借助防火墙政策规则中的地理位置对象,您可以根据特定的地理位置或区域过滤外部 IPv4 和外部 IPv6 流量。
您可以将具有地理位置对象的规则应用于入站流量和出站流量。根据流量方向,与国家/地区代码关联的 IP 地址会与流量来源或目的地进行匹配。
规格
以下防火墙规范适用于地理定位对象:
您可以为分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策配置地理位置对象。
如需向防火墙政策规则添加地理位置,请使用 ISO 3166 alpha-2 国家/地区代码中定义的由两个字母组成的国家/地区代码。
例如,如果您只想允许从美国到网络的传入流量,请创建入站流量防火墙政策规则,并将来源国家/地区代码设置为
US,将操作设置为allow。同样,如果您只想允许流向美国的出站流量,请配置出站流量防火墙政策规则,并将目的地国家/地区代码设置为US,将操作设置为allow。Cloud NGFW 可让您针对以下受美国制裁的地区配置防火墙规则:
地区 分配的代码 克里米亚 XC 所谓的顿涅茨克人民共和国和卢甘斯克人民共和国 XD 如果单一防火墙规则中包含任何重复的国家/地区代码,则仅保留该国家/地区代码的一个条目。重复条目会被移除。例如,在国家/地区代码列表
ca,us,us中,仅保留ca,us。Google 维护着一个具有 IP 地址和国家/地区代码映射的数据库。Google Cloud 防火墙使用此数据库将来源和目的地流量的 IP 地址映射到国家/地区代码,然后应用具有地理定位对象的匹配防火墙政策规则。
有时,IP 地址分配和国家/地区代码会因以下条件而变化:
- IP 地址在不同地理位置的移动情况
- ISO 3166 alpha-2 国家/地区代码标准的更新
由于这些更改需要一段时间才能反映在 Google 的数据库中,因此某些流量可能会中断,并且出现某些流量被阻止或允许的行为变化。
与内部 IP 地址匹配的地理位置对象
地理位置对象旨在应用于外部 IP 地址。地理位置对象不适用于下表中显示的专用内部 IP 地址:
| 地址类型 | 范围和规范 |
|---|---|
| 内部 IPv4(专用) | 所有 RFC 定义的专用 IPv4 地址范围(包括 RFC 1918 和 RFC 6598)和链路本地地址 (169.254.0.0/16)。 |
| 内部 IPv6(专用) | 唯一本地地址 (ULA) (fc00::/7) 和链路本地地址 (fe80::/10)。 |
不过,地理位置对象防火墙政策规则确实适用于以非公开方式使用的公共 IP 地址。尽管这些地址是 VPC 网络的内部地址,但它们是公共地址,并且会与地理定位对象进行匹配。为防止在使用以非公开方式使用的公共 IP 地址时出现通信问题,请创建优先级更高的防火墙政策规则,以允许流量流向或来自以非公开方式使用的公共 IP 地址范围。
将地理位置对象与其他防火墙政策规则过滤条件结合使用
您可以使用地理位置对象以及其他来源或目的地过滤条件。根据规则方向,防火墙政策规则应用于与所有指定过滤条件并集匹配的传入或传出流量。
如需了解地理位置对象如何与入站流量规则中的其他来源过滤条件搭配使用,请参阅入站流量规则的来源。
如需了解地理位置对象如何与出站流量规则中的其他目的地过滤条件搭配使用,请参阅出站流量规则的目的地。