本页面假定您熟悉全球网络防火墙政策概览中所述的概念。
防火墙政策任务
本部分介绍了如何创建和管理全球网络防火墙政策。
创建全球网络防火墙政策
使用 Google Cloud 控制台创建全局网络防火墙政策时,您可以在创建期间将该政策与 Virtual Private Cloud (VPC) 网络相关联。如果您使用 Google Cloud CLI 创建政策,则必须在创建政策后将政策与网络相关联。
与全球网络防火墙政策相关联的 VPC 网络必须与全球网络防火墙政策位于同一项目中。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器列表中,选择您的组织内的项目。
点击创建防火墙政策。
在政策名称字段中,输入政策的名称。
对于政策类型,选择 VPC 政策。
在部署范围字段中,选择全球。
如需为政策创建规则,请点击继续。
在添加规则部分中,点击创建防火墙规则。如需详细了解如何创建防火墙规则,请参阅以下内容:
如果要将政策与网络关联,请点击继续。
在将政策与网络相关联部分中,点击关联。
如需了解详情,请参阅将政策与网络关联。
点击创建。
gcloud
gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--policy-type POLICY_TYPE \
--global
替换以下内容:
NETWORK_FIREWALL_POLICY_NAME:政策的名称DESCRIPTION:政策的说明POLICY_TYPE:网络防火墙政策的类型。 如需了解详情,请参阅规范。
将政策与网络相关联
将防火墙政策与 VPC 网络相关联后,防火墙政策中的所有规则(已停用的规则除外)都会应用于该 VPC 网络。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击关联标签页。
点击添加关联。
选择项目中的网络。
点击关联。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
替换以下内容:
POLICY_NAME:政策的简称或系统生成的名称NETWORK_NAME:网络的名称。ASSOCIATION_NAME:关联的可选名称;如果未指定,则将名称设置为network-NETWORK_NAME。
删除关联
如果您需要更改与 VPC 网络相关联的全球网络防火墙政策,建议您先关联新政策,而不是删除现有的关联政策。您只需一步即可关联新政策,这有助于确保全球网络防火墙政策始终与 VPC 网络相关联。
如需删除全球网络防火墙政策与 VPC 网络之间的关联,请按照本部分中提及的步骤操作。删除全球网络防火墙政策的关联后,该政策中的规则不再适用于新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含政策的项目或文件夹。
点击您的政策。
点击关联标签页。
选择要删除的关联。
点击移除关联。
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
描述全球网络防火墙政策
您可以查看全球网络防火墙政策的详细信息,包括政策规则和关联的规则属性。所有这些规则属性都计入规则属性配额。如需了解详情,请参阅每个防火墙政策表格中的“每个全球网络防火墙政策的规则属性”。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含全球网络防火墙政策的项目。
点击您的政策。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
更新全球网络防火墙政策说明
唯一可以更新的政策字段是说明字段。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含全球网络防火墙政策的项目。
点击您的政策。
点击修改。
在说明字段中,更改文本。
点击保存。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
列出全球网络防火墙政策
您可以查看项目中可用政策的列表。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
网络防火墙政策部分显示项目中可用的政策。
gcloud
gcloud compute network-firewall-policies list --global
删除全球网络防火墙政策
在删除全球网络防火墙政策之前,您必须删除其所有关联。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您要删除的政策。
点击关联标签页。
选择所有关联。
点击移除关联。
移除所有关联后,点击删除。
gcloud
使用以下命令删除政策:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
防火墙政策规则任务
本部分介绍了如何创建和管理全球网络防火墙政策规则。
为虚拟机目标创建入站规则
本部分介绍如何创建适用于 Compute Engine 实例的网络接口的入站规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器列表中,选择包含全球网络防火墙政策的项目。
在网络防火墙政策部分中,点击要创建规则的全球网络防火墙政策的名称。
在防火墙规则部分,点击创建防火墙规则,然后指定以下配置参数:
优先级:规则的数字评估顺序。
这些规则按照从最高到最低的优先级进行评估,其中
0是最高优先级。每条规则的优先级都必须唯一。 建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。说明:提供说明(可选)。
流量方向:选择入站。
对匹配项执行的操作:选择以下选项之一:
- 允许:允许与规则参数匹配的连接。
- 拒绝:用于屏蔽与规则参数匹配的连接。
- 转到下一层:继续执行防火墙规则评估流程。
日志:选择启用可启用防火墙规则日志记录;选择关闭可针对相应规则停用防火墙规则日志记录。
目标:选择以下选项之一:
来源网络类型:指定网络类型:
- 如需跳过按网络类型过滤入站流量,请选择所有网络类型。
- 如需过滤到特定网络类型的入站流量,请选择特定网络类型,然后选择一种网络类型:
- 互联网:入站流量必须与入站数据包的互联网网络类型相匹配。
- 非互联网:入站流量必须与入站数据包的非互联网网络类型相匹配。
- VPC 内部:入站流量必须符合 VPC 内部网络类型的条件。
- VPC 网络:入站流量必须符合 VPC 网络类型的条件。
您必须至少选择一个 VPC 网络:
- 选择当前项目:可让您从包含防火墙政策的项目中添加一个或多个 VPC 网络。
- 手动输入网络:可让您手动输入项目和 VPC 网络。
- 选择项目:用于选择一个项目,从中可以选择 VPC 网络。
来源过滤条件:指定其他来源参数。某些来源参数不能一起使用,并且您选择的来源广告资源网类型会限制您可以使用的来源参数。如需了解详情,请参阅入站流量规则的来源以及入站流量规则来源组合。
- 如需按来源 IPv4 范围过滤入站流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用
0.0.0.0/0。 - 如需按来源 IPv6 范围过滤入站流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用
::/0。 - 如需按来源安全标记值过滤入站流量,请在安全标记部分中选择选择标记范围。然后,提供标记键和标记值。如需添加更多标记值,请点击添加标记。
- 如需按来源 FQDN 过滤入站流量,请在 FQDN 字段中输入 FQDN。如需了解详情,请参阅 FQDN 对象。
- 如需按来源地理位置过滤入站流量,请从地理位置字段中选择一个或多个位置。如需了解详情,请参阅地理定位对象。
- 如需按来源地址组过滤入站流量,请从地址组字段中选择一个或多个地址组。如需了解详情,请参阅防火墙政策的地址组。
- 如需按来源 Google 威胁情报列表过滤入站流量,请从 Google Cloud 威胁情报字段中选择一个或多个 Google 威胁情报列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。
- 如需按来源 IPv4 范围过滤入站流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用
目的地:指定可选的目的地参数。如需了解详情,请参阅入站流量规则的目的地。
- 如需跳过按目标 IP 地址过滤入站流量,请选择无。
- 如需按目标 IP 地址过滤入站流量,请选择 IPv4 或 IPv6,然后输入一个或多个 CIDR,所用格式与来源 IPv4 范围或来源 IPv6 范围的格式相同。
协议和端口:指定流量要匹配规则所用的协议和目标端口。如需了解详情,请参阅协议和端口。
强制执行:指定是否强制执行防火墙规则:
- 已启用:创建规则并开始对新连接强制执行该规则。
- 已停用:创建规则,但不针对新连接强制执行该规则。
点击创建。
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
替换以下内容:
PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中0是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。POLICY_NAME:您要在其中创建规则的全球网络防火墙政策的名称。PROJECT_ID:包含全球网络防火墙政策的项目 ID。DESCRIPTION:新规则的可选说明。-
ACTION:指定以下操作之一:allow:允许与规则匹配的连接。deny:拒绝与规则匹配的连接。goto_next:继续执行防火墙规则评估流程。
apply_security_profile_group:将数据包发送到防火墙端点或拦截端点组。- 当操作为
apply_security_profile_group时,您必须添加--security-profile-group SECURITY_PROFILE_GROUP,其中SECURITY_PROFILE_GROUP是安全配置文件组的名称。 - 安全配置文件组的安全配置文件可以引用 Cloud NGFW 防火墙端点或网络安全集成拦截端点组,以实现带内集成。
- 如果安全配置文件组的安全配置文件引用了 Cloud NGFW 防火墙端点,请添加
--tls-inspect或--no-tls-inspect以启用或停用 TLS 检查。
- 当操作为
--enable-logging和--no-enable-logging标志用于启用或停用防火墙规则日志记录。--disabled和--no-disabled标志用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。- 指定目标:
LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:- 不含任何目标端口的 IP 协议名称 (
tcp) 或 IANA IP 协议编号 (17)。 - 以英文冒号 (
tcp:80) 分隔的 IP 协议名称和目标端口。 - IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (
tcp:5000-6000)。如需了解详情,请参阅协议和端口。
- 不含任何目标端口的 IP 协议名称 (
-
为入站规则指定来源。
如需了解详情,请参阅入站流量规则来源组合:
SRC_NETWORK_TYPE:定义要与另一个受支持的来源参数结合使用的来源网络类型,以生成来源组合。当值为--target-type=INSTANCES时,有效值为:INTERNET、NON_INTERNET、VPC_NETWORKS或INTRA_VPC。如需了解详情,请参阅网络类型。SRC_VPC_NETWORKS:以英文逗号分隔的 VPC 网络列表,其中包含由其网址标识符指定的 VPC 网络。仅当--src-network-type为VPC_NETWORKS时,才应指定此标志。SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。SRC_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。列表中的地址组必须包含所有 IPv4 地址或所有 IPv6 地址,而不能同时包含这两种地址。SRC_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。SRC_SECURE_TAGS:以英文逗号分隔的标记列表。如果--src-network-type为INTERNET,则不能使用--src-secure-tags标志。SRC_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象。 如果--src-network-type为NON_INTERNET、VPC_NETWORKS或INTRA_VPC,则无法使用--src-region-codes标志。SRC_THREAT_LIST_NAMES:Google 威胁情报列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。 如果--src-network-type为NON_INTERNET、VPC_NETWORKS或INTRA_VPC,则无法使用--src-threat-intelligence标志。
-
(可选)指定入站规则的目标:
DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。
为虚拟机目标创建出站规则
以下说明展示了如何创建出站规则。出站规则仅适用于作为 Compute Engine 实例网络接口的目标。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器列表中,选择包含全球网络防火墙政策的项目。
在网络防火墙政策部分中,点击要创建规则的全球网络防火墙政策的名称。
在防火墙规则部分,点击创建防火墙规则,然后指定以下配置参数:
优先级:规则的数字评估顺序。
这些规则按照从最高到最低的优先级进行评估,其中
0是最高优先级。每条规则的优先级都必须唯一。 建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。说明:提供说明(可选)。
流量方向:选择出站。
对匹配项执行的操作:选择以下选项之一:
- 允许:允许与规则参数匹配的连接。
- 拒绝:用于屏蔽与规则参数匹配的连接。
- 转到下一层:继续执行防火墙规则评估流程。
日志:选择启用可启用防火墙规则日志记录;选择关闭可针对相应规则停用防火墙规则日志记录。
目标:选择以下选项之一:
目标网络类型:指定网络类型:
- 如需跳过按网络类型过滤出站流量,请选择所有网络类型。
- 如需过滤到特定网络类型的出站流量,请选择特定网络类型,然后选择一种网络类型:
- 互联网:出站流量必须与出站数据包的互联网网络类型相匹配。
- 非互联网:出站流量必须与出站数据包的非互联网网络类型相匹配。
目标过滤条件:指定其他目标参数。某些目标参数不能一起使用,并且您选择的目标广告资源网类型会限制您可以使用的目标过滤条件。如需了解详情,请参阅出站流量规则的目的地和出站流量规则目的地组合。
- 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用
0.0.0.0/0。 - 如需按目标 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用
::/0。 - 如需按目标 FQDN 过滤传出的流量,请在 FQDN 字段中输入 FQDN。如需了解详情,请参阅 FQDN 对象。
- 如需按目标地理位置过滤传出的流量,请从地理位置字段中选择一个或多个位置。如需了解详情,请参阅地理定位对象。
- 如需按目标地址组过滤出站流量,请从地址组字段中选择一个或多个地址组。如需了解详情,请参阅防火墙政策的地址组。
- 如需按目的地 Google Threat Intelligence 列表过滤出站流量,请从 Google Cloud 威胁情报字段中选择一个或多个 Google Threat Intelligence 列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。
- 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用
来源:指定可选的来源参数。如需了解详情,请参阅出站流量规则的来源。
- 如需跳过按来源 IP 地址过滤传出流量,请选择无。
- 如需按来源 IP 地址过滤传出的流量,请选择 IPv4 或 IPv6,然后输入一个或多个 CIDR,格式与目标 IPv4 范围或目标 IPv6 范围所用的格式相同。
协议和端口:指定流量要匹配规则所用的协议和目标端口。如需了解详情,请参阅协议和端口。
强制执行:指定是否强制执行防火墙规则:
- 已启用:创建规则并开始对新连接强制执行该规则。
- 已停用:创建规则,但不针对新连接强制执行该规则。
点击创建。
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
替换以下内容:
PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中0是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。POLICY_NAME:您要在其中创建规则的全球网络防火墙政策的名称。PROJECT_ID:包含全球网络防火墙政策的项目 ID。DESCRIPTION:新规则的可选说明。-
ACTION:指定以下操作之一:allow:允许与规则匹配的连接。deny:拒绝与规则匹配的连接。goto_next:继续执行防火墙规则评估流程。
apply_security_profile_group:将数据包发送到防火墙端点或拦截端点组。- 当操作为
apply_security_profile_group时,您必须添加--security-profile-group SECURITY_PROFILE_GROUP,其中SECURITY_PROFILE_GROUP是安全配置文件组的名称。 - 安全配置文件组的安全配置文件可以引用 Cloud NGFW 防火墙端点或网络安全集成拦截端点组,以实现带内集成。
- 如果安全配置文件组的安全配置文件引用了 Cloud NGFW 防火墙端点,请添加
--tls-inspect或--no-tls-inspect以启用或停用 TLS 检查。
- 当操作为
--enable-logging和--no-enable-logging标志用于启用或停用防火墙规则日志记录。--disabled和--no-disabled标志用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。- 指定目标:
LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:- 不含任何目标端口的 IP 协议名称 (
tcp) 或 IANA IP 协议编号 (17)。 - 以英文冒号 (
tcp:80) 分隔的 IP 协议名称和目标端口。 - IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (
tcp:5000-6000)。如需了解详情,请参阅协议和端口。
- 不含任何目标端口的 IP 协议名称 (
-
为出站规则指定目的地。
如需了解详情,请参阅出站流量规则目的地组合:
DEST_NETWORK_TYPE:定义要与另一个受支持的目标参数结合使用的目标网络类型,以生成目标组合。有效值为INTERNET和NON_INTERNET。如需了解详情,请参阅网络类型。DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。DEST_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。DEST_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。DEST_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象。DEST_THREAT_LIST_NAMES:Google 威胁情报列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。
-
(可选)指定出站流量规则的来源:
SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。
更新规则
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含全球网络防火墙政策的项目。
点击包含要更新的规则的全球网络防火墙政策的名称。
点击规则的优先级。
点击修改。
修改要更改的防火墙规则字段。如需查看各个字段的说明,请参阅以下内容之一:
点击保存。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy \
[...other flags that you want to modify...]
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。
提供要修改的标志。如需了解标志说明,请参阅以下内容之一:
描述规则
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击规则的优先级。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。
删除规则
从政策中删除规则会导致该规则不再适用于与该规则的目标建立的新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
选择要删除的规则。
点击删除。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。
将规则从一个政策克隆到另一个政策
克隆会将来源政策中的规则复制到目标政策,并替换目标政策中的所有现有规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击要从中复制规则的政策。
点击屏幕顶部的克隆。
提供目标政策的名称。
如果您想立即关联新政策,请点击继续 > 关联。
在将政策与 VPC 网络关联页面中,选择相应网络,然后点击关联。
点击继续。
点击克隆。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
替换以下内容:
TARGET_POLICY:目标政策的名称。SOURCE_POLICY:源政策的网址。
获取网络的有效防火墙规则
您可以查看应用于 VPC 网络所有区域的所有分层防火墙政策规则、VPC 防火墙规则和全球网络防火墙政策规则。
控制台
在 Google Cloud 控制台中,前往 VPC 网络页面。
点击要查看其防火墙政策规则的网络。
在 VPC 网络详情页面上,点击防火墙标签页。
如需查看适用于此网络的规则,请点击防火墙规则视图标签页。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
将 NETWORK_NAME 替换为您要查看有效规则的网络。
您还可以在防火墙页面中查看网络的有效防火墙规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
防火墙政策列在此项目继承的防火墙政策部分中。
点击每项防火墙政策以查看适用于此网络的规则。
获取虚拟机接口的有效防火墙规则
您可以查看适用于 Compute Engine 虚拟机的网络接口的所有防火墙规则(包括所有适用的防火墙政策和 VPC 防火墙规则)。
控制台
在 Google Cloud 控制台中,前往虚拟机实例页面。
在项目选择器菜单中,选择包含虚拟机的项目。
点击虚拟机。
对于网络接口,请点击接口的名称。
在网络配置分析部分,点击防火墙标签页。
如需查看有效防火墙规则,请点击防火墙规则视图标签页。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
替换以下内容:
INSTANCE_NAME:您要查看其有效规则的虚拟机;如果未指定接口,该命令会返回主要接口 (nic0) 的规则。INTERFACE:您要查看其有效规则的虚拟机接口;默认值为nic0。ZONE:虚拟机的可用区;如果已将所选可用区设置为默认可用区,则此行为可选。