本頁面說明您在下列防火牆政策中建立的防火牆規則元件,這些政策適用於一般虛擬私有雲 (VPC) 網路:
如要進一步瞭解防火牆規則和遠端直接記憶體存取 (RDMA) 網路設定檔,請參閱「適用於 RoCE 虛擬私有雲網路的 Cloud NGFW」。
每項防火牆政策規則都會分別套用到傳入 (ingress) 或傳出 (egress) 連線,不會同時套用到兩者。建立防火牆政策規則時,您必須指定定義規則作用的元件。除了方向之外,您還可以指定來源、目的地和第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。
優先順序
防火牆政策中規則的優先順序是介於 0 至 2,147,483,547 之間的整數 (含首尾)。整數值越小,代表優先順序越高。防火牆政策中規則的優先順序與虛擬私有雲防火牆規則的優先順序類似,但有以下差異:
- 防火牆政策中的每項規則都必須有不重複的優先順序。
- 防火牆政策中規則的優先順序是規則的專屬 ID。防火牆政策中的規則不會使用名稱進行識別。
- 防火牆政策中規則的優先順序,決定了防火牆政策本身的評估順序。系統會按照「將防火牆政策和規則套用至網路」一文所述,評估虛擬私有雲防火牆規則,以及階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則。
相符時執行的動作
防火牆政策中的規則可以採取下列其中一項動作:
| 動作參數 | 說明 |
|---|---|
allow |
允許新連線的封包。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 無論規則的方向為何,如果封包通訊協定和防火牆政策類型支援連線追蹤,允許規則會建立防火牆連線追蹤資料表項目,允許輸入和輸出封包。 |
deny |
禁止新連線的封包。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 Cloud NGFW 一律會先檢查防火牆連線追蹤資料表項目,再評估防火牆規則。因此,如果允許規則建立了連線追蹤資料表項目,該項目就會優先處理。 |
apply_security_profile_group |
攔截新連線的封包,並將封包傳送至防火牆端點或 攔截端點群組。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 無論規則的方向為何,如果封包通訊協定和防火牆政策類型支援連線追蹤,則具有 您無法在區域網路防火牆政策中,建立含有 |
goto_next |
停止評估防火牆政策中的其他規則,並評估 防火牆政策和規則評估順序的下一個步驟中的規則。 防火牆政策和規則評估順序的下一個步驟,可能是評估其他防火牆政策中的規則,或是隱含的防火牆規則。 |
強制執行
您可以將防火牆政策規則的狀態設為啟用或停用,藉此變更是否「執行」防火牆政策規則。您可以在建立或更新規則時設定強制執行狀態。
如果您在建立新的防火牆規則時未設定強制執行狀態,系統會自動啟用防火牆規則。
通訊協定和通訊埠
與虛擬私有雲防火牆規則類似,建立規則時,您必須指定一或多個通訊協定和連接埠限制。在規則中指定 TCP 或 UDP 時,您可以指定通訊協定、通訊協定和目的地通訊埠,或是通訊協定和目的地通訊埠範圍;您無法只指定通訊埠或通訊埠範圍。此外,您只能指定目的地連接埠。系統不支援以來源連接埠為依據的規則。
您可以在防火牆規則中使用下列通訊協定名稱:tcp、udp、icmp (適用於 IPv4 ICMP)、esp、ah、sctp 和 ipip。如為其他通訊協定,請使用 IANA 通訊協定號碼。
許多通訊協定在 IPv4 和 IPv6 中使用相同的名稱和編號,但有些通訊協定 (例如 ICMP) 並非如此。如要指定 IPv4 ICMP,請使用 icmp 或通訊協定編號 1。如要指定 IPv6 ICMP,請使用通訊協定編號 58。
防火牆規則不支援指定 ICMP 類型和代碼,僅支援通訊協定。
防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
如未指定通訊協定和通訊埠參數,規則會套用至所有通訊協定和目的地通訊埠。
記錄
防火牆政策規則的記錄方式與虛擬私有雲防火牆規則記錄相同,但有以下例外狀況:
參考欄位包含防火牆政策 ID,以及指出政策所附加資源層級的數字。舉例來說,
0表示政策套用至機構,1則表示政策套用至機構下的頂層資料夾。防火牆政策規則的記錄檔包含
target_resource欄位,可識別規則適用的虛擬私有雲網路。
記錄功能只能針對
allow、deny和apply_security_profile_group規則啟用,無法針對goto_next規則啟用。啟用使用
apply_security_profile_group動作的規則記錄功能後,Cloud NGFW 攔截流量工作階段並將流量重新導向至防火牆端點,以進行深度封包檢查時,會產生單一記錄項目。這項記錄項目確認防火牆規則符合流量,並已成功將流量重新導向至防火牆端點。詳情請參閱防火牆政策規則記錄總覽。防火牆端點會執行深入封包檢查,例如入侵偵測與防範服務和網址篩選服務,並產生自己的記錄集。這些記錄會提供遭攔截工作階段中連線的詳細資訊,並列出偵測到的任何威脅或網址篩選動作。這些深層封包檢查記錄可能會為每個工作階段產生多筆記錄項目。
目標、來源、目的地
目標、來源和目的地參數會共同決定防火牆規則的範圍。
目標參數:識別防火牆規則適用的資源。
來源和目的地參數:定義流量條件。您可以同時指定輸入和輸出規則。來源和目的地參數的有效選項取決於目標參數和防火牆規則的方向。
目標
目標類型參數和一或多個目標參數會定義防火牆規則的目標。防火牆規則的這些目標是防火牆規則保護的資源。
如果省略目標類型或設為
INSTANCES,防火牆規則會套用至 Compute Engine 執行個體的網路介面,包括 Google Kubernetes Engine 節點和 App Engine 彈性環境執行個體。系統支援輸入和輸出規則。如要指定防火牆規則套用的 VM 網路介面,請使用目標參數:
如果省略所有目標參數,防火牆規則會套用至最廣泛的執行個體目標。
如果目標類型設為
INTERNAL_MANAGED_LB(預覽版),防火牆規則會套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的代管 Envoy Proxy。系統僅支援輸入規則。如果省略 target forwarding rules 參數,防火牆規則會套用至最廣泛的負載平衡器目標。
如要將防火牆規則限制為單一負載平衡器,請使用目標轉送規則參數。詳情請參閱「特定目標」。
最廣泛的執行個體目標
最廣泛的執行個體目標取決於防火牆政策類型:
階層式防火牆政策中規則最廣泛的執行個體目標:位於 Resource Manager 節點 (資料夾或機構) 下方專案中,與階層式防火牆政策相關聯的任何虛擬私有雲網路,其任何區域的子網路中所有 VM 網路介面。
全域網路防火牆政策中規則的適用執行個體範圍最廣:與全域網路防火牆政策相關聯的虛擬私有雲網路中,任何區域的子網路內所有 VM 網路介面。
區域網路防火牆政策中規則的適用執行個體範圍最廣:與區域網路防火牆政策相關聯的區域和虛擬私有雲網路中,子網路內的所有 VM 網路介面。
最廣泛的負載平衡器目標
只有區域網路防火牆政策的規則支援負載平衡器目標。最廣泛的負載平衡器目標是政策區域和相關聯虛擬私有雲網路中的內部應用程式負載平衡器和內部 Proxy 網路負載平衡器轉送規則。特定目標
下表列出目標參數、支援含各參數規則的防火牆政策,以及支援的規則目標類型。如果未指定目標參數,規則會根據規則的目標類型,使用最廣泛的執行個體目標或最廣泛的負載平衡器目標。勾號表示支援該參數,符號則表示不支援。
| 目標參數 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 目標虛擬私有雲網路資源
以 |
|||||
| 目標服務帳戶
使用 |
|||||
| 從具有網路用途資料的代碼鍵指定安全代碼值 使用 這份清單會將最廣泛的執行個體目標縮小至 VM 網路介面,且每個介面都符合下列條件:
詳情請參閱防火牆的安全標記。 |
|||||
| Target secure tag values from a tag key with organization purpose
data
規則使用 這份清單會將最廣泛的執行個體目標縮小至 VM 網路介面,且每個介面都符合下列條件:
詳情請參閱防火牆的安全標記。 |
|||||
| 目標轉送規則
預覽
內部應用程式負載平衡器或內部 Proxy 網路負載平衡器的單一轉送規則,以目標轉送規則格式指定。這個參數會將最廣泛的負載平衡器目標縮小至特定內部應用程式負載平衡器或內部 Proxy 網路負載平衡器。 |
|||||
特定目標組合
支援 target-resources 參數的規則可將該參數與其他目標參數合併,建立目標參數組合。下表列出支援的目標參數組合、支援含各參數規則的防火牆政策,以及支援的規則目標類型。如果未指定目標參數,規則會根據規則的目標類型,使用最廣泛的執行個體目標或最廣泛的負載平衡器目標。
勾號表示支援該參數,符號則表示不支援。
| 目標參數組合 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 目標虛擬私有雲網路資源與目標服務帳戶的組合 同時使用 這個組合會將最廣泛的執行個體目標,縮小為同時符合下列條件的 VM 網路介面:
|
|||||
| 目標虛擬私有雲網路資源和目標安全標記值的組合 同時使用 這個組合會將最廣泛的執行個體目標,縮小為同時符合下列條件的 VM 網路介面:
|
|||||
目標轉送規則格式
如果防火牆規則的目標類型設為INTERNAL_MANAGED_LB (預覽),目標轉送規則參數會接受下列格式的值:
區域性內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
跨區域內部應用程式負載平衡器和跨區域內部 Proxy 網路負載平衡器:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
輸入規則的目標和 IP 位址
如果省略防火牆規則目標類型,或將其設為 INSTANCES,規則就會套用至轉送至目標 VM 網路介面的封包。
如果輸入防火牆規則包含目的地 IP 位址範圍,封包目的地就必須符合其中一個明確定義的目的地 IP 位址範圍。
如果輸入防火牆規則未包含目的地 IP 位址範圍,封包目的地就必須符合每個目標 VM 的下列其中一個 IP 位址:
指派給執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
與執行個體 NIC 相關聯的外部 IPv4 位址。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,用於直通負載平衡,其中執行個體是內部直通網路負載平衡器或外部直通網路負載平衡器的後端。
與用於通訊協定轉送的轉送規則相關聯的內部或外部 IP 位址,其中執行個體是由目標執行個體參照。
使用執行個體 (
next-hop-instance或next-hop-address) 做為下一個躍點 VM 的自訂靜態路徑目的地範圍內的 IP 位址。如果 VM 是內部直通式網路負載平衡器 (
next-hop-ilb) 的後端,則為使用該負載平衡器做為下一個躍點的自訂靜態路徑目的地範圍內的 IP 位址。
如果防火牆規則的目標類型設為 INTERNAL_MANAGED_LB (預覽版),規則會篩選傳送至與內部應用程式負載平衡器和內部 Proxy 網路負載平衡器相關聯的代管 Envoy Proxy 的封包。在 Ingress 規則中使用目的地 IP 範圍時,請確保範圍包含相關的負載平衡器轉送規則 IP 位址。
輸出規則的目標和 IP 位址
如果省略防火牆規則目標類型,或將其設為 INSTANCES,規則就會套用至目標 VM 網路介面發出的封包。
如果目標 VM 已停用 IP 轉送 (預設),VM 只能發出具有下列來源的封包:
執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,適用於直通式負載平衡或通訊協定轉送。如果執行個體是內部直通式網路負載平衡器、外部直通式網路負載平衡器的後端,或是目標執行個體參照的執行個體,則此為有效狀態。
如果輸出防火牆規則包含來源 IP 位址範圍,目標 VM 仍會限制為先前提及的來源 IP 位址,但來源參數可用於調整來源。如未使用來源參數,且未啟用 IP 轉送,絕不會擴充可能的封包來源位址集。
如果輸出防火牆規則未包含來源 IP 位址範圍,則允許上述所有來源 IP 位址。
如果目標 VM 啟用 IP 轉送功能,該 VM 就能發出含有任意來源位址的封包。您可以使用來源參數,更精確地定義允許的封包來源組合。
來源
來源參數值取決於防火牆規則的方向。
輸入規則的來源
下表列出輸入規則的來源參數、支援各參數的防火牆政策,以及與各參數相容的規則目標類型。您必須指定至少一個來源參數。勾號表示支援該參數,符號則表示不支援。
| 輸入規則來源參數 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 來源 IP 位址範圍
清單,包含採用 CIDR 格式的 IPv4 位址,或採用 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
|||||
| 來源位址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
|||||
| 來源網域名稱
一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱物件。 |
|||||
| 從含有網路用途資料的代碼鍵取得安全代碼值
一或多個標記值的清單,這些標記值來自標記鍵,其用途資料指定單一虛擬私有雲網路。詳情請參閱「防火牆的安全標記」和「來源安全標記如何表示封包來源」。 |
|||||
| 從含有機構用途資料的標記鍵取得安全標記值
一或多個標記值的清單,這些標記值來自標記鍵,且用途資料為 |
|||||
| 來源地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
|||||
| Google Threat Intelligence 來源清單
一或多個預先定義的 Google Threat Intelligence 清單名稱。詳情請參閱「Google Threat Intelligence for 防火牆政策規則」。 |
|||||
| 來源網路情境
定義安全邊界的限制。有效值取決於規則的目標類型。詳情請參閱「網路環境」。 |
|||||
輸入規則來源組合
在單一 Ingress 規則中,您可以使用兩個以上的來源參數來產生來源組合。Cloud NGFW 會對每個連入規則的來源組合強制執行下列限制:
- 來源 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
- 含有 IPv4 CIDR 的來源位址群組,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv4 CIDR 的來源 IP 位址範圍,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv6 CIDR 的來源 IP 位址範圍,無法與含有 IPv4 CIDR 的來源位址群組搭配使用。
- 網際網路網路環境無法與來源安全代碼搭配使用。
- 非網際網路環境、虛擬私有雲網路環境和虛擬私有雲間環境,無法搭配 來源 Google Threat Intelligence 清單或 來源地理位置使用。
Cloud NGFW 會套用下列邏輯,將封包與使用來源組合的輸入規則相符:
如果來源組合不包含來源網路環境,只要封包符合來源組合中的至少一個來源參數,就會符合輸入規則。
如果來源組合包含來源網路情境,封包符合來源網路情境和來源組合中至少一個其他來源參數,就會符合輸入規則。
來源安全標記如何表示封包來源
如果省略輸入防火牆規則的目標類型,或將目標類型設為 INSTANCES,規則就能使用來源安全標記值。安全標記值會識別網路介面,而非 IP 位址等封包特徵。
根據下列規則,從 VM 執行個體網路介面傳送的封包會比對使用來源安全標記值的輸入規則:
如果輸入規則位於區域網路政策中,VM 執行個體必須位於與區域網路防火牆政策相同的區域。否則 VM 執行個體可以位於任何區域。
VM 執行個體必須與用做輸入防火牆規則中來源安全標記的安全標記值相關聯。
與 VM 執行個體相關聯,且由輸入防火牆規則使用的安全標記值,必須來自至少一個虛擬私有雲網路的標記鍵,而該網路包含 VM 執行個體的網路介面:
purpose-data如果標記鍵的用途資料指定單一虛擬私有雲網路,則使用來源安全標記值的輸入防火牆規則,會套用至該虛擬私有雲網路中的 VM 執行個體網路介面。
如果標記鍵的用途資料指定了機構,則使用來源安全標記值的輸入防火牆規則,會套用至機構任何虛擬私有雲網路中 VM 執行個體的網路介面。
所識別的 VM 網路介面必須符合下列其中一項條件:
- VM 網路介面與防火牆政策套用的虛擬私有雲網路位於相同虛擬私有雲網路。
VM 網路介面所屬的虛擬私有雲網路,已透過虛擬私有雲網路對等互連連線至套用防火牆政策的虛擬私有雲網路。
虛擬機器網路介面使用的虛擬私有雲網路,以及防火牆政策套用的虛擬私有雲網路,都是位於同一個 NCC 中樞的虛擬私有雲輪輻。
如要進一步瞭解防火牆的安全標記,請參閱規格。
輸出規則的來源
在階層式防火牆政策和網路防火牆政策中,您都可以使用下列來源做為輸出規則:
預設值 - 目標隱含:如果您從輸出規則中省略來源參數,系統會隱含定義封包來源,如「輸出規則的目標和 IP 位址」一文所述。
來源 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
來源 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為輸出規則新增來源 IP 位址範圍,請按照下列指引操作:
- 如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果輸出規則中含有來源 IP 位址範圍和目的地參數,目的地參數會解析為與來源 IP 版本相同的 IP 版本。
舉例來說,在輸出規則中,來源參數含有 IPv4 位址範圍,而目的地參數含有 FQDN 物件。如果 FQDN 同時解析為 IPv4 和 IPv6 位址,系統只會在強制執行規則時使用解析的 IPv4 位址。
目的地
目的地參數值取決於防火牆規則的方向。
輸入規則的目的地
在階層式和網路防火牆政策中,您都可以使用下列輸入防火牆規則的目的地:
預設值 - 目標隱含:如果您從輸入規則中省略目的地參數,系統會隱含定義封包目的地,如「輸入規則的目標和 IP 位址」一文所述。
目的地 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
目的地 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為連入規則新增目的地 IP 位址範圍,請按照下列準則操作:
如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果 Ingress 規則中同時定義來源和目的地參數,來源參數會解析為與目的地 IP 版本相同的 IP 版本。如要進一步瞭解如何定義輸入規則的來源,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
舉例來說,在輸入規則中,目的地參數含有 IPv6 位址範圍,來源參數則含有地理位置國家/地區代碼。在強制執行規則期間,系統只會使用對應的 IPv6 位址,做為指定來源國家/地區代碼。
輸出規則的目的地
下表列出輸出規則的目的地參數、支援各項參數的防火牆政策,以及與各項參數相容的規則目標類型。您必須至少指定一個到達網頁參數。勾號表示支援該參數,符號則表示不支援。
| 輸出規則目的地參數 | 防火牆政策支援 | 支援的規則目標類型 | |||
|---|---|---|---|---|---|
| 階層 | 全球網路 | 區域性網路 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 目的地 IP 位址範圍
清單,包含採用 CIDR 格式的 IPv4 位址,或採用 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
|||||
| 目的地地址群組 可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆政策規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
|||||
| 到達網域名稱
一或多個目的地網域名稱的清單。如要瞭解詳情 (包括網域名稱如何轉換為 IP 位址),請參閱完整網域名稱物件。 |
|||||
| 目的地地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱「地理位置物件」。 |
|||||
| Google Threat Intelligence 目的地清單
一或多個預先定義的 Google Threat Intelligence 清單名稱。詳情請參閱「Google Threat Intelligence for 防火牆政策規則」。 |
|||||
| 目標網路情境
定義安全邊界的限制。 |
|||||
輸出規則目的地組合
在單一輸出規則中,您可以使用兩個以上的目的地參數來產生目的地組合。Cloud NGFW 會對每個輸出規則的目的地組合強制執行下列限制:
- 目的地 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
- 包含 IPv4 CIDR 的目的地地址群組,無法與包含 IPv6 CIDR 的目的地地址群組搭配使用。
- 含有 IPv4 CIDR 的目的地 IP 位址範圍,無法與含有 IPv6 CIDR 的目的地位址群組搭配使用。
- 如果目的地 IP 位址範圍包含 IPv6 CIDR,則無法與包含 IPv4 CIDR 的目的地位址群組搭配使用。8. 目的地 Google Threat Intelligence 清單或目的地 地理位置無法與目的地非網際網路環境搭配使用。
Cloud NGFW 會套用下列邏輯,將封包與使用目的地組合的輸出規則相符:
如果目的地組合「不」包含目的地網路環境,只要封包符合目的地組合中的至少一個目的地參數,就會符合輸出規則。
如果目的地組合包含目的地網路環境,只要封包符合目的地網路環境和目的地組合中的至少一個其他目的地參數,就會符合輸出規則。