本頁面由 Cloud Translation API 翻譯而成。

防火牆政策

防火牆政策可讓您將多項防火牆規則歸為一組，一次更新所有規則，透過 Identity and Access Management (IAM) 角色有效地控管。這些政策包含可明確拒絕或允許連線的規則，與虛擬私有雲 (VPC) 防火牆規則相同。

階層式防火牆政策

階層式防火牆政策可讓您將規則分組到政策物件中，並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。

如需階層式防火牆政策的規格和詳細資料，請參閱「階層式防火牆政策」。

全域網路防火牆政策

全域網路防火牆政策可將規則編成政策物件群組，並套用至所有區域 (全域)。防火牆政策必須與虛擬私有雲網路建立關聯，才會生效。如要將全域網路防火牆政策與網路建立關聯，請參閱「將政策與網路建立關聯」。將全域網路防火牆政策與虛擬私有雲網路建立關聯後，政策中的規則就能套用至虛擬私有雲網路中的資源。您只能將網路防火牆政策連結至虛擬私有雲網路。

如要瞭解全域網路防火牆政策的規格和詳細資料，請參閱「全域網路防火牆政策」。

區域性防火牆政策

區域網路防火牆政策可讓您將規則分組到適用於特定區域的政策物件中。區域網路防火牆政策必須與相同區域中的虛擬私有雲網路建立關聯，才會生效。如要將區域網路防火牆政策與網路建立關聯，請參閱「將政策與網路建立關聯」。將區域網路防火牆政策與虛擬私有雲網路建立關聯後，政策中的規則就能套用至虛擬私有雲網路該區域內的資源。

如要瞭解區域防火牆政策規格和詳細資料，請參閱「區域網路防火牆政策」。

區域性系統防火牆政策

區域系統防火牆政策是唯讀防火牆政策，Google Kubernetes Engine (GKE) 等 Google 內部服務會使用這類政策，確保虛擬私有雲網路中的作業安全。這些政策是由 Google 服務使用內部 API 建立及管理。

當 Google 服務需要在政策中建立規則時，系統會自動將區域系統防火牆政策與虛擬私有雲網路的區域建立關聯。評估區域系統防火牆政策中的規則時，系統不會向您收費。

區域性系統防火牆政策具有下列特性：

Google Cloud 在評估階層式防火牆政策中的規則後，立即評估區域系統防火牆政策中的規則，但會先於全域網路防火牆政策、區域網路防火牆政策或虛擬私有雲防火牆規則中的規則。
系統防火牆政策為唯讀，您可以查看系統防火牆政策規則，但無法建立、修改或刪除系統防火牆政策或規則。
您可以在系統防火牆政策規則中啟用防火牆記錄。
Google Cloud 根據 Google 服務需要的防火牆規則，將一或多項區域系統防火牆政策與虛擬私有雲網路的區域建立關聯。

將防火牆政策和規則套用至網路

一般虛擬私有雲網路支援階層式防火牆政策、全域網路防火牆政策、區域網路防火牆政策和虛擬私有雲防火牆規則中的防火牆規則。所有防火牆規則都會編寫為 Andromeda 網路虛擬化堆疊的一部分。

如為 RoCE 虛擬私有雲網路，請參閱「適用於 RoCE 虛擬私有雲網路的 Cloud NGFW」，而非本節內容。

網路防火牆政策強制執行順序

每個一般虛擬私有雲網路都有網路防火牆政策強制執行順序，可控制何時評估全域網路防火牆政策和區域網路防火牆政策中的規則。

AFTER_CLASSIC_FIREWALL (預設)：Cloud NGFW 會先評估虛擬私有雲防火牆規則，再評估全域網路防火牆政策和區域網路防火牆政策中的規則。
BEFORE_CLASSIC_FIREWALL：Cloud NGFW 會先評估全域網路防火牆政策和區域網路防火牆政策中的規則，再評估虛擬私有雲防火牆規則。

如要變更網路防火牆政策的強制執行順序，請執行下列任一操作：

使用 networks.patch 方法，並設定虛擬私有雲網路的 networkFirewallPolicyEnforcementOrder 屬性。

使用 gcloud compute networks update 指令並加上 --network-firewall-policy-enforcement-order 旗標。

例如：

gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

防火牆規則評估程序

針對特定封包，Cloud NGFW 會完全根據流量方向評估下列規則：

如果目標資源收到封包，則為輸入防火牆規則。
如果目標資源傳送封包，則為輸出防火牆規則。

Cloud NGFW 會依特定順序評估防火牆規則。順序取決於網路防火牆政策的強制執行順序，可以是 AFTER_CLASSIC_FIREWALL 或 BEFORE_CLASSIC_FIREWALL。

`AFTER_CLASSIC_FIREWALL`強制執行順序中的規則評估順序

在「AFTER_CLASSIC_FIREWALL網路防火牆政策強制執行順序」中，Cloud NGFW 會在評估階層式防火牆政策中的規則後，評估虛擬私有雲防火牆規則。這是預設的評估順序。

系統會依下列順序評估防火牆規則：

階層式防火牆政策。

Cloud NGFW 會依下列順序評估階層式防火牆政策：
1. 與包含目標資源的機構相關聯的階層式防火牆政策。
2. 與資料夾上層項目相關聯的階層式防火牆政策，從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在階層式防火牆政策中，最多只能有一項規則符合流量。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估。
- apply_security_profile_group：規則會將流量轉送至已設定的防火牆端點，並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。
- goto_next：規則評估會繼續執行下列其中一項操作：
  - 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
  - 如果所有階層式防火牆政策都已評估，則評估順序中的下一個步驟。
如果階層式防火牆政策中沒有任何規則符合流量，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，直到符合下列其中一項條件為止：
- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估，則評估順序中的下一個步驟。
區域系統防火牆政策。

評估區域系統防火牆政策規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在區域系統防火牆政策中，最多只能有一項規則符合流量。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估。
- goto_next：規則評估會繼續進行，直到
  - 如果存在，則為關聯優先順序次高的區域系統防火牆政策。
  - 如果所有區域系統防火牆政策都已評估，則評估順序的下一步。
如果區域系統防火牆政策中沒有任何規則符合流量，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，直到符合下列其中一項條件為止：
- 如果存在，則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域系統防火牆政策都已評估，則評估順序的下一步。
虛擬私有雲防火牆規則。

評估虛擬私有雲防火牆規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
當一或兩項虛擬私有雲防火牆規則符合流量時，防火牆規則的「符合時的動作」可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估。
如果兩個規則相符，優先順序必須相同，但動作不同。在這種情況下，Cloud NGFW 會強制執行 deny 虛擬私有雲防火牆規則，並忽略 allow 虛擬私有雲防火牆規則。

如果沒有任何虛擬私有雲防火牆規則與流量相符，Cloud NGFW 會使用隱含的 goto_next 動作，繼續評估順序中的下一個步驟。
全域網路防火牆政策。

評估全域網路防火牆政策中的規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在全域網路防火牆政策中，最多只能有一項規則與流量相符。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估作業。
- apply_security_profile_group：規則會將流量轉送至已設定的防火牆端點，並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。
- goto_next：規則評估作業會繼續進行，並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，並依評估順序進入區域網路防火牆政策步驟。
區域網路防火牆政策。

Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策規則。

評估區域網路防火牆政策中的規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在區域網路防火牆政策中，最多只能有一項規則與流量相符。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估作業。
- goto_next：規則評估作業會繼續進行，並依評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則與流量相符，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，並進入評估順序的下一個步驟。
隱含防火牆規則。

當所有符合流量的規則都具有明確的 goto_next 動作，或規則評估作業繼續執行隱含的 goto_next 動作時，Cloud NGFW 會強制執行下列隱含的防火牆規則。
- 默示允許輸出
- 默示拒絕輸入

下圖顯示網路防火牆政策強制執行順序為 AFTER_CLASSIC_FIREWALL 時的評估順序：

防火牆規則解決流程。 — **圖 1.** 如果網路防火牆政策的強制執行順序為 `AFTER_CLASSIC_FIREWALL`，防火牆規則的解析流程 (按一下可放大)。

`BEFORE_CLASSIC_FIREWALL`強制執行順序中的規則評估順序

在BEFORE_CLASSIC_FIREWALL網路防火牆政策強制執行順序中，Cloud NGFW 會在評估網路防火牆政策中的規則後，評估虛擬私有雲防火牆規則。

系統會依下列順序評估防火牆規則：

階層式防火牆政策。

Cloud NGFW 會依下列順序評估階層式防火牆政策：
1. 與包含目標資源的機構相關聯的階層式防火牆政策。
2. 與資料夾上層項目相關聯的階層式防火牆政策，從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在階層式防火牆政策中，最多只能有一項規則符合流量。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估作業。
- apply_security_profile_group：規則會將流量轉送至已設定的防火牆端點，並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。
- goto_next：規則評估會繼續執行下列其中一項操作：
  - 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
  - 如果所有階層式防火牆政策都已評估，則評估順序中的下一個步驟。
如果階層式防火牆政策中沒有任何規則符合流量，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，直到符合下列其中一項條件為止：
- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估，則評估順序中的下一個步驟。
區域系統防火牆政策。

評估區域系統防火牆政策規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在區域系統防火牆政策中，最多只能有一項規則符合流量。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估。
- goto_next：規則評估會繼續進行，直到
  - 如果存在，則為關聯優先順序次高的區域系統防火牆政策。
  - 如果所有區域系統防火牆政策都已評估，則評估順序的下一步。
如果區域系統防火牆政策中沒有任何規則符合流量，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，直到符合下列其中一項條件為止：
- 如果存在，則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域系統防火牆政策都已評估，則評估順序的下一步。
全域網路防火牆政策。

評估全域網路防火牆政策中的規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在全域網路防火牆政策中，最多只能有一項規則與流量相符。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估。
- apply_security_profile_group：規則會將流量轉送至已設定的防火牆端點，並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。
- goto_next：規則評估作業會繼續進行，並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，並依評估順序進入區域網路防火牆政策步驟。
區域網路防火牆政策。

Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策規則。

評估區域網路防火牆政策中的規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
在區域網路防火牆政策中，最多只能有一項規則與流量相符。防火牆規則的相符時動作可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估作業。
- goto_next：規則評估作業會繼續進行，並依評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則與流量相符，Cloud NGFW 會使用隱含的 goto_next 動作。這項動作會繼續評估，並進入評估順序的下一個步驟。
虛擬私有雲防火牆規則。

評估虛擬私有雲防火牆規則時，Cloud NGFW 會執行下列步驟：
1. 忽略目標與目標資源不符的所有規則。
2. 忽略所有與封包方向不符的規則。
3. 從最高到最低優先順序評估其餘規則。
  符合下列任一條件時，系統就會停止評估：
  - 適用於目標資源的規則與流量相符。
  - 沒有適用於目標資源的規則與流量相符。
當一或兩項虛擬私有雲防火牆規則符合流量時，防火牆規則的「符合時的動作」可以是下列其中一項：
- allow：規則允許流量，並停止所有規則評估。
- deny：規則會拒絕流量，並停止所有規則評估。
如果兩個規則相符，優先順序必須相同，但動作不同。在這種情況下，Cloud NGFW 會強制執行 deny 虛擬私有雲防火牆規則，並忽略 allow 虛擬私有雲防火牆規則。

如果沒有任何虛擬私有雲防火牆規則與流量相符，Cloud NGFW 會使用隱含的 goto_next 動作，繼續評估順序中的下一個步驟。
隱含防火牆規則。

當所有符合流量的規則都具有明確的 goto_next 動作，或規則評估作業繼續執行隱含的 goto_next 動作時，Cloud NGFW 會強制執行下列隱含的防火牆規則。
- 默示允許輸出
- 默示拒絕輸入

下圖顯示網路防火牆政策強制執行順序為 BEFORE_CLASSIC_FIREWALL 時的評估順序：

有效的防火牆規則

階層式防火牆政策規則、虛擬私有雲防火牆規則，以及全域和區域網路防火牆政策規則，都會控管連線。查看影響個別網路或 VM 介面的所有防火牆規則，或許能派上用場。

網路有效防火牆規則

您可以查看套用至虛擬私有雲網路的所有防火牆規則。清單包含下列所有類型的規則：

從階層式防火牆政策繼承的規則
虛擬私有雲防火牆規則
從全域和區域網路防火牆政策套用的規則

執行個體有效的防火牆規則

您可以查看套用至 VM 網路介面的所有防火牆規則。清單包含下列所有類型的規則：

從階層式防火牆政策繼承的規則
從介面的虛擬私有雲防火牆套用的規則
從全域和區域網路防火牆政策套用的規則

規則的排序方式是從機構層級到虛擬私有雲網路。系統只會顯示套用至 VM 介面的規則。系統不會顯示其他政策的規則。

如要查看區域內的有效防火牆政策規則，請參閱「取得網路的有效區域防火牆政策」。

預先定義的規則

建立階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策時，Cloud NGFW 會在政策中新增預先定義的規則。Cloud NGFW 新增至政策的預先定義規則，取決於您建立政策的方式。

如果您使用 Google Cloud 控制台建立防火牆政策，Cloud NGFW 會將下列規則新增至新政策：

私人 IPv4 範圍的 Goto-next 規則
預先定義的 Google Threat Intelligence 拒絕規則
預先定義的地理位置拒絕規則
優先順序最低的 goto-next 規則

如果您使用 Google Cloud CLI 或 API 建立防火牆政策，Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。

新防火牆政策中的所有預先定義規則，都會刻意使用低優先順序 (優先順序編號較大)，因此您可以建立優先順序較高的規則來覆寫這些規則。除了優先順序最低的 goto-next 規則，您也可以自訂預先定義的規則。

私人 IPv4 範圍的 goto-next 規則

目的地 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為 1000 且動作為 goto_next 的輸出規則。
輸入規則，來源 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16，優先順序為 1001，動作為 goto_next。

預先定義的 Google Threat Intelligence 拒絕規則

輸入規則，來源為 Google Threat Intelligence 清單 iplist-tor-exit-nodes、優先順序為 1002，且動作為 deny。
輸入規則，來源為 Google Threat Intelligence 清單 iplist-known-malicious-ips、優先順序為 1003，且動作為 deny。
輸出規則，目的地為 Google Threat Intelligence 清單 iplist-known-malicious-ips、優先順序為 1004，且動作為 deny。

如要進一步瞭解 Google Threat Intelligence，請參閱「適用於防火牆政策規則的 Google Threat Intelligence」。

預先定義的地理位置拒絕規則

一項來源比對地理位置為 CU、IR、KP、SY、XC 和 XD 的連入規則，優先順序為 1005，且動作為 deny。

如要進一步瞭解地理位置，請參閱「地理位置物件」。

優先順序最低的 goto-next 規則

您無法修改或刪除下列規則：

輸出規則，目的地 IPv6 範圍為 ::/0，優先順序為 2147483644，且動作為 goto_next。
輸入規則，來源 IPv6 範圍為 ::/0，優先順序為 2147483645，且動作為 goto_next。
輸出規則，目的地 IPv4 範圍為 0.0.0.0/0，優先順序為 2147483646，且動作為 goto_next。
來源 IPv4 範圍為 0.0.0.0/0、優先順序為 2147483647，且動作為 goto_next 的輸入規則。

後續步驟

如要建立及修改階層式防火牆政策和規則，請參閱「使用階層式防火牆政策和規則」。
如要查看階層式防火牆政策的實作範例，請參閱「階層式防火牆政策範例」。
如要建立及修改全域網路防火牆政策和規則，請參閱「使用全域網路防火牆政策和規則」。
如要建立及修改區域網路防火牆政策和規則，請參閱「使用區域網路防火牆政策和規則」。