每個一般虛擬私有雲 (VPC) 網路都有網路防火牆政策強制執行順序,可決定 Cloud NGFW 評估防火牆政策規則的順序。
網路防火牆政策強制執行順序
虛擬私有雲網路可使用下列其中一種網路防火牆政策強制執行順序:
AFTER_CLASSIC_FIREWALL(預設):Cloud NGFW 會依下列順序評估防火牆政策和規則:- 階層式防火牆政策
- 區域性系統防火牆政策數量
- 虛擬私有雲防火牆規則
- 全域網路防火牆政策
- 區域性防火牆政策
- 隱含動作
BEFORE_CLASSIC_FIREWALL:Cloud NGFW 會依下列順序評估防火牆政策和規則:- 階層式防火牆政策
- 區域性系統防火牆政策數量
- 全域網路防火牆政策
- 區域性防火牆政策
- 虛擬私有雲防火牆規則
- 隱含動作
如要變更網路防火牆政策的強制執行順序,請執行下列任一操作:
使用
networks.patch方法,並設定虛擬私有雲網路的networkFirewallPolicyEnforcementOrder屬性。使用
gcloud compute networks update指令並加上--network-firewall-policy-enforcement-order旗標。例如:
gcloud compute networks update VPC_NETWORK_NAME \ --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER
防火牆規則評估程序
本節說明 Cloud NGFW 評估適用於一般虛擬私有雲網路中目標資源的規則時,採用的順序。
每項防火牆規則都是傳入或傳出規則,視流量方向而定:
輸入規則適用於目標資源接收的新連線封包。輸入規則支援的目標資源如下:
虛擬機器 (VM) 執行個體的網路介面。
內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的代管 Envoy Proxy (搶先版)。
輸出規則會套用到目標 VM 網路介面傳送的新連線封包。
Cloud NGFW 一律會先評估階層式防火牆政策和區域性系統防火牆政策中的規則,再評估任何其他防火牆規則。您可以選擇網路防火牆政策強制執行順序,控管 Cloud NGFW 評估其他防火牆規則的順序。網路防火牆政策的強制執行順序可以是 AFTER_CLASSIC_FIREWALL 或 BEFORE_CLASSIC_FIREWALL。
AFTER_CLASSIC_FIREWALL 網路防火牆政策強制執行順序
如果網路防火牆政策的強制執行順序為 AFTER_CLASSIC_FIREWALL,Cloud NGFW 會在評估虛擬私有雲防火牆規則後,評估全域和區域網路防火牆政策中的規則。這是預設的評估順序。
在採用AFTER_CLASSIC_FIREWALL強制執行順序的一般虛擬私有雲網路中,完整的防火牆規則評估順序如下:
階層式防火牆政策。
Cloud NGFW 會依下列順序評估階層式防火牆政策:
- 與包含目標資源的機構相關聯的階層式防火牆政策。
- 與資料夾上層項目相關聯的階層式防火牆政策,從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在階層式防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。goto_next:規則評估會繼續執行下列其中一項操作:- 與目標資源較近的資料夾上層祖系相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
如果階層式防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估,直到符合下列其中一項條件為止:- 與目標資源較近的資料夾上層祖系相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
區域性系統防火牆政策。
評估區域性系統防火牆政策規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在區域系統防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估會繼續進行,直到- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估,則評估順序中的下一個步驟。
如果區域系統防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估,直到符合下列其中一項條件為止:- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估,則評估順序中的下一個步驟。
虛擬私有雲防火牆規則。
評估虛擬私有雲防火牆規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
當一或兩項虛擬私有雲防火牆規則符合流量時,防火牆規則的相符時動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。
如果兩個規則相符,優先順序必須相同,但動作不同。在這種情況下,Cloud NGFW 會強制執行
deny虛擬私有雲防火牆規則,並忽略allow虛擬私有雲防火牆規則。如果沒有任何虛擬私有雲防火牆規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作,繼續評估順序中的下一個步驟。全域網路防火牆政策。
評估全域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在全域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。goto_next:規則評估作業會繼續進行,並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估, 並依評估順序進行區域網路防火牆政策步驟。區域網路防火牆政策。
Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策規則。
評估區域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在區域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估作業會繼續進行,並按照評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估,並前往評估順序中的下一個步驟。最後一個步驟 - 隱含動作。
如果防火牆規則評估作業已透過明確或隱含的
goto_next動作,持續完成每個先前的步驟,Cloud NGFW 就會套用隱含動作。隱含動作取決於流量方向:如果是輸入流量,隱含動作也會取決於目標資源:
如果目標資源是 VM 執行個體的網路介面,則隱含的連入動作為
deny。如果目標資源是內部應用程式負載平衡器或內部 Proxy 網路負載平衡器的轉送規則,則隱含的傳入動作為
allow。
如果是輸出流量,則隱含動作為
allow。
AFTER_CLASSIC_FIREWALL 圖表
下圖說明AFTER_CLASSIC_FIREWALL網路防火牆政策的強制執行順序:
AFTER_CLASSIC_FIREWALL,防火牆規則的解析流程 (按一下可放大)。BEFORE_CLASSIC_FIREWALL 網路防火牆政策強制執行順序
如果網路防火牆政策的強制執行順序為 BEFORE_CLASSIC_FIREWALL,Cloud NGFW 會先評估全域和區域網路防火牆政策中的規則,再評估虛擬私有雲防火牆規則。
在採用BEFORE_CLASSIC_FIREWALL強制執行順序的一般虛擬私有雲網路中,完整的防火牆規則評估順序如下:
階層式防火牆政策。
Cloud NGFW 會依下列順序評估階層式防火牆政策:
- 與包含目標資源的機構相關聯的階層式防火牆政策。
- 與資料夾上層項目相關聯的階層式防火牆政策,從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在階層式防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。goto_next:規則評估會繼續執行下列其中一項操作:- 與目標資源較近的資料夾上層祖系相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
如果階層式防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估,直到符合下列其中一項條件為止:- 與目標資源較近的資料夾上層祖系相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序中的下一個步驟。
區域性系統防火牆政策。
評估區域性系統防火牆政策規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在區域系統防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估會繼續進行,直到- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估,則評估順序中的下一個步驟。
如果區域系統防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估,直到符合下列其中一項條件為止:- 如果存在,則為關聯優先順序次高的區域系統防火牆政策。
- 如果所有區域性系統防火牆政策都已評估,則評估順序中的下一個步驟。
全域網路防火牆政策。
評估全域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在全域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估。是否允許或捨棄封包取決於安全性設定檔群組的已設定安全性設定檔。goto_next:規則評估作業會繼續進行,並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估, 並依評估順序進行區域網路防火牆政策步驟。區域網路防火牆政策。
Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策規則。
評估區域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在區域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中之一:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。goto_next:規則評估作業會繼續進行,並按照評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估,並前往評估順序中的下一個步驟。虛擬私有雲防火牆規則。
評估虛擬私有雲防火牆規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標與目標資源不符的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 套用至目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
當一或兩項虛擬私有雲防火牆規則符合流量時,防火牆規則的相符時動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止評估所有規則。
如果兩個規則相符,優先順序必須相同,但動作不同。在這種情況下,Cloud NGFW 會強制執行
deny虛擬私有雲防火牆規則,並忽略allow虛擬私有雲防火牆規則。如果沒有任何虛擬私有雲防火牆規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作,繼續評估順序中的下一個步驟。最後一個步驟 - 隱含動作。
如果防火牆規則評估作業已透過明確或隱含的
goto_next動作,持續完成每個先前的步驟,Cloud NGFW 就會套用隱含動作。隱含動作取決於流量方向:如果是輸入流量,隱含動作也會取決於目標資源:
如果目標資源是 VM 執行個體的網路介面,則隱含的連入動作為
deny。如果目標資源是內部應用程式負載平衡器或內部 Proxy 網路負載平衡器的轉送規則,則隱含的傳入動作為
allow。
如果是輸出流量,則隱含動作為
allow。
BEFORE_CLASSIC_FIREWALL 圖表
下圖說明BEFORE_CLASSIC_FIREWALL網路防火牆政策的強制執行順序:
BEFORE_CLASSIC_FIREWALL,防火牆規則解析流程 (按一下可放大)。有效的防火牆規則
階層式防火牆政策規則、虛擬私有雲防火牆規則,以及全域和區域網路防火牆政策規則,都會控管連線。查看影響個別網路或 VM 介面的所有防火牆規則,或許能派上用場。
網路有效防火牆規則
您可以查看套用至虛擬私有雲網路的所有防火牆規則。 清單包含下列所有類型的規則:
- 從階層式防火牆政策繼承的規則
- 虛擬私有雲防火牆規則
- 從全域和區域網路防火牆政策套用的規則
執行個體有效的防火牆規則
您可以查看套用至 VM 網路介面的所有防火牆規則。清單包含下列所有類型的規則:
- 從階層式防火牆政策繼承的規則
- 從介面的虛擬私有雲防火牆套用的規則
- 從全域和區域網路防火牆政策套用的規則
規則的排序方式是從機構層級到虛擬私有雲網路。系統只會顯示套用至 VM 介面的規則。系統不會顯示其他政策的規則。
如要查看區域內的有效防火牆政策規則,請參閱「取得網路的有效區域防火牆政策」。
後續步驟
- 如要建立及修改階層式防火牆政策和規則,請參閱「使用階層式防火牆政策和規則」。
- 如要查看階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
- 如要建立及修改全域網路防火牆政策和規則,請參閱「使用全域網路防火牆政策和規則」。
- 如要建立及修改區域網路防火牆政策和規則,請參閱「使用區域網路防火牆政策和規則」。
- 如要建立及修改虛擬私有雲防火牆規則,請參閱「使用虛擬私有雲防火牆規則」一文。