Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

כללי חומת אש ב-VPC

כללי חומת אש של ענן וירטואלי פרטי (VPC) חלים על פרויקט ורשת נתונים מסוימים. אם רוצים להחיל כללים של חומת אש על כמה רשתות VPC בארגון, אפשר לעיין במאמר בנושא מדיניות וכללים של חומת אש. שאר התוכן בדף הזה מתייחס רק לכללים של חומת האש ב-VPC.

כללי חומת אש של VPC מאפשרים או מונעים חיבורים אל מכונות וירטואליות (VM) ברשת ה-VPC או מהן. כללי חומת האש המופעלים ב-VPC נאכפים תמיד, ומגנים על המכונות בלי קשר להגדרה ולמערכת ההפעלה שלהן, גם אם הן לא הופעלו.

כל רשת VPC פועלת כחומת אש מבוזרת. כללי חומת אש מוגדרים ברמת הרשת, אבל החיבורים מותרים או נדחים ברמת המכונה. אפשר לחשוב על כללי חומת האש של VPC כאילו הם קיימים לא רק בין המכונות שלכם לבין רשתות אחרות, אלא גם בין מכונות נפרדות באותה רשת.

למידע נוסף על חומות אש, ראו חומת אש (מחשוב).

שיטות מומלצות לכללי חומת אש

כשמתכננים ומעריכים את הכללים של חומת האש, חשוב לזכור את השיטות המומלצות הבאות:

הטמעה של עקרונות הרשאות מינימליות. לחסום את כל התנועה כברירת מחדל ולאפשר רק את התנועה הספציפית שאתם צריכים. ההגבלה הזו כוללת את הפרוטוקולים והיציאות שאתם צריכים.
כדי לחסום תנועה שאסור לאפשר ברמת הארגון או התיקייה, אפשר להשתמש בכללים של מדיניות חומת אש היררכית.
בכללים מסוג 'הרשאה', מגבילים את הכללים למכונות וירטואליות ספציפיות על ידי ציון חשבון השירות של המכונות הווירטואליות.
אם אתם צריכים ליצור כללים שמבוססים על כתובות IP, נסו לצמצם את מספר הכללים. קל יותר לעקוב אחרי כלל אחד שמאפשר תנועה למגוון של 16 מכונות וירטואליות מאשר לעקוב אחרי 16 כללים נפרדים.

כדי לפשט את ההגדרה והפריסה, אפשר להשתמש בכללי מדיניות של חומת אש כדי לקבץ כללים של חומת אש. כללים של מדיניות חומת אש כוללים כמה רכיבים שמאפשרים שליטה פרטנית בתעבורת הנתונים:

כדי לפשט את השימוש בכמה טווחי כתובות IP בכללי חומת האש, אפשר להשתמש בקבוצות כתובות.
אפשר להשתמש באובייקטים של FQDN במדיניות חומת האש כדי לסנן תנועה נכנסת או יוצאת מדומיינים ספציפיים או לדומיינים ספציפיים. יכול להיות שיחולו עליכם חיובים על עיבוד נתונים ב-Cloud Next Generation Firewall Standard.
כדי לסנן תנועה חיצונית של IPv4 ו-IPv6 על סמך מיקומים גיאוגרפיים או אזורים ספציפיים, אפשר להשתמש באובייקטים של מיקום גיאוגרפי במדיניות חומת האש. יכול להיות שתחויבו בעמלות עיבוד רגילות של Cloud Next Generation Firewall.
מפעילים את הרישום ביומן של כללי חומת האש ב-VPC ומשתמשים בתובנות לגבי חומת האש כדי לוודא שכללי חומת האש נמצאים בשימוש באופן הרצוי. רישום ביומן של כללי חומת אש ב-VPC עלול להיות כרוך בעלויות, ולכן כדאי לשקול להשתמש בו באופן סלקטיבי.

כללי חומת אש ב- Cloud de Confiance

כשיוצרים כלל של חומת אש ב-VPC, מציינים רשת VPC וקבוצה של רכיבים שמגדירים את הפעולה של הכלל. הרכיבים מאפשרים לטרגט סוגים מסוימים של תנועה, על סמך הפרוטוקול, יציאות היעד, המקורות והיעדים של התנועה. מידע נוסף זמין במאמר בנושא רכיבים של כללי חומת אש.

אפשר ליצור או לשנות כללי חומת אש של VPC באמצעותCloud de Confiance console,‏ Google Cloud CLI ו-API בארכיטקטורת REST. כשיוצרים או משנים כלל חומת אש, אפשר לציין את המכונות שאליהן הכלל אמור לחול באמצעות פרמטר היעד של הכלל. דוגמאות לכללים של חומת האש מופיעות במאמר דוגמאות אחרות להגדרות.

בנוסף לכללי חומת האש שאתם יוצרים, Cloud de Confiance יש עוד כללים שיכולים להשפיע על חיבורים נכנסים (ingress) או יוצאים (egress):

Cloud de Confiance חוסמת או מגבילה תנועה מסוימת. מידע נוסף זמין במאמר בנושא תנועה חסומה ומוגבלת.
‫Cloud de Confiance תמיד מאפשרת תקשורת בין מכונה וירטואלית לבין שרת המטא-נתונים התואם שלה בכתובת 169.254.169.254. מידע נוסף זמין במאמר בנושא תנועה שתמיד מותרת.
הערכה של כללי חומת אש ב-VPC מתבצעת יחד עם כללים במדיניות של חומת אש, בהתאם לתהליך ההערכה של כללי חומת אש. בשלב האחרון, Cloud NGFW מבצע פעולה משתמעת אם לא הוחלה על התנועה פעולה מפורשת.
כללי חומת אש מאוכלסים מראש ברשת שמוגדרת כברירת מחדל, ואפשר למחוק או לשנות אותם.

מפרטים

כללי חומת אש ב-VPC כוללים את המאפיינים הבאים:

כל כלל חומת אש חל על חיבורים נכנסים (ingress) או יוצאים (egress), ולא על שניהם. מידע נוסף זמין במאמר בנושא כיוון החיבור.
כללי חומת האש תומכים בחיבורי IPv4. חיבורי IPv6 נתמכים גם ברשתות VPC שבהן מופעל IPv6. כשמציינים כתובת כמקור או כיעד לכלל תעבורת נתונים נכנסת או יוצאת, אפשר לציין כתובות או בלוקים של IPv4 או IPv6 בסימון CIDR.
כל כלל חומת אש יכול להכיל טווחים של IPv4 או של IPv6, אבל לא את שניהם.
הפעולה של כל כלל חומת אש היא allow או deny. הכלל חל על חיבורים כל עוד הוא נאכף. לדוגמה, אפשר להשבית כלל לצורך פתרון בעיות.
כשיוצרים כלל לחומת אש, צריך לבחור רשת VPC. האכיפה של הכלל מתבצעת ברמת המכונה, אבל ההגדרה שלו משויכת לרשת VPC. כלומר, אי אפשר לשתף כללי חומת אש בין רשתות VPC, כולל רשתות שמקושרות באמצעות קישור בין רשתות VPC שכנות או באמצעות מנהרות Cloud VPN.
כללי חומת אש של VPC הם stateful:
- אם החיבור מותר דרך חומת האש בשני הכיוונים, גם תנועת החזרה שתואמת לחיבור הזה מותרת. אי אפשר להגדיר כלל חומת אש שיחסום תעבורת נתונים של תגובות שמשויכות לכלל.
- תעבורת החזרה צריכה להתאים ל-5-tuple (כתובת IP של המקור, כתובת IP של היעד, יציאת המקור, יציאת היעד, פרוטוקול) של תעבורת הבקשות שאושרו, אבל עם כתובות ויציאות הפוכות של המקור והיעד.
- Cloud de Confiance משייך מנות נכנסות למנות יוצאות תואמות באמצעות טבלת מעקב אחר חיבורים. חיבורי IPv4 תומכים בפרוטוקולים TCP,‏ UDP,‏ SCTP ו-ICMP. חיבורי IPv6 תומכים בפרוטוקולים TCP,‏ UDP,‏ SCTP ו-ICMPv6.
- Cloud de Confiance מיישם מעקב אחר חיבורים, בלי קשר לשאלה אם הפרוטוקול תומך בחיבורים. אם מותר קישור בין מקור ליעד (במקרה של כלל תעבורת נתונים נכנסת) או בין יעד ליעד (במקרה של כלל תעבורת נתונים יוצאת), כל תעבורת הנתונים של התגובה מותרת כל עוד מצב מעקב החיבורים של חומת האש פעיל. מצב המעקב של כלל חומת אש נחשב פעיל אם נשלח לפחות חבילת נתונים אחת כל 10 דקות.
- כשמאפשרים חיבור מקוטע דרך חומת האש,Cloud de Confiance משתמש במעקב אחר חיבורים כדי לאפשר רק את הקטע הראשון של תנועת החזרה. כדי לאפשר שברירים חוזרים, צריך להוסיף כלל חומת אש.
- תעבורת נתונים של תגובות ICMP, כמו ICMP TYPE 3, DESTINATION UNREACHABLE, שנוצרת בתגובה לחיבור TCP/UDP מותר, מותרת דרך חומת האש. ההתנהגות הזו עקבית עם RFC 792.
כללים של חומת אש ב-VPC לא מרכיבים מחדש מנות TCP מפוצלות. לכן, כלל חומת אש שחל על פרוטוקול TCP יכול לחול רק על הפראגמנט הראשון, כי הוא מכיל את כותרת ה-TCP. כללי חומת האש שחלים על פרוטוקול TCP לא חלים על פרגמנטים עוקבים של TCP.

המספר המקסימלי של חיבורים במעקב בטבלת כללי חומת האש תלוי במספר החיבורים עם שמירת מצב שסוג המכונה של המופע תומך בהם. אם חורגים מהמספר המקסימלי של חיבורים למעקב, המעקב נפסק עבור החיבורים עם מרווח הזמן הארוך ביותר בין פעולות, כדי לאפשר מעקב אחרי חיבורים חדשים.

סוג המכונה של המופע	מספר מקסימלי של חיבורים עם שמירת מצב
סוגי מכונות עם ליבת מעבד משותפת	130,000
Instances with 1–8 vCPUs	‫130,000 חיבורים לכל vCPU
Instances with more than 8 vCPUs	‫1,040,000 (‎130,000×8) חיבורים בסך הכול

פעולות משתמעות

אם אף כלל של חומת אש ב-VPC לא חל על יעד, יכול להיות שתהליך ההערכה של כלל חומת האש יגיע לשלב האחרון. בשלב הזה, Cloud NGFW משתמש בפעולה משתמעת. הפעולה המשתמעת תלויה בכיוון התנועה ובסוג משאב היעד.

מידע נוסף זמין במאמר בנושא תהליך ההערכה של כללי חומת האש.

כללים שאוכלסו מראש ברשת שמוגדרת כברירת מחדל

רשת ברירת המחדל מאוכלסת מראש בכללי חומת אש שמאפשרים חיבורים נכנסים למכונות. אפשר למחוק או לשנות את הכללים האלה לפי הצורך:

שם הכלל	כיוון	עדיפות	טווחים של מקורות	פעולה	פרוטוקולים ויציאות	תיאור
`default-allow-internal`	`ingress`	`65534`	`10.128.0.0/9`	`allow`	`tcp:0-65535 udp:0-65535 icmp`	מאפשר חיבורים נכנסים למכונות וירטואליות ממופעים אחרים באותה רשת VPC.
`default-allow-ssh`	`ingress`	`65534`	`0.0.0.0/0`	`allow`	`tcp:22`	מאפשרת להתחבר למופעים באמצעות כלים כמו `ssh`,‏ `scp` או `sftp`.
`default-allow-rdp`	`ingress`	`65534`	`0.0.0.0/0`	`allow`	`tcp:3389`	מאפשרת להתחבר למכונות באמצעות פרוטוקול Microsoft Remote Desktop ‏(RDP).
`default-allow-icmp`	`ingress`	`65534`	`0.0.0.0/0`	`allow`	`icmp`	מאפשרת לכם להשתמש בכלים כמו `ping`.

אפשר ליצור כללי חומת אש דומים לרשתות אחרות, לא לרשת ברירת המחדל. מידע נוסף זמין במאמר הגדרת כללים של חומת אש לתרחישים נפוצים.

תנועה חסומה ומוגבלת

בנוסף לכללים של חומת האש ב-VPC ולמדיניות היררכית של חומת האש, Cloud de Confiance השירות חוסם או מגביל תנועה מסוימת, כפי שמתואר בטבלה הבאה.

סוג תעבורה	פרטים
קצב העברת חבילות ורוחב פס האפליקציה הרלוונטית: כל החבילות היוצאות כל החבילות הנכנסות	Cloud de Confiance מחשב את רוחב הפס לכל מכונה וירטואלית, לכל ממשק רשת (NIC) או כתובת IP. סוג המכונה של מכונה וירטואלית מגדיר את קצב היציאה המקסימלי האפשרי שלה. עם זאת, אפשר להשיג את קצב היציאה המקסימלי האפשרי רק במצבים ספציפיים. פרטים נוספים זמינים במאמר רוחב פס ברשת בתיעוד של Compute Engine.
הצעות ואישורים של DHCP האפליקציה הרלוונטית: מנות נכנסות ליציאת UDP‏ 68 (DHCPv4) חבילות נכנסות ליציאת UDP‏ 546 (DHCPv6)	‫Cloud de Confiance blocks incoming DHCP offers and acknowledgments from all sources except for DHCP packets coming from the metadata server.
פרוטוקולים שנתמכים על ידי Cloud de Confiance כתובות IP חיצוניות האפליקציה הרלוונטית: מנות נכנסות לכתובות IP חיצוניות	כתובות IPv4 ו-IPv6 חיצוניות מקבלות רק חבילות TCP,‏ UDP,‏ ICMP,‏ IPIP,‏ AH,‏ ESP,‏ SCTP ו-GRE. למשאבים שמשתמשים בכתובות IP חיצוניות יש הגבלות נוספות על פרוטוקולים: כללי העברה להעברת פרוטוקולים, מאזני עומסים חיצוניים של אפליקציות (ALB), מאזני עומסים חיצוניים של רשת לשרת proxy ומאזנים חיצוניים של עומסי רשת להעברת סיגנל ללא שינוי מעבדים רק את הפרוטוקולים והיציאות שהוגדרו בכלל ההעברה. שערי Cloud VPN מקבלים רק פרוטוקולי VPN.
תנועה של SMTP (יציאה 25) האפליקציה הרלוונטית: מנות יוצאות לכתובות IP חיצוניות ביציאת TCP ‏25	כדי למנוע ספאם, כברירת מחדל Cloud de Confiance חוסמת Google Cloud חבילות יוצאות שנשלחות ליעד של יציאת TCP ‏25 של כתובת IP חיצונית (כולל כתובת IP חיצונית של משאב אחר). Cloud de Confiance Cloud de Confiance מסיר אוטומטית את החסימה הזו ברגע שהוא קובע שהסיכון שפרויקט ישלח נפחים גדולים של אימיילים דרך חיבורים לא מוצפנים הוא נמוך. Cloud de Confiance לא כולל תנועת SMTP דרך TLS ביציאה 465 או 587 בחסימה הזו. כדי לברר אם הפרויקט מאפשר את התנועה הזו, עוברים לדף VPC networks או לדף Firewall policies במסוף Cloud de Confiance . הודעת באנר בשני הדפים מציינת אם הפרויקט מאפשר את התנועה הזו. למידע נוסף, אפשר לפנות לCloud de Confiance מומחה מכירות. החסימה הזו לא חלה על חבילות יוצאות שנשלחות ליעד TCP port 25 של כתובת IP פנימית, כולל כתובת IP ציבורית בשימוש פרטי ברשת VPC או ברשת מקומית. אם תעבורת נתונים יוצאת (egress) של SMTP חיצוני ביציאה 25 מותרת בפרויקט שלכם, ואתם רוצים לשלוח תעבורת נתונים מהסוג הזה, צריך לעמוד בתנאים הנוספים הבאים: כללי חומת אש לתעבורת נתונים יוצאת ברשת ה-VPC ומדיניות חומת אש היררכית שחלה על רשת ה-VPC צריכים לאפשר תעבורת נתונים יוצאת לכתובת ה-IP החיצונית ביציאת TCP ‏25. כללי ברירת המחדל שמאפשרים תעבורת נתונים יוצאת עומדים בדרישה הזו כי הם מאפשרים תעבורת נתונים יוצאת לכל כתובת IP (ומאפשרים תגובות נכנסות שנוצרו מכתובות IP). המסלול הרלוונטי ליעד חייב להשתמש בצעד הבא של שער האינטרנט שמוגדר כברירת מחדל. מסלולי ברירת המחדל שנוצרו על ידי המערכת עומדים בדרישה הזו. המכונה ששולחת חבילות לכתובת ה-IP החיצונית צריכה לעמוד בדרישות לגישה לאינטרנט. כדי למנוע תעבורת נתונים יוצאת (egress) של SMTP חיצונית, אפשר ליצור כללי חומת אש של VPC או מדיניות חומת אש היררכית שחוסמים יציאה.

סוג תעבורה

פרטים

קצב העברת חבילות ורוחב פס

האפליקציה הרלוונטית:

כל החבילות היוצאות
כל החבילות הנכנסות

Cloud de Confiance מחשב את רוחב הפס לכל מכונה וירטואלית, לכל ממשק רשת (NIC) או כתובת IP. סוג המכונה של מכונה וירטואלית מגדיר את קצב היציאה המקסימלי האפשרי שלה. עם זאת, אפשר להשיג את קצב היציאה המקסימלי האפשרי רק במצבים ספציפיים.

פרטים נוספים זמינים במאמר רוחב פס ברשת בתיעוד של Compute Engine.

הצעות ואישורים של DHCP

האפליקציה הרלוונטית:

מנות נכנסות ליציאת UDP‏ 68 (DHCPv4)
חבילות נכנסות ליציאת UDP‏ 546 (DHCPv6)

‫Cloud de Confiance blocks incoming DHCP offers and acknowledgments from all sources except for DHCP packets coming from the metadata server.

פרוטוקולים שנתמכים על ידי Cloud de Confiance כתובות IP חיצוניות

האפליקציה הרלוונטית:

מנות נכנסות לכתובות IP חיצוניות

כתובות IPv4 ו-IPv6 חיצוניות מקבלות רק חבילות TCP,‏ UDP,‏ ICMP,‏ IPIP,‏ AH,‏ ESP,‏ SCTP ו-GRE. למשאבים שמשתמשים בכתובות IP חיצוניות יש הגבלות נוספות על פרוטוקולים:

כללי העברה להעברת פרוטוקולים, מאזני עומסים חיצוניים של אפליקציות (ALB), מאזני עומסים חיצוניים של רשת לשרת proxy ומאזנים חיצוניים של עומסי רשת להעברת סיגנל ללא שינוי מעבדים רק את הפרוטוקולים והיציאות שהוגדרו בכלל ההעברה.
שערי Cloud VPN מקבלים רק פרוטוקולי VPN.

תנועה של SMTP (יציאה 25)

האפליקציה הרלוונטית:

מנות יוצאות לכתובות IP חיצוניות ביציאת TCP ‏25

כדי למנוע ספאם, כברירת מחדל Cloud de Confiance חוסמת Google Cloud חבילות יוצאות שנשלחות ליעד של יציאת TCP ‏25 של כתובת IP חיצונית (כולל כתובת IP חיצונית של משאב אחר). Cloud de Confiance Cloud de Confiance מסיר אוטומטית את החסימה הזו ברגע שהוא קובע שהסיכון שפרויקט ישלח נפחים גדולים של אימיילים דרך חיבורים לא מוצפנים הוא נמוך. Cloud de Confiance לא כולל תנועת SMTP דרך TLS ביציאה 465 או 587 בחסימה הזו. כדי לברר אם הפרויקט מאפשר את התנועה הזו, עוברים לדף VPC networks או לדף Firewall policies במסוף Cloud de Confiance . הודעת באנר בשני הדפים מציינת אם הפרויקט מאפשר את התנועה הזו. למידע נוסף, אפשר לפנות לCloud de Confiance מומחה מכירות.

החסימה הזו לא חלה על חבילות יוצאות שנשלחות ליעד TCP port 25 של כתובת IP פנימית, כולל כתובת IP ציבורית בשימוש פרטי ברשת VPC או ברשת מקומית.

אם תעבורת נתונים יוצאת (egress) של SMTP חיצוני ביציאה 25 מותרת בפרויקט שלכם, ואתם רוצים לשלוח תעבורת נתונים מהסוג הזה, צריך לעמוד בתנאים הנוספים הבאים:

כללי חומת אש לתעבורת נתונים יוצאת ברשת ה-VPC ומדיניות חומת אש היררכית שחלה על רשת ה-VPC צריכים לאפשר תעבורת נתונים יוצאת לכתובת ה-IP החיצונית ביציאת TCP ‏25. כללי ברירת המחדל שמאפשרים תעבורת נתונים יוצאת עומדים בדרישה הזו כי הם מאפשרים תעבורת נתונים יוצאת לכל כתובת IP (ומאפשרים תגובות נכנסות שנוצרו מכתובות IP).
המסלול הרלוונטי ליעד חייב להשתמש בצעד הבא של שער האינטרנט שמוגדר כברירת מחדל. מסלולי ברירת המחדל שנוצרו על ידי המערכת עומדים בדרישה הזו.
המכונה ששולחת חבילות לכתובת ה-IP החיצונית צריכה לעמוד בדרישות לגישה לאינטרנט.

כדי למנוע תעבורת נתונים יוצאת (egress) של SMTP חיצונית, אפשר ליצור כללי חומת אש של VPC או מדיניות חומת אש היררכית שחוסמים יציאה.

תנועה בלי הגבלת שימוש

במכונות וירטואליות, כללי חומת האש ב-VPC ומדיניות חומת אש היררכית לא חלים על:

חבילות שנשלחו אל שרת המטא-נתונים ושהתקבלו ממנו Cloud de Confiance
מנות שנשלחות לכתובת IP שהוקצתה לאחד מממשקי הרשת (NIC) של המופע, שבהם המנות נשארות בתוך המכונה הווירטואלית עצמה. כתובות ה-IP שמוקצות ל-NIC של מופע כוללות:
- כתובת ה-IPv4 הפנימית הראשית של כרטיס הרשת
- כל כתובת IPv4 פנימית מטווח כתובות IP של כינוי של כרטיס ה-NIC
- אם מוגדר IPv6 ברשת המשנה, כל אחת מכתובות ה-IPv6 שהוקצו לכרטיס הרשת
- כתובת IPv4 פנימית או חיצונית שמשויכת לכלל העברה, לאיזון עומסים או להעברת פרוטוקולים, אם המכונה היא קצה עורפי של מאזן העומסים או מכונת יעד להעברת פרוטוקולים
- כתובות לולאה חוזרת (loopback)
- כתובות שמוגדרות כחלק מתוכנת שכבת-על של רשת שמופעלת בתוך המכונה עצמה

Cloud de Confiance שרת מטא-נתונים

‫Cloud de Confiance מריץ שרת מטא-נתונים מקומי לצד כל מופע. אפשר לגשת לשרת בכתובת 169.254.169.254 (ל-IPv4) ובכתובת fd20:ce::254 (ל-IPv6). השרת הזה חיוני לפעולה של המופע, ולכן המופע יכול לגשת אליו בלי קשר לכללי חומת האש שהגדרתם. שרת המטא-נתונים מספק למופע את השירותים הבסיסיים הבאים:

DHCP
פענוח DNS, בהתאם לסדר רזולוציית שמות DNS ברשת ה-VPC.
מטא-נתונים של מכונות
Network Time Protocol (NTP)

אינטראקציות עם מוצרים

בקטעים הבאים מתואר איך כללים של חומת אש ומדיניות היררכית של חומת אש פועלים עם מוצרים אחרים של Cloud de Confiance

כללים לחומת אש ומאזני עומסים של העברת נתונים

כללי חומת אש של VPC ומדיניות חומת אש היררכית קובעים לאילו פרוטוקולים ויציאות נתמכים של כלל ההעברה מותר לגשת לשרתים העורפיים של מאזן העומסים מסוג העברה. פרטים נוספים זמינים במאמרים בנושאים הבאים:

כללי חומת אש ומאזני עומסים של שרת proxy

במאזני עומסים חיצוניים של אפליקציות (ALB), במאזני עומסים פנימיים של אפליקציות (ALB), במאזני עומסים פנימיים של רשת לשרת proxy ובמאזני עומסים חיצוניים של רשת לשרת proxy, כללי חומת האש של VPC ומדיניות חומת האש ההיררכית לא שולטים בפרוטוקולים ובפורטים שמתקבלים על ידי כתובת ה-IP של כלל ההעברה של מאזן העומסים של ה-proxy. כלל ההעברה לבדו קובע אילו פרוטוקולים ויציאות מתקבלים על ידי מאזן העומסים של ה-proxy.

כללי חומת אש ב-VPC ומדיניות חומת אש היררכית שולטים באופן שבו מאזני העומסים של ה-proxy מתקשרים עם ה-backend שלהם. פרטים נוספים זמינים כאן:

כללי חומת אש ו-Cloud VPN

כללי חומת אש ומדיניות חומת אש היררכית לא שולטים בפרוטוקולים וביציאות שמתקבלים בשער Cloud VPN.

שערי Cloud VPN מקבלים רק חבילות של הפרוטוקולים והיציאות שמתוארים במפרט של Cloud VPN.

כללי חומת אש ו-GKE

מערכת Google Kubernetes Engine יוצרת ומנהלת כללי חומת אש באופן אוטומטי כשיוצרים אשכול או משאבים באשכול (כולל שירותים ו-Ingress). למידע נוסף, אפשר לעיין במאמר בנושא כללים של חומת אש שנוצרו באופן אוטומטי במסמכי התיעוד של Google Kubernetes Engine.

כללי חומת אש ו-AI Hypercomputer

אתם יכולים ליצור כללי חומת אש של VPC כשאתם יוצרים את רשתות ה-VPC שנדרשות ליצירת מכונות וירטואליות ב-AI Hypercomputer. משתמשים בכללי חומת האש כדי לציין את הפרוטוקולים והיציאות שמותרים לרשתות ה-VPC. מידע נוסף זמין במאמר סקירה כללית על AI Hypercomputer.

רכיבים של כלל חומת אש

כל כלל חומת אש מורכב מרכיבי ההגדרה הבאים:

כיוון מנקודת המבט של היעד. הכיוון יכול להיות תעבורת נתונים נכנסת (ingress) או תעבורת נתונים יוצאת (egress).
priority – מספר שקובע אם הכלל יחול. רק הכלל בעל העדיפות הגבוהה ביותר (מספר העדיפות הנמוך ביותר) שהרכיבים האחרים שלו תואמים לתנועה מוחל, והמערכת מתעלמת מכללים סותרים עם עדיפויות נמוכות יותר.
פעולה במקרה של התאמה, allow או deny, שקובעת אם הכלל מאפשר או חוסם חיבורים.
סטטוס האכיפה של כלל חומת האש: אתם יכולים להפעיל ולהשבית כללים של חומת האש בלי למחוק אותם.
יעד, שמגדיר את המופעים (כולל אשכולות GKE ומופעים של סביבה גמישה ב-App Engine) שהכלל חל עליהם.
מסנן מקור או יעד של מאפייני מנות.
הפרוטוקול (כמו TCP,‏ UDP או ICMP) ויציאת היעד.
אפשרות בוליאנית logs שמתעדת ביומן את החיבורים שתואמים לכלל ב-Cloud Logging.

סיכום הרכיבים

כלל לתעבורת נתונים נכנסת (ingress)
עדיפות	פעולה	אכיפה	פרמטר של יעד	מסנני מקור ויעד	פרוטוקולים ויציאות
מספר שלם מ-`0` עד `65535`, כולל; ברירת המחדל היא `1000`	`allow` או `deny`	‫`enabled` (ברירת מחדל) או `disabled`	מציין את המקרים שבהם חבילות מתקבלות.	מקורות לכללי תעבורת נתונים נכנסת (ingress) יעדים של כללי תעבורה נכנסת	מציינים פרוטוקול או פרוטוקול ויציאת יעד. אם לא מגדירים את המדיניות, הכלל חל על כל הפרוטוקולים ויציאות היעד. מידע נוסף זמין במאמר בנושא פרוטוקולים ויציאות.
כלל לתעבורת נתונים יוצאת (egress)
עדיפות	פעולה	אכיפה	פרמטר של יעד	מסנני מקור ויעד	פרוטוקולים ויציאות
מספר שלם מ-`0` עד `65535`, כולל; ברירת המחדל היא `1000`	`allow` או `deny`	‫`enabled` (ברירת מחדל) או `disabled`	מציינת את המקרים שבהם מנות נשלחות.	מקורות לכללי תעבורת נתונים יוצאת (egress) יעדים לכללי תעבורת נתונים יוצאת (egress)	מציינים פרוטוקול או פרוטוקול ויציאת יעד. אם לא מגדירים את המדיניות, הכלל חל על כל הפרוטוקולים ויציאות היעד. מידע נוסף זמין במאמר בנושא פרוטוקולים ויציאות.

כיוון התנועה

אפשר ליצור כללים של חומת אש שחלים על תעבורת נתונים נכנסת (ingress) או תעבורת נתונים יוצאת (egress). אי אפשר להחיל כלל יחיד על תנועת נתונים נכנסת וגם על תנועת נתונים יוצאת. אבל אפשר ליצור כמה כללים כדי להגדיר את תנועת הכניסה והיציאה שאתם מאשרים או חוסמים דרך חומת האש.

תעבורת Ingress (נכנסת) מתארת מנות שנכנסות לממשק רשת של יעד.
תעבורת נתונים יוצאת מתארת מנות שיוצאות מממשק רשת של יעד.
אם לא מציינים כיוון, Cloud de Confiance משתמשת בתנועה נכנסת.

עדיפות

העדיפות של כלל חומת אש ב-VPC דומה לעדיפות של כלל במדיניות חומת אש, עם ההבדלים הבאים:

תכונה	כלל מדיניות חומת אש	כלל חומת אש של VPC
טווח	‫0 עד 2,147,483,547	‫0 עד 65,535
מספר העדיפות שמוגדר כברירת מחדל	ללא	‫1,000 (ברירת מחדל)
ייחודיות	חייב להיות ייחודי במסגרת המדיניות	אפשר לשתף בין כללים

העדיפות היחסית של כלל חומת אש קובעת אם הכלל רלוונטי כשמבצעים הערכה ביחס לכללים אחרים. לוגיקת ההערכה פועלת באופן הבא:

הכלל בעל העדיפות הגבוהה ביותר שרלוונטי ליעד עבור סוג תנועה מסוים מקבל קדימות. אין חשיבות לספציפיות של היעד. לדוגמה, כלל תעבורת נתונים נכנסת (ingress) עם עדיפות גבוהה יותר ליציאות ולפרוטוקולים מסוימים של יעד, שמיועד לכל היעדים, מבטל כלל שהוגדר באופן דומה עם עדיפות נמוכה יותר לאותן יציאות ולפרוטוקולים של יעד, שמיועד ליעדים ספציפיים.
הכלל עם העדיפות הכי גבוהה שרלוונטי לפרוטוקול מסוים ולהגדרת יציאת יעד מסוימת מקבל עדיפות, גם אם הפרוטוקול והגדרת יציאת היעד כלליים יותר. לדוגמה, כלל תעבורה נכנסת עם עדיפות גבוהה יותר שמאפשר תעבורה לכל הפרוטוקולים ולנמלי היעד שמיועדים ליעדים נתונים, מבטל כלל תעבורה נכנסת עם עדיפות נמוכה יותר שחוסם את TCP 22 לאותם יעדים.
כלל עם פעולת deny מבטל כלל אחר עם פעולת allow רק אם לשני הכללים יש אותה עדיפות. באמצעות עדיפויות יחסיות, אפשר ליצור allow כללים שמבטלים deny כללים, וdeny כללים שמבטלים allow כללים.
לכללים עם אותה עדיפות ואותה פעולה יש אותה תוצאה. עם זאת, הכלל שבו נעשה שימוש במהלך ההערכה לא ברור. בדרך כלל, לא משנה באיזה כלל משתמשים, אלא אם מפעילים רישום ביומן של כללי חומת אש ב-VPC. אם רוצים שביומנים יוצגו כללי חומת אש שמוערכים בסדר עקבי ומוגדר היטב, צריך להקצות להם עדיפויות ייחודיות.

דוגמה: קיימים שני כללים לחומת האש:

כלל כניסה ממקורות 0.0.0.0/0 (כל כתובת IPv4) שחל על כל היעדים, כל הפרוטוקולים וכל יציאות היעד, עם פעולה deny ועדיפות 1000.
כלל תעבורת נתונים נכנסת ממקורות 0.0.0.0/0 (כל כתובת IPv4) שחל על יעדים ספציפיים עם תג הרשת webserver, לתעבורה ב-TCP 80, עם פעולה allow.

העדיפות של הכלל השני קובעת אם תנועת TCP ליציאה 80 מותרת ליעדי webserver:

אם העדיפות של הכלל השני מוגדרת למספר גדול מ 1000, העדיפות שלו נמוכה יותר, ולכן הכלל הראשון שדוחה את כל התנועה חל.
אם העדיפות של הכלל השני מוגדרת כ-1000, לשני הכללים יש עדיפות זהה, ולכן חל הכלל הראשון שדוחה את כל התנועה.
אם העדיפות של הכלל השני מוגדרת למספר נמוך מ 1000, העדיפות שלו גבוהה יותר, ולכן הוא מאפשר תנועה ב-TCP 80 ליעדים webserver. אם אין כללים אחרים, הכלל הראשון עדיין יחסום סוגים אחרים של תנועה ליעדי webserver, והוא גם יחסום את כל התנועה, כולל TCP 80, למופעים ללא תג הרשת webserver.

בדוגמה הקודמת אפשר לראות איך משתמשים בעדיפויות כדי ליצור כללי allowסלקטיביים וכללים denyגלובליים, וליישם שיטה מומלצת לאבטחה של הרשאות מינימליות.

פעולה במקרה של התאמה

רכיב הפעולה של כלל חומת אש קובע אם הוא מאפשר או חוסם תעבורה, בכפוף לרכיבים האחרים של הכלל:

פעולת allow מאפשרת חיבורים שתואמים לרכיבים האחרים שצוינו.
deny פעולה חוסמת חיבורים שתואמים לרכיבים האחרים שצוינו.

אכיפה

אתם יכולים לבחור אם כלל חומת האש יאכף על ידי הגדרת המצב שלו ל-enabled או ל-disabled. מגדירים את מצב האכיפה כשיוצרים כלל או כשמעדכנים כלל.

אם לא מגדירים מצב אכיפה כשיוצרים כלל חומת אש חדש, כלל חומת האש מוגדר אוטומטית למצב enabled.

תרחישים לדוגמה

השבתה והפעלה שימושיות לפתרון בעיות ולביצוע תחזוקה. כדאי לשנות את האכיפה של כלל בחומת האש במצבים הבאים:

לפתרון בעיות: בשילוב עם רישום ביומן של כללים של חומת אש ב-VPC, אפשר להשבית באופן זמני כלל חומת אש כדי לקבוע אם הכלל אחראי לחסימה או לאישור של תעבורת נתונים. האפשרות הזו שימושית במצבים שבהם כמה כללים של חומת אש חלים על אותה תנועת נתונים. השבתה והפעלה של כללים שימושיות יותר ממחיקה ויצירה מחדש של כללים, כי אף אחד מהרכיבים האחרים של הכלל לא אובד.
לצורך תחזוקה: השבתה של כללי חומת האש יכולה לפשט תחזוקה תקופתית. לדוגמה, אתם יכולים להפעיל כלל חומת אש לתעבורת נתונים נכנסת (ingress) שמאפשר גישת SSH רק בזמנים שבהם אתם צריכים לבצע תחזוקה באמצעות SSH. אם לא מבצעים תחזוקה, אפשר להשבית את הכלל.

השפעות על נפח התנועה הקיים

כשמשנים את מצב האכיפה של כלל חומת אש, יוצרים כלל חדש של enforced או משנים כללים של חומת אש כדי לדחות תעבורה שאושרה קודם, Cloud NGFW אוכף את השינוי הזה רק על חיבורים חדשים. החיבורים הקיימים נשמרים, והתעבורה שמשויכת אליהם לא מושפעת.

פרוטוקולים ויציאות

אפשר לצמצם את ההיקף של כלל בחומת אש על ידי ציון פרוטוקולים או פרוטוקולים ויציאות יעד. אפשר לציין פרוטוקול או שילוב של פרוטוקולים ויציאות היעד שלהם. אם לא מציינים פרוטוקולים ויציאות, כלל חומת האש חל על כל התנועה בכל פרוטוקול ובכל יציאת יעד. אין תמיכה בכללים שמבוססים על יציאות מקור.

לא כל הפרוטוקולים תומכים ביציאות. לדוגמה, יש יציאות ל-TCP ול-UDP, אבל לא ל-ICMP. ל-ICMP יש סוגי ICMP שונים, אבל הם לא פורטים ולא ניתן לציין אותם בכלל חומת אש.

אפשר להשתמש בשמות הפרוטוקולים הבאים בכללי חומת האש: tcp,‏ udp,‏ icmp (ל-IPv4 ICMP),‏ esp,‏ ah,‏ sctp ו-ipip. בכל שאר הפרוטוקולים, צריך להשתמש במספרי הפרוטוקולים של IANA.

הרבה פרוטוקולים משתמשים באותו שם ובאותו מספר גם ב-IPv4 וגם ב-IPv6, אבל יש פרוטוקולים, כמו ICMP, שלא משתמשים באותו שם ובאותו מספר.

אין תמיכה בפרוטוקול IPv6 Hop-by-Hop בכללי חומת האש.

בטבלה הבאה מפורטים שילובי פרוטוקולים ויציאות יעד תקינים לכללי חומת האש של Cloud de Confiance .

מפרט	דוגמה	הסבר
אין פרוטוקול ויציאה	—	אם לא מציינים פרוטוקול, כלל חומת האש חל על כל הפרוטוקולים ועל יציאות היעד הרלוונטיות שלהם.
פרוטוקול	`tcp`	אם מציינים פרוטוקול בלי פרטי יציאה, כלל חומת האש חל על הפרוטוקול הזה ועל כל היציאות הרלוונטיות שלו.
פרוטוקול ויציאה יחידה	`tcp:80`	אם מציינים פרוטוקול ויציאת יעד אחת, כלל חומת האש חל על יציאת היעד של הפרוטוקול.
פרוטוקול וטווח יציאות	`tcp:20-22`	אם מציינים פרוטוקול וטווח יציאות, כלל חומת האש חל על טווח יציאות היעד של הפרוטוקול.
שילובים	`icmp,tcp:80` `tcp:443` `udp:67-69`	אפשר לציין שילובים שונים של פרוטוקולים ויציאות יעד שכלל חומת האש חל עליהם. מידע נוסף זמין במאמר יצירת כללים של חומת אש.

Cloud de Confiance

יעד, מקור, יעד

יעדים מזהים את ממשקי הרשת של המופעים שכלל חומת האש חל עליהם.

אתם יכולים לציין פרמטרים של מקור ושל יעד שחלים על המקורות או היעדים של המנות, גם עבור כללי חומת אש של תעבורת נתונים נכנסת (ingress) וגם עבור כללי חומת אש של תעבורת נתונים יוצאת (egress). הכיוון של כלל חומת האש קובע את הערכים האפשריים של פרמטר המקור ופרמטר היעד.

פרמטר של יעד

הפרמטר target מזהה את ממשקי הרשת של מופעי Compute Engine, כולל צומתי GKE ומופעים של הסביבה הגמישה של App Engine.

אפשר להגדיר את היעדים הבאים לכללים של תעבורת נתונים נכנסת (ingress) או יוצאת (egress). הפרמטרים target,‏ source ו-destination פועלים יחד כמו שמתואר במאמר מקור, יעד, טירגוט.

יעד ברירת המחדל – כל המופעים ברשת ה-VPC. אם לא מציינים יעד, כלל חומת האש חל על כל המופעים ברשת ה-VPC.
מופעים לפי תגי רשת יעד. כלל חומת האש חל רק על מכונות עם ממשקי רשת ברשת ה-VPC של כלל חומת האש, אם למכונות יש תג רשת שתואם לפחות לאחד מתגי הרשת של היעד של כלל חומת האש. במאמר מגבלות לכל כלל של חומת אש מפורט מספר התגים המקסימלי של רשתות יעד שאפשר לציין לכל כלל של חומת אש.
Instances by target service accounts (מופעים לפי חשבונות שירות של היעד). כלל חומת האש חל רק על מקרים עם ממשקי רשת ברשת ה-VPC של כלל חומת האש, אם המקרים משתמשים בחשבון שירות שתואם לפחות לאחד מחשבונות השירות של היעד של כלל חומת האש. למידע על המספר המקסימלי של חשבונות שירות יעד שאפשר לציין לכל כלל חומת אש, אפשר לעיין במאמר מגבלות לכל כלל חומת אש.

מידע על היתרונות והמגבלות של תגי רשת של יעד וחשבונות שירות של יעד זמין במאמר סינון לפי חשבון שירות לעומת תג רשת.

יעדים וכתובות IP לכללים לתעבורת נתונים נכנסת (ingress)

העיבוד של המנות שמנותבות לממשק הרשת של מכונת יעד וירטואלית מתבצע על סמך התנאים הבאים:

אם כלל חומת האש של התנועה הנכנסת כולל טווח של כתובות IP ליעד, היעד של המנה צריך להתאים לאחד מטווחים כתובות ה-IP ליעד שהוגדרו באופן מפורש.
אם כלל חומת האש של התנועה הנכנסת לא כולל טווח כתובות IP ליעד, היעד של המנה צריך להיות זהה לאחת מכתובות ה-IP הבאות:
- כתובת ה-IPv4 הפנימית הראשית שהוקצתה ל-NIC של המכונה.
- כל טווח כתובות IP של כינוי שהוגדר בכרטיס רשת של המופע.
- כתובת ה-IPv4 החיצונית שמשויכת ל-NIC של המכונה.
- אם מוגדר IPv6 ברשת המשנה, כל אחת מכתובות ה-IPv6 שהוקצו ל-NIC.
- כתובת IP פנימית או חיצונית שמשויכת לכלל העברה שמשמש לאיזון עומסים מסוג העברת סיגנל ללא שינוי, כאשר המופע הוא קצה עורפי למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי או למאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי.
- כתובת IP פנימית או חיצונית שמשויכת לכלל העברה שמשמש להעברת פרוטוקולים, כאשר המכונה מפנה למכונת יעד.
- כתובת IP בטווח היעד של מסלול סטטי בהתאמה אישית שמשתמש במכונה הווירטואלית כצעד הבא (next-hop-instance או next-hop-address).
- כתובת IP בטווח היעד של מסלול סטטי מותאם אישית שמשתמש במכונה של הצעד הבא (next-hop-ilb) במאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, אם המכונה הווירטואלית היא קצה עורפי של מאזן העומסים הזה.

יעדים וכתובות IP לכללים לתעבורת נתונים יוצאת (egress)

העיבוד של מנות שיוצאות מממשק הרשת של יעד תלוי בהגדרת העברת ה-IP במכונה הווירטואלית של היעד. העברת כתובות IP מושבתת כברירת מחדל.

כשהעברת ה-IP במכונת ה-VM היעד מושבתת, המכונה יכולה לשלוח מנות עם המקורות הבאים:
- כתובת ה-IPv4 הפנימית הראשית של כרטיס הרשת של המכונה.
- כל טווח כתובות IP של כינוי שהוגדר בכרטיס ה-NIC של מופע.
- אם מוגדר IPv6 ברשת המשנה, כל אחת מכתובות ה-IPv6 שהוקצו ל-NIC.
- כתובת IP פנימית או חיצונית שמשויכת לכלל העברה, לאיזון עומסים מסוג pass-through או להעברת פרוטוקול, אם המכונה היא קצה עורפי של מאזן עומסי רשת פנימי מסוג pass-through או מאזן עומסי רשת חיצוני מסוג pass-through, או אם היא מפנה למכונת יעד.
אם כלל חומת האש ליציאה כולל טווחי כתובות IP של המקור, המכונות הווירטואליות של היעד עדיין מוגבלות לכתובות ה-IP של המקור שצוינו קודם, אבל אפשר להשתמש בפרמטר המקור כדי לצמצם את הקבוצה הזו. שימוש בפרמטר של מקור בלי להפעיל העברת IP לא מרחיב את קבוצת כתובות המקור האפשריות של חבילות הנתונים.

אם כלל חומת האש ליציאה לא כולל טווח של כתובות IP של מקור, כל כתובות ה-IP של המקור שצוינו קודם מורשות.
כשהעברת ה-IP מופעלת במכונה הווירטואלית של היעד, המכונה הווירטואלית יכולה לפלוט מנות עם כתובות מקור שרירותיות. אפשר להשתמש בפרמטר source כדי להגדיר בצורה מדויקת יותר את קבוצת מקורות החבילות המותרים.

פרמטר של מקור

ערכי פרמטר המקור תלויים בכיוון של כלל חומת האש.

מקורות לכללים לתעבורת נתונים נכנסת (ingress)

אפשר להשתמש במקורות הבאים לכללים של חומת אש לתעבורה נכנסת:

טווח ברירת המחדל של המקור: כשמשמיטים את הגדרת המקור בכלל כניסה,Cloud de Confiance משתמש בטווח כתובות IPv4 של ברירת המחדל של המקור 0.0.0.0/0 (כל כתובת IPv4). ערך ברירת המחדל לא כולל מקורות IPv6.
טווחים של כתובות IPv4 של המקור: רשימה של כתובות IPv4 בפורמט CIDR.
טווחים של כתובות IPv6 של המקור: רשימה של כתובות IPv6 בפורמט CIDR.
תגי רשת של מקור: תגי רשת אחד או יותר שמזהים ממשקי רשת של מופעים של מכונות וירטואליות באותה רשת VPC כמו כלל חומת האש. למידע על המספר המקסימלי של תגי רשת מקור לכל כלל חומת אש, אפשר לעיין במאמר מגבלות לכל כלל חומת אש. לפרטים על האופן שבו מתבצעת התאמה של כתובות מקור של חבילות נתונים כשמשתמשים במפרט המקור המרומז הזה, אפשר לעיין במאמר איך תגי מקור ברשת וחשבונות שירות מקור מרמזים על מקורות של חבילות נתונים.
חשבונות שירות של מקור: חשבונות שירות אחד או יותר שמזהים ממשקי רשת של מכונות וירטואליות באותה רשת VPC כמו כלל חומת האש. למידע על המספר המקסימלי של חשבונות שירות למקור לכל כלל חומת אש, ראו מגבלות לכל כלל חומת אש. לפרטים על האופן שבו מתבצעת התאמה של כתובות המקור של מנות כשמשתמשים במפרט המקור המרומז הזה, אפשר לעיין במאמר איך תגי רשת של מקורות וחשבונות שירות של מקורות מרמזים על מקורות של מנות.
שילוב מקורות תקין: בכל השילובים הבאים, קבוצת המקורות בפועל היא האיחוד של כתובות IPv4 או IPv6 שצוינו באופן מפורש ושל טווחי כתובות ה-IP שמשתמעים מתג רשת המקור או מחשבון שירות המקור:
- שילוב של טווחים של כתובות IPv4 של המקור ותגי רשת של המקור.
- שילוב של טווחים של כתובות IPv6 של המקור ותגי רשת של המקור.
- שילוב של טווחים של כתובות IPv4 של המקור וחשבונות שירות של המקור.
- שילוב של טווחים של כתובות IPv6 של המקור וחשבונות שירות של המקור.

איך תגי רשת של מקור וחשבונות שירות של מקור מרמזים על מקורות של מנות

כשכלל חומת אש של תעבורת נכנסת משתמש בתג רשת של מקור, החבילות צריכות להישלח מממשק רשת שעומד בקריטריונים הבאים:

ממשק הרשת צריך להיות ברשת ה-VPC שבה מוגדר כלל חומת האש, ו
ממשק הרשת צריך להיות משויך למכונה וירטואלית עם תג רשת שתואם לפחות לאחד מתגי רשת המקור של כלל חומת האש.

כשכלל חומת אש של תעבורת נכנסת משתמש בחשבון שירות של מקור, החבילות חייבות להישלח מממשק רשת שעומד בקריטריונים הבאים:

ממשק הרשת צריך להיות ברשת ה-VPC שבה מוגדר כלל חומת האש, ו
ממשק הרשת צריך להיות משויך למכונה וירטואלית שיש לה חשבון שירות שתואם לאחד מחשבונות השירות של המקור של כלל חומת האש.

בנוסף לציון ממשק רשת, כשכלל חומת אש של תעבורת נכנס משתמש בתג רשת של מקור או בחשבון שירות של מקור, חבילות שמועברות מממשק הרשת של המכונה הווירטואלית חייבות להשתמש באחת מכתובות ה-IP המקוריות התקפות הבאות:

כתובת ה-IPv4 הפנימית הראשית של ממשק הרשת הזה.
כל כתובות ה-IPv6 שהוקצו לממשק הרשת הזה.

אם כלל חומת אש לדחייה של תעבורת נתונים נכנסת (ingress) מכיל גם טווחי כתובות IP של יעד, ממשק הרשת שקשור לתג רשת יומר לאותה גרסת IP כמו טווח כתובות ה-IP של היעד.

כשמשתמשים בתגי רשת של מקור או בחשבונות שירות של מקור, לא משתמעות כתובות IP אחרות של מקור החבילה. לדוגמה, טווחי כתובות IP של כינויים וכתובות IPv4 חיצוניות שמשויכות לממשק הרשת מוחרגים. אם אתם צריכים ליצור כללי חומת אש לתעבורה נכנסת שהמקורות שלהם כוללים טווחי כתובות IP של כינויים או כתובות IPv4 חיצוניות, אתם צריכים להשתמש בטווחי כתובות IPv4 של מקורות.

מקורות לכללי תעבורת נתונים יוצאת (egress)

אפשר להשתמש במקורות הבאים לכללים של חומת אש ליציאה:

ברירת מחדל – משתמעת מהיעד. אם משמיטים את פרמטר המקור מכלל יציאה, מקורות החבילות מוגדרים באופן מרומז, כפי שמתואר במאמר יעדים וכתובות IP לכללי יציאה.
טווחי IPv4 של המקור. רשימה של כתובות IPv4 בפורמט CIDR.
טווחי IPv6 של המקור. רשימה של כתובות IPv6 בפורמט CIDR.

כדי להוסיף טווחים של כתובות IP של מקור לכללי תעבורת נתונים יוצאת (egress), צריך לפעול לפי ההנחיות הבאות:

אם לממשק של מכונה וירטואלית מוקצות כתובות IPv4 פנימיות וחיצוניות, רק כתובת ה-IPv4 הפנימית משמשת במהלך הערכת הכלל.
אם מציינים גם פרמטרים של מקור וגם פרמטרים של יעד בכלל יציאה, צריך להשתמש באותה גרסת IP לשני הפרמטרים. אפשר להשתמש בטווח כתובות IPv4 או בטווח כתובות IPv6, אבל לא בשניהם. פרטים נוספים מופיעים במאמר בנושא יעדים לכללי תעבורת נתונים יוצאת (egress).

פרמטר יעד

אפשר לציין יעדים באמצעות טווחים של כתובות IP, שנתמכים גם בכללי תעבורת נתונים נכנסת (ingress) וגם בכללי תעבורת נתונים יוצאת (egress). התנהגות היעד שמוגדרת כברירת מחדל תלויה בכיוון הכלל.

יעדים לכללי תעבורת נתונים נכנסת (ingress)

אפשר להשתמש ביעדים הבאים לכללים של חומת אש לתעבורה נכנסת:

ברירת מחדל – משתמעת מהיעד. אם משמיטים את פרמטר היעד מכלל תעבורה נכנסת, היעדים של החבילות מוגדרים באופן מרומז, כפי שמתואר במאמר יעדים וכתובות IP לכללי תעבורה נכנסת.
טווחי IPv4 של היעד. רשימה של כתובות IPv4 בפורמט CIDR.
טווחי IPv6 של היעד. רשימה של כתובות IPv6 בפורמט CIDR.

כדי להוסיף טווחים של כתובות IP ליעד לכללי תעבורה נכנסת, צריך לפעול לפי ההנחיות הבאות:

אם לממשק של מכונה וירטואלית מוקצות כתובות IPv4 פנימיות וחיצוניות, רק כתובת ה-IPv4 הפנימית משמשת במהלך הערכת הכלל.
אם מציינים גם פרמטרים של מקור וגם פרמטרים של יעד בכלל תעבורה נכנסת, הפרמטרים של המקור יומרו לאותה גרסת IP כמו טווח כתובות ה-IP של היעד. מידע נוסף על הגדרת מקורות לכללי תנועה נכנסת זמין במאמר מקורות לכללי תנועה נכנסת.

יעדים לכללים לתעבורת נתונים יוצאת (egress)

אפשר להשתמש ביעדים הבאים לכללים של חומת אש ליציאה:

טווח יעד שמוגדר כברירת מחדל כשמשמיטים את הגדרת היעד בכלל יציאה, Cloud de Confiance משתמשים בטווח כתובות IPv4 של היעד שמוגדר כברירת מחדל0.0.0.0/0 (כל כתובת IPv4). ערך ברירת המחדל לא כולל יעדי IPv6.
טווחי IPv4 של היעד. רשימה של כתובות IPv4 בפורמט CIDR.
טווחי IPv6 של היעד. רשימה של כתובות IPv6 בפורמט CIDR.

סינון של מקור ויעד לפי חשבון שירות

אתם יכולים להשתמש בחשבונות שירות כדי ליצור כללי חומת אש שהם ספציפיים יותר:

גם בכללים לתעבורת נתונים נכנסת וגם בכללים לתעבורת נתונים יוצאת, אפשר להשתמש בחשבונות שירות כדי לציין יעדים.
בכללי תעבורת נתונים נכנסת (ingress), אפשר לציין את המקור של מנות נתונים נכנסות ככתובת ה-IP הפנימית הראשית של כל מכונה וירטואלית ברשת שבה המכונה הווירטואלית משתמשת בחשבון שירות מסוים.

צריך ליצור את חשבון השירות באותו פרויקט שבו נמצא כלל חומת האש לפני שיוצרים כלל חומת אש שמסתמך עליו. המערכת לא מונעת מכם ליצור כלל שמשתמש בחשבון שירות מפרויקט אחר, אבל הכלל לא נאכף אם חשבון השירות לא קיים בפרויקט של כלל חומת האש.

כללי חומת אש שמשתמשים בחשבונות שירות כדי לזהות מכונות חלים גם על מכונות חדשות שנוצרו ושויכו לחשבון השירות וגם על מכונות קיימות אם משנים את חשבונות השירות שלהן. כדי לשנות את חשבון השירות שמשויך למכונה, צריך להפסיק אותה ולהפעיל אותה מחדש. אפשר לשייך חשבונות שירות למופעים ספציפיים ולתבניות של מופעים שמשמשות קבוצות של מופעים מנוהלים.

סינון לפי חשבון שירות לעומת תג רשת

בקטע הזה מודגשים נקודות חשובות שכדאי לקחת בחשבון כשמחליטים אם להשתמש בחשבונות שירות או בתגי רשת כדי להגדיר יעדים ומקורות (עבור כללי תעבורה נכנסת).

אם אתם צריכים שליטה קפדנית באופן ההחלה של כללי חומת האש על מכונות וירטואליות, השתמשו בחשבונות שירות של יעד ובחשבונות שירות של מקור במקום בתגי רשת של יעד ובתגי רשת של מקור:

תג רשת הוא מאפיין שרירותי. אפשר לשייך תג רשת אחד או יותר למופע על ידי כל חשבון משתמש ב-IAM שיש לו הרשאה לערוך אותו. לחשבונות משתמשים ב-IAM עם התפקיד אדמין מכונות של Compute Engine בפרויקט יש את ההרשאה הזו. גורמים (principals) ב-IAM שיכולים לערוך מכונה יכולים לשנות את תגי הרשת שלה, מה שיכול לשנות את קבוצת כללי חומת האש שחלים על המכונה הזו.
חשבון שירות מייצג זהות שמשויכת למופע. אפשר לשייך למופע רק חשבון שירות אחד. אתם שולטים בגישה לחשבון השירות על ידי שליטה בהענקת התפקיד 'משתמש בחשבון שירות' לחשבונות משתמשים אחרים ב-IAM. כדי שחשבון משתמש ב-IAM יוכל להפעיל מכונה וירטואלית באמצעות חשבון שירות, צריכות להיות לו לפחות הרשאות שימוש בחשבון השירות הזה (למשל, התפקיד 'אדמין של מכונה וירטואלית ב-Compute Engine' בפרויקט) והרשאות מתאימות ליצירת מכונות וירטואליות.

אי אפשר לשלב בין חשבונות שירות ותגי רשת בכל כלל חומת אש:

אי אפשר להשתמש יחד בחשבונות שירות ליעד ובתגי רשת ליעד בכל כלל חומת אש (תעבורה נכנסת או יוצאת).

אם מציינים יעדים לפי תג רשת יעד או חשבון שירות יעד, המקורות הבאים לא תקפים לכללי חומת אש של תעבורת נתונים נכנסת (ingress).

יעדים	מקורות לא תקינים
תגים של רשתות מטורגטות	חשבונות שירות של המקור שילוב של טווחי כתובות IP של המקור וחשבונות שירות של המקור
חשבון שירות יעד	תגי רשת של המקור שילוב של טווחי כתובות IP של המקור ותגי רשת של המקור

הנה כמה שיקולים תפעוליים לגבי חשבונות שירות ותגי רשת:

כדי לשנות חשבון שירות של מכונה, צריך להפסיק אותה ולהפעיל אותה מחדש. אפשר להוסיף או להסיר תגי רשת בזמן שהמופע פועל.
יש מספר מקסימלי של חשבונות שירות יעד, חשבונות שירות מקור, תגי רשת יעד ותגי רשת מקור שאפשר לציין עבור כללי חומת אש. מידע נוסף מופיע בקטע מגבלות לכל כלל חומת אש.
אם אתם מזהים מכונות באמצעות תג רשת, כלל חומת האש חל על כתובת ה-IP הפנימית הראשית של המכונה.
כללי חומת האש של חשבון השירות חלים על הצומת של GKE ולא על ה-Pod של GKE.

תפקידים והרשאות

בטבלה הבאה מתוארות הרשאות ה-IAM שנדרשות כדי לעבוד עם כללי חומת אש של VPC.

משימה	ההרשאה הנדרשת	תפקיד לדוגמה
יצירת כלל לחומת האש	`compute.firewalls.create`	תפקיד Security Admin ב-Compute (`roles/compute.securityAdmin`)
מחיקת כלל לחומת האש	`compute.firewalls.delete`	אדמין לענייני אבטחה ב-Compute (`roles/compute.securityAdmin`)
ביצוע שינויים בכללים של חומת האש	`compute.firewalls.update`	תפקיד Security Admin ב-Compute (`roles/compute.securityAdmin`)
הצגת פרטים על כלל חומת אש	`compute.firewalls.get`	צפייה ברשת ב-Compute (`roles/compute.networkViewer`)
הצגת רשימה של כללים לחומת האש	`compute.firewalls.list`	צפייה ברשת ב-Compute (`roles/compute.networkViewer`)

תרחישים לדוגמה

בדוגמאות הבאות מוסבר איך כללים של חומת אש פועלים. בדוגמאות האלה, כל כללי חומת האש מופעלים.

מקרים של תעבורת נתונים נכנסת

כללי חומת אש של תעבורה נכנסת (ingress) שולטים בחיבורים נכנסים ממקור למופעי יעד ברשת ה-VPC. המקור של כלל תעבורה נכנסת יכול להיות אחד מהבאים:

טווח של כתובות IPv4 או IPv6. ברירת המחדל היא כל כתובת IPv4 (0.0.0.0/0)
מופעים אחרים ברשת ה-VPC שזוהו באמצעות תגי רשת
מכונות וירטואליות אחרות ברשת ה-VPC שזוהו על ידי חשבון שירות
מקרים אחרים ברשת ה-VPC שזוהו לפי טווח של כתובות IPv4 או IPv6 וגם לפי תג רשת
מופעים אחרים ברשת ה-VPC שמזוהים לפי טווח של כתובות IPv4 או IPv6 וגם לפי חשבון שירות

מקור ברירת המחדל הוא כל כתובת IPv4 ‏ (0.0.0.0/0). אם רוצים לשלוט בחיבורים נכנסים ממקורות מחוץ לרשת ה-VPC, כולל מקורות אחרים באינטרנט, צריך להשתמש בטווח של כתובות IP בפורמט CIDR.

כללי כניסה עם פעולה allow מאפשרים תעבורה נכנסת על סמך המרכיבים האחרים של הכלל. בנוסף להגדרת המקור והיעד של הכלל, אפשר להגביל את הכלל כך שיחול על פרוטוקולים ספציפיים ועל יציאות יעד ספציפיות. באופן דומה, אפשר להשתמש בכללי כניסה עם פעולה deny כדי להגן על מכונות על ידי חסימת תעבורה נכנסת על סמך רכיבי כלל חומת האש.

דוגמאות ל-Ingress

באיור 1 מוצגות כמה דוגמאות למקרים שבהם כללים של חומת אש יכולים לשלוט בחיבורים נכנסים. בדוגמאות נעשה שימוש בפרמטר target בהקצאות של כללים כדי להחיל כללים על מקרים ספציפיים.

בדוגמה הזו של רשת VPC, כללי חומת האש שמאפשרים תעבורת נתונים נכנסת מבטלים את כלל ברירת המחדל שחוסם תעבורת נתונים נכנסת למכונות וירטואליות מסוימות. — **איור 1.** בדוגמה הזו של רשת VPC, כללי חומת האש שמאפשרים תעבורה נכנסת מבטלים את כלל הדחייה המרומז של תעבורה נכנסת עבור חלק מהמכונות הווירטואליות (אפשר ללחוץ כדי להגדיל).

כלל תנועה נכנסת עם עדיפות 1000 חל על מכונה וירטואלית 1. הכלל הזה מאפשר תעבורת TCP נכנסת מכל מקור IPv4‏ (0.0.0.0/0). תעבורת TCP ממכונות אחרות ברשת ה-VPC מותרת, בכפוף לכללי היציאה הרלוונטיים למכונות האחרות האלה. מכונה וירטואלית 4 יכולה לתקשר עם מכונה וירטואלית 1 באמצעות TCP כי מכונה וירטואלית 4 לא כוללת כלל יציאה שחוסם תקשורת כזו (רק כלל היציאה המשתמע חל). מכיוון של-VM 1 יש כתובת IP חיצונית, הכלל הזה מאפשר גם תעבורת TCP נכנסת ממארחים חיצוניים באינטרנט ומ-VM 2 דרך כתובות IP חיצוניות.
למכונה וירטואלית 2 לא הוגדר כלל חומת אש לתעבורת נתונים נכנסת (ingress), ולכן כלל הדחייה המשתמעת של תעבורת נתונים נכנסת חוסם את כל התעבורה הנכנסת. החיבורים ממכונות אחרות ברשת חסומים, ללא קשר לכללי היציאה של המכונות האחרות. מכיוון של-VM 2 יש כתובת IP חיצונית, יש נתיב אליה ממארחים חיצוניים באינטרנט, אבל כלל ברירת המחדל לחסימת תעבורת נתונים נכנסת חוסם גם תעבורת נתונים נכנסת חיצונית.
כלל כניסה עם עדיפות 1000 חל על מכונה וירטואלית 3. הכלל הזה מאפשר תעבורת TCP ממופעים ברשת עם תג הרשת client, כמו VM 4. תעבורת TCP מ-VM 4 אל VM 3 מותרת כי ל-VM 4 אין כלל תעבורה יוצאת שחוסם תקשורת כזו (רק כלל התעבורה היוצאת המשתמע חל). מכיוון של-VM 3 אין כתובת IP חיצונית, אין נתיב אליה ממארחים חיצוניים באינטרנט.

מקרים של תעבורת נתונים יוצאת (egress)

כללי חומת אש ליציאה שולטים בחיבורים יוצאים ממופעי יעד ברשת ה-VPC. כללי תעבורת נתונים יוצאת עם פעולה מסוג allow מאפשרים תעבורה ממופעים על סמך הרכיבים האחרים של הכלל. לדוגמה, אתם יכולים לאפשר תנועה יוצאת ליעדים ספציפיים, כמו טווח של כתובות IPv4, בפרוטוקולים וביציאות יעד שאתם מציינים. באופן דומה, כללי יציאה עם פעולה deny חוסמים תנועה על סמך הרכיבים האחרים של הכלל.

לכל כלל יציאה צריך להיות יעד. יעד ברירת המחדל הוא כל כתובת IPv4 ‏ (0.0.0.0/0), אבל אפשר ליצור יעד ספציפי יותר באמצעות טווח של כתובות IPv4 או IPv6 בפורמט CIDR. כשמציינים טווח של כתובות IP, אפשר לשלוט בתעבורת הנתונים למופעים ברשת וליעדים מחוץ לרשת, כולל יעדים באינטרנט.

דוגמאות לתעבורת נתונים יוצאת (egress)

באיור 2 מוצגות כמה דוגמאות למקרים שבהם כללים של חומת אש יכולים לשלוט בחיבורים יוצאים. בדוגמאות נעשה שימוש בפרמטר target בהקצאות של כללים כדי להחיל כללים על מקרים ספציפיים.

בדוגמה הזו של רשת VPC, כללי חומת האש שחוסמים תעבורת נתונים יוצאת מבטלים את כלל ברירת המחדל שמאפשר תעבורת נתונים יוצאת עבור חלק מהמכונות הווירטואליות. — **איור 2.** בדוגמה הזו של רשת VPC, כללי חומת האש שחוסמים תעבורה יוצאת מבטלים את הכלל המשתמע שמאפשר תעבורה יוצאת עבור חלק מהמכונות הווירטואליות (אפשר ללחוץ כדי להגדיל).

ל-VM 1 לא הוגדר כלל ספציפי של חומת אש לתעבורת נתונים יוצאת, ולכן כלל ברירת המחדל שמאפשר תעבורת נתונים יוצאת מאפשר לו לשלוח תעבורה לכל יעד. מותר להתחבר למופעים אחרים ברשת ה-VPC, בכפוף לכללי הכניסה הרלוונטיים למופעים האחרים האלה. מכונה וירטואלית 1 יכולה לשלוח תעבורה אל מכונה וירטואלית 4 כי מכונה וירטואלית 4 כוללת כלל של תעבורת נתונים נכנסת (ingress) שמאפשר תעבורה נכנסת מכל טווח של כתובות IP. מכיוון של-VM 1 יש כתובת IP חיצונית, היא יכולה לשלוח תעבורה למארחים חיצוניים באינטרנט. תגובות נכנסות לתנועה שנשלחת על ידי VM 1 מורשות כי כללי חומת האש הם עם שמירת מצב.
כלל לתעבורת נתונים יוצאת (egress) עם עדיפות 1000 חל על מכונה וירטואלית 2. הכלל הזה חוסם את כל התנועה היוצאת לכל יעדי ה-IPv4 ‏ (0.0.0.0/0). התנועה היוצאת למופעים אחרים ברשת ה-VPC חסומה, ללא קשר לכללי התנועה הנכנסת שחלים על המופעים האחרים. למרות של-VM 2 יש כתובת IP חיצונית, כלל חומת האש הזה חוסם את התעבורה היוצאת שלה למארחים חיצוניים באינטרנט.
כלל יציאה עם עדיפות 1000 חל על מכונה וירטואלית 3. הכלל הזה חוסם את תעבורת ה-TCP היוצאת לכל יעד בטווח כתובות ה-IP‏ 192.168.1.0/24. למרות שכללי הכניסה של מכונה וירטואלית 4 מאפשרים את כל התנועה הנכנסת, מכונה וירטואלית 3 לא יכולה לשלוח תנועת TCP אל מכונה וירטואלית 4. עם זאת, VM 3 יכול לשלוח תנועת UDP ל-VM 4 כי כלל היציאה חל רק על פרוטוקול TCP.

בנוסף, VM 3 יכולה לשלוח תעבורה למופעים אחרים ברשת ה-VPC מחוץ לטווח כתובות ה-IP‏ 192.168.1.0/24, כל עוד למופעים האחרים יש כללי תעבורה נכנסת שמאפשרים תעבורה כזו. מכיוון שאין לה כתובת IP חיצונית, אין לה נתיב לשליחת תעבורה מחוץ לרשת ה-VPC.

המאמרים הבאים

כדי ליצור כללים של חומת אש ולעבוד איתם, אפשר לעיין במאמר בנושא שימוש בכללים של חומת אש ב-VPC.