Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדיניות וכללים של חומת אש

כלל חומת אש ב-Cloud Next Generation Firewall קובע אם לאפשר או לחסום תעבורת נתונים ברשת של ענן וירטואלי פרטי (VPC) על סמך קריטריונים מוגדרים. מדיניות חומת אש של Cloud NGFW מאפשרת לקבץ כמה כללי חומת אש כדי לעדכן את כולם בבת אחת, בשליטה יעילה של תפקידים ב-IAM (המערכת לניהול הזהויות והרשאות הגישה).

במסמך הזה מוסבר על הסוגים השונים של כללי מדיניות של חומת אש וכללים של מדיניות חומת אש.

מדיניות חומת אש

‫Cloud NGFW תומך בסוגים הבאים של כללי חומת אש:

מדיניות חומת אש היררכית
מדיניות גלובלית של חומת אש בין רשתות
מדיניות אזורית של חומת אש בין רשתות
מדיניות אזורית של חומת האש במערכת

מדיניות חומת אש היררכית

מדיניות חומת אש היררכית מאפשרת לקבץ כללים באובייקט מדיניות שאפשר להחיל על הרבה רשתות VPC בפרויקט אחד או יותר. אפשר לשייך כללי מדיניות היררכיים של חומת אש לארגון שלם או לתיקיות בודדות.

למפרטים ולפרטים על מדיניות חומת אש היררכית, ראו מדיניות חומת אש היררכית.

מדיניות חומת אש בין רשתות גלובליות

מדיניות חומת אש בין רשתות גלובליות מאפשרת לקבץ כללים לאובייקט מדיניות שאפשר להחיל על כל האזורים של רשת VPC.

פרטים נוספים על מדיניות חומת אש בין רשתות גלובליות זמינים במאמר מדיניות חומת אש בין רשתות גלובליות.

מדיניות אזורית של חומת אש בין רשתות

מדיניות אזורית של חומת אש ברשת מאפשרת לקבץ כללים לאובייקט מדיניות שאפשר להחיל על אזור ספציפי ברשת VPC.

למידע נוסף על מפרטים ופרטים של מדיניות חומת אש אזורית, ראה מדיניות חומת אש אזורית של רשת.

מדיניות אזורית של חומת אש במערכת

כללי מדיניות אזוריים של חומת אש במערכת דומים לכללי מדיניות אזוריים של חומת אש ברשת, אבל הם מנוהלים על ידי Google. לכללי מדיניות אזוריים של חומת אש במערכת יש את המאפיינים הבאים:

Cloud de Confiance הערכת הכללים במדיניות אזורית של חומת האש במערכת מתבצעת מיד אחרי הערכת הכללים במדיניות היררכית של חומת האש. מידע נוסף על תהליך ההערכה של כללי חומת האש
אי אפשר לשנות כלל במדיניות חומת אש אזורית, אלא רק להפעיל או להשבית את הרישום ביומן של כלל חומת האש.
‫Cloud de Confiance יוצר מדיניות חומת אש אזורית למערכת באזור של רשת VPC, כששירות Google דורש כללים באזור הזה של הרשת.‫ Cloud de Confiance יכול לשייך יותר ממדיניות חומת אש אזורית אחת למערכת לאזור של רשת VPC, בהתאם לדרישות של שירותי Google.
לא נגבה מכם תשלום על הערכת כללים במדיניות חומת האש האזורית של המערכת.

אינטראקציה עם פרופיל של ערוץ

רשתות VPC רגילות תומכות בכללי חומת אש במדיניות חומת אש היררכית, במדיניות חומת אש בין רשתות גלובליות, במדיניות חומת אש בין רשתות אזוריות ובכללי חומת אש ב-VPC. כל כללי חומת האש מתוכנתים כחלק ממערך וירטואליזציית הרשת של Andromeda.

רשתות VPC שמשתמשות בפרופילים מסוימים של רשת מגבילות את מדיניות חומת האש ואת מאפייני הכללים שבהם אפשר להשתמש. אם אתם משתמשים ברשתות RoCE VPC, כדאי לעיין במאמר בנושא Cloud NGFW לרשתות RoCE VPC במקום בדף הזה.

כללי מדיניות חומת אש

ב- Cloud de Confiance, לכלל במדיניות חומת האש יש כיוון שקובע אם הוא שולט בתנועת נתונים שנכנסת לרשת או בתנועת נתונים שיוצאת ממנה. כל כלל במדיניות חומת האש חל על חיבורים נכנסים (ingress) או יוצאים (egress).

כללים לתעבורת נתונים נכנסת (ingress)

כיוון הכניסה מתייחס לחיבורים הנכנסים שנשלחים ממקורות ספציפיים אל יעדים Cloud de Confiance . כללים לתעבורת נתונים נכנסת (ingress) חלים על מנות נתונים נכנסות שמגיעות לסוגי היעדים הבאים:

ממשקי רשת של מכונות וירטואליות (VM)
שרתי proxy מנוהלים של Envoy שמפעילים מאזני עומסים פנימיים של אפליקציות (ALB) ומאזני עומסים פנימיים של רשת לשרת proxy

כלל כניסה עם פעולה deny מגן על יעדים על ידי חסימת חיבורים נכנסים אליהם. אם כלל עם עדיפות גבוהה יותר מאפשר תעבורה, חומת האש מאשרת אותה ומתעלמת מכל כלל עם עדיפות נמוכה יותר שעשוי לדחות את אותה תעבורה. חשוב לזכור: לכללים עם עדיפות גבוהה יותר יש תמיד עדיפות.

רשת ברירת מחדל שנוצרת באופן אוטומטי כוללת כללי חומת אש של VPC שמולאו מראש, שמאפשרים תעבורת נתונים נכנסת מסוגים מסוימים.

כללים לתעבורת נתונים יוצאת (egress)

הכיוון של תעבורת הנתונים היוצאת מתייחס לתעבורת הנתונים היוצאת שנשלחת ממשאב יעד ב-Cloud de Confiance , כמו ממשק רשת של מכונה וירטואלית, ליעד.

כלל יציאה עם פעולה allow מאפשר למופע לשלוח תעבורה ליעדים שצוינו בכלל. תנועת היציאה נחסמת אם היא תואמת לכלל deny בעדיפות גבוהה. הפעולה הזו מקבלת עדיפות על פני כל כלל בעדיפות נמוכה יותר שעשוי לאפשר את התנועה. Cloud de Confiance היא גם חוסמת או מגבילה סוגים מסוימים של תנועה.

המאמרים הבאים

כדי ליצור ולשנות כללים ומדיניות היררכית של חומת האש, אפשר לעיין במאמר שימוש בכללים ובמדיניות היררכית של חומת האש.
כדי ליצור ולשנות כללי מדיניות וכללים גלובליים של חומת אש ברשת, אפשר לעיין במאמר בנושא שימוש בכללי מדיניות וכללים גלובליים של חומת אש ברשת.
כדי ליצור ולשנות כללים ומדיניות של חומת אש ברשת אזורית, אפשר לעיין במאמר בנושא שימוש בכללים ובמדיניות של חומת אש ברשת אזורית.