防火牆政策的預先定義規則

建立階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策時，Cloud NGFW 會在政策中新增預先定義的規則。Cloud NGFW 新增至政策的預先定義規則，取決於您建立政策的方式。

預先定義的規則類型

如果您使用 Google Cloud 控制台建立防火牆政策，Cloud NGFW 會將下列規則新增至新政策：

1. 私人 IPv4 範圍的 Goto-next 規則
2. 預先定義的 Google Threat Intelligence 拒絕規則
3. 預先定義的地理位置拒絕規則
4. 優先順序最低的 goto-next 規則

如果您使用 Google Cloud CLI 或 API 建立防火牆政策，Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。

新防火牆政策中的所有預先定義規則，都會刻意使用低優先順序 (優先順序數字較大)，因此您可以建立優先順序較高的輸入或輸出規則，覆寫這些規則。除了優先順序最低的 goto-next 規則，您也可以自訂預先定義的規則。

私人 IPv4 範圍的 goto-next 規則

• 目的地 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16、優先順序為 1000 且動作為 goto_next 的輸出規則。

• 輸入規則，來源 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16，優先順序為 1001，動作為 goto_next。

預先定義的 Google Threat Intelligence 拒絕規則

• 輸入規則，來源為 Google Threat Intelligence 清單 iplist-tor-exit-nodes、優先順序為 1002，且動作為 deny。

• 輸入規則，來源為 Google Threat Intelligence 清單 iplist-known-malicious-ips、優先順序為 1003，且動作為 deny。

• 目的地為 Google Threat Intelligence 清單 iplist-known-malicious-ips、優先順序為 1004，且動作為 deny 的輸出規則。

如要進一步瞭解 Google Threat Intelligence，請參閱「適用於防火牆政策規則的 Google Threat Intelligence」。

預先定義的地理位置拒絕規則

• 一項來源比對地理位置為 CU、IR、KP、SY、XC 和 XD 的連入規則，優先順序為 1005，且動作為 deny。

如要進一步瞭解地理位置，請參閱「地理位置物件」。

優先順序最低的 goto-next 規則

您無法修改或刪除下列規則：

• 輸出規則，目的地 IPv6 範圍為 ::/0，優先順序為 2147483644，且動作為 goto_next。

• 輸入規則，來源 IPv6 範圍為 ::/0，優先順序為 2147483645，且動作為 goto_next。

• 輸出規則，目的地 IPv4 範圍為 0.0.0.0/0，優先順序為 2147483646，且動作為 goto_next。

• 來源 IPv4 範圍為 0.0.0.0/0、優先順序為 2147483647，且動作為 goto_next 的輸入規則。

後續步驟

• 修改預先定義的規則。詳情請參閱「更新全域網路防火牆政策規則」、「更新區域網路防火牆政策規則」和「更新階層式防火牆政策規則」。
• 新增自己的規則。詳情請參閱「建立全域網路防火牆政策」、「建立區域網路防火牆政策」和「建立防火牆政策」。