Hierarchische Firewallrichtlinien und -regeln erstellen

Console

1. Rufen Sie in der Cloud de Confiance Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder einen Ordner innerhalb Ihrer Organisation aus.

3. Klicken Sie auf Firewallrichtlinie erstellen.

4. Geben Sie im Feld Richtlinienname einen Namen für die Richtlinie ein.

5. Optional: Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter.

6. Klicken Sie im Bereich Regeln hinzufügen auf Firewallregel erstellen. Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter:

   • Regel für eingehenden Traffic für VM-Ziele erstellen
   • Regel für ausgehenden Traffic für VM-Ziele erstellen

7. Optional: Wenn Sie die Richtlinie mit einer Ressource verknüpfen möchten, klicken Sie auf Weiter.

8. Klicken Sie im Abschnitt Richtlinie mit Ressourcen verknüpfen auf Hinzufügen.

   Weitere Informationen finden Sie unter Richtlinie mit der Organisation oder dem Ordner verknüpfen.

9. Klicken Sie auf Erstellen.

gcloud

Führen Sie diese Befehle aus, um eine hierarchische Firewallrichtlinie zu erstellen, deren übergeordnete Einheit eine Organisation ist:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Führen Sie diese Befehle aus, um eine hierarchische Firewallrichtlinie zu erstellen, deren übergeordnetes Element ein Ordner in einer Organisation ist:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Ersetzen Sie Folgendes:

• ORG_ID: ID Ihrer Organisation

  Geben Sie eine Organisations-ID an, um eine Richtlinie zu erstellen, deren übergeordnete Ressource eine Organisation ist. Die Richtlinie kann mit der Organisation oder einem Ordner innerhalb der Organisation verknüpft werden.

• SHORT_NAME: ein Name für die Richtlinie

  Eine Richtlinie, die mithilfe der Google Cloud CLI erstellt wird, hat zwei Namen: einen vom System generierten Namen und einen Kurznamen, den Sie selbst festlegen. Wenn Sie eine vorhandene Richtlinie über die gcloud CLI aktualisieren, können Sie entweder den vom System generierten Namen oder den Kurznamen und die Organisations-ID angeben. Wenn Sie die API zum Aktualisieren der Richtlinie verwenden, müssen Sie den vom System generierten Namen angeben.

• FOLDER_ID: die ID eines Ordners

  Geben Sie eine Ordner-ID an, um eine Richtlinie zu erstellen, deren übergeordnetes Element ein Ordner ist. Die Richtlinie kann mit der Organisation, die den Ordner enthält, oder mit einem beliebigen Ordner in dieser Organisation verknüpft werden.

Console

1. Rufen Sie in der Cloud de Confiance Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

3. Klicken Sie auf die Richtlinie.

4. Klicken Sie auf den Tab Verknüpfungen.

5. Klicken Sie auf Verknüpfung hinzufügen.

6. Wählen Sie den Organisationsstamm oder die Ordner innerhalb der Organisation aus.

7. Klicken Sie auf Hinzufügen.

gcloud

Normalerweise schlägt der Vorgang fehl, wenn Sie versuchen, eine Richtlinie mit einer Ressource auf Organisations- oder Ordnerebene zu verknüpfen, für die bereits eine Verknüpfung besteht. Wenn Sie das --replace-association-on-target-Flag angeben, wird die vorhandene Verknüpfung gelöscht, sobald Sie die neue Verknüpfung erstellen. Dadurch wird verhindert, dass die Ressource während der Umstellung keine Richtlinie hat.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ersetzen Sie Folgendes:

• POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie
• ORG_ID: ID Ihrer Organisation
• FOLDER_ID: Wenn Sie die Richtlinie mit einem Ordner verknüpfen, geben Sie diesen hier an. Lassen Sie den Platzhalter unverändert, wenn Sie die Richtlinie auf Organisationsebene verknüpfen
• ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name "Organisation ORG_ID" oder "Ordner FOLDER_ID" festgelegt.

Console

1. Rufen Sie in der Cloud de Confiance Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Projektauswahlliste eine Organisation oder einen Ordner aus, die bzw. der eine hierarchische Firewallrichtlinie enthält.

3. Wählen Sie bei Bedarf im Abschnitt Hierarchieindex einen untergeordneten Ordner aus.

4. Klicken Sie im Bereich Firewallrichtlinien auf den Namen einer hierarchischen Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

5. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Eingehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
      • Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
        • Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
        • Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Zielnetzwerke: Wenn die Firewallrichtlinie optional auf Ziele in bestimmten VPC-Netzwerken angewendet werden soll, klicken Sie auf Netzwerk hinzufügen und wählen Sie dann das Projekt und das Netzwerk aus.

   7. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das Dienstkonto verwenden, das Sie unter Zieldienstkonto angeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   8. Quellnetzwerkkontext: Geben Sie einen Netzwerkkontext an:

      • Wenn Sie das Filtern von eingehendem Traffic nach Netzwerkkontext überspringen möchten, wählen Sie Alle Netzwerkkontexte aus.
      • Wenn Sie eingehenden Traffic nach einem bestimmten Netzwerkkontext filtern möchten, wählen Sie Bestimmter Netzwerkkontext aus und dann einen Netzwerkkontext:
        • Internet: Eingehender Traffic muss dem Netzwerkkontext „Internet“ für eingehende Pakete entsprechen.
        • Ohne Internet: Eingehender Traffic muss dem Netzwerkkontext „Ohne Internet“ für eingehende Pakete entsprechen.
        • VPC-intern: Eingehender Traffic muss den Kriterien für den VPC-internen Netzwerkkontext entsprechen.
        • VPC-Netzwerke: Eingehender Traffic muss den Kriterien für den Kontext von VPC-Netzwerken entsprechen. Sie müssen mindestens ein VPC-Netzwerk auswählen:
          • Aktuelles Projekt auswählen: Hiermit können Sie ein oder mehrere VPC-Netzwerk aus dem Projekt hinzufügen, das die Firewallrichtlinie enthält.
          • Netzwerk manuell eingeben: Hier können Sie ein Projekt und ein VPC-Netzwerk manuell eingeben.
          • Mit Projekt auswählen können Sie ein Projekt auswählen, aus dem Sie ein VPC-Netzwerk auswählen können.

   9. Quellfilter: Geben Sie zusätzliche Quellparameter an. Einige Quellparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Quellnetzwerkkontexts eingeschränkt, welche Quellparameter Sie verwenden können. Weitere Informationen finden Sie unter Quellen für Regeln für eingehenden Traffic und Kombinationen von Quellen für Regeln für eingehenden Traffic.

      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Wenn Sie eingehenden Traffic nach Werten für sichere Quell-Tags filtern möchten, wählen Sie im Bereich Sichere Tags die Option Bereich für Tags auswählen aus. Geben Sie dann Tag-Schlüssel und Tag-Werte an. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.
      • Wenn Sie eingehenden Traffic nach Quell-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie eingehenden Traffic nach Quellstandort filtern möchten, wählen Sie einen oder mehrere Standorte aus dem Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie eingehenden Traffic nach Quelladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.

   10. Ziel: Geben Sie optionale Zielparameter an. Weitere Informationen finden Sie unter Ziele für Regeln für eingehenden Traffic.

       • Wenn Sie das Filtern von eingehendem Traffic nach Ziel-IP-Adresse überspringen möchten, wählen Sie Keine aus.
       • Wenn Sie eingehenden Traffic nach Ziel-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Quellbereiche oder IPv6-Quellbereiche ein.

   11. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   12. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird oder nicht:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

6. Klicken Sie auf Erstellen.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
• ORG_ID: die Organisations-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element eine Organisation ist.
• FOLDER_ID: die Ordner-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element ein Ordner ist.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt die Auswertung der Firewallregel fort.
  • apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.
    • Wenn die Aktion apply_security_profile_group ist, müssen Sie --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist.
    • Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfangendpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
    • Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie die Flags --target-resources, --target-secure-tags und --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre Netzwerkressourcen-URLs im Format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME angegeben werden. Das Flag --target-resources kann allein oder in Kombination mit einem anderen Zielflag verwendet werden. Weitere Informationen finden Sie unter Spezifische Zielkombinationen.
  • TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Anfangs- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie eine Quelle für die Eingangsregel an. Weitere Informationen finden Sie unter Kombinationen von Quellen für Regeln für eingehenden Traffic:
  • SRC_NETWORK_CONTEXT: Definiert einen Quellnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Quellparameter verwendet werden soll, um eine Quellkombination zu erstellen. Gültige Werte für --target-type=INSTANCES sind INTERNET, NON_INTERNET, VPC_NETWORKS oder INTRA_VPC. Weitere Informationen finden Sie unter Netzwerkkontexte.
  • SRC_VPC_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre URL-Kennungen angegeben werden. Geben Sie dieses Flag nur an, wenn --src-network-context VPC_NETWORKS ist.
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
  • SRC_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden. Adressgruppen in der Liste müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen enthalten, nicht eine Kombination aus beidem.
  • SRC_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • SRC_SECURE_TAGS: eine durch Kommas getrennte Liste von Tags. Sie können das Flag --src-secure-tags nicht verwenden, wenn --src-network-context INTERNET ist.
  • SRC_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte. Sie können das Flag --src-region-codes nicht verwenden, wenn --src-network-context NON_INTERNET, VPC_NETWORKS oder INTRA_VPC ist.
• Optional können Sie ein Ziel für die Regel für eingehenden Traffic angeben:
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.

Console

1. Rufen Sie in der Cloud de Confiance Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Wählen Sie in der Projektauswahlliste eine Organisation oder einen Ordner aus, die bzw. der eine hierarchische Firewallrichtlinie enthält.

3. Wählen Sie bei Bedarf im Abschnitt Hierarchieindex einen untergeordneten Ordner aus.

4. Klicken Sie im Bereich Firewallrichtlinien auf den Namen einer hierarchischen Firewallrichtlinie, in der Sie eine Regel erstellen möchten.

5. Klicken Sie im Abschnitt Firewallregeln auf Firewallregel erstellen und geben Sie die folgenden Konfigurationsparameter an:

   1. Priorität: die numerische Auswertungsreihenfolge der Regel.

      Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.

   2. Beschreibung: Geben Sie optional eine Beschreibung ein.

   3. Trafficrichtung: Wählen Sie Ausgehend aus.

   4. Aktion bei Übereinstimmung: Wählen Sie eine der folgenden Optionen aus:

      • Zulassen: Ermöglicht Verbindungen, die den Regelparametern entsprechen.
      • Ablehnen: Verbindungen, die den Regelparametern entsprechen, werden blockiert.
      • Zu nächster: um den Prozess zur Auswertung von Firewallregeln fortzusetzen.
      • Sicherheitsprofilgruppe anwenden: Die Pakete werden basierend auf dem ausgewählten Zweck an einen Firewall-Endpunkt oder eine Intercept-Endpunktgruppe gesendet.
        • Wenn Sie Pakete an einen Cloud NGFW-Firewallendpunkt senden möchten, wählen Sie Cloud NGFW Enterprise und dann eine Sicherheitsprofilgruppe aus. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung der Pakete zu aktivieren.
        • Wenn Sie Pakete an eine NSI-Intercept-Endpunktgruppe (Network Security Integration) für die In-Band-Integration senden möchten, wählen Sie NSI In-Band und dann eine Sicherheitsprofilgruppe aus.

   5. Logs: Wählen Sie Ein aus, um das Logging von Firewallregeln zu aktivieren, oder Aus, um das Logging von Firewallregeln für diese Regel zu deaktivieren.

   6. Zielnetzwerke: Wenn die Firewallrichtlinie optional auf Ziele in bestimmten VPC-Netzwerken angewendet werden soll, klicken Sie auf Netzwerk hinzufügen und wählen Sie dann das Projekt und das Netzwerk aus.

   7. Ziel: Wählen Sie eine der folgenden Optionen aus:

      • Auf alle anwenden: Cloud NGFW verwendet die weitest gefassten Instanzziele.
      • Dienstkonten: Beschränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen, die das Dienstkonto verwenden, das Sie unter Zieldienstkonto angeben.
      • Sichere Tags: Schränkt die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen ein, die an mindestens einen der von Ihnen angegebenen sicheren Tag-Werte gebunden sind. Klicken Sie auf Bereich für Tags auswählen und wählen Sie die Organisation oder das Projekt aus, das die abzugleichenden Tag-Werte enthält. Wenn Sie weitere Tag-Werte hinzufügen möchten, klicken Sie auf Tag hinzufügen.

   8. Zielnetzwerkkontext: Geben Sie einen Netzwerkkontext an:

      • Wenn Sie das Filtern von ausgehendem Traffic nach Netzwerkkontext überspringen möchten, wählen Sie Alle Netzwerkkontexte aus.
      • Wenn Sie ausgehenden Traffic nach einem bestimmten Netzwerkkontext filtern möchten, wählen Sie Bestimmter Netzwerkkontext und dann einen Netzwerkkontext aus:
        • Internet: Ausgehender Traffic muss dem Internet-Netzwerkkontext für ausgehende Pakete entsprechen.
        • Nicht-Internet: Ausgehender Traffic muss dem Netzwerkkontext für ausgehende Pakete ohne Internetverbindung entsprechen.

   9. Zielfilter: Geben Sie zusätzliche Zielparameter an. Einige Zielparameter können nicht zusammen verwendet werden. Außerdem wird durch die Auswahl des Zielnetzwerkkontexts eingeschränkt, welche Zielfilter Sie verwenden können. Weitere Informationen finden Sie unter Ziele für Regeln für ausgehenden Traffic und Kombinationen von Zielen für Regeln für ausgehenden Traffic.

      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereiche ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IPv6-Bereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
      • Wenn Sie ausgehenden Traffic nach Ziel-FQDN filtern möchten, geben Sie FQDNs in das Feld FQDNs ein. Weitere Informationen finden Sie unter FQDN-Objekte.
      • Wenn Sie ausgehenden Traffic nach geografischem Zielstandort filtern möchten, wählen Sie einen oder mehrere Standorte im Feld Standorte aus. Weitere Informationen finden Sie unter Standortobjekte.
      • Wenn Sie ausgehenden Traffic nach Zieladressgruppe filtern möchten, wählen Sie im Feld Adressgruppen eine oder mehrere Adressgruppen aus. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.

   10. Quelle: Geben Sie optionale Quellparameter an. Weitere Informationen finden Sie unter Quellen für Regeln für ausgehenden Traffic.

       • Wenn Sie das Filtern von ausgehendem Traffic nach Quell-IP-Adresse überspringen möchten, wählen Sie Kein aus.
       • Wenn Sie ausgehenden Traffic nach Quell-IP-Adresse filtern möchten, wählen Sie IPv4 oder IPv6 aus und geben Sie dann einen oder mehrere CIDR-Bereiche im selben Format wie für IPv4-Zielbereiche oder IPv6-Zielbereiche ein.

   11. Protokolle und Ports: Geben Sie die Protokolle und Zielports für Traffic an, der der Regel entsprechen soll. Weitere Informationen finden Sie unter Protokolle und Ports.

   12. Erzwingung: Geben Sie an, ob die Firewallregel erzwungen wird oder nicht:

       • Aktiviert: Die Regel wird erstellt und auf neue Verbindungen angewendet.
       • Deaktiviert: Die Regel wird erstellt, aber nicht auf neue Verbindungen angewendet.

6. Klicken Sie auf Erstellen.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ersetzen Sie Folgendes:

• PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Wir empfehlen, die Prioritätswerte der Regeln um mehr als nur eins zu unterscheiden (z. B. 100, 200, 300), damit Sie später neue Regeln zwischen den vorhandenen Regeln erstellen können.
• POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, in der Sie die Regel erstellen möchten.
• ORG_ID: die Organisations-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element eine Organisation ist.
• FOLDER_ID: die Ordner-ID, die die hierarchische Firewallrichtlinie enthält, wenn das übergeordnete Element ein Ordner ist.
• DESCRIPTION: eine optionale Beschreibung für die neue Regel.
• ACTION: Geben Sie eine der folgenden Aktionen an:
  • allow: Ermöglicht die Verbindungen, die der Regel entsprechen.
  • deny: lehnt Verbindungen ab, die der Regel entsprechen.
  • goto_next: setzt die Auswertung der Firewallregel fort.
  • apply_security_profile_group: sendet die Pakete an einen Firewallendpunkt oder eine Intercept-Endpunktgruppe.
    • Wenn die Aktion apply_security_profile_group ist, müssen Sie --security-profile-group SECURITY_PROFILE_GROUP einfügen, wobei SECURITY_PROFILE_GROUP der Name einer Sicherheitsprofilgruppe ist.
    • Das Sicherheitsprofil der Sicherheitsprofilgruppe kann entweder auf einen Cloud NGFW-Firewall-Endpunkt oder eine Abfangendpunktgruppe für die In-Band-Integration der Netzwerksicherheitsintegration verweisen.
    • Wenn das Sicherheitsprofil der Sicherheitsprofilgruppe auf einen Cloud NGFW-Firewall-Endpunkt verweist, fügen Sie entweder --tls-inspect oder --no-tls-inspect ein, um die TLS-Prüfung zu aktivieren oder zu deaktivieren.
• Mit den Flags --enable-logging und --no-enable-logging wird das Logging von VPC-Firewallregeln aktiviert oder deaktiviert.
• Mit den Flags --disabled und --no-disabled wird gesteuert, ob die Regel deaktiviert (nicht erzwungen) oder aktiviert (erzwungen) ist.
• Geben Sie ein Ziel an:
  • Wenn Sie die Flags --target-resources, --target-secure-tags und --target-service-accounts weglassen, verwendet Cloud NGFW die breitesten Instanzziele.
  • TARGET_NETWORKS: eine durch Kommas getrennte Liste von VPC-Netzwerken, die durch ihre Netzwerkressourcen-URLs im Format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME angegeben werden. Das Flag --target-resources kann allein oder in Kombination mit einem anderen Zielflag verwendet werden. Weitere Informationen finden Sie unter Spezifische Zielkombinationen.
  • TARGET_SECURE_TAGS: Eine durch Kommas getrennte Liste von sicheren Tag-Werten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die an mindestens einen der sicheren Tag-Werte gebunden sind.
  • TARGET_SERVICE_ACCOUNTS: eine durch Kommas getrennte Liste von Dienstkonten, die die breitesten Instanzziele auf die Netzwerkschnittstellen von VM-Instanzen beschränkt, die eines der Dienstkonten verwenden.
• LAYER_4_CONFIGS: Eine durch Kommas getrennte Liste von Layer 4-Konfigurationen. Jede Layer 4-Konfiguration kann eine der folgenden sein:
  • Ein IP-Protokollname (tcp) oder eine IANA-IP-Protokollnummer (17) ohne Zielport.
  • Ein IP-Protokollname und ein Zielport, getrennt durch einen Doppelpunkt (tcp:80).
  • Ein IP-Protokollname und ein Zielportbereich, die durch einen Doppelpunkt getrennt sind. Der Anfangs- und Endzielport werden durch einen Bindestrich getrennt (tcp:5000-6000). Weitere Informationen finden Sie unter Protokolle und Ports.
• Geben Sie ein Ziel für die Ausgangsregel an. Weitere Informationen finden Sie unter Kombinationen von Zielen für Regeln für ausgehenden Traffic:
  • DEST_NETWORK_CONTEXT: Definiert einen Zielnetzwerkkontext, der in Verbindung mit einem anderen unterstützten Zielparameter verwendet wird, um eine Zielkombination zu erstellen. Gültige Werte sind INTERNET und NON_INTERNET. Weitere Informationen finden Sie unter Netzwerkkontexte.
  • DEST_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.
  • DEST_ADDRESS_GROUPS: Eine durch Kommas getrennte Liste von Adressgruppen, die durch ihre eindeutigen URL-IDs angegeben werden.
  • DEST_DOMAIN_NAMES: Eine durch Kommas getrennte Liste von FQDN-Objekten im Domainnamenformat.
  • DEST_COUNTRY_CODES: Eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes. Weitere Informationen finden Sie unter Standortobjekte.
• Optional können Sie eine Quelle für die Regel für ausgehenden Traffic angeben:
  • SRC_IP_RANGES: eine durch Kommas getrennte Liste von IP-Adressbereichen im CIDR-Format. Die Bereiche in der Liste müssen entweder IPv4-CIDRs oder IPv6-CIDRs sein, nicht eine Kombination aus beidem.