防火墙政策的预定义规则

创建分层防火墙政策、全球网络防火墙政策或区域级网络防火墙政策时，Cloud NGFW 会向政策添加预定义规则。Cloud NGFW 添加到政策的预定义规则取决于您创建政策的方式。

预定义规则的类型

如果您使用 Google Cloud 控制台创建防火墙政策，则 Cloud NGFW 会将以下规则添加到新政策中：

1. 专用 IPv4 范围的转到下一个规则
2. 预定义的 Google Threat Intelligence 拒绝规则
3. 预定义的地理位置拒绝规则
4. 尽可能低的优先级转到下一个规则

如果您使用 Google Cloud CLI 或 API 创建防火墙政策，则 Cloud NGFW 只会将尽可能低的优先级转到下一个规则添加到政策。

新防火墙政策中的所有预定义规则有意使用低优先级（大优先级编号），因此您可以通过创建优先级更高的入站或出站规则来替换这些规则。除了尽可能低的优先级转到下一个规则之外，您还可以自定义预定义的规则。

专用 IPv4 范围的转到下一个规则

• 具有目的地 IPv4 范围 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、优先级 1000 和 goto_next 操作的出站流量规则。

• 具有来源 IPv4 范围 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、优先级 1001 和 goto_next 操作的入站流量规则。

预定义的 Google Threat Intelligence 拒绝规则

• 具有来源 Google Threat Intelligence 列表 iplist-tor-exit-nodes、优先级 1002 和 deny 操作的入站流量规则。

• 具有来源 Google Threat Intelligence 列表 iplist-known-malicious-ips、优先级 1003 和 deny 操作的入站流量规则。

• 具有目的地 Google Threat Intelligence 列表 iplist-known-malicious-ips、优先级 1004 和 deny 操作的出站流量规则。

如需详细了解 Google Threat Intelligence，请参阅防火墙政策规则的 Google Threat Intelligence。

预定义的地理位置拒绝规则

• 来源匹配地理位置为 CU、IR、KP、SY、XC 和 XD，优先级为 1005 且操作为 deny 的入站流量规则。

如需详细了解地理位置，请参阅地理位置对象。

尽可能低的优先级转到下一个规则

您无法修改或删除以下规则：

• 具有目的地 IPv6 范围 ::/0、优先级 2147483644 和 goto_next 操作的出站流量规则。

• 具有来源 IPv6 范围 ::/0、优先级 2147483645 和 goto_next 操作的入站流量规则。

• 具有目的地 IPv4 范围 0.0.0.0/0、优先级 2147483646 和 goto_next 操作的出站流量规则。

• 具有来源 IPv4 范围 0.0.0.0/0、优先级 2147483647 和 goto_next 操作的入站流量规则。

后续步骤

• 修改预定义规则。如需了解详情，请参阅更新全球网络防火墙政策规则、更新区域级网络防火墙政策规则和更新分层防火墙政策规则。
• 添加您自己的规则。如需了解详情，请参阅创建全球网络防火墙政策、创建区域级网络防火墙政策和创建防火墙政策。