本頁面說明您在下列防火牆政策中建立的防火牆規則元件,這些政策適用於一般 VPC 網路:
如要瞭解防火牆規則和 RDMA 虛擬私有雲網路,請參閱「適用於 RoCE 虛擬私有雲網路的 Cloud NGFW」。
每項防火牆政策規則都會分別套用到傳入 (ingress) 或傳出 (egress) 連線。
輸入規則
Ingress 方向是指從特定來源傳送至 Google Cloud 目標的傳入連線。輸入規則會套用到下列類型目標上收到的輸入封包:
- 虛擬機器 (VM) 執行個體的網路介面
- 代管 Envoy Proxy,可為內部應用程式負載平衡器和內部 Proxy 網路負載平衡器提供支援
動作為 deny 的輸入規則可封鎖傳入目標的連線,藉此保護目標。優先順序較高的規則可能會允許連入連線。自動建立的預設網路包含一些預先填入的虛擬私有雲防火牆規則,可允許特定類型的輸入流量。
輸出規則
輸出方向是指從目標 VM 網路介面傳送到目的地的輸出流量。
動作為 allow 的輸出規則可讓執行個體將流量傳送至規則中指定的目的地。優先順序較高的deny防火牆規則 Google Cloud 也可能拒絕傳出流量,或封鎖或限制特定類型的流量。
防火牆政策規則元件
建立防火牆政策規則時,您必須指定定義規則作用的元件。除了方向之外,您還可以指定來源、目的地和第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。
優先順序
防火牆政策中規則的優先順序是 0 到 2,147,483,647 之間的整數 (包含首尾)。整數值越小,代表優先順序越高。防火牆政策中規則的優先順序與 VPC 防火牆規則的優先順序類似,但有以下差異:
- 防火牆政策中的每項規則都必須有不重複的優先順序。
- 防火牆政策中規則的優先順序是規則的專屬 ID。防火牆政策中的規則不會使用名稱進行識別。
- 防火牆政策中規則的優先順序,決定了防火牆政策本身的評估順序。系統會按照「將防火牆政策和規則套用至網路」一文所述,評估虛擬私有雲防火牆規則,以及階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則。
相符時執行的動作
防火牆政策中的規則可以採取下列其中一項動作:
| 動作參數 | 說明 |
|---|---|
allow |
允許新連線的封包。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 無論規則的方向為何,如果封包通訊協定和防火牆政策類型支援連線追蹤,允許規則會建立防火牆連線追蹤資料表項目,允許輸入和輸出封包。 |
deny |
禁止新連線的封包。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 Cloud NGFW 一律會先檢查防火牆連線追蹤資料表項目,再評估防火牆規則。因此,如果允許規則建立了連線追蹤資料表項目,該項目就會優先處理。 |
apply_security_profile_group |
攔截新連線的封包,並將封包傳送至防火牆端點或 攔截端點群組。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 無論規則的方向為何,如果封包通訊協定和防火牆政策類型支援連線追蹤,則具有 您無法在區域網路防火牆政策中,建立含有 |
goto_next |
停止評估防火牆政策中的其他規則,並評估 防火牆政策和規則評估順序的下一個步驟中的規則。 防火牆政策和規則評估順序的下一個步驟,可能是評估其他防火牆政策中的規則,或是隱含的防火牆規則。 |
強制執行
您可以將防火牆政策規則的狀態設為啟用或停用,藉此變更是否「執行」規則。您可以在建立或更新規則時設定強制執行狀態。
如果您在建立新的防火牆規則時未設定強制執行狀態,系統會自動啟用防火牆規則。
通訊協定和通訊埠
與虛擬私有雲防火牆規則類似,建立規則時,您必須指定一或多個通訊協定和連接埠限制。在規則中指定 TCP 或 UDP 時,您可以指定通訊協定、通訊協定和目的地通訊埠,或是通訊協定和目的地通訊埠範圍;您無法只指定通訊埠或通訊埠範圍。此外,您只能指定目的地連接埠。系統不支援以來源連接埠為依據的規則。
您可以在防火牆規則中使用下列通訊協定名稱:tcp、udp、icmp (適用於 IPv4 ICMP)、esp、ah、sctp 和 ipip。如為其他通訊協定,請使用 IANA 通訊協定號碼。
許多通訊協定在 IPv4 和 IPv6 中使用相同的名稱和編號,但有些通訊協定 (例如 ICMP) 並非如此。如要指定 IPv4 ICMP,請使用 icmp 或通訊協定編號 1。如要指定 IPv6 ICMP,請使用通訊協定編號 58。
防火牆規則不支援指定 ICMP 類型和代碼,僅支援通訊協定。
防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
如未指定通訊協定和通訊埠參數,規則會套用至所有通訊協定和目的地通訊埠。
記錄
防火牆政策規則的記錄方式與虛擬私有雲 防火牆規則記錄功能相同,但有以下例外狀況:
參考欄位包含防火牆政策 ID,以及指出政策附加資源層級的數字。舉例來說,
0表示政策套用至機構,1則表示政策套用至機構下的頂層資料夾。防火牆政策規則的記錄檔包含
target_resource欄位,可識別規則適用的虛擬私有雲網路。
- 記錄功能只能針對
allow、deny和apply_security_profile_group規則啟用,無法針對goto_next規則啟用。
目標、來源、目的地
目標、來源和目的地參數會一起運作,決定防火牆規則的範圍。
目標參數:識別防火牆規則適用的資源。
來源和目的地參數:定義流量條件。您可以同時指定輸入和輸出規則。來源和目的地參數的有效選項取決於目標參數和防火牆規則的方向。
目標
目標類型參數和一或多個目標參數會定義防火牆規則的目標。防火牆規則的目標是受該規則保護的資源。
如果省略目標類型或將其設為
INSTANCES,防火牆規則會套用至 Compute Engine 執行個體的網路介面,包括 Google Kubernetes Engine 節點和 App Engine 彈性環境執行個體。系統支援輸入和輸出規則。如要指定防火牆規則套用的 VM 網路介面,請使用目標參數:
如果省略所有目標參數,防火牆規則會套用至最廣泛的執行個體目標。
如要瞭解目標參數和目標參數組合的詳細資料,請參閱「特定目標」。
如果目標類型設為
INTERNAL_MANAGED_LB(預覽版),防火牆規則會套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的代管 Envoy Proxy。系統僅支援輸入規則。如果省略 target forwarding rules 參數,防火牆規則會套用至最廣泛的負載平衡器目標。
如要將防火牆規則限制為單一負載平衡器,請使用目標轉送規則參數。詳情請參閱「特定目標」。
最廣泛的執行個體目標
最廣泛的執行個體目標取決於防火牆政策類型:
階層式防火牆政策中規則最廣泛的執行個體目標:位於 Resource Manager 節點 (資料夾或機構) 下方專案中,與階層式防火牆政策相關聯的任何虛擬私有雲網路,其任何區域的子網路中所有 VM 網路介面。
全域網路防火牆政策中規則的適用執行個體範圍最廣:與全域網路防火牆政策相關聯的虛擬私有雲網路中,任何區域的子網路內所有 VM 網路介面。
區域網路防火牆政策中規則的適用執行個體範圍最廣:區域和虛擬私有雲網路中與區域網路防火牆政策相關聯的子網路內,所有 VM 網路介面。
最廣泛的負載平衡器目標
只有區域網路防火牆政策的規則支援負載平衡器目標。最廣泛的負載平衡器目標是政策區域和相關聯 VPC 網路中的內部應用程式負載平衡器和內部 Proxy 網路負載平衡器轉送規則。
特定目標
下表列出目標參數、支援含各參數規則的防火牆政策,以及支援的規則目標類型。如果未指定目標參數,規則會根據規則的目標類型,使用最廣泛的執行個體目標或最廣泛的負載平衡器目標。勾號表示支援該參數,符號則表示不支援。
| 目標參數或目標參數組合 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 目標虛擬私有雲網路資源
以 |
|||||
| 目標服務帳戶
使用 |
|||||
| 目標服務帳戶與目標虛擬私有雲網路資源的組合 同時使用
|
|||||
| 從具有網路用途資料的代碼鍵指定安全代碼值 標記鍵的一或多個標記值清單,其中
詳情請參閱防火牆的安全標記。 |
|||||
| 根據機構用途資料,從標記鍵指定安全標記值 標記鍵的一或多個標記值清單,其中
詳情請參閱防火牆的安全標記。 |
|||||
| 目標轉送規則
預覽
內部應用程式負載平衡器或內部 Proxy 網路負載平衡器的單一轉送規則,以目標轉送規則格式指定。這個參數會將最廣泛的負載平衡器目標縮小至特定內部應用程式負載平衡器或內部 Proxy 網路負載平衡器。 |
|||||
目標轉送規則格式
如果防火牆規則的目標類型設為 INTERNAL_MANAGED_LB (預覽),目標轉送規則參數會接受下列格式的值:
區域性內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
跨區域內部應用程式負載平衡器和跨區域內部 Proxy 網路負載平衡器:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
輸入規則的目標和 IP 位址
如果省略防火牆規則目標類型,或將其設為 INSTANCES,規則就會套用至轉送至目標 VM 網路介面的封包。
如果輸入防火牆規則包含目的地 IP 位址範圍,封包目的地就必須符合其中一個明確定義的目的地 IP 位址範圍。
如果輸入防火牆規則未包含目的地 IP 位址範圍,封包目的地就必須符合每個目標 VM 的下列其中一個 IP 位址:
指派給執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
與執行個體 NIC 相關聯的外部 IPv4 位址。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,用於直通負載平衡,其中執行個體是內部直通網路負載平衡器或外部直通網路負載平衡器的後端。
與用於通訊協定轉送的轉送規則相關聯的內部或外部 IP 位址,其中執行個體是由目標執行個體參照。
使用執行個體 (
next-hop-instance或next-hop-address) 做為下一個躍點 VM 的自訂靜態路徑目的地範圍內的 IP 位址。如果 VM 是內部直通式網路負載平衡器 (
next-hop-ilb) 的後端,則為使用該負載平衡器做為下一個躍點的自訂靜態路徑目的地範圍內的 IP 位址。
如果防火牆規則的目標類型設為 INTERNAL_MANAGED_LB (預覽版),規則會篩選傳送至與內部應用程式負載平衡器和內部 Proxy 網路負載平衡器相關聯的代管 Envoy Proxy 的封包。在 Ingress 規則中使用目的地 IP 範圍時,請確保範圍包含相關負載平衡器轉送規則 IP 位址。
輸出規則的目標和 IP 位址
如果省略防火牆規則目標類型,或將其設為 INSTANCES,規則就會套用至目標 VM 網路介面發出的封包。
如果目標 VM 已停用 IP 轉送 (預設),VM 只能發出具有下列來源的封包:
執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,適用於直通式負載平衡或通訊協定轉送。如果執行個體是內部直通式網路負載平衡器、外部直通式網路負載平衡器的後端,或是目標執行個體參照的執行個體,則此為有效狀態。
如果輸出防火牆規則包含來源 IP 位址範圍,目標 VM 仍會限制為先前提及的來源 IP 位址,但來源參數可用於精確指定來源。如未使用來源參數,且未啟用 IP 轉送,絕不會擴充可能的封包來源位址集。
如果輸出防火牆規則「未」包含來源 IP 位址範圍,則允許上述所有來源 IP 位址。
如果目標 VM 啟用 IP 轉送功能,該 VM 就能發出具有任意來源位址的封包。您可以使用來源參數,更精確地定義允許的封包來源組合。
來源
來源參數值取決於防火牆規則的方向。
輸入規則的來源
下表列出輸入規則的來源參數、支援各參數的防火牆政策,以及與各參數相容的規則目標類型。您必須指定至少一個來源參數。勾號表示支援該參數,符號則表示不支援。
| 輸入規則來源參數 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 來源 IP 位址範圍
簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
|||||
| 來源位址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
|||||
| 來源網域名稱
一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱物件。 |
|||||
| 從含有網路用途資料的廣告代碼鍵擷取安全廣告代碼值
一或多個標記值的清單,這些標記值來自標記鍵,其用途資料指定單一虛擬私有雲網路。詳情請參閱「防火牆的安全標記」和「來源安全標記如何表示封包來源」。 |
|||||
| 從含有機構用途資料的標記鍵取得安全標記值
一或多個標記值的清單,這些標記值來自用途資料為 |
|||||
| 來源地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
|||||
| Google Threat Intelligence 清單來源
一或多個預先定義的 Google Threat Intelligence 清單名稱。詳情請參閱「防火牆政策規則的 Google 威脅情報」。 |
|||||
| 來源網路類型
定義安全邊界的限制。有效值取決於規則的目標類型。詳情請參閱網路類型。 |
|||||
輸入規則來源組合
在單一 Ingress 規則中,您可以使用兩個以上的來源參數來產生來源組合。Cloud NGFW 會對每個連入規則的來源組合強制執行下列限制:
- 來源 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
- 含有 IPv4 CIDR 的來源位址群組,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv4 CIDR 的來源 IP 位址範圍,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv6 CIDR 的來源 IP 位址範圍,無法與含有 IPv4 CIDR 的來源位址群組搭配使用。
- 網際網路網路類型無法與來源安全標記搭配使用。
- 非網際網路類型、虛擬私有雲網路類型和虛擬私有雲間類型,無法搭配 來源 Google 威脅情報清單或 來源地理位置使用。
Cloud NGFW 會套用下列邏輯,將封包與使用來源組合的輸入規則相符:
如果來源組合不包含來源網路類型,只要封包符合來源組合中的至少一個來源參數,就會符合輸入規則。
如果來源組合包含來源網路類型,只要封包符合來源網路類型和來源組合中的至少一個其他來源參數,就會符合輸入規則。
來源安全標記如何表示封包來源
如果省略輸入防火牆規則的目標類型,或將目標類型設為 INSTANCES,規則就能使用來源安全標記值。安全標記值會識別網路介面,而非 IP 位址等封包特徵。
根據下列規則,從 VM 執行個體網路介面傳送的封包會比對使用來源安全標記值的輸入規則:
如果輸入規則位於區域網路政策中,VM 執行個體必須位於與區域網路防火牆政策相同的區域。否則 VM 執行個體可以位於任何區域。
VM 執行個體必須與用於輸入防火牆規則中做為來源安全標記的安全標記值相關聯。
與 VM 執行個體相關聯,且由輸入防火牆規則使用的安全標記值,必須來自至少一個虛擬私有雲網路的標記鍵,而該網路包含 VM 執行個體的網路介面:
purpose-data如果標記鍵的用途資料指定單一 VPC 網路,則使用來源安全標記值的輸入防火牆規則,會套用至該 VPC 網路中的 VM 執行個體網路介面。
如果標記鍵的用途資料指定了機構,則使用來源安全標記值的輸入防火牆規則,會套用至機構任何 VPC 網路中 VM 執行個體的網路介面。
所識別的 VM 網路介面必須符合下列其中一項條件:
- VM 網路介面與防火牆政策套用的 VPC 網路位於相同 VPC 網路。
- VM 網路介面所屬的 VPC 網路,已透過 VPC 網路對等互連連線至套用防火牆政策的 VPC 網路。
如要進一步瞭解防火牆的安全標記,請參閱規格。
輸出規則的來源
在階層式防火牆政策和網路防火牆政策中,您都可以使用下列來源做為輸出規則:
預設值 - 目標隱含:如果您從輸出規則中省略來源參數,系統會隱含定義封包來源,如「輸出規則的目標和 IP 位址」一文所述。
來源 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
來源 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為輸出規則新增來源 IP 位址範圍,請按照下列指引操作:
- 如果 VM 介面同時指派了內部和外部 IPv4 位址,規則評估期間只會使用內部 IPv4 位址。
如果輸出規則中含有來源 IP 位址範圍和目的地參數,目的地參數會解析為與來源 IP 版本相同的 IP 版本。
舉例來說,在輸出規則中,來源參數含有 IPv4 位址範圍,而目的地參數含有 FQDN 物件。如果 FQDN 同時解析為 IPv4 和 IPv6 位址,系統只會在強制執行規則時使用解析的 IPv4 位址。
目的地
目的地參數值取決於防火牆規則的方向。
輸入規則的目的地
在階層式和網路防火牆政策中,您都可以使用下列輸入防火牆規則的目的地:
預設值 - 目標隱含:如果您從輸入規則中省略目的地參數,系統會隱含定義封包目的地,如「輸入規則的目標和 IP 位址」一文所述。
目的地 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
目的地 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為連入規則新增目的地 IP 位址範圍,請按照下列準則操作:
如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果 Ingress 規則中同時定義來源和目的地參數,來源參數會解析為與目的地 IP 版本相同的 IP 版本。如要進一步瞭解如何定義輸入規則的來源,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
舉例來說,在輸入規則中,目的地參數含有 IPv6 位址範圍,來源參數含有地理位置國家/地區代碼。在強制執行規則期間,系統只會使用對應的 IPv6 位址,做為指定來源國家/地區代碼。
輸出規則的目的地
下表列出輸出規則的目的地參數、支援各項參數的防火牆政策,以及與各項參數相容的規則目標類型。您必須至少指定一個到達網頁參數。勾號表示支援該參數,符號則表示不支援。
| 輸出規則目的地參數 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 目的地 IP 位址範圍
簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
|||||
| 目的地地址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆政策規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
|||||
| 到達網頁網域名稱
一或多個目的地網域名稱的清單。如要瞭解詳情 (包括網域名稱如何轉換為 IP 位址),請參閱完整網域名稱物件。 |
|||||
| 目的地地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
|||||
| Google Threat Intelligence 目的地清單
一或多個預先定義的 Google Threat Intelligence 清單名稱。詳情請參閱「防火牆政策規則的 Google 威脅情報」。 |
|||||
| 目標網路類型
定義安全邊界的限制。詳情請參閱「網路類型」。 |
|||||
輸出規則目的地組合
在單一輸出規則中,您可以使用兩個以上的目的地參數來產生目的地組合。Cloud NGFW 會對每個輸出規則的目的地組合強制執行下列限制:
- 目的地 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
- 包含 IPv4 CIDR 的目的地地址群組,無法與包含 IPv6 CIDR 的目的地地址群組搭配使用。
- 含有 IPv4 CIDR 的目的地 IP 位址範圍,無法與含有 IPv6 CIDR 的目的地位址群組搭配使用。
- 含有 IPv6 CIDR 的目的地 IP 位址範圍,無法與含有 IPv4 CIDR 的目的地位址群組搭配使用。
- 到達網頁 Google 威脅情報清單或到達網頁 地理位置無法與到達網頁非網際網路類型搭配使用。
Cloud NGFW 會套用下列邏輯,將封包與使用目的地組合的輸出規則相符:
如果目的地組合不包含目的地網路類型,只要封包符合目的地組合中的至少一個目的地參數,就會符合輸出規則。
如果目的地組合包含目的地網路類型,封包符合目的地網路類型和目的地組合中的至少一個其他目的地參數,就會符合輸出規則。
網路類型
網路類型可協助您更有效率地使用較少的防火牆政策規則,達成安全目標。Cloud NGFW 支援四種網路類型,可用於在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策的規則中,建立來源組合或目的地組合。
網路類型
下表說明這四種網路類型在防火牆規則中的使用方式。
| 網路類型 | 支援的目標類型 | 支援的方向、來源組合或目的地組合 | ||
|---|---|---|---|---|
INSTANCES |
INTERNAL_MANAGED_LB |
輸入規則的來源組合 | 輸出規則的目標組合 | |
網際網路 (INTERNET) |
||||
非網際網路 (NON_INTERNET) |
||||
虛擬私有雲網路 (VPC_NETWORKS) |
||||
虛擬私有雲內部 (INTRA_VPC) |
||||
網際網路和非網際網路類型互斥,虛擬私有雲網路和虛擬私有雲內部網路類型是「非網際網路」網路類型的子集。
網際網路類型
網際網路網路類型 (INTERNET) 可做為輸入規則的來源組合一部分,或輸出規則的目的地組合一部分:
針對輸入規則,指定網際網路類型來源和至少一個其他來源參數,安全標記來源除外。如果封包符合至少一個其他來源參數和 網路類型條件 (適用於輸入封包),就會符合輸入規則。
針對輸出規則,指定網際網路類型目的地和至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和 輸出封包的網際網路網路類型條件,就會符合輸出規則。
非網際網路網路類型
非網際網路網路類型 (NON-INTERNET) 可做為連入規則的來源組合一部分,或連出規則的目的地組合一部分:
針對輸入規則,請指定非網際網路類型的來源,以及至少一個其他來源參數,但安全地理位置或來源 Google 威脅情報清單除外。如果封包符合至少一個其他來源參數和 輸入封包的非網際網路網路類型條件,就會符合輸入規則。
針對輸出規則,指定非網際網路類型的目的地,以及至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和 輸出封包的非網際網路網路類型條件,就會符合輸出規則。
虛擬私有雲網路類型
虛擬私有雲網路網路類型 (VPC_NETWORKS) 只能做為輸入規則來源組合的一部分。如要將 VPC 網路類型做為 Ingress 規則來源組合的一部分,請按照下列步驟操作:
您必須指定來源虛擬私有雲網路清單:
- 來源網路清單必須至少包含一個虛擬私有雲網路。 您最多可以在來源網路清單中新增 250 個虛擬私有雲網路。
- 您必須先建立虛擬私有雲網路,才能將其新增至來源網路清單。
- 你可以使用部分或完整網址 ID 新增電視網。
- 新增至來源網路清單的 VPC 網路不必相互連線。每個虛擬私有雲網路都可以位於任何專案中。
- 如果虛擬私有雲網路新增至來源網路清單後遭到刪除,清單中仍會保留對已刪除網路的參照。強制執行輸入規則時,Cloud NGFW 會忽略已刪除的 VPC 網路。如果來源網路清單中的所有 VPC 網路都已刪除,依據該清單的輸入規則就會失效,因為這些規則與任何封包都不相符。
您必須指定至少一個其他來源參數,但 Google 威脅情報清單來源或地理位置來源除外。
如果封包符合至少一個其他來源參數「和」虛擬私有雲網路類型條件,就會符合輸入規則。
虛擬私有雲網路內部類型
虛擬私有雲網路內網路類型 (INTRA_VPC) 只能做為輸入規則來源組合的一部分。如要使用 VPC 網路類型,做為連入規則來源組合的一部分,您必須指定至少一個其他來源參數,但 Google 威脅情報清單 來源或地理位置來源除外。
如果封包符合至少一個其他來源參數「和」虛擬私有雲網路內類型條件,就會符合輸入規則。
地理位置物件
在防火牆政策規則中使用地理位置物件,根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量。
您可以對輸入和輸出流量套用含有地理位置物件的規則。系統會根據流量方向,比對與國家/地區代碼相關聯的 IP 位址與流量來源或目的地。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策設定地理位置物件。
如要將地理位置新增至防火牆政策規則,請使用 ISO 3166 alpha-2 國家/地區代碼中定義的兩個字母國家/地區代碼。
舉例來說,如要只允許來自美國的傳入流量進入網路,請建立傳入防火牆政策規則,並將來源國家/地區代碼設為
US,動作設為allow。同樣地,如要只允許前往美國的外送流量,請設定外送防火牆政策規則,並將目的地國家/地區代碼設為US,動作設為allow。Cloud NGFW 可讓您為下列受美國全面制裁的地區設定防火牆規則:
地域 指派的代碼 克里米亞 XC 所謂的頓內次克人民共和國及盧甘斯克人民共和國 XD 如果單一防火牆規則中包含任何重複的國家/地區代碼,系統只會保留該國家/地區代碼的一個項目。系統會移除重複的項目。舉例來說,在國家/地區代碼清單
ca,us,us中,只會保留ca,us。Google 會維護含有 IP 位址和國家/地區代碼對應項目的資料庫。Google Cloud 防火牆會使用這個資料庫,將來源和目的地流量的 IP 位址對應至國家/地區代碼,然後套用與地理位置物件相符的防火牆政策規則。
在下列情況下,IP 位址指派和國家/地區代碼有時會變更:
- IP 位址在不同地理位置間移動
- ISO 3166 alpha-2 國家/地區代碼標準更新
由於 Google 資料庫需要一段時間才能反映這些變更,因此您可能會發現某些流量中斷,或特定流量的行為有所改變 (遭封鎖或允許)。
將地理位置物件與其他防火牆政策規則篩選器搭配使用
您可以搭配其他來源或目的地篩選器使用地理位置物件。 視規則方向而定,防火牆政策規則會套用至符合所有指定篩選條件聯集的連入或連出流量。
如要瞭解地理位置物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
如要瞭解地理位置物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。
防火牆政策規則適用的 Google Threat Intelligence
防火牆政策規則可讓您根據 Google 威脅情報資料允許或封鎖流量,確保網路安全。Google Threat Intelligence 資料包括下列類別的 IP 位址清單:
- Tor 結束節點:Tor 是開放原始碼軟體,可進行匿名通訊。如要排除隱藏身分的使用者,請封鎖 Tor 結束節點的 IP 位址 (流量離開 Tor 網路的端點)。
- 已知的惡意 IP 位址:已知是網頁應用程式攻擊來源的 IP 位址。如要提升應用程式的安全性,請封鎖這些 IP 位址。
- 搜尋引擎:您可以允許這些 IP 位址,讓網站編入索引。
- 公用雲端 IP 位址範圍:您可以封鎖這個類別,避免惡意自動化工具瀏覽網路應用程式;如果您的服務使用其他公用雲端,則可以允許這個類別。這個類別進一步細分為下列子類別:
- Amazon Web Services 使用的 IP 位址範圍
- Microsoft Azure 使用的 IP 位址範圍
- Google Cloud使用的 IP 位址範圍
- Google 服務使用的 IP 位址範圍
Google 威脅情報資料清單可包含 IPv4 位址、IPv6 位址或兩者。如要在防火牆政策規則中設定 Google Threat Intelligence,請根據要允許或封鎖的類別,使用預先定義的 Google Threat Intelligence 清單名稱。這些清單會持續更新,保護服務免於新威脅侵擾,且無需額外設定步驟。有效清單名稱如下。
| 名單名稱 | 說明 |
|---|---|
| 已知的惡意 IP ( iplist-known-malicious-ips) |
比對已知會攻擊網頁應用程式的 IP 位址 |
| 搜尋引擎檢索器 ( iplist-search-engines-crawlers) |
與搜尋引擎檢索器的 IP 位址相符 |
| TOR 結束節點 ( iplist-tor-exit-nodes) |
比對 TOR 結束節點的 IP 位址 |
| 公有雲 IP ( iplist-public-clouds) |
比對屬於公有雲的 IP 位址 |
| 公有雲 - AWS ( iplist-public-clouds-aws) |
與 Amazon Web Services 使用的 IP 位址範圍相符 |
| 公有雲 - Azure ( iplist-public-clouds-azure) |
與 Microsoft Azure 使用的 IP 位址範圍相符 |
| 公有雲 - GCP ( iplist-public-clouds-gcp) |
比對 Google Cloud使用的 IP 位址範圍 |
| 公有雲 - Google 服務 ( iplist-public-clouds-google-services) |
與 Google 服務使用的 IP 位址範圍相符 |
| VPN 供應商 ( iplist-vpn-providers) |
比對屬於低信譽 VPN 供應商的 IP 位址 |
| 匿名 Proxy ( iplist-anon-proxies) |
比對屬於開放式匿名 Proxy 的 IP 位址 |
| 加密貨幣挖礦網站 ( iplist-crypto-miners) |
與加密貨幣挖礦網站的 IP 位址相符 |
搭配其他防火牆政策規則篩選器使用 Google Threat Intelligence
如要使用 Google 威脅情報定義防火牆政策規則,請按照下列 指南操作:
針對輸出規則,請使用一或多個目的地 Google 威脅情報清單指定目的地。
針對輸入規則,使用一或多個來源 Google Threat Intelligence 清單指定來源。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策,設定 Google 威脅情報清單。
您可以搭配其他來源或目的地規則篩選器元件使用這些清單。
如要瞭解 Google 威脅情報清單如何與輸入規則中的其他來源篩選器搭配運作,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
如要瞭解 Google 威脅情報清單如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。
防火牆記錄是在規則層級進行。為方便您偵錯及分析防火牆規則的影響,請勿在單一防火牆規則中加入多個 Google 威脅情報清單。
您可以在防火牆政策規則中新增多個 Google 威脅情報清單。 無論清單中包含多少 IP 位址或 IP 位址範圍,規則中包含的每個清單名稱都會計為一個屬性。舉例來說,如果您在防火牆政策規則中加入
iplist-tor-exit-nodes、iplist-known-malicious-ips和iplist-search-engines-crawlers清單名稱,每個防火牆政策的規則屬性計數就會增加三。如要進一步瞭解規則屬性計數,請參閱「配額與限制」。
為 Google Threat Intelligence 清單建立例外狀況
如果您的規則適用於 Google 威脅情報清單,可以使用下列技術建立例外規則,適用於 Google 威脅情報清單中的特定 IP 位址:
選擇性允許防火牆規則:假設您有輸入或輸出防火牆規則,會拒絕來自或傳送至 Google 威脅情報清單的封包。如要允許 Google 威脅情報清單中特定 IP 位址的封包,請建立優先順序較高的個別輸入或輸出允許防火牆規則,並將例外 IP 位址指定為來源或目的地。
選擇性拒絕防火牆規則:假設您有允許封包從 Google 威脅情報清單傳入或傳出的輸入或輸出防火牆規則。如要拒絕 Google 威脅情報清單中特定 IP 位址傳送或接收的封包,請建立優先順序較高的輸入或輸出拒絕防火牆規則,並將例外 IP 位址指定為來源或目的地。
防火牆政策的位址群組
位址群組是 IPv4 位址範圍或 IPv6 位址範圍的邏輯集合,格式為 CIDR。您可以使用位址群組,定義許多防火牆規則參照的一致來源或目的地。更新位址群組時,不必修改使用這些群組的防火牆規則。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組。
您可以分別為輸入和輸出防火牆規則定義來源和目的地位址群組。
如要瞭解來源位址群組如何與輸入規則中的其他來源篩選器搭配運作,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
如要瞭解輸出規則中的目的地地址群組如何與其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。
FQDN 物件
完整網域名稱 (FQDN) 物件包含您以網域名稱格式指定的網域名稱。您可以在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策中,使用 FQDN 物件做為輸入規則的來源,或輸出規則的目的地。
您可以將 FQDN 與其他參數合併使用。如要進一步瞭解輸入規則中的來源參數組合,請參閱「輸入規則的來源」。如要進一步瞭解輸出規則中的目的地參數組合,請參閱「輸出規則目的地」。
FQDN 物件支援 Cloud DNS 回應政策、VPC 網路範圍的代管私人區域、Compute Engine 內部 DNS 名稱和公開 DNS 區域。只要虛擬私有雲網路沒有指定替代名稱伺服器的傳出伺服器政策,就適用這項支援。詳情請參閱「虛擬私有雲網路解析順序」。
將 FQDN 物件對應至 IP 位址
Cloud NGFW 會定期將 FQDN 物件解析為 IP 位址。在含有防火牆規則目標的 VPC 網路中,Cloud NGFW 會遵循 Cloud DNS VPC 名稱解析順序。
Cloud NGFW 會使用下列行為進行 IP 位址解析:
支援 CNAME 追蹤。如果 FQDN 物件查詢的回覆是 CNAME 記錄,Cloud NGFW 會使用 Cloud DNS CNAME 追蹤。
節目 IP 位址。Cloud NGFW 會在程式設計使用 FQDN 物件的防火牆規則時,使用已解析的 IP 位址。每個 FQDN 物件最多可對應 32 個 IPv4 位址和 32 個 IPv6 位址。
如果 FQDN 物件查詢的 DNS 回應解析為超過 32 個 IPv4 位址或超過 32 個 IPv6 位址,Cloud NGFW 會將防火牆規則中程式設計的 IP 位址限制為前 32 個 IPv4 位址和前 32 個 IPv6 位址。
忽略 FQDN 物件。如果 Cloud NGFW 無法將 FQDN 物件解析為 IP 位址,系統會忽略該 FQDN 物件。在下列情況下,Cloud NGFW 會忽略 FQDN 物件:
收到
NXDOMAIN則回覆時。NXDOMAIN回答是來自名稱伺服器的明確回答,表示 FQDN 物件查詢沒有 DNS 記錄。答案中沒有 IP 位址。在這種情況下,FQDN 物件查詢不會產生 IP 位址,因此 Cloud NGFW 無法用來設定防火牆規則。
無法連線至 Cloud DNS 伺服器。如果提供答案的 DNS 伺服器無法連線,Cloud NGFW 會忽略 FQDN 物件。
如果系統忽略 FQDN 物件,Cloud NGFW 會盡可能設定防火牆規則的其餘部分。
FQDN 物件的注意事項
FQDN 物件的注意事項:
由於 FQDN 物件會對應至 IP 位址並以 IP 位址的形式進行程式設計,因此當兩個以上的 FQDN 物件對應至相同 IP 位址時,Cloud NGFW 會採用下列行為。假設您有下列兩個防火牆規則,且適用於相同目標:
- 規則 1:優先順序
100,允許從來源 FQDNexample1.com傳入流量 - 規則 2:優先順序
200,允許從來源 FQDNexample2.com傳入流量
如果
example1.com和example2.com都解析為相同的 IP 位址,則來自example1.com和example2.com的連入封包會比對第一個防火牆規則,因為這個規則的優先順序較高。- 規則 1:優先順序
使用 FQDN 物件時,請注意下列事項:
DNS 查詢可根據要求用戶端的位置提供專屬答案。
如果涉及 DNS 型負載平衡系統,DNS 答案可能會大幅變動。
DNS 答案可能包含超過 32 個 IPv4 位址。
DNS 回應可能包含超過 32 個 IPv6 位址。
在上述情況中,由於 Cloud NGFW 會在包含防火牆規則適用 VM 網路介面的每個區域中執行 DNS 查詢,因此防火牆規則中程式設計的 IP 位址不會包含與 FQDN 相關聯的所有可能 IP 位址。
大多數 Google 網域名稱 (例如
googleapis.com) 都適用於上述一或多種情況。請改用 IP 位址或位址群組。請避免將 FQDN 物件與存留時間 (TTL) 不到 90 秒的 DNS
A記錄搭配使用。
網域名稱格式
FQDN 物件必須採用標準 FQDN 格式。此格式定義於 RFC 1035、RFC 1123 和 RFC 4343。如果網域名稱不符合下列所有格式規則,Cloud NGFW 會拒絕包含該網域名稱的 FQDN 物件:
每個 FQDN 物件都必須是網域名稱,且至少要有兩個標籤:
- 每個標籤都必須符合規則運算式,且只能包含下列字元:
[a-z]([-a-z0-9][a-z0-9])?.。 - 每個標籤的長度必須介於 1 到 63 個字元之間。
- 標籤必須以半形句號 (.) 串連。
因此,FQDN 物件不支援萬用字元 (
*) 或頂層 (或根) 網域名稱,例如*.example.com.和.org,因為這些只包含單一標籤。- 每個標籤都必須符合規則運算式,且只能包含下列字元:
完整網域名稱 (FQDN) 物件支援國際化網域名稱 (IDN)。您可以提供 Unicode 或 Punycode 格式的 IDN。請考量下列事項:
如果您以 Unicode 格式指定 IDN,Cloud NGFW 會先將其轉換為 Punycode 格式,再進行處理。
您可以使用 IDN 轉換工具,建立 IDN 的 Punycode 表示法。
每個標籤的字元限制為 1 到 63 個,適用於轉換為 Punycode 格式後的 IDN。
完整網域名稱 (FQDN) 的編碼長度不得超過 255 個位元組 (八位元)。
Cloud NGFW 不支援在同一個防火牆規則中使用等效網域名稱。舉例來說,如果兩個網域名稱 (或 IDN 的 Punycode 表示法) 最多只差一個結尾點 (.),Cloud NGFW 會將兩者視為相同。