Globale Netzwerk-Firewallrichtlinien verwalten

Um den Netzwerkverkehr in Ihrer Google Cloud Umgebung zu steuern, verwalten Sie globale Netzwerk-Firewallrichtlinien und ihre Regeln. Auf dieser Seite wird beschrieben, wie Sie Richtlinien und ihre einzelnen Regeln auflisten, beschreiben und aktualisieren. Sie erfahren, wie Sie Regeln zwischen Richtlinien klonen und Richtlinienzuordnungen mit Ihren VPC-Netzwerken (Virtual Private Cloud) verwalten.

Bevor Sie diese Seite lesen, sollten Sie sich mit den Konzepten vertraut machen, die im Überblick über globale Netzwerk-Firewallrichtlinien beschrieben werden.

Aufgaben im Zusammenhang mit Firewallrichtlinien

In diesem Abschnitt wird beschrieben, wie Sie globale Netzwerk-Firewallrichtlinien verwalten.

Globale Netzwerk-Firewallrichtlinie beschreiben

Sie können Details zu einer globalen Netzwerk-Firewallrichtlinie aufrufen, einschließlich der Richtlinienregeln und der zugehörigen Regelattribute. Alle diese Regelattribute werden auf das Kontingent für Regelattribute angerechnet. Weitere Informationen finden Sie in der Tabelle Pro Firewallrichtlinie unter „Regelattribute pro globaler Netzwerk-Firewallrichtlinie“.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Beschreibung einer globalen Netzwerk-Firewallrichtlinie aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf Bearbeiten.

  5. Ändern Sie den Text im Feld Beschreibung.

  6. Klicken Sie auf Speichern.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Globale Netzwerk-Firewallrichtlinien auflisten

Sie können eine Liste der in Ihrem Projekt verfügbaren Richtlinien aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

    Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud 

gcloud compute network-firewall-policies list --global

Netzwerkzuordnung entfernen

Wenn Sie die globale Netzwerk-Firewallrichtlinie ändern müssen, die einem VPC-Netzwerk zugeordnet ist, empfehlen wir, zuerst eine neue Richtlinie zu verknüpfen, anstatt eine vorhandene verknüpfte Richtlinie zu löschen. Sie können eine neue Richtlinie in einem Schritt zuordnen. So wird sichergestellt, dass immer eine globale Netzwerk-Firewallrichtlinie mit dem VPC-Netzwerk verknüpft ist.

Wenn Sie eine Verknüpfung zwischen einer globalen Netzwerk-Firewallrichtlinie und einem VPC-Netzwerk löschen möchten, folgen Sie der Anleitung in diesem Abschnitt. Regeln in der globalen Netzwerk-Firewallrichtlinie werden nicht auf neue Verbindungen angewendet, nachdem die Zuordnung gelöscht wurde.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Verknüpfung entfernen.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --firewall-policy FIREWALL_POLICY \
    --name ASSOCIATION_NAME \
    --firewall-policy-region FIREWALL_POLICY_REGION \
    --global-firewall-policy

Globale Netzwerk-Firewallrichtlinie löschen

Bevor Sie eine globale Netzwerk-Firewallrichtlinie löschen können, müssen Sie alle zugehörigen Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfung entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden Befehl, um die Richtlinie zu löschen:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Aufgaben im Zusammenhang mit Firewallrichtlinienregeln

In diesem Abschnitt wird beschrieben, wie Sie globale Netzwerk-Firewallrichtlinienregeln verwalten.

Regeln von einer Richtlinie in eine andere kopieren

Beim Klonen werden die Regeln aus einer Quellrichtlinie in eine Zielrichtlinie kopiert und alle vorhandenen Regeln in der Zielrichtlinie werden ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, aus der Sie die Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter > Verknüpfen.

  7. Wählen Sie auf der Seite Richtlinie mit VPC-Netzwerken verknüpfen die Netzwerke aus und klicken Sie auf Verknüpfen.

  8. Klicken Sie auf Weiter.

  9. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Ersetzen Sie Folgendes:

  • TARGET_POLICY: Der Name der Zielrichtlinie.
  • SOURCE_POLICY: die URL der Quellrichtlinie.

Regel beschreiben

Sie können sich Details zu einer bestimmten Regel in einer globalen Netzwerk-Firewallrichtlinie ansehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.

Regel einer globalen Netzwerk-Firewallrichtlinie aktualisieren

Sie können eine Regel für eine globale Netzwerk-Firewallrichtlinie ändern, um Regelattribute wie die Aktion bei Übereinstimmung, IP-Adressbereiche oder Protokolle und Ports zu ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die globale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf den Namen der globalen Netzwerk-Firewallrichtlinie, die die zu aktualisierende Regel enthält.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die Felder der Firewallregel, die Sie ändern möchten. Beschreibungen der einzelnen Felder finden Sie in einem der folgenden Artikel:

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.

Geben Sie die Flags an, die Sie ändern möchten. Beschreibungen der Flags finden Sie in einem der folgenden Artikel:

Gültige Firewallregeln für eine VM-Schnittstelle aufrufen

Sie können alle Firewallregeln aus allen anwendbaren Firewallrichtlinien und VPC-Firewallregeln aufrufen, die für eine Netzwerkschnittstelle einer Compute Engine-VM gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Wählen Sie in der Projektauswahl das Projekt aus, das die VM enthält.

  3. Klicken Sie auf die VM.

  4. Klicken Sie unter Netzwerkschnittstellen auf den Namen der Schnittstelle.

  5. Klicken Sie im Abschnitt Analyse der Netzwerkkonfiguration auf den Tab Firewalls.

  6. Klicken Sie auf den Tab Firewallregelansicht, um die effektiven Firewallregeln aufzurufen.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ersetzen Sie dabei Folgendes:

  • INSTANCE_NAME: die VM, für die Sie die gültigen Regeln ansehen möchten; wenn keine Schnittstelle angegeben wurde, gibt der Befehl Regeln für die primäre Schnittstelle (nic0) zurück.
  • INTERFACE: die VM-Schnittstelle, für die Sie die gültigen Regeln anzeigen möchten; der Standardwert ist nic0.
  • ZONE: die Zone der VM; diese Zeile ist optional, wenn die gewünschte Zone bereits als Standard eingestellt ist.

Gültige Firewallregeln für ein Netzwerk aufrufen

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale Netzwerk-Firewallrichtlinienregeln ansehen, die für alle Regionen eines VPC-Netzwerk gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.

  3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Firewalls.

  4. Klicken Sie auf den Tab Firewallregelansicht, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ersetzen Sie NETWORK_NAME durch das Netzwerk, für das Sie die effektiven Regeln aufrufen möchten.

Auf der Seite Firewall können Sie auch die effektiven Firewallregeln für ein Netzwerk aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

  3. Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Regel aus einer Richtlinie löschen

Wenn Sie eine Regel aus einer Richtlinie löschen, wird sie nicht mehr auf neue Verbindungen zum oder vom Ziel der Regel angewendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.

Nächste Schritte