme ad altri filtri di origine o di destinazione.
Per informazioni su come gli oggetti FQDN funzionano con altri filtri di origine nelle regole di ingresso, consulta Origini per le regole di ingresso nei criteri firewall gerarchici e Origini per le regole di ingresso nei criteri firewall di rete.
Per informazioni su come gli oggetti FQDN funzionano con altri filtri di destinazione nelle regole di uscita, consulta Destinazioni per le regole di uscita.
Formato del nome di dominio
I firewall VPC supportano il formato del nome di dominio come definito in RFC 1035, RFC 1123 e RFC 4343.
Per aggiungere nomi di dominio alle regole del criterio firewall, segui queste linee guida per la formattazione:
Il nome di dominio deve contenere almeno due etichette descritte di seguito:
- Ogni etichetta corrisponde a espressioni regolari che includono solo questi caratteri:
[a-z]([-a-z0-9][a-z0-9])?.
. - Ogni etichetta è composta da 1 a 63 caratteri.
- Le etichette vengono concatenate con un punto (.).
- Ogni etichetta corrisponde a espressioni regolari che includono solo questi caratteri:
La lunghezza massima codificata del nome di dominio non deve superare i 255 byte (oktet).
Puoi anche aggiungere un nome di dominio internazionalizzato (IDN) alle regole delle norme del firewall.
I nomi di dominio devono essere in formato Unicode o Punycode.
Se specifichi un IDN in formato Unicode, il firewall di Google Cloud lo convalida in formato Punycode prima dell'elaborazione. In alternativa, puoi utilizzare lo strumento di conversione IDN per ottenere la rappresentazione punycode dell'IDN.
Il firewall di Google Cloud non supporta nomi di dominio equivalenti nella stessa regola del criterio firewall. Dopo aver convertito il nome di dominio in Punycode, se i due nomi di dominio differiscono al massimo per un punto finale, sono considerati equivalenti.
Scenari di eccezione FQDN
Quando utilizzi oggetti FQDN nelle regole del criterio del firewall, potresti riscontrare le seguenti eccezioni durante la risoluzione dei nomi DNS:
Nome di dominio non valido: se specifichi uno o più nomi di dominio che utilizzano un formato non valido durante la creazione di una regola del criterio firewall, viene visualizzato un errore. La regola del criterio firewall non può essere creata a meno che tutti i nomi di dominio non siano formattati correttamente.
Il nome di dominio non esiste (
NXDOMAIN
): se il nome di dominio non esiste, Google Cloud ignora l'oggetto FQDN dalla regola del criterio del firewall.Nessuna risoluzione dell'indirizzo IP: se il nome di dominio non viene risolto in nessun indirizzo IP, l'oggetto FQDN viene ignorato.
Il server DNS Cloud non è raggiungibile: se un server DNS non è raggiungibile, le regole del criterio del firewall che utilizzano oggetti FQDN si applicano solo se sono disponibili i risultati della risoluzione DNS memorizzati nella cache in precedenza. Gli oggetti FQDN della regola vengono ignorati se non sono presenti risultati della risoluzione DNS memorizzati nella cache o se questi sono scaduti.