Hierarchische Firewallrichtlinien und -regeln verwalten

Hierarchische Firewallrichtlinien ermöglichen eine detaillierte Kontrolle über Ihren Netzwerk-Traffic. Auf dieser Seite wird beschrieben, wie Sie hierarchische Firewallrichtlinien und ihre Regeln verwalten, um Ihre Google Cloud Ressourcen zu schützen.

Machen Sie sich vor dem Lesen dieser Seite mit den Konzepten vertraut, die im Überblick über hierarchische Firewallrichtlinien beschrieben werden. Beispiele für die Implementierung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Aufgaben im Zusammenhang mit Firewallrichtlinien

In diesem Abschnitt wird beschrieben, wie Sie hierarchische Firewallrichtlinien verwalten.

Wenn Sie den Fortschritt eines Vorgangs prüfen möchten, der sich aus einer Aufgabe in diesem Abschnitt ergibt, muss Ihr IAM-Hauptkonto zusätzlich zu den für die einzelnen Aufgaben erforderlichen Berechtigungen oder Rollen die folgenden Berechtigungen oder Rollen haben.

Richtlinie beschreiben

Sie können Details zu einer hierarchischen Firewallrichtlinie aufrufen, einschließlich der Richtlinienregeln und der zugehörigen Regelattribute. Alle diese Regelattribute werden auf das Kontingent für Regelattribute angerechnet. Weitere Informationen finden Sie in der Tabelle Pro Firewallrichtlinie unter „Regelattribute pro hierarchischer Firewallrichtlinie“.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Listenrichtlinien

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

    Für eine Organisation werden im Bereich Mit dieser Organisation verknüpfte Firewallrichtlinien die verknüpften Richtlinien angezeigt. Im Bereich Firewallrichtlinien in dieser Organisation werden die Richtlinien aufgeführt, die der Organisation gehören.

    Für einen Ordner werden im Bereich Mit diesem Ordner verknüpfte oder von diesem Ordner übernommene Firewallrichtlinien die Richtlinien angezeigt, die mit dem Ordner verknüpft sind oder von diesem übernommen wurden. Im Bereich Firewallrichtlinien in diesem Ordner werden Richtlinien aufgeführt, die dem Ordner gehören.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Verknüpfungen für eine Ressource auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Für die ausgewählte Ressource (Organisation oder Ordner) wird eine Liste der zugehörigen und übernommenen Richtlinien angezeigt.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Richtlinie von einer Ressource in eine andere verschieben

Wenn Sie eine Richtlinie verschieben, wird nur das übergeordnete Element der Richtlinie geändert. Wenn Sie das übergeordnete Element der Richtlinie ändern, kann sich ändern, welche IAM-Hauptkonten Regeln in der Richtlinie erstellen und aktualisieren können und welche IAM-Hauptkonten zukünftige Zuordnungen erstellen können.

Das Verschieben einer Richtlinie wirkt sich nicht auf vorhandene Richtlinienverknüpfungen oder die Auswertung von Regeln in der Richtlinie aus.

Console

Verwenden Sie für dieses Verfahren die Google Cloud CLI.

gcloud

Führen Sie diese Befehle aus, um die hierarchische Firewallrichtlinie in eine Organisation zu verschieben:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Führen Sie diese Befehle aus, um die hierarchische Firewallrichtlinie in einen Ordner in einer Organisation zu verschieben:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Ersetzen Sie Folgendes:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie, die Sie verschieben
  • ORG_ID: die Organisations-ID, in die die Richtlinie verschoben wird
  • FOLDER_ID: Die Ordner-ID, in die die Richtlinie verschoben wird.

Richtlinienbeschreibung aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf Bearbeiten.

  5. Ändern Sie die Beschreibung.

  6. Klicken Sie auf Speichern.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Verknüpfung löschen

Wenn Sie die hierarchische Firewallrichtlinie ändern müssen, die einer Organisation oder einem Ordner zugeordnet ist, empfehlen wir, eine neue Richtlinie zuzuordnen, anstatt eine vorhandene zu löschen. Sie können eine neue Richtlinie in einem Schritt verknüpfen. So wird dafür gesorgt, dass immer eine hierarchische Firewallrichtlinie mit der Organisation oder dem Ordner verknüpft ist.

Wenn Sie eine Verknüpfung zwischen einer hierarchischen Firewallrichtlinie und einer Organisation oder einem Ordner löschen möchten, folgen Sie der Anleitung in diesem Abschnitt. Regeln in der hierarchischen Firewallrichtlinie werden nicht auf neue Verbindungen angewendet, nachdem die zugehörige Verknüpfung gelöscht wurde.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Verknüpfung entfernen.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Richtlinie löschen

Bevor Sie eine hierarchische Firewallrichtlinie löschen können, müssen Sie alle zugehörigen Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfung entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden Befehl, um die Richtlinie zu löschen:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Aufgaben im Zusammenhang mit Firewallrichtlinienregeln

In diesem Abschnitt wird beschrieben, wie Sie Regeln für hierarchische Firewallrichtlinien verwalten.

Regeln von einer Richtlinie in eine andere kopieren

Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Optional: Wenn Sie die neue Richtlinie sofort verknüpfen möchten, klicken Sie auf Weiter, um den Bereich Richtlinie mit Ressourcen verknüpfen zu öffnen.

  7. Klicken Sie auf Klonen.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Ersetzen Sie Folgendes:

  • POLICY_NAME: Richtlinie, in die die kopierten Regeln eingefügt werden sollen
  • SOURCE_POLICY: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource sein
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, die die neue Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Alle Regeln in einer Richtlinie auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie. Im Tab Firewallregeln sind alle Regeln aufgelistet.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, die die Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Regel aktualisieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl die Organisation oder den Ordner aus, die bzw. der die hierarchische Firewallrichtlinie enthält.

  3. Klicken Sie auf den Namen der hierarchischen Firewallrichtlinie, die die zu aktualisierende Regel enthält.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die Felder der Firewallregel, die Sie ändern möchten. Beschreibungen der einzelnen Felder finden Sie in einem der folgenden Artikel:

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Ersetzen Sie Folgendes:

  • PRIORITY: Die Prioritätsnummer, die die Regel eindeutig identifiziert.
  • POLICY_NAME: Der Name der Richtlinie, die die Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Geben Sie die Flags an, die Sie ändern möchten. Beschreibungen der Flags finden Sie in einem der folgenden Artikel:

Regel löschen

Wenn Sie eine Regel aus einer Richtlinie löschen, wird sie nicht mehr auf neue Verbindungen zum oder vom Ziel der Regel angewendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner mit der Richtlinie aus.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ersetzen Sie Folgendes:

  • PRIORITY: Priorität der Regel, die Sie aus der Richtlinie löschen möchten.
  • POLICY_NAME: der Name der hierarchischen Firewallrichtlinie, die die Regel enthält.
  • ORG_ID: Die Organisations-ID, die die hierarchische Firewallrichtlinie enthält.

Für ein Netzwerk geltende Firewallregeln abrufen

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und globale Netzwerk-Firewallrichtlinienregeln ansehen, die für alle Regionen eines VPC-Netzwerk gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das Netzwerk, dessen Firewallrichtlinien-Regeln Sie aufrufen möchten.

  3. Klicken Sie auf Firewalls.

  4. Erweitern Sie jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ersetzen Sie NETWORK_NAME durch das Netzwerk, für das Sie die effektiven Regeln aufrufen möchten.

Auf der Seite Firewall können Sie auch die effektiven Firewallregeln für ein Netzwerk aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Die Firewallrichtlinien sind im Abschnitt Von diesem Projekt übernommene Firewallrichtlinien aufgeführt.

  3. Klicken Sie auf jede Firewallrichtlinie, um die Regeln aufzurufen, die für dieses Netzwerk gelten.

Für eine VM-Schnittstelle geltende Firewallregeln abrufen

Sie können alle Firewallregeln aus allen anwendbaren Firewallrichtlinien und VPC-Firewallregeln aufrufen, die für eine Netzwerkschnittstelle einer Compute Engine-VM gelten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Wählen Sie in der Projektauswahl das Projekt aus, das die VM enthält.

  3. Klicken Sie auf die VM.

  4. Klicken Sie unter Netzwerkschnittstellen auf die Schnittstelle.

  5. Effektive Firewallregeln werden im Bereich Netzwerkkonfigurationsanalyse auf dem Tab Firewalls angezeigt.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ersetzen Sie dabei Folgendes:

  • INSTANCE_NAME: die VM, für die Sie die gültigen Regeln ansehen möchten; wenn keine Schnittstelle angegeben wurde, gibt der Befehl Regeln für die primäre Schnittstelle (nic0) zurück.
  • INTERFACE: die VM-Schnittstelle, für die Sie die gültigen Regeln anzeigen möchten; der Standardwert ist nic0.
  • ZONE: die Zone der VM; diese Zeile ist optional, wenn die gewünschte Zone bereits als Standard eingestellt ist.

Fehlerbehebung

Dieser Abschnitt enthält Erläuterungen zu Fehlermeldungen, die beim Erstellen hierarchischer Firewallrichtlinien auftreten können.

  • FirewallPolicy may not specify a name. One will be provided.

    Sie können keinen Richtliniennamen angeben. Die hierarchischen Firewallrichtlinien „Namen“ sind numerische IDs, die von Google Cloud beim Erstellen der Richtlinie generiert werden. Sie können aber auch einen Kurznamen angeben, der in vielen Kontexten als Alias fungiert.

  • FirewallPolicy may not specify associations on creation.

    Verknüpfungen können erst erstellt werden, nachdem hierarchische Firewallrichtlinien erstellt wurden.

  • Can't move firewall policy to a different organization.

    Verschiebungen von hierarchischen Firewallrichtlinien müssen innerhalb derselben Organisation erfolgen.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Wenn bereits eine Ressource mit einer hierarchischen Firewallrichtlinie verknüpft ist, schlägt der Anhangsvorgang fehl, es sei denn, die Option zum Ersetzen der vorhandenen Verknüpfungen ist auf „true“ gesetzt.

  • Can't have rules with the same priorities.

    Die Prioritäten von Regeln dürfen innerhalb einer hierarchischen Firewallrichtlinie nur einmal vorkommen.

  • Direction must be specified for a firewall policy rule.

    Beim Erstellen hierarchischer Firewallrichtlinienregeln durch direktes Senden von REST-Anfragen muss die Richtung der Regel angegeben werden. Wenn Sie die Google Cloud CLI verwenden und keine Richtung angegeben ist, ist die Standardeinstellung INGRESS.

  • Can't specify enable_logging on a goto_next rule.

    Firewall Logging ist für Regeln mit „goto_next“-Aktionen nicht zulässig, da diese verwendet werden, um die Auswertungsreihenfolge verschiedener Firewallrichtlinien darzustellen. Ebenso sind keine Terminalaktionen wie „ALLOW“ oder „DENY“ zulässig.

  • Must specify at least one destination on Firewall policy rule.

    Das Flag layer4Configs in der Firewallrichtlinienregel muss mindestens ein Protokoll oder Protokoll und Zielport angeben.

    Weitere Informationen zur Fehlerbehebung bei Firewallrichtlinien-Regeln finden Sie unter Fehlerbehebung bei VPC-Firewallregeln.

Nächste Schritte