建立階層式、全域或區域網路防火牆政策時,Cloud Next Generation Firewall 會自動新增預先定義的規則。您可以自訂或覆寫這些規則,維持預期的網路安全狀態。預先定義的規則會因您使用Google Cloud 控制台、gcloud CLI 或 API 而異。
本文件可協助網路管理員和安全工程師定義防火牆政策的規則。
預先定義的規則類型
如果您使用 Google Cloud 控制台建立防火牆政策,Cloud NGFW 會將下列規則新增至新政策:
如果您使用 Google Cloud CLI 或 API 建立防火牆政策,Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。
新防火牆政策中的所有預先定義規則,都會刻意使用低優先順序 (優先順序數字較大),因此您可以建立優先順序較高的輸入或輸出規則,覆寫這些規則。除了優先順序最低的 goto-next 規則,您也可以自訂預先定義的規則。
私人 IPv4 範圍的 goto-next 規則
目的地 IPv4 範圍為
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為1000且動作為goto_next的輸出規則。輸入規則,來源 IPv4 範圍為
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為1001,且動作為goto_next。
預先定義的 Google Threat Intelligence 拒絕規則
輸入規則,來源為 Google Threat Intelligence 清單
iplist-tor-exit-nodes、優先順序為1002,且動作為deny。輸入規則,來源為 Google Threat Intelligence 清單
iplist-known-malicious-ips、優先順序為1003,且動作為deny。輸出規則,目的地為 Google Threat Intelligence 清單
iplist-known-malicious-ips、優先順序為1004,以及deny動作。
如要進一步瞭解 Google Threat Intelligence,請參閱「適用於防火牆政策規則的 Google Threat Intelligence」。
預先定義的地理位置拒絕規則
- 一項來源相符地理位置為
CU、IR、KP、SY、XC和XD的輸入規則,優先順序為1005,且動作為deny。
如要進一步瞭解地理位置,請參閱「地理位置物件」。
優先順序最低的 goto-next 規則
您無法修改或刪除下列規則:
輸出規則,目的地 IPv6 範圍為
::/0,優先順序為2147483644,且動作為goto_next。輸入規則,來源 IPv6 範圍為
::/0、優先順序為2147483645,且動作為goto_next。目的地 IPv4 範圍為
0.0.0.0/0、優先順序為2147483646且動作為goto_next的輸出規則。輸入規則,來源 IPv4 範圍為
0.0.0.0/0,優先順序為2147483647,且動作為goto_next。
後續步驟
- 修改預先定義的規則。詳情請參閱更新全域網路防火牆政策規則、更新區域網路防火牆政策規則和更新階層式防火牆政策規則。
- 新增自己的規則。詳情請參閱「建立全域網路防火牆政策」、「建立區域網路防火牆政策」和「建立防火牆政策」。