Пдд приоритет: Знаки приоритета Pdd24.com

ПДД РФ — Приоритет маршрутных транспортных средств

18.1. Вне перекрестков, где трамвайные пути пересекают проезжую часть, трамвай имеет преимущество перед безрельсовыми транспортными средствами, кроме случаев выезда из депо.

18.2. На дорогах с полосой для маршрутных транспортных средств, обозначенных знаками 5.11.1

школьных автобусов;

транспортных средств, используемых в качестве легкового такси;

транспортных средств, которые используются для перевозки пассажиров, имеют, за исключением места водителя, более 8 мест для сидения, технически допустимая максимальная масса которых превышает 5 тонн, перечень которых утверждается органами исполнительной власти субъектов Российской Федерации – гг. Москвы, Санкт-Петербурга и Севастополя;

транспортных средств, которыми в период с 23 февраля по 14 марта 2019 г. перевозятся определенные Правительством Красноярского края по согласованию с Министерством транспорта Российской Федерации, Министерством внутренних дел Российской Федерации и автономной некоммерческой организацией “Исполнительная дирекция XXIX Всемирной зимней универсиады 2019 года в г. Красноярске” клиентские группы (представители национальных федераций студенческого спорта, участники спортивных соревнований, представители Международной федерации студенческого спорта (FISU), представители средств массовой информации, технические официальные лица, иные лица, принимающие участие в мероприятиях XXIX Всемирной зимней универсиады 2019 года в г. Красноярске), при наличии аккредитационного свидетельства, выдаваемого автономной некоммерческой организацией “Исполнительная дирекция XXIX Всемирной зимней универсиады 2019 года в г. Красноярске”.

На полосах для маршрутных транспортных средств разрешено движение велосипедистов в случае, если такая полоса располагается справа.

Водители транспортных средств, допущенных к движению по полосам для маршрутных транспортных средств, при въезде на перекресток с такой полосы могут отступать от требований дорожных знаков 4. 1.1 – 4.1.6

Если эта полоса отделена от остальной проезжей части прерывистой линией разметки, то при поворотах транспортные средства должны перестраиваться на нее. Разрешается также в таких местах заезжать на эту полосу при въезде на дорогу и для посадки и высадки пассажиров у правого края проезжей части при условии, что это не создает помех маршрутным транспортным средствам.

18.3. В населенных пунктах водители должны уступать дорогу троллейбусам и автобусам, начинающим движение от обозначенного места остановки. Водители троллейбусов и автобусов могут начинать движение только после того, как убедятся, что им уступают дорогу.

Навигация по записям

ПДД (правила дорожного движения) Российской Федерации 2020.18. Приоритет маршрутных транспортных средств

Дополнительные главы:

18. 1. Вне перекрестков, где трамвайные пути пересекают проезжую часть, трамвай имеет преимущество перед безрельсовыми транспортными средствами, кроме случаев выезда из депо.

18.2. На дорогах с полосой для маршрутных транспортных средств, обозначенных знаками 5.11, 5.13.1, 5.13.2, 5.14, запрещаются движение и остановка других транспортных средств (за исключением транспортных средств, используемых в качестве легкового такси) на этой полосе.

Если эта полоса отделена от остальной проезжей части прерывистой линией разметки, то при поворотах транспортные средства должны перестраиваться на нее.

18.3. В населенных пунктах водители должны уступать дорогу троллейбусам и автобусам, начинающим движение от обозначенного места остановки. Водители троллейбусов и автобусов могут начинать движение только после того, как убедятся, что им уступают дорогу.

Далее: раздел «Пользование внешними световыми приборами и звуковыми сигналами» >>

Дополнительные главы:

18. Приоритет маршрутных транспортных средств [ПДД РФ] — последняя редакция

18. Приоритет маршрутных транспортных средств

18.1. Вне перекрестков, где трамвайные пути пересекают проезжую часть, трамвай имеет преимущество перед безрельсовыми транспортными средствами, кроме случаев выезда из депо.

18.2. На дорогах с полосой для маршрутных транспортных средств, обозначенных знаками 5.11.1, 5.13.1, 5.13.2 и 5.14, запрещаются движение и остановка других транспортных средств на этой полосе, за исключением:

школьных автобусов;

транспортных средств, используемых в качестве легкового такси;

транспортных средств, которые используются для перевозки пассажиров, имеют, за исключением места водителя, более 8 мест для сидения, технически допустимая максимальная масса которых превышает 5 тонн, перечень которых утверждается органами исполнительной власти субъектов Российской Федерации — гг. Москвы, Санкт-Петербурга и Севастополя;

транспортных средств, которыми в период с 23 февраля по 14 марта 2019 г. перевозятся определенные Правительством Красноярского края по согласованию с Министерством транспорта Российской Федерации, Министерством внутренних дел Российской Федерации и автономной некоммерческой организацией «Исполнительная дирекция XXIX Всемирной зимней универсиады 2019 года в г. Красноярске» клиентские группы (представители национальных федераций студенческого спорта, участники спортивных соревнований, представители Международной федерации студенческого спорта (FISU), представители средств массовой информации, технические официальные лица, иные лица, принимающие участие в мероприятиях XXIX Всемирной зимней универсиады 2019 года в г. Красноярске), при наличии аккредитационного свидетельства, выдаваемого автономной некоммерческой организацией «Исполнительная дирекция XXIX Всемирной зимней универсиады 2019 года в г. Красноярске».

На полосах для маршрутных транспортных средств разрешено движение велосипедистов в случае, если такая полоса располагается справа.

Водители транспортных средств, допущенных к движению по полосам для маршрутных транспортных средств, при въезде на перекресток с такой полосы могут отступать от требований дорожных знаков 4.1.1 — 4.1.6, 5.15.1 и 5.15.2 для продолжения движения по такой полосе.

Если эта полоса отделена от остальной проезжей части прерывистой линией разметки, то при поворотах транспортные средства должны перестраиваться на нее. Разрешается также в таких местах заезжать на эту полосу при въезде на дорогу и для посадки и высадки пассажиров у правого края проезжей части при условии, что это не создает помех маршрутным транспортным средствам.

18.3. В населенных пунктах водители должны уступать дорогу троллейбусам и автобусам, начинающим движение от обозначенного места остановки. Водители троллейбусов и автобусов могут начинать движение только после того, как убедятся, что им уступают дорогу.

Теория ПДД. 18.Приоритет маршрутных транспортных средств.

18.1.

• школьных автобусов;

• транспортных средств, используемых в качестве легкового такси;

• транспортных средств, которые используются для перевозки пассажиров, имеют, за исключением места водителя, более 8 мест для сидения, технически допустимая максимальная масса которых превышает 5 тонн, перечень которых утверждается органами исполнительной власти субъектов Российской Федерации — гг.Москвы, Санкт-Петербурга и Севастополя;

• транспортных средств, которыми в период с 23 февраля по 14 марта 2019г. перевозятся определенные Правительством Красноярского края по согласованию с Министерством транспорта Российской Федерации, Министерством внутренних дел Российской Федерации и автономной некоммерческой организацией «Исполнительная дирекция XXIX Всемирной зимней универсиады 2019 года в г. Красноярске» клиентские группы (представители национальных федераций студенческого спорта, участники спортивных соревнований, представители Международной федерации студенческого спорта (FISU), представители средств массовой информации, технические официальные лица, иные лица, принимающие участие в мероприятиях XXIX Всемирной зимней универсиады 2019 года в г.Красноярске), при наличии аккредитационного свидетельства, выдаваемого автономной некоммерческой организацией «Исполнительная дирекция XXIX Всемирной зимней универсиады 2019 года в г. Красноярске».

На полосах для маршрутных транспортных средств разрешено движение велосипедистов в случае, если такая полоса располагается справа.

Водители транспортных средств, допущенных к движению по полосам для маршрутных транспортных средств, при въезде на перекресток с такой полосы могут отступать от требований дорожных знаков 4.1.1 — 4.1.6  , 5.15.1  и 5.15.2  для продолжения движения по такой полосе.

Если эта полоса отделена от остальной проезжей части прерывистой линией разметки, то при поворотах транспортные средства должны перестраиваться на нее. Разрешается также в таких местах заезжать на эту полосу при въезде на дорогу и для посадки и высадки пассажиров у правого края проезжей части при условии, что это не создает помех маршрутным транспортным средствам.

На этом сайте вы сможете подготовиться к экзамену в ГИБДД (ГАИ) по новым правилам 2021 года. Здесь есть все необходимое для успешной сдачи экзамена. Все 40 официальных экзаменационных билетов ПДД РФ на категории АБМ (ABM) и СД (CD) с последними изменениями от 02 января 2020 года. Билеты полностью актуальны на октябрь 2021 года и полностью соответствуют билетам ГИБДД. Билеты содержат комментарии с изображениями дорожных знаков и разметки и ссылок на актуальные пункты правил дорожного движения с последними изменениями на 2021 год. Режим онлайн экзамена полностью идентичен экзамену в ГИБДД. С дополнительными вопросами и ограничением времени прохождения. С возможностью прорешивать билеты по темам. Более 30 тем по всем разделам Правил Дорожного Движения. Полная версия актуальных Правил Дорожного Движения (ПДД). Мобильная версия приложения для вашего телефона. Скачайте Билеты ПДД для iOS, если у вас iPhone или iPad. Скачайте Билеты ПДД для Android.

ПДД правят в пользу пешеходов и велосипедистов

​Разработчики проекта предлагают ввести в ПДД понятие “Велосипедная зона”, соответствующие дорожные знаки (5.33.1 и 5.34.1) и дублирующую их разметку. Такие пространства появятся на спокойных улицах, где максимальную скорость ограничат до 20 км/ч, а велосипедисты получат приоритет перед остальными транспортными средствами и смогут двигаться по всей ширине проезжей части, разумеется, соблюдая при этом стандартную дорожную разметку.

Специальные зоны для пешеходов станут обозначать уже существующим знаком 5.31 «Зона с ограничением максимальной скорости» (предлагается изменить его действие) и дублирующей дорожной разметкой 1.24.7. Здесь разрешат переходить проезжую часть в любом удобном месте, а скорость транспорта ограничат до 20 км/ч. По словам авторов проекта, существующий знак «Жилая зона» в данных случаях не совсем подходит, поскольку в зоне его действия пешеходам разрешается ходить по всей проезжей части, а для автомобилей запрещено сквозное движение.

Для безопасного передвижения пешеходов и велосипедистов вне специальных зон проектом поправок также предусмотрены дополнительные меры. Среди прочего, это запрет на остановку транспортных средств непосредственно на вело- и велопешеходных дорожках и ближе 5 м от их пересечения с проезжей частью; обустройство за счет разметки «буферных» зон, отделяющих велополосы от парковочных мест для машин; установка новых типов светофоров для велосипедистов и пешеходов.

Наконец, в ПДД предлагается ввести новый знак-табличку 8.9.2 – парковка, предназначенная только для автомобилей дипломатических миссий. Припаркованные в зоне действия этого знака и дублирующей его разметки «обычные» автомобили будут эвакуироваться, а их владельцы привлекаться к административной ответственности.

Логика обработки правил брандмауэра Azure

• 28.09.2021
• 7 минут на чтение

В этой статье

Вы можете настроить правила NAT, сетевые правила и правила приложений в брандмауэре Azure, используя классические правила или политику брандмауэра. Брандмауэр Azure по умолчанию запрещает весь трафик, пока правила не будут разрешены вручную.

Обработка правил с использованием классических правил

Наборы правил обрабатываются в соответствии с типом правила в порядке приоритета, от меньшего числа к большему от 100 до 65 000. Имя набора правил может состоять только из букв, цифр, знаков подчеркивания, точек или дефисов. Он должен начинаться с буквы или цифры и заканчиваться буквой, цифрой или знаком подчеркивания. Максимальная длина имени — 80 символов.

Лучше всего изначально располагать номера приоритета вашей коллекции правил с шагом 100 (100, 200, 300 и т. Д.), Чтобы у вас было место для добавления дополнительных коллекций правил, если это необходимо.

Обработка правил с использованием политики межсетевого экрана

При использовании политики брандмауэра правила организованы внутри коллекций правил и групп сбора правил. Группы сбора правил содержат ноль или более наборов правил. Коллекции правил имеют тип NAT, Сеть или Приложения. Вы можете определить несколько типов коллекции правил в одной группе правил. Вы можете определить ноль или более правил в коллекции правил. Правила в коллекции правил должны быть одного типа (NAT, сеть или приложение).

Правила обрабатываются на основе приоритета группы сбора правил и приоритета сбора правил. Приоритет — любое число от 100 (высший приоритет) до 65 000 (низший приоритет). В первую очередь обрабатываются группы сбора правил с наивысшим приоритетом. Внутри группы сбора правил в первую очередь обрабатываются коллекции правил с наивысшим приоритетом (наименьшее число).

Если политика брандмауэра унаследована от родительской политики, группы сбора правил в родительской политике всегда имеют приоритет независимо от приоритета дочерней политики.

Примечание

Правила приложений всегда обрабатываются после сетевых правил, которые обрабатываются после правил DNAT независимо от группы сбора правил или приоритета сбора правил и наследования политики.

Вот пример политики:

Обработка правила будет в следующем порядке: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2

Аналитика угроз

Если вы включили фильтрацию на основе аналитики угроз, эти правила имеют наивысший приоритет и всегда обрабатываются первыми (перед правилами сети и приложений). Фильтрация с аналитикой угроз может блокировать трафик до того, как будут обработаны какие-либо настроенные правила. Дополнительные сведения см. В разделе Фильтрация на основе аналитики угроз брандмауэра Azure.

IDPS

Когда IDPS настроен в режиме Alert , механизм IDPS работает параллельно с логикой обработки правил и генерирует предупреждения о совпадающих сигнатурах как для входящих, так и для исходящих потоков. При совпадении подписи IDPS в журналах брандмауэра регистрируется предупреждение. Однако, поскольку механизм IDPS работает параллельно с механизмом обработки правил, трафик, который запрещен / разрешен правилами приложения / сети, может по-прежнему генерировать другую запись в журнале.

Когда IDPS настроен в режиме Alertand Deny , подсистема IDPS находится в оперативном режиме и активируется после подсистемы обработки правил. Таким образом, оба двигателя генерируют предупреждения и могут блокировать потоки согласования.

Отбрасывание сеанса, выполненное IDPS, молча блокирует поток. Таким образом, на уровне TCP RST не отправляется. Поскольку IDPS проверяет трафик всегда после того, как правило сети / приложения было сопоставлено (разрешено / запрещено) и отмечено в журналах, другое сообщение Drop может быть зарегистрировано, когда IDPS решит отклонить сеанс из-за совпадения подписи.

Если включена проверка TLS, проверяется как незашифрованный, так и зашифрованный трафик.

Исходящее соединение

Сетевые правила и правила приложений

Если вы настраиваете сетевые правила и правила приложений, то сетевые правила применяются в порядке приоритета перед правилами приложений. Правила прекращаются. Таким образом, если соответствие найдено в сетевом правиле, никакие другие правила не обрабатываются. Если настроено, IDPS выполняется для всего пройденного трафика, и при совпадении подписи IDPS может предупреждать или / и блокировать подозрительный трафик.

Если нет совпадения с сетевым правилом и если используется протокол HTTP, HTTPS или MSSQL, пакет затем оценивается правилами приложения в порядке приоритета.

Для HTTP брандмауэр Azure ищет соответствие правил приложения в соответствии с заголовком узла. Для HTTPS брандмауэр Azure ищет соответствие правил приложения только SNI.

В случаях HTTPS, проверяемых как HTTP, так и TLS, брандмауэр игнорирует пакет IP-адреса назначения и использует IP-адрес, разрешенный DNS из заголовка узла.Брандмауэр ожидает получить номер порта в заголовке хоста, в противном случае он принимает стандартный порт 80. Если существует несоответствие между фактическим портом TCP и портом в заголовке хоста, трафик отбрасывается. Разрешение DNS выполняется с помощью Azure DNS или настраиваемого DNS, если он настроен на брандмауэре.

Примечание

Протоколы HTTP и HTTPS (с проверкой TLS) всегда заполняются брандмауэром Azure с заголовком XFF (X-Forwarded-For), равным исходному IP-адресу источника.

Когда правило приложения содержит проверку TLS, механизм правил брандмауэра обрабатывает SNI, заголовок хоста, а также URL-адрес, соответствующий правилу.

Если по-прежнему не найдено совпадений в правилах приложения, то пакет проверяется на соответствие сбору правил инфраструктуры. Если совпадения по-прежнему нет, пакет отклоняется по умолчанию.

Примечание

Сетевые правила могут быть настроены для TCP , UDP , ICMP или Любой протокол IP . Любой IP-протокол включает в себя все IP-протоколы, как определено в документе Internet Assigned Numbers Authority (IANA) по номерам протоколов.Если порт назначения настроен явно, то правило преобразуется в правило TCP + UDP. До 9 ноября 2020 года Любой означал TCP, или UDP, или ICMP. Итак, вы могли настроить правило до этой даты с Протокол = Любой и портов назначения = ‘*’ . Если вы не собираетесь разрешать какой-либо протокол IP в том виде, в каком он определен в данный момент, измените правило, чтобы явно настроить протокол (ы), который вы хотите (TCP, UDP или ICMP).

Входящее соединение

Правила DNAT и Сетевые правила

Входящее подключение к Интернету можно включить, настроив преобразование сетевых адресов назначения (DNAT), как описано в Руководстве: фильтрация входящего трафика с помощью DNAT брандмауэра Azure с помощью портала Azure. Правила NAT применяются в приоритете перед сетевыми правилами. Если совпадение найдено, добавляется неявное соответствующее сетевое правило, разрешающее преобразованный трафик. По соображениям безопасности рекомендуется добавить определенный интернет-источник, чтобы разрешить DNAT-доступ к сети и избежать использования подстановочных знаков.

Правила приложений не применяются для входящих подключений. Поэтому, если вы хотите фильтровать входящий трафик HTTP / S, вам следует использовать брандмауэр веб-приложений (WAF). Дополнительные сведения см. В разделе Что такое брандмауэр веб-приложений Azure?

Примеры

Следующие примеры показывают результаты некоторых из этих комбинаций правил.

Пример 1

Подключение к google.com разрешено из-за совпадающего сетевого правила.

Сетевое правило

Правила применения

наименование	Тип источника	Источник	Протокол: Порт	Целевые полные доменные имена
Запретить-google	IP-адрес	*	http: 80, https: 443	гугл. com

Результат

Подключение к google.com разрешено, поскольку пакет соответствует сетевому правилу Allow-web . На этом обработка правила останавливается.

Пример 2

SSH-трафик запрещен, поскольку более высокий приоритет Deny network rule collection блокирует его.

Сборник сетевых правил 1

• Название: Allow-collection
• Приоритет: 200
• Действие: Разрешить

Сбор сетевых правил 2

• Наименование: Deny-collection
• Приоритет: 100
• Действие: Запретить

Результат

Соединения SSH запрещены, потому что их блокирует сбор правил с более высоким приоритетом. На этом обработка правила останавливается.

Изменения правил

Если вы измените правило, чтобы запретить ранее разрешенный трафик, все соответствующие существующие сеансы будут отброшены.

Режим трехстороннего рукопожатия

В качестве службы с отслеживанием состояния брандмауэр Azure завершает трехстороннее подтверждение TCP для разрешенного трафика от источника к месту назначения. Например, от виртуальной сети A к виртуальной сети B.

Создание разрешающего правила от VNet-A к VNet-B не означает, что новые инициированные соединения от VNet-B к VNet-A разрешены.

В результате нет необходимости создавать явное правило отказа от виртуальной сети B до виртуальной сети A. Если вы создадите это правило запрета, вы прервете трехстороннее рукопожатие от исходного правила разрешения от виртуальной сети-A к виртуальной сети-B.

Следующие шаги

LD — Урок вождения 7 Перекресток

Урок вождения 7. Перекресток

Введение
Как водитель вы будете встречать перекрестки, известные как перекрестки. Перекресток — это место пересечения двух дорог. Важно знать приоритеты на перекрестках и знать, как безопасно с ними справляться независимо от того, едете ли вы по главной дороге или выезжаете с второстепенной дороги.

Основные примечания для обучения

Приближение к перекрестку для поворота на
Приближение к повороту на боковую дорогу на перекрестке немного отличается от поворота на боковую дорогу на Т- или Y-образном перекрестке.

Во-первых, движение может появиться с обеих сторон дороги и пересечь ваш путь. Хотя у вас есть приоритет, вы должны быть готовы остановиться, если это произойдет. Это также может произойти, когда вы собираетесь идти вперед, поэтому вы всегда проводите дополнительные наблюдения за боковыми дорогами перекрестка, прежде чем проехать.

Во-вторых, при повороте направо вы можете столкнуться со встречным автомобилем, который также хочет повернуть направо. В этом случае ни один автомобиль не имеет приоритета. Обычно в этой ситуации транспортные средства поворачивают из ближнего в ближний, хотя положение «вне игры» в положение «вне игры» безопаснее, потому что вы можете видеть встречный транспорт еще до поворота. Дорожная разметка также может определять, какой метод будет использоваться.

От ближней стороны к ближней стороне

Положение вне игры в положение вне игры

Если боковые дороги слишком узкие для перехода от ближней стороны к ближней или офсайда в положение вне игры, вам, возможно, придется уступить дорогу приближающемуся транспортному средству, поворачивающему направо, как показано ниже Примеры.

Аналогичным образом, если большое транспортное средство поворачивает направо, вам может потребоваться уступить дорогу, если недостаточно места.

Однако в таких ситуациях будьте осторожны, чтобы не подать знак встречного водителя, чтобы тот повернул, поскольку вас могут обгонять на ближней стороне.

Выезд на перекресток
Если с противоположной дороги не выезжают никакие транспортные средства, выезд слева и справа идентичен Т-образному перекрестку. Тем не менее, будьте готовы воспользоваться возможностью продолжить движение, поскольку транспортные средства на главной дороге замедляются, чтобы свернуть на противоположную дорогу.

Приоритеты
Общее правило приоритетов при выезде с перекрестка заключается в том, что движение с поворотом направо должно уступать место встречному движению. Транспортное средство с приоритетом в следующих примерах такое же, как если бы две второстепенные дороги были одной главной дорогой, однако не предполагайте, что другой водитель будет подчиняться.

Несмотря на отсутствие приоритета, другой водитель может захотеть, чтобы вы продолжили движение первым, и поэтому вам нужно научиться наблюдать и предвидеть действия другого водителя.

На схеме ниже показано, что ни у кого нет приоритета в этой ситуации. Водитель, который прибывает первым, обычно идет первым, но вам нужно внимательно следить, чтобы увидеть, что, по вашему мнению, сделает другой водитель.

Ситуация на диаграмме ниже показывает, что движение красной машины заблокировано стоящим в очереди трафиком, поэтому вы можете продолжить движение, несмотря на отсутствие приоритета, потому что красная машина, вероятно, даст вам приоритет. Однако убедитесь, что это так.

Так как водителю красной машины потребуются дополнительные наблюдения из-за кустов вокруг входа на перекресток, вы можете повернуть, не мешая водителю.

Выход из шахматного перекрестка
Приоритеты между движением на противоположных боковых дорогах не столь четкие на изрезанных перекрестках, поэтому вы должны быть особенно осторожны.

Выезд на немаркированный перекресток
Ни одна из дорог не является основной, поэтому продолжайте движение с особой осторожностью и будьте готовы остановиться. Очень важно предвидеть действия других водителей и двигаться со скоростью, позволяющей вам остановиться.Приоритет по встречным машинам не изменился.

Исследование дорожного кодекса
Правило: 181.

Обзор правил брандмауэра VPC | Google Cloud

Правила брандмауэра виртуального частного облака (VPC) применяются к данному проекту и сети. Если вы хотите применить правила брандмауэра к нескольким сетям VPC в организации см. Политики межсетевого экрана. В Остальная часть этой страницы касается только правил брандмауэра VPC.

VPC позволяют разрешать или запрещать подключения к или с экземпляров вашей виртуальной машины (ВМ) на основе указанная вами конфигурация.Включенные правила брандмауэра VPC: всегда принудительно, защищая ваши экземпляры независимо от их конфигурации и операционная система, даже если они не запустились.

Каждая сеть VPC функционирует как распределенный межсетевой экран. В то время как правила брандмауэра определяются на уровне сети, соединения разрешены или отклонено на индивидуальной основе. Вы можете думать о VPC правила брандмауэра существуют не только между вашими экземплярами и другими сетями, но также и между отдельными экземплярами в одной сети.

Для получения дополнительной информации о межсетевых экранах см. Брандмауэр (вычисления).

Правила брандмауэра в Google Cloud

При создании правила брандмауэра VPC вы указываете Сеть VPC и набор компонентов, определяющих, какие правила делает. Компоненты позволяют настраивать таргетинг на определенные типы трафика на основе протокол трафика, порты назначения, источники и места назначения.Для большего информацию см. в разделе «Компоненты правил брандмауэра».

Вы создаете или изменяете правила брандмауэра VPC с помощью Облачная консоль Google, gcloud инструмент командной строки, и REST API. Когда вы создаете или изменяете правило брандмауэра, вы можете указать экземпляры, к которым он предназначен для применения с помощью целевого компонента правила.

Помимо правил брандмауэра, которые вы создаете, Google Cloud имеет другие правила, которые могут влиять на входящие (входящие) или исходящие (исходящие) соединения:

• Google Cloud не поддерживает определенные IP-протоколы, например исходящий трафик. на TCP-порт 25 в сети VPC.Для получения дополнительной информации см. всегда блокировал трафик.

• Google Cloud всегда разрешает обмен данными между экземпляром виртуальной машины и ее соответствующий сервер метаданных по адресу 169.254.169.254 . Для дополнительной информации, видеть всегда разрешенный трафик.

• В каждой сети есть два подразумеваемых правила брандмауэра, которые разрешить исходящие соединения и заблокировать входящие соединения. Правила межсетевого экрана которые вы создаете, могут переопределить эти подразумеваемые правила.

• Сеть по умолчанию предварительно заполнена правилами брандмауэра. которые вы можете удалить или изменить.

Технические характеристики

Правила межсетевого экрана VPC имеют следующие характеристики:

• Каждое правило брандмауэра применяется к входящему (входящему) или исходящему (исходящему) соединение, а не оба. Для получения дополнительной информации см. направление подключения.

• Правила брандмауэра поддерживают подключения IPv4. Также поддерживаются соединения IPv6. в сетях VPC с IPv6 включено. При указании источника для правила входа или пункта назначения для правила выхода по адресу, вы можете укажите адреса или блоки IPv4 или IPv6 в нотации CIDR.

• Каждое правило брандмауэра может содержать диапазоны IPv4 или IPv6, но не оба одновременно.

• Действие каждого правила брандмауэра: разрешить или запретить . Правило применяется к соединениям до тех пор, пока оно соблюдается. Для Например, вы можете отключить правило для устранения неполадок.

• При создании правила брандмауэра необходимо выбрать сеть VPC. Хотя правило применяется на уровне экземпляра, его конфигурация связанный с сетью VPC.Это означает, что вы не можете поделиться правила брандмауэра среди сетей VPC, включая подключенные сети с помощью VPC Network Peering или с помощью Облачные VPN-туннели.

• Правила брандмауэра VPC с состоянием.

  • Когда соединение разрешено через брандмауэр в любом направлении, также разрешен обратный трафик, соответствующий этому соединению. Ты не можешь настроить правило брандмауэра, чтобы запретить связанный ответный трафик.
  • Обратный трафик должен соответствовать 5-кортежу (исходный IP-адрес, целевой IP-адрес, порт источника, порт назначения, протокол) принятого трафика запроса, но с обратными адресами источника и назначения и портами.
  • Google Cloud связывает входящие пакеты с соответствующими исходящими пакетов с помощью таблицы отслеживания соединений.
  • Google Cloud реализует отслеживание подключений независимо от того, протокол поддерживает соединения. Если соединение разрешено между источник и цель (для правила входа) или между целью и пункт назначения (для правила выхода), весь ответный трафик разрешен до тех пор, пока поскольку состояние отслеживания соединения брандмауэра активно. Правило брандмауэра состояние отслеживания считается активным, если каждые 10 минут.
  • Ответный трафик ICMP, например «ICMP TYPE 3, DESTINATION UNREACHABLE», сгенерированный в ответ на разрешенное соединение TCP / UDP разрешено через брандмауэр. Такое поведение соответствует RFC. 792.

• Правила брандмауэра VPC не собирают фрагментированные TCP-пакеты. Следовательно, правило брандмауэра, применимое к протоколу TCP, может применяться только к первому фрагменту, потому что он содержит заголовок TCP. Правила межсетевого экрана применимые к протоколу TCP, не применяются к последующим фрагментам TCP.

• Максимальное количество отслеживаемых соединений в таблице правил межсетевого экрана зависит от от количества соединений с отслеживанием состояния, поддерживаемых типом машины пример. Если максимальное количество отслеживаемых подключений превышено, отслеживание останавливается для соединений с наибольшим интервалом простоя, чтобы позволить новым связи будут отслеживаться.

  Экземпляр типа машины	Максимальное количество соединений с отслеживанием состояния
  Типы машин с общим ядром	130 000
  Экземпляры с 1–8 виртуальными ЦП	130 000 подключений на виртуальный ЦП
  Экземпляры с более чем 8 виртуальными ЦП	1,040,000 (130,000 × 8) соединений всего

Подразумеваемые правила

Каждая сеть VPC имеет два подразумеваемых правила брандмауэра IPv4.Если IPv6 включен в сети VPC, сеть также имеет два подразумеваемых IPv6 правила брандмауэра. Эти правила не отображаются в Cloud Console.

Подразумеваемые правила брандмауэра IPv4 присутствуют во всех сетях VPC, независимо от того, как создаются сети, и работают ли они в автоматическом режиме или настраиваемый режим сетей VPC. Сеть по умолчанию имеет те же подразумеваемые правила.

• Подразумеваемое правило разрешения IPv4 на выходе. Выходное правило с действием разрешить , пункт назначения — 0.0.0.0 / 0 , а приоритет минимально возможный ( 65535 ) позволяет любой экземпляр отправляет трафик в любой пункт назначения, кроме трафика заблокирован Google Cloud. Межсетевой экран с более высоким приоритетом правило может ограничивать исходящий доступ. Доступ в Интернет разрешен, если никакие другие правила брандмауэра не запрещают исходящий трафик, и если у экземпляра есть внешний IP-адрес или использует экземпляр Cloud NAT. Для получения дополнительной информации см. Требования к доступу в Интернет.

• Подразумеваемое правило запрета входа IPv4. Правило входа с действием запретить , источник — 0. 0.0.0/0 , а приоритет — минимально возможный ( 65535 ) защищает все экземпляры, заблокировав входящие к ним соединения. Правило с более высоким приоритетом может разрешить входящий доступ. Сеть по умолчанию включает в себя несколько дополнительные правила, которые отменяют это, позволяя определенные типы входящих соединений.

Если IPv6 включен, сеть VPC также имеет эти два подразумеваемых правил:

• Подразумеваемое правило разрешения IPv6 на выходе. Выходное правило с действием разрешить , пункт назначения — :: / 0 , а приоритет — самый низкий из возможных ( 65535 ) позволяет любой экземпляр отправляет трафик в любой пункт назначения, кроме трафика заблокирован Google Cloud. Межсетевой экран с более высоким приоритетом правило может ограничивать исходящий доступ. Доступ в Интернет разрешен, если никакие другие правила брандмауэра не запрещают исходящий трафик, и если у экземпляра есть внешний IP-адрес.

• Подразумеваемое правило запрета входа IPv6. Правило входа с действием запретить , источник — :: / 0 , а приоритет — самый низкий из возможных ( 65535 ) защищает все экземпляры, заблокировав входящие к ним соединения.Правило с более высоким приоритетом может разрешить входящий доступ.

Подразумеваемые правила не могут быть удалены , но они имеют минимально возможные приоритеты. Вы можете создавать правила, которые отменяют их, если в ваших правилах есть более высокие приоритеты (номера приоритета меньше, чем 65535 ). Потому что отрицают правила иметь приоритет над разрешить правил того же приоритета, вход разрешить правило с приоритетом 65535 никогда не вступает в силу.

Предварительно заполненные правила в сети по умолчанию

Сеть по умолчанию предварительно заполнена правилами брандмауэра, которые разрешают входящие подключения к экземплярам. При необходимости эти правила можно удалить или изменить:

• default-allow-internal
  Разрешает входящие соединения для всех протоколов и портов между экземплярами в сеть. Это правило имеет второй после самого низкого приоритета 65534 , и оно эффективно разрешает входящие подключения к экземплярам ВМ от других в та же сеть.Это правило разрешает трафик в 10.128.0.0/9 (из 10.128.0.1 до 10.255.255.254 ), диапазон, охватывающий все подсети в сети.
• default-allow-ssh
  Разрешает входящие соединения через порт назначения TCP 22 от любого источника к любой экземпляр в сети. Это правило имеет приоритет 65534 .
• default-allow-rdp
  Разрешает входящие подключения через порт назначения TCP 3389 от любого источника к любой экземпляр в сети.Это правило имеет приоритет 65534 , и позволяет подключаться к экземплярам, ​​на которых запущен удаленный рабочий стол Microsoft Протокол (RDP).
• default-allow-icmp
  Разрешает входящий трафик ICMP из любого источника в любой экземпляр в сеть. Это правило имеет приоритет 65534 и позволяет использовать такие инструменты, как пинг .

Трафик всегда заблокирован

Google Cloud всегда блокирует трафик, описанный в следующей таблице. Правила вашего брандмауэра не могут использоваться для разрешения любого из этого трафика.

Всегда разрешенный трафик

Google Cloud запускает локальный сервер метаданных вместе с каждым экземпляром в 169.254.169.254 . Этот сервер необходим для работы экземпляра, поэтому экземпляр может получить к нему доступ независимо от настроенных вами правил брандмауэра. В сервер метаданных предоставляет экземпляру следующие базовые услуги:

Правила брандмауэра GKE

Google Kubernetes Engine автоматически создает правила брандмауэра при создании следующих ресурсы:

• Кластеры GKE
• Услуги GKE
• Вход GKE

Для получения дополнительной информации см. Автоматически созданные правила брандмауэра.

Компоненты правила межсетевого экрана

Каждое правило межсетевого экрана состоит из следующих компонентов конфигурации:

• Направление подключения: правила входа применяются к входящие соединения из указанных источников в Google Cloud нацелен на , и правила выхода применяются к соединениям, идущим к указанным пунктов назначения из целей .

• Числовой приоритет, который определяет, применяется ли правило. Только высший приоритет (низший номер приоритета) применяется правило, другие компоненты которого совпадают с трафиком; конфликтующие правила с более низким приоритетом игнорируются.

• Действие при совпадении: разрешает или запрещает , что определяет, разрешает ли правило соединения или блокирует их.

• Состояние принудительного применения правила брандмауэра: можно включить и отключить правила брандмауэра, не удаляя их.

• Цель, определяющая экземпляры (включая Кластеры GKE и экземпляры гибкой среды App Engine) к которому применяется правило.

• Фильтр источника для правил входа или фильтр назначения для исходящих правил.

• Протокол (например, TCP, UDP или ICMP) и порт назначения.

• Логическая опция журналов, которая регистрирует подключения, соответствующие правилу, в Cloud Logging.

Обзор компонентов

Входящее (входящее) правило
Приоритет	Действие	Правоприменение	Target (определяет пункт назначения)	Фильтр источника	Протоколы и порты
Целое число от 0 до 65535 включительно; по умолчанию 1000	разрешить или запретить	включен (по умолчанию) или выключен	Целевой параметр Параметр указывает место назначения; это может быть один из следующее:	Одно из следующих: Диапазон адресов IPv4 Диапазон адресов IPv6 Диапазон IPv4-адресов и экземпляров по сетевому тегу Диапазон IPv4-адресов и экземпляров по сервисному аккаунту Диапазон IPv6-адресов и экземпляров по сетевому тегу Диапазон IPv6-адресов и экземпляров по сервисному аккаунту Если источник не указан, диапазон IPv4 составляет 0. 0.0.0 / 0 .	Укажите протокол или протокол и порт назначения. Если нет установлено, правило применяется ко всем протоколам и портам назначения.
Исходящее (исходящее) правило
Приоритет	Действие	Правоприменение	Target (определяет источник)	Фильтр назначения	Протоколы и порты
Целое число от 0 до 65535 включительно; по умолчанию 1000	разрешить или запретить	включен (по умолчанию) или выключен	Целевой объект Параметр указывает источник; это может быть один из следующие: Все экземпляры в сети VPC экземпляров по сетевому тегу Экземпляры по сервисному счету	Одно из следующих: Диапазон адресов IPv4 Диапазон адресов IPv6 Если место назначения не указано, диапазон IPv4 составляет 0. 0.0.0 / 0 .	Укажите протокол или протокол и порт назначения. Если нет установлено, правило применяется ко всем протоколам и портам назначения.

Направление движения

Направление правила брандмауэра может быть входящим или исходящим. В направление всегда определяется с точки зрения виртуальной машины, которую брандмауэр правило применяется к (цели).

• Направление входа описывает соединения, отправленные от источника к цель.Правила входа применяются к пакетам для новых сеансов, в которых пункт назначения пакета является целью.

• Исходящее направление описывает трафик, отправленный от цели к место назначения. Правила выхода применяются к пакетам для новых сеансов где источником пакета является цель.

• Если вы не укажете направление, Google Cloud будет использовать входящий трафик.

Рассмотрим пример соединения между двумя виртуальными машинами в одной сети. Движение от ВМ1 к ВМ2 можно управлять с помощью любого из этих правил брандмауэра:

Приоритет

Приоритет правила брандмауэра — целое число от 0 до 65535 включительно. Нижний целые числа указывают на более высокий приоритет. Если вы не укажете приоритет, когда при создании правила ему присваивается приоритет 1000 .

Относительный приоритет правила брандмауэра определяет, применимо ли оно, когда оценивается по сравнению с другими. Логика оценки работает следующим образом:

• Правило наивысшего приоритета, применимое к цели для данного типа трафика имеет приоритет. Целевая специфичность не имеет значения. Например, высшее приоритетное правило входа для определенных портов назначения и предназначенных протоколов для всех целей отменяет аналогично определенное правило с более низким приоритетом для те же порты назначения и протоколы, предназначенные для конкретных целей.

• Правило наивысшего приоритета, применимое для данного протокола и пункта назначения определение порта имеет приоритет, даже если протокол и пункт назначения определение порта является более общим. Например, правило входа с более высоким приоритетом разрешение трафика для всех протоколов и портов назначения, предназначенных для данного цели отменяют правило входа с более низким приоритетом, запрещая TCP 22 для того же цели.

• Правило с действием запретить отменяет другое правило с действием разрешить , только если два правила имеют одинаковый приоритет. Используя относительные приоритеты, возможно построить разрешить правил, которые отменяют запрещают правила и запрещают правила это переопределение разрешает правил.

• Правила с одинаковым приоритетом и одинаковым действием дают одинаковый результат. Однако правило, используемое во время оценки, не определено. Как обычно, не имеет значения, какое правило используется, кроме случаев, когда вы включаете Ведение журнала правил межсетевого экрана. Если хочешь ваши журналы, чтобы показать правила брандмауэра, оцениваемые последовательно и хорошо определенный порядок, назначьте им уникальные приоритеты.

Рассмотрим следующий пример, где существуют два правила брандмауэра:

• Правило входа из источников 0.0.0.0/0 (любой IPv4-адрес), применимое ко всем целям, все протоколы и все порты назначения, имеющие действие deny и приоритет 1000 .

• Правило входа из источников 0.0.0.0/0 (любой IPv4-адрес), применимое к конкретному цели с тегом webserver , для трафика по TCP 80, с разрешить действие.

Приоритет второго правила определяет, будет ли TCP-трафик на порт 80 разрешено для веб-сервера целей:

• Если приоритет второго правила установлен на число больше, чем 1000 , он имеет приоритет ниже , поэтому применяется первое правило, запрещающее весь трафик.

• Если приоритет второго правила установлен на 1000 , два правила имеют одинаковые приоритеты, поэтому применяется первое правило, запрещающее весь трафик.

• Если приоритет второго правила установлен на число меньше, чем 1000 , он имеет приоритет выше , таким образом разрешая трафик по TCP 80 для веб-сервер целей. При отсутствии других правил первое правило все равно отрицало бы другие типы трафика на веб-сервер цели , и он также будет отрицать все трафик, включая TCP 80, к экземплярам без тега веб-сервера .

Предыдущий пример демонстрирует, как можно использовать приоритеты для создания выборочных разрешить правила и глобальные правила запретить для реализации передовой практики безопасности наименьшая привилегия.

Действие при совпадении

Компонент действия правила брандмауэра определяет, разрешает оно или блокирует трафик, при условии соблюдения других компонентов правила:

Исполнение

Вы можете изменить, является ли правило брандмауэра принудительным , установив его состояние до включен или выключен . Отключение правила полезно для устранения неполадок или для предоставить временный доступ к экземплярам. Гораздо проще отключить правило, тестировать, а затем снова включите его, чтобы удалить и заново создать правило.

Если не указано иное, все правила брандмауэра включены , если они созданный.Вы также можете создать правило в состоянии отключен .

Состояние принудительного применения правил брандмауэра можно изменить с включено на выключено и обратно, обновив правило.

Когда вы изменяете состояние принудительного применения правила брандмауэра, изменение применяется к только новые подключения. На существующие соединения изменение в состояние исполнения.

Рассмотрите возможность отключения правила брандмауэра в таких ситуациях:

• Для устранения неполадок: если вы не уверены, блокирует ли правило брандмауэра или разрешив трафик, временно отключите его, чтобы определить, разрешен ли трафик, или заблокирован.Это полезно для устранения эффекта одного правила в сочетании с другими.
• Для обслуживания: отключение правил брандмауэра может привести к периодическому обслуживанию проще. Предположим, у вас есть правило брандмауэра, которое блокирует входящий SSH для целей. (например, экземпляры по целевому тегу), и это правило включено . Когда вам нужно выполнить обслуживание, вы можете отключить правило. После тебя закончить, снова включите правило.

Цель

Для правила входа (входящего) параметр target обозначает назначение Экземпляры виртуальных машин, включая кластеры GKE и гибкие возможности App Engine. экземпляры среды.Для исходящего (исходящего) правила цель указывает источник экземпляры. Таким образом, всегда используйте параметр target для обозначения Экземпляры Google Cloud, но является ли цель местом назначения трафика или источник трафика зависит от направления правила.

Вы указываете цель, используя одну из следующих опций:

• Все экземпляры в сети . Правило брандмауэра применяется ко всем экземплярам в сети.

• Экземпляры по целевым тегам .Правило брандмауэра применяется только к экземплярам с соответствующий сетевой тег.

• Экземпляры по целевым сервисным счетам . Правило брандмауэра применяется только экземплярам, ​​использующим конкретную учетную запись службы. Для максимальное количество учетных записей целевой службы, которое вы можете применить к брандмауэру Правило, смотри Квоты ресурсов VPC.

Для получения информации о преимуществах и ограничениях целевых тегов и целевой службы. учетные записи, см. фильтрацию по учетной записи службы по сравнению с сетевым тегом.

Цели и IP-адреса

Цель правила входящего брандмауэра применяется ко всему трафику , поступающему на сетевой интерфейс (NIC) экземпляра в сети VPC, независимо от того, как указана цель. Правило входящего брандмауэра вступает в силу на пакетах, назначение которых совпадает с одним из следующих IP-адресов:

• Основной внутренний IPv4-адрес, назначенный сетевому интерфейсу экземпляра. в сети VPC

• Любые настроенные диапазоны псевдонимов IP-адресов на сетевой интерфейс экземпляра в сети VPC

• Внешний IPv4-адрес, связанный с сетью экземпляра. интерфейс в сети VPC

• Если в подсети настроен IPv6, любой из адресов IPv6, назначенных VM

• Внутренний или внешний IPv4-адрес, связанный с правилом переадресации, для балансировка нагрузки или переадресация протокола, если экземпляр является серверной частью для балансировщик нагрузки или целевой экземпляр для перенаправления протокола

Цель правила исходящего брандмауэра применяется ко всему трафику , выходящему из Сетевой интерфейс (NIC) экземпляра виртуальной машины в сети VPC, независимо от того, как указана цель:

• По умолчанию переадресация IP отключена. Правило выходящего брандмауэра вступает в силу пакеты, источники которых соответствуют любому из следующего:

  • Основной внутренний IPv4-адрес сетевой карты экземпляра

  • Любой настроенный диапазон псевдонимов IP-адресов на NIC экземпляра

  • Если в подсети настроен IPv6, любой из адресов IPv6, назначенных ВМ

  • Внутренний или внешний IPv4-адрес, связанный с правилом переадресации, для балансировка нагрузки или переадресация протокола, если экземпляр является серверной частью для балансировщик нагрузки или целевой экземпляр для перенаправления протокола

• Когда включена переадресация IP, виртуальная машина разрешено отправлять пакеты с любым источником.

Источник или место назначения

Вы указываете либо как источник, либо как место назначения, но не то и другое вместе, в зависимости от направление создаваемого межсетевого экрана:

• Для правил входа (входящих) параметр target указывает место назначения экземпляры для трафика; нельзя использовать параметр назначения . Вы указываете источник с помощью параметра источник .

• Для исходящих (исходящих) правил параметр target указывает источник экземпляры для трафика; вы не можете использовать параметр источник .Вы указываете пункт назначения с помощью параметра пункт назначения .

Источники

Источник Параметр применим только к правилам входа. Это должно быть одно из следующих:

• Диапазон IPv4 источника или диапазоны IPv6 источника : Вы можете указать диапазоны IP адреса как источники пакетов. Диапазоны могут быть IPv4 или IPv6. адресов, но не их комбинации. Диапазоны могут включать адреса внутри вашей сети VPC и адресов за ее пределами.

• Теги источника : вы можете определить источник пакетов как основной внутренний IP-адрес сетевого интерфейса экземпляров ВМ в том же Сеть VPC, идентифицирующая эти исходные экземпляры по сопоставлению сетевой тег. Исходные теги только применяется к трафику, отправляемому из сетевого интерфейса другого применимого экземпляр в вашей сети VPC. Исходный тег не может контролировать пакеты, источниками которых являются внешние IP-адреса, даже если внешний IP-адрес адреса принадлежат экземплярам.Для максимального количества источников теги, которые можно применять для каждого правила брандмауэра, см. Квоты ресурсов VPC.

• Учетные записи служб источника : Вы можете определить источник пакетов как основной внутренний IP-адрес сетевого интерфейса экземпляров в том же Сеть VPC, идентифицирующая эти исходные экземпляры службой учетные записи, которые они используют. Исходные сервисные счета только применяются к трафик, отправленный из сетевого интерфейса другого применимого экземпляра в вашем Сеть VPC.Учетная запись исходной службы не может управлять пакетами чьи источники являются внешними IP-адресами, даже если внешние IP-адреса принадлежат экземплярам. Для максимального количества учетных записей исходных служб, которые вы можете применить для каждого правила брандмауэра, см. Квоты ресурсов VPC.

• Можно использовать комбинацию диапазонов IP-адресов источника и тегов источника .

• Комбинация диапазонов IP-адресов источника и учетных записей служб источника может быть использовал.

• Если все исходных IP-адресов находятся в диапазоне , тегов источника и учетных записей исходных служб опущены, Google Cloud определяет источник как любой IPv4-адрес ( 0.0.0.0/0 ). Источники IPv6 не включены.

Источники и IP-адреса

Вы можете указать источник, используя следующие методы:

• Исходные теги
• Исходные сервисные счета
• Исходная спецификация, которая включает либо исходные теги, либо исходную службу. счета

Когда вы указываете источник с помощью этих методов, Google Cloud считает источником следующие IP-адреса:

Псевдонимы диапазонов IP-адресов для этой сетевой карты и IP-адресов для связанных правил переадресации не включаются при использовании исходных тегов или учетных записей исходных служб.

Если вам нужно включить псевдонимы диапазонов IP-адресов виртуальной машины, добавьте их в источник список диапазонов для правила входа. Вы можете использовать исходные диапазоны и исходные теги вместе; и вы можете использовать исходные диапазоны и исходные учетные записи служб вместе.

Направления

Параметр назначения применим только к исходящим правилам. направление Параметр принимает только диапазоны IP-адресов. Диапазоны могут включать адреса внутри вашей сети VPC и адресов за ее пределами.

Если вы не укажете целевой диапазон, Google Cloud определит назначения должны быть все адреса IPv4 ( 0. 0.0.0/0 ). Назначения IPv6 не включены.

Протоколы и порты

Вы можете сузить область действия правила брандмауэра, указав протоколы или протоколы и порты назначения. Вы можете указать протокол или комбинацию протоколы и их порты назначения. Если вы не укажете протоколы и порты, Правило брандмауэра применимо для всего трафика по любому протоколу и любому месту назначения порт.Вы можете указать только порты назначения. Правила, основанные на исходных портах: не поддерживается.

Чтобы сделать правило брандмауэра конкретным, необходимо сначала указать протокол. Если протокол поддерживает порты, при желании можно указать номер порта назначения или диапазон портов. Однако не все протоколы поддерживают порты. Например, порты существуют для TCP и UDP, но не для ICMP. (ICMP имеет разные типы ICMP , но они не являются портами и не могут быть указаны в правиле брандмауэра.)

В правилах брандмауэра можно использовать следующие имена протоколов: tcp , udp , icmp (для IPv4 ICMP), esp , ah , sctp и ipip . Для всех остальных протоколов используйте в Номер протокола IANA

Многие протоколы используют одно и то же имя и номер как в IPv4, так и в IPv6, но некоторые протоколы, такие как ICMP, этого не делают.

Протокол IPv6 Hop-by-Hop не поддерживается правилами брандмауэра.

Правила брандмауэра Google Cloud используют информацию о порте для ссылки на порт назначения пакета , а не его исходный порт:

• Для входящих (входящих) правил брандмауэра порты назначения являются портами в системе определяется параметром цели правила .(Для правил входа цель параметр указывает виртуальные машины назначения для трафика.)

• Для исходящих (исходящих) правил брандмауэра порты назначения представляют порты на системы, идентифицированные параметром назначения правила .

В следующей таблице приведены действующие спецификации протокола и порта назначения. комбинации правил брандмауэра Google Cloud.

Спецификация	Пример	Пояснение
Нет протокола и порта	–	Если вы не укажете протокол, правило брандмауэра применяется ко всем протоколы и их применимые порты назначения.
Протокол	TCP	Если вы укажете протокол без информации о порте, брандмауэр Правило применяется к этому протоколу и всем его применимым портам.
Протокол и один порт	TCP: 80	Если вы укажете протокол и единственный порт назначения, брандмауэр Правило применяется к этому порту назначения протокола.
Протокол и диапазон портов	TCP: 20-22	Если вы укажете протокол и диапазон портов, правило брандмауэра применяется к диапазон портов назначения для протокола.
Комбинации	icmp, tcp: 80 tcp: 443 UDP: 67-69	Вы можете указать различные комбинации протоколов и портов назначения к которому применяется правило брандмауэра. Для получения дополнительной информации см. Создание брандмауэра. правила.