防火墙政策可让您将多条防火墙规则分组,以便一次性更新所有防火墙规则,此操作由 Identity and Access Management (IAM) 角色有效控制。这些政策包含可以明确拒绝或允许连接的规则,Virtual Private Cloud (VPC) 防火墙规则就是如此。
分层防火墙政策
分层防火墙政策允许您将规则分组到政策对象中,该对象可应用于一个或多个项目中的许多 VPC 网络。您可以将分层防火墙政策与整个组织或单个文件夹关联。
如需了解分层防火墙政策规范和详细信息,请参阅分层防火墙政策。
全球网络防火墙政策数量
通过全球网络防火墙政策,您可以将规则分组到适用于所有区域(全球)的政策对象。防火墙政策只有在与 VPC 网络关联后才会生效。如需将全球网络防火墙政策与网络相关联,请参阅将政策与网络相关联。将全球网络防火墙政策与 VPC 网络关联后,政策中的规则可以应用于 VPC 网络中的资源。您只能将网络防火墙政策与 VPC 网络相关联。
如需了解全球网络防火墙政策规范和详细信息,请参阅全球网络防火墙政策。
区域级网络防火墙政策
通过区域级网络防火墙政策,您可以将规则分组到适用于特定区域的政策对象中。区域级网络防火墙政策只有在与同一区域中的 VPC 网络相关联后才会生效。如需将区域级网络防火墙政策与网络关联,请参阅将政策与网络关联。 将区域级网络防火墙政策与 VPC 网络关联后,该政策中的规则可以应用于 VPC 网络中该区域的资源。
如需了解区域级防火墙政策规范和详细信息,请参阅区域级网络防火墙政策。
将防火墙政策和规则应用于网络
常规 VPC 网络支持分层防火墙政策、全球网络防火墙政策、区域级网络防火墙政策和 VPC 防火墙规则中的防火墙规则。所有防火墙规则都作为 Andromeda 网络虚拟化堆栈的一部分进行编程。
对于 RoCE VPC 网络,请参阅适用于 RoCE VPC 网络的 Cloud NGFW,而不是本部分。
网络防火墙政策的强制执行顺序
每个常规 VPC 网络都有一个网络防火墙政策强制执行顺序,用于控制何时评估全球网络防火墙政策和区域级网络防火墙政策中的规则。
AFTER_CLASSIC_FIREWALL(默认):Cloud NGFW 会先评估 VPC 防火墙规则,然后再评估全球网络防火墙政策和区域级网络防火墙政策中的规则。BEFORE_CLASSIC_FIREWALL:Cloud NGFW 会先评估全球网络防火墙政策和区域级网络防火墙政策中的规则,然后再评估 VPC 防火墙规则。
如需更改网络防火墙政策强制执行顺序,请执行以下任一操作:
使用
networks.patch方法并设置 VPC 网络的networkFirewallPolicyEnforcementOrder属性。使用带有
--network-firewall-policy-enforcement-order标志的gcloud compute networks update命令。例如:
gcloud compute networks update VPC_NETWORK_NAME \ --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER
防火墙规则评估流程
对于给定的数据包,Cloud NGFW 会完全根据流量方向评估以下规则:
- 入站防火墙规则(如果目标资源收到数据包)。
- 出站防火墙规则(如果目标资源发送数据包)。
Cloud NGFW 会按特定顺序评估防火墙规则。顺序取决于网络防火墙政策强制执行顺序,可以是 AFTER_CLASSIC_FIREWALL 或 BEFORE_CLASSIC_FIREWALL。
AFTER_CLASSIC_FIREWALL 执行顺序中的规则评估顺序
在AFTER_CLASSIC_FIREWALL网络防火墙政策强制执行顺序中,Cloud NGFW 会在评估分层防火墙政策中的规则后评估 VPC 防火墙规则。这是默认的评估顺序。
防火墙规则按以下顺序进行评估:
分层防火墙政策。
Cloud NGFW 按以下顺序评估分层防火墙政策:
- 与包含目标资源的组织相关联的分层防火墙政策。
- 与文件夹祖先(从顶级文件夹到包含目标资源项目的文件夹)关联的分层防火墙政策。
在评估每个分层防火墙政策中的规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
在分层防火墙政策中,最多只能有一条规则与流量匹配。防火墙规则的匹配时操作可以是以下之一:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。apply_security_profile_group:规则将流量转发到已配置的防火墙端点,并停止所有规则评估。允许还是丢弃数据包的决定取决于安全配置文件组的配置安全配置文件。goto_next:规则评估继续进行,直至达到以下任一结果:- 与更接近目标资源的文件夹祖先关联的分层防火墙政策(如果存在)。
- 如果所有分层防火墙政策都已评估,则评估顺序中的下一步。
如果分层防火墙政策中没有任何规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作。此操作会继续评估,直到达到以下任一结果:- 与更接近目标资源的文件夹祖先关联的分层防火墙政策(如果存在)。
- 如果所有分层防火墙政策都已评估,则评估顺序中的下一步。
VPC 防火墙规则。
在评估 VPC 防火墙规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
当一个或两个 VPC 防火墙规则与流量匹配时,防火墙规则的对匹配项执行的操作可以是以下任一值:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。
如果两条规则匹配,则它们必须具有相同的优先级,但操作不同。在这种情况下,Cloud NGFW 会强制执行
denyVPC 防火墙规则,并忽略allowVPC 防火墙规则。如果没有 VPC 防火墙规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作继续执行评估顺序中的下一步。全球网络防火墙政策。
在评估全球网络防火墙政策中的规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
在全球网络防火墙政策中,最多只能有一条规则与流量匹配。防火墙规则的匹配时操作可以是以下之一:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。apply_security_profile_group:规则将流量转发到已配置的防火墙端点,并停止所有规则评估。允许还是丢弃数据包的决定取决于安全配置文件组的配置安全配置文件。goto_next:规则评估继续进行,直至到达评估顺序中的区域级网络防火墙政策这一步。
如果全球网络防火墙政策中没有任何规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作。此操作会继续评估,直到评估顺序中的区域级网络防火墙政策步骤。区域级网络防火墙政策。
Cloud NGFW 会评估与目标资源的区域和 VPC 网络相关联的区域级网络防火墙政策中的规则。
在评估区域级网络防火墙政策中的规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
在区域级网络防火墙政策中,最多只能有一条规则与流量匹配。防火墙规则的匹配时操作可以是以下之一:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。goto_next:规则评估继续进行到评估顺序中的下一步。
如果区域级网络防火墙政策中没有规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作。此操作会继续评估,直至评估顺序中的下一步。隐式防火墙规则。
当与流量匹配的所有规则都具有明确的
goto_next操作时,或者当规则评估通过遵循隐式goto_next操作继续进行时,Cloud NGFW 会强制执行以下隐式防火墙规则。- 隐式允许出站流量
- 隐式拒绝入站
下图显示了网络防火墙政策强制执行顺序为 AFTER_CLASSIC_FIREWALL 时的评估顺序:
AFTER_CLASSIC_FIREWALL,则防火墙规则解析流程(点击可放大)。BEFORE_CLASSIC_FIREWALL 执行顺序中的规则评估顺序
在BEFORE_CLASSIC_FIREWALL网络防火墙政策强制执行顺序中,Cloud NGFW 会在评估网络防火墙政策中的规则后评估 VPC 防火墙规则。
防火墙规则按以下顺序进行评估:
分层防火墙政策。
Cloud NGFW 按以下顺序评估分层防火墙政策:
- 与包含目标资源的组织相关联的分层防火墙政策。
- 与文件夹祖先关联的分层防火墙政策,从顶级文件夹一直到包含目标资源项目的文件夹。
在评估每个分层防火墙政策中的规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
在分层防火墙政策中,最多只能有一条规则与流量匹配。防火墙规则的匹配时操作可以是以下之一:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。apply_security_profile_group:规则将流量转发到已配置的防火墙端点,并停止所有规则评估。允许还是丢弃数据包的决定取决于安全配置文件组的配置安全配置文件。goto_next:规则评估继续进行,直至达到以下任一结果:- 与更接近目标资源的文件夹祖先关联的分层防火墙政策(如果存在)。
- 如果所有分层防火墙政策都已评估,则评估顺序中的下一步。
如果分层防火墙政策中没有任何规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作。此操作会继续评估,直到达到以下任一结果:- 与更接近目标资源的文件夹祖先关联的分层防火墙政策(如果存在)。
- 如果所有分层防火墙政策都已评估,则评估顺序中的下一步。
全球网络防火墙政策。
在评估全球网络防火墙政策中的规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
在全球网络防火墙政策中,最多只能有一条规则与流量匹配。防火墙规则的匹配时操作可以是以下之一:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。apply_security_profile_group:规则将流量转发到已配置的防火墙端点,并停止所有规则评估。允许还是丢弃数据包的决定取决于安全配置文件组的配置安全配置文件。goto_next:规则评估继续进行,直至到达评估顺序中的区域级网络防火墙政策这一步。
如果全球网络防火墙政策中没有任何规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作。此操作会继续评估,直到评估顺序中的区域级网络防火墙政策步骤。区域级网络防火墙政策。
Cloud NGFW 会评估与目标资源的区域和 VPC 网络相关联的区域级网络防火墙政策中的规则。如果多个政策与同一区域和网络相关联,则系统会先评估关联优先级最高的政策。
在评估区域级网络防火墙政策中的规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
在区域级网络防火墙政策中,最多只能有一条规则与流量匹配。防火墙规则的匹配时操作可以是以下之一:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。goto_next:规则评估继续进行到评估顺序中的下一步。
如果区域级网络防火墙政策中没有规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作。此操作会继续评估,直至评估顺序中的下一步。VPC 防火墙规则。
在评估 VPC 防火墙规则时,Cloud NGFW 会执行以下步骤:
- 忽略目标与目标资源不匹配的所有规则。
- 忽略与数据包方向不匹配的所有规则。
- 按照从最高到最低的优先级评估剩余规则。
当满足以下任一条件时,评估会停止:
- 适用于目标资源的规则与流量匹配。
- 没有适用于目标资源的规则与流量匹配。
当一个或两个 VPC 防火墙规则与流量匹配时,防火墙规则的对匹配项执行的操作可以是以下任一值:
allow:规则允许流量,并停止所有规则评估。deny:规则拒绝流量,并停止所有规则评估。
如果两条规则匹配,则它们必须具有相同的优先级,但操作不同。在这种情况下,Cloud NGFW 会强制执行
denyVPC 防火墙规则,并忽略allowVPC 防火墙规则。如果没有 VPC 防火墙规则与流量匹配,Cloud NGFW 会使用隐式
goto_next操作继续执行评估顺序中的下一步。隐式防火墙规则。
当与流量匹配的所有规则都具有明确的
goto_next操作时,或者当规则评估通过遵循隐式goto_next操作继续进行时,Cloud NGFW 会强制执行以下隐式防火墙规则。- 隐式允许出站流量
- 隐式拒绝入站
下图显示了网络防火墙政策强制执行顺序为 BEFORE_CLASSIC_FIREWALL 时的评估顺序:
BEFORE_CLASSIC_FIREWALL,则防火墙规则解析流程(点击可放大)。有效的防火墙规则
分层防火墙政策规则、VPC 防火墙规则以及全球和区域级网络防火墙政策规则控制连接。您可能会发现,查看影响单个网络或虚拟机接口的所有防火墙规则会很有帮助。
对网络有效的防火墙规则
您可以查看应用于 VPC 网络的所有防火墙规则。列表包括以下所有规则:
- 从分层防火墙政策继承的规则
- VPC 防火墙规则
- 从全球和区域级网络防火墙政策应用的规则
对实例有效的防火墙规则
您可以查看应用于虚拟机的网络接口的所有防火墙规则。列表包括以下所有规则:
- 从分层防火墙政策继承的规则
- 从接口的 VPC 防火墙应用的规则
- 从全球和区域级网络防火墙政策应用的规则
规则按照从组织层级到 VPC 网络的顺序排列。仅显示应用于虚拟机接口的规则。不显示其他政策中的规则。
如需查看某个区域内的有效防火墙政策规则,请参阅获取网络的有效区域级防火墙政策。
预定义规则
创建分层防火墙政策、全球网络防火墙政策或区域级网络防火墙政策时,Cloud NGFW 会向政策添加预定义规则。Cloud NGFW 添加到政策的预定义规则取决于您创建政策的方式。
如果您使用 Google Cloud 控制台创建防火墙政策,则 Cloud NGFW 会将以下规则添加到新政策中:
如果您使用 Google Cloud CLI 或 API 创建防火墙政策,则 Cloud NGFW 只会将尽可能低的优先级转到下一个规则添加到政策。
新防火墙政策中的所有预定义规则有意使用低优先级(大优先级编号),因此您可以通过创建规则(优先级更高的规则)来替换这些规则。除了尽可能低的优先级转到下一个规则之外,您还可以自定义预定义的规则。
专用 IPv4 范围的转到下一个规则
具有目的地 IPv4 范围
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、优先级1000和goto_next操作的出站流量规则。具有来源 IPv4 范围
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、优先级1001和goto_next操作的入站流量规则。
预定义的 Google Threat Intelligence 拒绝规则
具有来源 Google Threat Intelligence 列表
iplist-tor-exit-nodes、优先级1002和deny操作的入站流量规则。具有来源 Google Threat Intelligence 列表
iplist-known-malicious-ips、优先级1003和deny操作的入站流量规则。具有目的地 Google Threat Intelligence 列表
iplist-known-malicious-ips、优先级1004和deny操作的出站流量规则。
如需详细了解 Google Threat Intelligence,请参阅防火墙政策规则的 Google Threat Intelligence。
预定义的地理位置拒绝规则
- 来源匹配地理位置为
CU、IR、KP、SY、XC和XD,优先级为1005且操作为deny的入站流量规则。
如需详细了解地理位置,请参阅地理位置对象。
尽可能低的优先级转到下一个规则
您无法修改或删除以下规则:
具有目的地 IPv6 范围
::/0、优先级2147483644和goto_next操作的出站流量规则。具有来源 IPv6 范围
::/0、优先级2147483645和goto_next操作的入站流量规则。具有目的地 IPv4 范围
0.0.0.0/0、优先级2147483646和goto_next操作的出站流量规则。具有来源 IPv4 范围
0.0.0.0/0、优先级2147483647和goto_next操作的入站流量规则。
后续步骤
- 如需创建和修改分层防火墙政策和规则,请参阅使用分层防火墙政策和规则。
- 如需查看分层防火墙政策实施的示例,请参阅分层防火墙政策示例。
- 如需创建和修改全球网络防火墙政策和规则,请参阅使用全球网络防火墙政策和规则。
- 如需创建和修改区域级网络防火墙政策和规则,请参阅使用区域级网络防火墙政策和规则。