防火牆政策可讓您將多項防火牆規則歸為一組,一次更新所有規則,透過 Identity and Access Management (IAM) 角色有效地控管。這些政策包含可明確拒絕或允許連線的規則,與虛擬私有雲 (VPC) 防火牆規則相同。
階層式防火牆政策
階層式防火牆政策可讓您將規則分組到政策物件中,並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。
如需階層式防火牆政策規格和詳細資料,請參閱「階層式防火牆政策」。
全域網路防火牆政策
全域網路防火牆政策可將規則分組為政策物件,並套用至虛擬私有雲網路的所有區域。
如要瞭解全域網路防火牆政策的規格和詳細資料,請參閱「全域網路防火牆政策」。
區域性防火牆政策
區域網路防火牆政策可讓您將規則歸類至政策物件,並套用至虛擬私有雲網路的特定區域。
如要瞭解區域防火牆政策規格和詳細資料,請參閱「區域網路防火牆政策」。
區域性系統防火牆政策數量
區域性系統防火牆政策與區域性網路防火牆政策類似,但由 Google 管理。區域性系統防火牆政策具有下列特性:
Google Cloud 在評估階層式防火牆政策中的規則後,立即評估區域性系統防火牆政策中的規則。詳情請參閱「防火牆規則評估程序」。
您無法修改區域系統防火牆政策中的規則,但可以啟用或停用防火牆規則記錄。Google Kubernetes Engine (GKE) 等 Google 服務會使用內部 API,在區域系統防火牆政策中管理規則。
Google Cloud 會在虛擬私有雲網路的區域中建立區域系統防火牆政策,前提是 Google 服務需要該網路區域中的規則。 Google Cloud 可根據 Google 服務的需求,將多個區域系統防火牆政策與虛擬私有雲網路的區域建立關聯。
評估區域系統防火牆政策中的規則時,系統不會向您收費。
網路設定檔互動
一般虛擬私有雲網路支援階層式防火牆政策、全域網路防火牆政策、區域網路防火牆政策和虛擬私有雲防火牆規則中的防火牆規則。所有防火牆規則都會程式化為 Andromeda 網路虛擬化堆疊的一部分。
使用特定網路設定檔的虛擬私有雲網路,會限制您可使用的防火牆政策和規則屬性。如要瞭解 RoCE 虛擬私有雲網路,請參閱「適用於 RoCE 虛擬私有雲網路的 Cloud NGFW」,而非本頁內容。
網路防火牆政策強制執行順序
每個一般虛擬私有雲網路都有網路防火牆政策強制執行順序,可控制系統評估全域網路防火牆政策和區域網路防火牆政策中規則的時間。
AFTER_CLASSIC_FIREWALL(預設):Cloud NGFW 會先評估虛擬私有雲防火牆規則,再評估全域網路防火牆政策和區域網路防火牆政策中的規則。BEFORE_CLASSIC_FIREWALL:Cloud NGFW 會先評估全域網路防火牆政策和區域網路防火牆政策中的規則,再評估虛擬私有雲防火牆規則。
如要變更網路防火牆政策的強制執行順序,請執行下列任一操作:
使用
networks.patch方法,並設定虛擬私有雲網路的networkFirewallPolicyEnforcementOrder屬性。使用
gcloud compute networks update指令並加上--network-firewall-policy-enforcement-order旗標。例如:
gcloud compute networks update VPC_NETWORK_NAME \ --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER
防火牆規則評估程序
本節說明 Cloud NGFW 在一般 VPC 網路中,評估適用於目標資源的規則時,採用的順序。
每項防火牆規則都是傳入或傳出規則,視流量方向而定:
輸入規則會套用至目標資源接收的新連線封包。輸入規則支援的目標資源如下:
虛擬機器 (VM) 執行個體的網路介面。
內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的代管 Envoy Proxy (搶先版)。
輸出規則會套用到目標 VM 網路介面傳送的新連線封包。
Cloud NGFW 一律會先評估階層式防火牆政策和區域性系統防火牆政策中的規則,再評估任何其他防火牆規則。您可以選擇網路防火牆政策強制執行順序,控管 Cloud NGFW 評估其他防火牆規則的順序。網路防火牆政策的強制執行順序可以是 AFTER_CLASSIC_FIREWALL 或 BEFORE_CLASSIC_FIREWALL。
AFTER_CLASSIC_FIREWALL 網路防火牆政策強制執行順序
如果網路防火牆政策的強制執行順序為 AFTER_CLASSIC_FIREWALL,Cloud NGFW 會在評估虛擬私有雲防火牆規則後,評估全域和區域網路防火牆政策中的規則。這是預設的評估順序。
在採用AFTER_CLASSIC_FIREWALL強制執行順序的一般虛擬私有雲網路中,完整的防火牆規則評估順序如下:
階層式防火牆政策。
Cloud NGFW 會依下列順序評估階層式防火牆政策:
- 與包含目標資源的機構相關聯的階層式防火牆政策。
- 與資料夾上層項目相關聯的階層式防火牆政策,從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在階層式防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估會繼續執行下列其中一項操作:- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
如果階層式防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估下列其中一項:- 與目標資源較近的資料夾上層項目相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
區域性系統防火牆政策。
評估區域性系統防火牆政策規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在區域系統防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估會繼續- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估完畢,則評估順序中的下一個步驟。
如果區域系統防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估下列其中一項:- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估,則評估順序中的下一個步驟。
虛擬私有雲防火牆規則。
評估虛擬私有雲防火牆規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
當一或兩項虛擬私有雲防火牆規則符合流量時,防火牆規則的相符時動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。
如果兩個規則相符,優先順序必須相同,但動作不同。在這種情況下,Cloud NGFW 會強制執行
deny虛擬私有雲防火牆規則,並忽略allow虛擬私有雲防火牆規則。如果沒有任何虛擬私有雲防火牆規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作,繼續評估順序中的下一個步驟。全域網路防火牆政策。
評估全域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在全域網路防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。goto_next:規則評估作業會繼續進行,並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估, 並依評估順序進行區域網路防火牆政策步驟。區域網路防火牆政策。
Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策規則。
評估區域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在區域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估作業會繼續進行,並依評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用「隱含」
goto_next動作。這項動作會繼續評估,並進入評估順序的下一個步驟。最後一個步驟 - 隱含動作。
如果防火牆規則評估作業已透過明確或隱含的
goto_next動作,持續完成每個先前的步驟,Cloud NGFW 就會套用隱含動作。隱含動作取決於流量方向:如果是輸入流量,隱含動作也會取決於目標資源:
如果目標資源是 VM 執行個體的網路介面,則隱含的連入動作為
deny。如果目標資源是內部應用程式負載平衡器或內部 Proxy 網路負載平衡器的轉送規則,則隱含的傳入流量為
allow。
如果是輸出流量,則隱含動作為
allow。
AFTER_CLASSIC_FIREWALL 圖表
下圖說明AFTER_CLASSIC_FIREWALL網路防火牆政策的強制執行順序:
AFTER_CLASSIC_FIREWALL,防火牆規則的解析流程 (按一下可放大)。BEFORE_CLASSIC_FIREWALL 網路防火牆政策強制執行順序
如果網路防火牆政策的強制執行順序為 BEFORE_CLASSIC_FIREWALL,Cloud NGFW 會先評估全域和區域網路防火牆政策中的規則,再評估虛擬私有雲防火牆規則。
在採用BEFORE_CLASSIC_FIREWALL強制執行順序的一般虛擬私有雲網路中,完整的防火牆規則評估順序如下:
階層式防火牆政策。
Cloud NGFW 會依下列順序評估階層式防火牆政策:
- 與包含目標資源的機構相關聯的階層式防火牆政策。
- 與資料夾上層項目相關聯的階層式防火牆政策,從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在階層式防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估會繼續執行下列其中一項操作:- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
如果階層式防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估下列其中一項:- 與目標資源較近的資料夾上層項目相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
區域性系統防火牆政策。
評估區域性系統防火牆政策規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在區域系統防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估會繼續- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估完畢,則評估順序中的下一個步驟。
如果區域系統防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估下列其中一項:- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估完畢,則評估順序中的下一個步驟。
全域網路防火牆政策。
評估全域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在全域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估作業會繼續進行,並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估, 並依評估順序進行區域網路防火牆政策步驟。區域網路防火牆政策。
Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策規則。
評估區域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
在區域網路防火牆政策中,最多只能有一條規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估作業會繼續進行,並依評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用「隱含」
goto_next動作。這項動作會繼續評估,並進入評估順序的下一個步驟。虛擬私有雲防火牆規則。
評估虛擬私有雲防火牆規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則符合流量。
當一或兩項虛擬私有雲防火牆規則符合流量時,防火牆規則的相符時動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。
如果兩個規則相符,優先順序必須相同,但動作不同。在這種情況下,Cloud NGFW 會強制執行
deny虛擬私有雲防火牆規則,並忽略allow虛擬私有雲防火牆規則。如果沒有任何虛擬私有雲防火牆規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作,繼續評估順序中的下一個步驟。最後一個步驟 - 隱含動作。
如果防火牆規則評估作業已透過明確或隱含的
goto_next動作,持續完成每個先前的步驟,Cloud NGFW 就會套用隱含動作。隱含動作取決於流量方向:如果是輸入流量,隱含動作也會取決於目標資源:
如果目標資源是 VM 執行個體的網路介面,則隱含的連入動作為
deny。如果目標資源是內部應用程式負載平衡器或內部 Proxy 網路負載平衡器的轉送規則,則隱含的傳入流量為
allow。
如果是輸出流量,則隱含動作為
allow。
BEFORE_CLASSIC_FIREWALL 圖表
下圖說明BEFORE_CLASSIC_FIREWALL網路防火牆政策的強制執行順序:
BEFORE_CLASSIC_FIREWALL,防火牆規則解析流程 (按一下可放大)。有效的防火牆規則
階層式防火牆政策規則、虛擬私有雲防火牆規則,以及全域和區域網路防火牆政策規則,都會控管連線。查看影響個別網路或 VM 介面的所有防火牆規則,或許能派上用場。
網路有效防火牆規則
您可以查看套用至虛擬私有雲網路的所有防火牆規則。清單包含下列所有類型的規則:
- 從階層式防火牆政策繼承的規則
- 虛擬私有雲防火牆規則
- 從全域和區域網路防火牆政策套用的規則
執行個體有效的防火牆規則
您可以查看套用至 VM 網路介面的所有防火牆規則。清單包含下列所有類型的規則:
- 從階層式防火牆政策繼承的規則
- 從介面的虛擬私有雲防火牆套用的規則
- 從全域和區域網路防火牆政策套用的規則
規則的排序方式是從機構層級到虛擬私有雲網路。系統只會顯示套用至 VM 介面的規則。系統不會顯示其他政策的規則。
如要查看區域內的有效防火牆政策規則,請參閱「取得網路的有效區域防火牆政策」。
預先定義的規則
建立階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策時,Cloud NGFW 會在政策中新增預先定義的規則。Cloud NGFW 新增至政策的預先定義規則,取決於您建立政策的方式。
如果您使用 Google Cloud 控制台建立防火牆政策,Cloud NGFW 會將下列規則新增至新政策:
如果您使用 Google Cloud CLI 或 API 建立防火牆政策,Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。
新防火牆政策中的所有預先定義規則,都會刻意使用低優先順序 (優先順序編號較大),因此您可以建立優先順序較高的規則來覆寫這些規則。除了優先順序最低的 goto-next 規則,您也可以自訂預先定義的規則。
私人 IPv4 範圍的 goto-next 規則
輸出規則,目的地 IPv4 範圍為
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為1000,且動作為goto_next。輸入規則,來源 IPv4 範圍為
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,優先順序為1001,動作為goto_next。
預先定義的 Google Threat Intelligence 拒絕規則
輸入規則,來源為 Google Threat Intelligence 清單
iplist-tor-exit-nodes、優先順序為1002,且動作為deny。輸入規則,來源為 Google Threat Intelligence 清單
iplist-known-malicious-ips、優先順序為1003,且動作為deny。輸出規則,目的地為 Google Threat Intelligence 清單
iplist-known-malicious-ips、優先順序為1004,且動作為deny。
如要進一步瞭解 Google Threat Intelligence,請參閱「適用於防火牆政策規則的 Google Threat Intelligence」。
預先定義的地理位置拒絕規則
- 一項來源比對地理位置為
CU、IR、KP、SY、XC和XD的連入規則,優先順序為1005,且動作為deny。
如要進一步瞭解地理位置,請參閱「地理位置物件」。
優先順序最低的 goto-next 規則
您無法修改或刪除下列規則:
輸出規則,目的地 IPv6 範圍為
::/0、優先順序為2147483644,且動作為goto_next。輸入規則,來源 IPv6 範圍為
::/0,優先順序為2147483645,且動作為goto_next。輸出規則,目的地 IPv4 範圍為
0.0.0.0/0,優先順序為2147483646,且goto_next動作。來源 IPv4 範圍為
0.0.0.0/0、優先順序為2147483647,且動作為goto_next的輸入規則。
後續步驟
- 如要建立及修改階層式防火牆政策和規則,請參閱「使用階層式防火牆政策和規則」。
- 如要查看階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
- 如要建立及修改全域網路防火牆政策和規則,請參閱「使用全域網路防火牆政策和規則」。
- 如要建立及修改區域網路防火牆政策和規則,請參閱「使用區域網路防火牆政策和規則」。