防火牆政策規則中的地理位置物件可讓您根據特定地理位置或區域,篩選外部 IPv4 和外部 IPv6 流量。
您可以對輸入和輸出流量套用含有地理位置物件的規則。 系統會根據流量方向,比對與國家/地區代碼相關聯的 IP 位址與流量來源或目的地。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策設定地理位置物件。
如要將地理位置新增至防火牆政策規則,請使用 ISO 3166 alpha-2 國家/地區代碼中定義的兩個字母國家/地區代碼。
舉例來說,如要只允許來自美國的傳入流量進入網路,請建立傳入防火牆政策規則,並將來源國家/地區代碼設為
US,動作設為allow。同樣地,如要只允許前往美國的外送流量,請設定外送防火牆政策規則,並將目的地國家/地區代碼設為US,動作設為allow。Cloud NGFW 可讓您為下列受美國全面制裁的地區設定防火牆規則:
地域 指派的代碼 克里米亞 XC 所謂的頓內次克人民共和國及盧甘斯克人民共和國 XD 如果單一防火牆規則中包含任何重複的國家/地區代碼,系統只會保留該國家/地區代碼的一個項目。系統已移除重複的項目。舉例來說,在國家/地區代碼清單
ca,us,us中,只會保留ca,us。Google 會維護含有 IP 位址和國家/地區代碼對應項目的資料庫。Google Cloud 防火牆會使用這個資料庫,將來源和目的地流量的 IP 位址對應至國家/地區代碼,然後套用與地理位置物件相符的防火牆政策規則。
在下列情況下,IP 位址指派和國家/地區代碼有時會變更:
- IP 位址在不同地理位置間移動
- ISO 3166 alpha-2 國家/地區代碼標準更新
由於 Google 資料庫需要一段時間才能反映這些變更,因此您可能會發現某些流量中斷,或特定流量的行為有所改變 (遭封鎖或允許)。
將地理位置物件與其他防火牆政策規則篩選器搭配使用
您可以搭配其他來源或目的地篩選器使用地理位置物件。 視規則方向而定,防火牆政策規則會套用至符合所有指定篩選條件聯集的連入或連出流量。
如要瞭解地理位置物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱「輸入規則的來源」。
如要瞭解地理位置物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。