防火牆政策的預先定義規則

建立階層式、全域或區域網路防火牆政策時,Cloud Next Generation Firewall 會自動新增預先定義的規則。您可以自訂或覆寫這些規則,維持預期的網路安全狀態。預先定義的規則會因您使用Google Cloud 控制台、gcloud CLI 或 API 而異。

本文件可協助網路管理員和安全工程師定義防火牆政策的規則。

預先定義的規則類型

如果您使用 Google Cloud 控制台建立防火牆政策,Cloud NGFW 會將下列規則新增至新政策:

  1. 私人 IPv4 範圍的 Goto-next 規則
  2. 預先定義的 Google Threat Intelligence 拒絕規則
  3. 預先定義的地理位置拒絕規則
  4. 優先順序最低的 goto-next 規則

如果您使用 Google Cloud CLI 或 API 建立防火牆政策,Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。

新防火牆政策中的所有預先定義規則,都會刻意使用低優先順序 (優先順序數字較大),因此您可以建立優先順序較高的輸入輸出規則,覆寫這些規則。除了優先順序最低的 goto-next 規則,您也可以自訂預先定義的規則。

私人 IPv4 範圍的 goto-next 規則

  • 目的地 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為 1000 且動作為 goto_next 的輸出規則。

  • 輸入規則,來源 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為 1001,且動作為 goto_next

預先定義的 Google Threat Intelligence 拒絕規則

  • 輸入規則,來源為 Google Threat Intelligence 清單 iplist-tor-exit-nodes、優先順序為 1002,且動作為 deny

  • 輸入規則,來源為 Google Threat Intelligence 清單 iplist-known-malicious-ips、優先順序為 1003,且動作為 deny

  • 輸出規則,目的地為 Google Threat Intelligence 清單 iplist-known-malicious-ips、優先順序為 1004,以及 deny 動作。

如要進一步瞭解 Google Threat Intelligence,請參閱「適用於防火牆政策規則的 Google Threat Intelligence」。

預先定義的地理位置拒絕規則

  • 一項來源相符地理位置為 CUIRKPSYXCXD 的輸入規則,優先順序為 1005,且動作為 deny

如要進一步瞭解地理位置,請參閱「地理位置物件」。

優先順序最低的 goto-next 規則

您無法修改或刪除下列規則:

  • 輸出規則,目的地 IPv6 範圍為 ::/0,優先順序為 2147483644,且動作為 goto_next

  • 輸入規則,來源 IPv6 範圍為 ::/0、優先順序為 2147483645,且動作為 goto_next

  • 目的地 IPv4 範圍為 0.0.0.0/0、優先順序為 2147483646 且動作為 goto_next 的輸出規則。

  • 輸入規則,來源 IPv4 範圍為 0.0.0.0/0,優先順序為 2147483647,且動作為 goto_next

後續步驟