使用全球网络防火墙政策和规则

本页面假定您熟悉全球网络防火墙政策概览中所述的概念。

防火墙政策任务

本部分介绍了如何创建和管理全球网络防火墙政策。

创建全球网络防火墙政策

使用 Google Cloud 控制台创建全局网络防火墙政策时,您可以在创建期间将该政策与 Virtual Private Cloud (VPC) 网络相关联。如果您使用 Google Cloud CLI 创建政策,则必须在创建政策后将政策与网络相关联

与全球网络防火墙政策相关联的 VPC 网络必须与全球网络防火墙政策位于同一项目中。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器列表中,选择您的组织内的项目。

  3. 点击创建防火墙政策

  4. 政策名称字段中,输入政策的名称。

  5. 部署范围字段中,选择全球

  6. 如需为政策创建规则,请点击继续

  7. 添加规则部分中,点击创建防火墙规则

    如需了解详情,请参阅创建规则

  8. 如果要将政策与网络关联,请点击继续

  9. 将政策与网络相关联部分中,点击关联

    如需了解详情,请参阅将政策与网络关联

  10. 点击创建

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

替换以下内容:

  • NETWORK_FIREWALL_POLICY_NAME:政策的名称
  • DESCRIPTION:政策的说明

将政策与网络相关联

将防火墙政策与 VPC 网络相关联后,防火墙政策中的所有规则(已停用的规则除外)都会应用于该 VPC 网络。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 点击添加关联

  6. 选择项目中的网络。

  7. 点击关联

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

替换以下内容:

  • POLICY_NAME:政策的简称或系统生成的名称
  • NETWORK_NAME:网络的名称。
  • ASSOCIATION_NAME:关联的可选名称;如果未指定,则将名称设置为 network-NETWORK_NAME

删除关联

如果您需要更改与 VPC 网络相关联的全球网络防火墙政策,建议您先关联新政策,而不是删除现有的关联政策。您可以在一个步骤中关联新政策,这有助于确保全球网络防火墙政策始终与 VPC 网络相关联。

如需删除全球网络防火墙政策与 VPC 网络之间的关联,请按照本部分中提到的步骤操作。删除关联后,全球网络防火墙政策中的规则不适用于新连接。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含政策的项目或文件夹。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 选择要删除的关联。

  6. 点击移除关联

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

描述全球网络防火墙政策

您可以查看全球网络防火墙政策的详细信息,包括政策规则和关联的规则属性。所有这些规则属性都计入规则属性配额。如需了解详情,请参阅每项防火墙政策表中的“每项全球网络防火墙政策的规则属性”。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含全球网络防火墙政策的项目。

  3. 点击您的政策。

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

更新全球网络防火墙政策说明

唯一可以更新的政策字段是说明字段。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含全球网络防火墙政策的项目。

  3. 点击您的政策。

  4. 点击修改

  5. 说明字段中,更改文本。

  6. 点击保存

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

列出全球网络防火墙政策

您可以查看项目中可用政策的列表。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

    网络防火墙政策部分显示项目中可用的政策。

gcloud

gcloud compute network-firewall-policies list --global

删除全球网络防火墙政策

在删除全球网络防火墙政策之前,您必须删除其所有关联

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您要删除的政策。

  4. 点击关联标签页。

  5. 选择所有关联。

  6. 点击移除关联

  7. 移除所有关联后,点击删除

gcloud

使用以下命令删除政策:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

防火墙政策规则任务

本部分介绍了如何创建和管理全球网络防火墙政策规则。

创建规则

全球网络防火墙政策中的每条规则都是入站规则或出站规则,且具有唯一的优先级。如需详细了解规则的其他参数(包括有效的来源组合和目标组合),请参阅防火墙政策规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的全球政策的名称。

  4. 防火墙规则标签页上,点击创建防火墙规则

  5. 填写规则字段:

    1. 优先级字段中,设置规则的顺序编号,其中 0 是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。
    2. 选择“入站流量”或“出站流量”作为流量方向
    3. 对匹配项执行的操作部分中,选择以下选项之一:
      1. 允许:允许与规则匹配的连接。
      2. 拒绝:拒绝与规则匹配的连接。
      3. 转到下一层:将连接的评估传递到层次结构中的下一层防火墙规则。
      4. 应用安全配置文件组:将数据包发送到已配置的防火墙端点以进行第 7 层检查和防御。
        • 安全配置文件组列表中,选择一个安全配置文件组的名称。
        • 如需启用数据包的 TLS 检查,请选择启用 TLS 检查
    4. 日志集合设置为开启关闭

    5. 指定规则的目标。在目标字段中,选择以下选项之一:

      • 如果您希望将规则应用于网络中的所有实例,请选择应用于所有实例
      • 如果您希望按关联的服务账号将规则应用于部分实例,请先选择服务账号,然后在服务账号范围中指明该服务账号属于当前项目还是其他项目,并在目标服务账号字段中选择或输入服务账号名称。

      • 如果您希望按安全标记将规则应用于部分实例,请选择安全标记

        • 点击选择标记范围,然后选择要在其中创建安全标记的组织或项目。输入规则应应用于的键值对。
        • 如需添加更多键值对,请点击添加标记

    6. 对于入站流量规则,请指定来源网络类型:

      • 如需过滤属于任何网络类型的传入流量,请选择所有网络类型
      • 如需过滤属于特定网络类型的传入流量,请选择特定网络类型
        • 如需过滤属于互联网 (INTERNET) 网络类型的入站流量,请选择互联网
        • 如需过滤属于非互联网 (NON-INTERNET) 网络类型的传入流量,请选择非互联网
        • 如需过滤属于 VPC 内部 (INTRA_VPC) 网络类型的入站流量,请选择 VPC 内部
        • 如需过滤属于 VPC 网络 (VPC_NETWORKS) 类型的入站流量,请选择 VPC 网络,然后使用以下按钮指定一个或多个网络:
          • 选择当前项目:可让您添加当前项目中的一个或多个网络。
          • 手动输入网络:可让您手动输入项目和网络。
          • 选择项目:用于选择项目,然后您可以从该项目中选择网络。 如需详细了解网络类型,请参阅网络类型

    7. 对于出站规则,请指定目标网络类型:

      • 如需过滤属于任何网络类型的出站流量,请选择所有网络类型
      • 如需过滤属于特定网络类型的出站流量,请选择特定网络类型
        • 如需过滤属于互联网 (INTERNET) 网络类型的出站流量,请选择互联网
        • 如需过滤属于非互联网 (NON-INTERNET) 网络类型的出站流量,请选择非互联网。 如需详细了解网络类型,请参阅网络类型

    8. 对于入站流量规则,请指定来源过滤条件:

      • 如需按来源 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用 0.0.0.0/0
      • 如需按来源 IPv6 范围过滤传入的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用 ::/0

      • 如需按安全标记限制来源,请在安全标记部分中点击选择标记范围

        • 选择要为其创建标记的组织或项目。输入规则应应用于的键值对。
        • 如需添加更多键值对,请点击添加标记

    9. 对于出站流量规则,请指定目标过滤条件:

      • 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用 0.0.0.0/0
      • 如需按目标 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用 ::/0

    10. 可选:如果您要创建入站流量规则,请指定此规则适用的来源 FQDN。如果要创建出站流量规则,请选择此规则适用的目标 FQDN。如需详细了解域名对象,请参阅 FQDN 对象

    11. 可选:如果您要创建入站流量规则,请选择此规则适用的来源地理位置。如果要创建出站流量规则,请选择此规则适用的目标地理位置。如需详细了解地理位置对象,请参阅地理位置对象

    12. 可选:如果您要创建入站流量规则,请选择此规则适用的来源地址组。如果要创建出站流量规则,请选择此规则适用的目标地址组。如需详细了解地址组,请参阅防火墙政策的地址组

    13. 可选:如果您要创建入站流量规则,请选择此规则适用的 Google Cloud 威胁情报来源列表。如果要创建出站流量规则,请选择此规则适用的目标 Google Cloud 威胁情报列表。如需详细了解 Google Threat Intelligence,请参阅防火墙政策规则的 Google Threat Intelligence

    14. 可选:对于入站流量规则,请指定目标过滤条件:

      • 如需按目标 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用 0.0.0.0/0
      • 如需按目标 IPv6 范围过滤传入的流量,请选择 IPv6 范围,然后在目标 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用 ::/0。 如需了解详情,请参阅入站流量规则的目的地

    15. 可选:对于出站流量规则,请指定来源过滤条件:

      • 如需按来源 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用 0.0.0.0/0
      • 如需按来源 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用 ::/0。 如需了解详情,请参阅出站流量规则的来源

    16. 对于协议和端口,指定规则适用于所有协议和所有目标端口,或指定应用哪些协议和端口。

    17. 点击创建

  6. 点击创建防火墙规则以添加其他规则。

gcloud

如需创建入站流量规则,请使用以下命令:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

替换以下内容:

  • PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。
  • POLICY_NAME:包含新规则的全球网络防火墙政策的名称。
  • DESCRIPTION:新规则的可选说明
  • ACTION:指定以下操作之一:
    • allow:允许与规则匹配的连接。
    • deny:拒绝与规则匹配的连接。
    • apply_security_profile_group:以透明方式将数据包发送到已配置的防火墙端点,以进行第 7 层检查。如果操作为 apply_security_profile_group
      • 您必须添加 --security-profile-group SECURITY_PROFILE_GROUP,其中 SECURITY_PROFILE_GROUP 是用于第 7 层检查的安全配置文件组的名称。
      • 添加 --tls-inspect--no-tls-inspect 以启用或停用 TLS 检查。
    • goto_next:继续执行防火墙规则评估流程的下一步。
  • --enable-logging--no-enable-logging 参数用于启用或停用防火墙规则日志记录。
  • --disabled--no-disabled 参数用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。
  • 指定目标
    • TARGET_SECURE_TAGS:以英文逗号分隔的安全标记列表。
    • TARGET_SERVICE_ACCOUNTS:以英文逗号分隔的服务账号列表。
    • 如果您同时省略 --target-secure-tags--target-service-accounts 参数,则规则会应用于最广泛的目标。
  • LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。 每个第 4 层配置可以是以下项之一:
    • 不含任何目标端口的 IP 协议名称 (tcp) 或 IANA IP 协议编号 (17)。
    • 以英文冒号 (tcp:80) 分隔的 IP 协议名称和目标端口。
    • IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (tcp:5000-6000)。如需了解详情,请参阅协议和端口
  • 为入站规则指定来源
    • SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部为 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。
    • SRC_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。列表中的地址组必须包含所有 IPv4 地址或所有 IPv6 地址,而不能同时包含这两种地址。
    • SRC_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。
    • SRC_SECURE_TAGS:以英文逗号分隔的标记列表。如果 --src-network-typeINTERNET,则无法使用 --src-secure-tags 参数。
    • SRC_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象。 如果 --src-network-typeNON_INTERNETVPC_NETWORKINTRA_VPC,则无法使用 --src-region-codes 参数。
    • SRC_THREAT_LIST_NAMES:Google Threat Intelligence 列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。 如果 --src-network-typeNON_INTERNETVPC_NETWORKINTRA_VPC,则无法使用 --src-threat-intelligence 参数。
    • SRC_NETWORK_TYPE:定义要与另一个受支持的目标参数结合使用的源网络类型,以生成特定的目标组合。有效值为 INTERNETNON_INTERNETVPC_NETWORKINTRA_VPC。如需了解详情,请参阅网络类型
    • SRC_VPC_NETWORK:以网址标识符指定的一系列 VPC 网络,以英文逗号分隔。仅当 --src-network-typeVPC_NETWORKS 时,才应指定此参数。
  • (可选)为入站规则指定目的地
    • DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时包含这两者。

如需创建出站流量规则,请使用以下命令:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

替换以下内容:

  • PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。
  • POLICY_NAME:包含新规则的全球网络防火墙政策的名称。
  • DESCRIPTION:新规则的可选说明
  • ACTION:指定以下操作之一:
    • allow:允许与规则匹配的连接。
    • deny:拒绝与规则匹配的连接。
    • apply_security_profile_group:以透明方式将数据包发送到已配置的防火墙端点,以进行第 7 层检查。如果操作为 apply_security_profile_group
      • 您必须添加 --security-profile-group SECURITY_PROFILE_GROUP,其中 SECURITY_PROFILE_GROUP 是用于第 7 层检查的安全配置文件组的名称。
      • 添加 --tls-inspect--no-tls-inspect 以启用或停用 TLS 检查。
    • goto_next:继续执行防火墙规则评估流程的下一步。
  • --enable-logging--no-enable-logging 参数用于启用或停用防火墙规则日志记录。
  • --disabled--no-disabled 参数用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。
  • 指定目标
    • TARGET_SECURE_TAGS:以英文逗号分隔的安全标记列表。
    • TARGET_SERVICE_ACCOUNTS:以英文逗号分隔的服务账号列表。
    • 如果您同时省略 --target-secure-tags--target-service-accounts 参数,则规则会应用于最广泛的目标。
  • LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。 每个第 4 层配置可以是以下项之一:
    • 不含任何目标端口的 IP 协议名称 (tcp) 或 IANA IP 协议编号 (17)。
    • 以英文冒号 (tcp:80) 分隔的 IP 协议名称和目标端口。
    • IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (tcp:5000-6000)。如需了解详情,请参阅协议和端口
  • (可选)为出站规则指定来源
    • SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部为 IPv4 CIDR 或 IPv6 CIDR,不能同时包含这两种类型。
  • 为出站规则指定目的地
    • DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时包含这两者。
    • DEST_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。
    • DEST_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。
    • DEST_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象
    • DEST_THREAT_LIST_NAMES:Google Threat Intelligence 列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence
    • DEST_NETWORK_TYPE:定义要与另一个受支持的目标参数结合使用的目标网络类型,以生成特定的目标组合。有效值为 INTERNETNON_INTERNET。如需了解详情,请参阅网络类型

更新规则

如需了解标志说明,请参阅创建规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 点击规则的优先级。

  5. 点击修改

  6. 修改要更改的标志。

  7. 点击保存

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...flags you want to modify...]

描述规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 点击规则的优先级。

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

替换以下内容:

  • PRIORITY:唯一标识规则的优先级编号。
  • POLICY_NAME:包含规则的政策的名称

删除规则

从政策中删除规则会导致该规则不再适用于与该规则的目标建立的新连接。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 选择要删除的规则。

  5. 点击删除

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

替换以下内容:

  • PRIORITY:唯一标识规则的优先级编号。
  • POLICY_NAME:包含规则的政策

将规则从一个政策克隆到另一个政策

克隆操作会将来源政策中的规则复制到目标政策,并替换目标政策中的所有现有规则。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击要从中复制规则的政策。

  4. 点击屏幕顶部的克隆

  5. 提供目标政策的名称。

  6. 如果您想立即关联新政策,请点击继续 > 关联

  7. 将政策与 VPC 网络关联页面中,选择相应网络,然后点击关联

  8. 点击继续

  9. 点击克隆

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

替换以下内容:

  • TARGET_POLICY:目标政策的名称
  • SOURCE_POLICY:来源政策的网址

获取网络的有效防火墙规则

您可以查看应用于 VPC 网络所有区域的所有分层防火墙政策规则、VPC 防火墙规则和全球网络防火墙政策规则。

控制台

  1. 在 Google Cloud 控制台中,前往 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击要查看其防火墙政策规则的网络。

  3. VPC 网络详情页面上,点击防火墙标签页。

  4. 如需查看适用于此网络的规则,请点击防火墙规则视图标签页。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

替换以下内容:

  • NETWORK_NAME:您要查看其有效规则的网络。

您还可以在防火墙页面中查看网络的有效防火墙规则。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 防火墙政策列在此项目继承的防火墙政策部分中。

  3. 点击每项防火墙政策以查看适用于此网络的规则。

获取虚拟机接口的有效防火墙规则

您可以查看适用于 Compute Engine 虚拟机的网络接口的所有防火墙规则(包括所有适用的防火墙政策和 VPC 防火墙规则)。

控制台

  1. 在 Google Cloud 控制台中,前往虚拟机实例页面。

    转到虚拟机实例

  2. 在项目选择器菜单中,选择包含虚拟机的项目。

  3. 点击虚拟机。

  4. 对于网络接口,请点击接口的名称。

  5. 网络配置分析部分,点击防火墙标签页。

  6. 如需查看有效防火墙规则,请点击防火墙规则视图标签页。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

替换以下内容:

  • INSTANCE_NAME:您要查看其有效规则的虚拟机;如果未指定接口,该命令会返回主要接口 (nic0) 的规则。
  • INTERFACE:您要查看其有效规则的虚拟机接口;默认值为 nic0
  • ZONE:虚拟机的可用区;如果已将所选可用区设置为默认可用区,则此行为可选。