防火牆政策規則中的地理位置物件可讓您根據特定地理位置或區域,篩選外部 IPv4 和外部 IPv6 流量。
您可以對輸入和輸出流量套用含有地理位置物件的規則。 系統會根據流量方向,比對與國家/地區代碼相關聯的 IP 位址與流量來源或目的地。
規格
下列防火牆規格適用於地理位置物件:
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策設定地理位置物件。
如要將地理位置新增至防火牆政策規則,請使用 ISO 3166 alpha-2 國家/地區代碼中定義的兩個字母國家/地區代碼。
舉例來說,如要只允許來自美國的傳入流量進入網路,請建立傳入防火牆政策規則,並將來源國家/地區代碼設為
US,動作設為allow。同樣地,如要只允許前往美國的輸出流量,請設定輸出防火牆政策規則,並將目的地國家/地區代碼設為US,動作設為allow。Cloud NGFW 可讓您為下列受美國全面制裁的地區設定防火牆規則:
地域 指派的代碼 克里米亞 XC 所謂的頓內次克人民共和國及盧甘斯克人民共和國 XD 如果單一防火牆規則中包含任何重複的國家/地區代碼,系統只會保留該國家/地區代碼的一個項目。系統會移除重複的項目。舉例來說,在國家/地區代碼清單
ca,us,us中,只會保留ca,us。Google 會維護含有 IP 位址和國家/地區代碼對應項目的資料庫。Google Cloud 防火牆會使用這個資料庫,將來源和目的地流量的 IP 位址對應至國家/地區代碼,然後套用與地理位置物件相符的防火牆政策規則。
在下列情況下,IP 位址指派和國家/地區代碼有時會變更:
- IP 位址在不同地理位置間移動
- ISO 3166 alpha-2 國家/地區代碼標準更新
由於這些變更需要一段時間才會反映在 Google 的資料庫中,因此您可能會發現某些流量中斷,或特定流量的封鎖/允許行為發生變化。
與內部 IP 位址相符的地理位置物件
地理位置物件適用於外部 IP 位址。地理位置物件不適用於下表所示的私人內部 IP 位址:
| 地址類型 | 範圍和規格 |
|---|---|
| 內部 IPv4 (私人) | 所有 RFC 定義的私人 IPv4 位址範圍 (包括 RFC 1918 和 RFC 6598) 和連結本機位址 (169.254.0.0/16)。 |
| 內部 IPv6 (私人) | 專屬本機位址 (ULA) (fc00::/7) 和連結本機位址 (fe80::/10)。 |
不過,如果內部 IP 位址是私人使用的公開 IP 位址,地理位置物件防火牆政策規則會套用至這些位址。即使這些位址是虛擬私有雲網路的內部位址,但仍屬於公開位址,因此會與地理位置物件比對。如要避免使用私人使用的公開 IP 位址時發生通訊問題,請建立優先順序較高的防火牆政策規則,允許流量傳輸至私人使用的公開 IP 位址範圍,或從該範圍傳輸流量。
將地理位置物件與其他防火牆政策規則篩選器搭配使用
您可以搭配其他來源或目的地篩選器使用地理位置物件。 視規則方向而定,防火牆政策規則會套用至符合所有指定篩選條件聯集的連入或連出流量。
如要瞭解地理位置物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱「輸入規則的來源」。
如要瞭解地理位置物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。