Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדיניות חומת אש בין רשתות גלובליות

מדיניות חומת אש בין רשתות גלובלית מאפשרת לעדכן את כל כללי חומת האש בבת אחת, על ידי קיבוץ שלהם לאובייקט מדיניות יחיד. אפשר להקצות מדיניות של חומת אש ברשת לרשת של ענן וירטואלי פרטי (VPC). כללי המדיניות האלה כוללים כללים שיכולים לדחות או לאשר חיבורים באופן מפורש.

מפרטים

מדיניות חומת אש בין רשתות גלובליות היא משאב מארח לכללי חומת אש. כל משאב של מדיניות חומת אש בין רשתות גלובלית מוגדר בתוך פרויקט.
- אחרי שיוצרים מדיניות חומת אש בין רשתות גלובלית, אפשר להוסיף, לעדכן ולמחוק כללים לחומת האש במדיניות.
- למידע על המפרט של הכללים במדיניות חומת האש ברשת הגלובלית, אפשר לעיין במאמר רכיבי הכללים במדיניות חומת האש.
כדי להחיל כללים של מדיניות חומת אש בין רשתות גלובליות על רשת VPC, צריך לשייך את מדיניות חומת האש לרשת ה-VPC הזו.
- אפשר לשייך מדיניות חומת אש בין רשתות גלובלית לכמה רשתות VPC. מוודאים שמדיניות חומת האש והרשתות המשויכות שייכות לאותו פרויקט.
- כל רשת VPC יכולה להיות משויכת רק למדיניות אחת של חומת אש גלובלית ברשת.
- אם מדיניות חומת האש לא משויכת לאף רשת VPC, לכללים במדיניות הזו אין השפעה. מדיניות חומת אש שלא משויכת לאף רשת היא מדיניות חומת אש בין רשתות גלובלית לא משויכת.
כשמדיניות חומת אש בין רשתות גלובליות משויכת לרשת VPC אחת או יותר, כללי מדיניות חומת האש נאכפים בדרכים הבאות:
- הכללים הקיימים נאכפים על משאבים רלוונטיים ברשתות ה-VPC המשויכות.
- כל שינוי שנעשה בכללים נאכף על משאבים רלוונטיים ברשתות ה-VPC המשויכות.
האכיפה של כללים במדיניות חומת אש בין רשתות גלובליות מתבצעת יחד עם כללי חומת אש אחרים, כפי שמתואר במאמר סדר ההערכה של מדיניות וכללים.

פרטי כלל מדיניות חומת אש של Global Networking

מידע נוסף על הרכיבים והפרמטרים של כללים במדיניות חומת אש גלובלית ברשת זמין במאמר רכיבי כללים במדיניות חומת אש.

בטבלה הבאה מסוכמים ההבדלים העיקריים בין כללי מדיניות חומת אש בין רשתות גלובליות לבין כללי חומת אש של VPC:

	כללים של מדיניות חומת אש בין רשתות גלובליות	כללי חומת אש ב-VPC
מספר ראשי	חייב להיות ייחודי במסגרת מדיניות	אפשר להשתמש בעדיפויות משוכפלות
חשבונות שירות כיעדים	כן	כן
חשבונות שירות כמקורות (רק כללי תעבורה נכנסת)	לא	כן
סוג התג	תג מאובטח	תג רשת
שם ותיאור	שם המדיניות, המדיניות ותיאור הכלל	שם הכלל והתיאור שלו
חבילת עדכונים	כן – לפונקציות של שיבוט, עריכה והחלפה של מדיניות	לא
שימוש חוזר	כן	לא
מכסה	ספירת מאפיינים – על סמך המורכבות הכוללת של כל כלל במדיניות	מספר הכללים – כללי חומת אש מורכבים ופשוטים משפיעים על המכסה באותו אופן

כללים מוגדרים מראש

כשיוצרים מדיניות חומת אש בין רשתות גלובלית, Cloud Next Generation Firewall מוסיף למדיניות כללים מוגדרים מראש עם העדיפות הכי נמוכה. הכללים האלה חלים על כל חיבור שלא תואם לכלל שהוגדר במפורש במדיניות, ולכן החיבורים האלה מועברים לכללי מדיניות או לכללי רשת ברמה נמוכה יותר.

במאמר כללים מוגדרים מראש למדיניות חומת אש מוסבר על הסוגים השונים של כללים מוגדרים מראש ועל המאפיינים שלהם.

תפקידים בניהול זהויות והרשאות גישה (IAM)

תפקידי IAM קובעים את הפעולות הבאות שקשורות למדיניות חומת אש בין רשתות גלובלית:

יצירה של מדיניות חומת אש בין רשתות גלובלית
שיוך מדיניות לרשת
שינוי מדיניות קיימת
הצגת כללי חומת האש בפועל עבור רשת או מכונה וירטואלית מסוימת

בטבלה הבאה מפורטים התפקידים שנדרשים לכל פעולה:

פעולה	תפקיד נדרש
יצירה של מדיניות חדשה לחומת אש בין רשתות גלובליות	התפקיד 'אדמין אבטחה של Compute' (`roles/compute.securityAdmin`) בפרויקט שאליו שייכת המדיניות
שיוך מדיניות לרשת	התפקיד אדמין רשת של Compute (`roles/compute.networkAdmin`) בפרויקט שבו תהיה המדיניות
שינוי המדיניות על ידי הוספה, עדכון או מחיקה של כללי מדיניות בחומת האש	התפקיד אדמין אבטחה של Compute (`roles/compute.securityAdmin`) בפרויקט שבו תהיה המדיניות
מחיקת המדיניות	התפקיד אדמין אבטחה של Compute (`roles/compute.securityAdmin`) בפרויקט שבו תהיה המדיניות
הצגת הכללים של חומת האש שחלים על רשת VPC	אחד מהתפקידים הבאים ברשת: תפקיד אדמין ברשת Compute (`roles/compute.networkAdmin`) תפקיד משתמש ברשת Compute (`roles/compute.networkUser`) תפקיד צפייה ברשת Compute (`roles/compute.networkViewer`) תפקיד Security Admin ב-Compute (`roles/compute.securityAdmin`) תפקיד צפייה ב-Compute (`roles/compute.viewer`)
הצגת הכללים התקפים של חומת האש למכונה וירטואלית ברשת	אחד מהתפקידים הבאים במכונה: התפקיד 'Compute Instance Admin (v1)' (`roles/compute.instanceAdmin`) התפקיד 'סוכן שירות לניהול קבוצות של מכונות' (`roles/compute.instanceGroupManagerServiceAgent`) התפקיד 'Security Admin של Compute' (`roles/compute.securityAdmin`) התפקיד 'צפייה ב-Compute' (`roles/compute.viewer`)

התפקידים הבאים רלוונטיים למדיניות חומת אש בין רשתות גלובליות.

שם התפקיד	תיאור
תפקיד Security Admin ב-Compute (`roles/compute.securityAdmin`)	אפשר להעניק את ההרשאה ברמת הפרויקט או ברמת המדיניות. אם התפקיד מוקצה ברמת הפרויקט, הוא מאפשר למשתמשים ליצור, לעדכן ולמחוק כללי מדיניות גלובליים של חומת אש ברשת ואת הכללים שלהם. ברמת המדיניות, המשתמשים יכולים לעדכן את כללי המדיניות, אבל לא ליצור או למחוק את המדיניות. התפקיד הזה מאפשר למשתמשים לשייך מדיניות לרשת.
התפקיד Compute Network Admin (`roles/compute.networkAdmin`)	ההרשאות ניתנות ברמת הפרויקט או ברמת הרשת. אם ההרשאה ניתנת לרשת, היא מאפשרת למשתמשים לראות את רשימת כללי המדיניות של חומת האש ברשת הגלובלית.
התפקיד Compute Viewer (`roles/compute.viewer`) התפקיד Compute Network User (`roles/compute.networkUser`) התפקיד Compute Network Viewer (`roles/compute.networkViewer`)	מאפשר למשתמשים לראות את כללי חומת האש שחלים על הרשת או על המופע.‫ כולל את ההרשאה `compute.networks.getEffectiveFirewalls` לרשתות ואת ההרשאה `compute.instances.getEffectiveFirewalls` למופעים.