本页面假定您熟悉区域级网络防火墙政策概览中所述的概念。
防火墙政策任务
本部分介绍了如何创建、关联和管理区域级网络防火墙政策。
创建区域级网络防火墙政策
使用 Google Cloud 控制台创建区域级网络防火墙政策时,您可以在创建期间将该政策与某个区域和 Virtual Private Cloud (VPC) 网络相关联。如果您使用 Google Cloud CLI 创建政策,则必须在创建政策后将政策与区域和网络相关联。
与区域级网络防火墙政策相关联的 VPC 网络必须与该区域级网络防火墙政策位于同一项目中。
控制台
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
替换以下内容:
NETWORK_FIREWALL_POLICY_NAME:政策的名称DESCRIPTION:政策的说明REGION_NAME:政策的区域
将政策与网络相关联
您可以将区域级网络防火墙政策与 VPC 网络的某个区域相关联,并将该政策中的规则应用于该网络区域。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击关联标签页。
点击添加关联。
选择项目中的网络。
点击关联。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
--name ASSOCIATION_NAME \
--firewall-policy-region=REGION_NAME
替换以下内容:
POLICY_NAME:政策的简称或系统生成的名称。NETWORK_NAME:关联网络的名称。ASSOCIATION_NAME:关联的可选名称。 如果未指定,则将名称设置为network-NETWORK_NAME。REGION_NAME:政策的区域。
删除关联
如需停止对网络强制执行防火墙政策,请删除关联。
但是,如果您打算将一项防火墙政策替换为另一项安全政策,则无需先删除现有关联。删除此关联后,系统会在一段时间内不强制执行任何政策。请改为在关联新政策时替换现有政策。
如需删除区域级网络防火墙政策与 VPC 网络区域之间的关联,请按照本部分中提到的步骤操作。删除区域级网络防火墙政策的关联后,该政策中的规则不再适用于新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含政策的项目或文件夹。
点击您的政策。
点击关联标签页。
选择要删除的关联。
点击移除关联。
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region REGION_NAME
描述区域级网络防火墙政策
您可以查看区域级网络防火墙政策的详细信息,包括政策规则和关联的规则属性。所有这些规则属性都计入规则属性配额。如需了解详情,请参阅每项防火墙政策表中的“每项区域级网络防火墙政策的规则属性”。此外,您还可以查看现有 VPC 网络关联的优先级。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。
点击您的政策。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
更新区域级网络防火墙政策说明
唯一可以更新的政策字段是说明字段。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。
点击您的政策。
点击修改。
在说明字段中,修改说明。
点击保存。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
列出区域级网络防火墙政策
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
网络防火墙政策部分显示项目中可用的政策。
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
删除区域级网络防火墙政策
您必须先删除区域级网络防火墙政策的所有关联,然后才能删除该政策。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您要删除的政策。
点击关联标签页。
选择所有关联。
点击移除关联。
移除所有关联后,点击删除。
gcloud
使用以下命令删除政策:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
防火墙政策规则任务
本部分介绍了如何创建和管理区域级网络防火墙政策规则。
创建规则
区域级网络防火墙政策中的每个规则都是入站流量规则或出站流量规则,且具有唯一的优先级。如需详细了解规则的其他参数(包括有效的来源组合和目标组合),请参阅防火墙政策规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的区域级政策的名称。
对于防火墙规则,点击创建防火墙规则。
填充规则字段:
- 优先级:规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中
0是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。 - 将日志集合设置为开启或关闭。
- 选择“入站流量”或“出站流量”作为流量方向。
- 对于对匹配项执行的操作,指定是允许(允许)还是拒绝(拒绝)与规则匹配的连接,还是将连接评估传递到层次结构中的下一个较低防火墙规则(转到下一个)。
指定规则的目标。
- 如果您希望将规则应用于网络中的所有实例,请选择应用于所有实例。
- 如果您希望按关联的服务账号将规则应用于部分实例,请选择服务账号,在服务账号范围下指明该服务账号属于当前项目还是其他项目,然后在目标服务账号字段中选择或输入服务账号名称。
如果您希望按安全标记将规则应用于部分实例,请选择安全标记。
- 点击选择标记范围,然后选择要在其中创建安全标记键值对的组织或项目。输入规则应应用于的键值对。
- 如需添加更多键值对,请点击添加标记。
对于入站流量规则,请指定来源网络类型:
- 如需过滤属于任何网络类型的传入流量,请选择所有网络类型。
- 如需过滤属于特定网络类型的传入流量,请选择特定网络类型。
- 如需过滤属于互联网 (
INTERNET) 网络类型的入站流量,请选择互联网。 - 如需过滤属于非互联网 (
NON-INTERNET) 网络类型的传入流量,请选择非互联网。 - 如需过滤属于 VPC 内部 (
INTRA_VPC) 网络类型的入站流量,请选择 VPC 内部。 - 如需过滤属于 VPC 网络 (
VPC_NETWORKS) 类型的入站流量,请选择 VPC 网络,然后使用以下按钮指定一个或多个网络:- 选择当前项目:可让您添加当前项目中的一个或多个网络。
- 手动输入网络:可让您手动输入项目和网络。
- 选择项目:用于选择项目,然后您可以从该项目中选择网络。 如需详细了解网络类型,请参阅网络类型。
- 如需过滤属于互联网 (
对于出站规则,请指定目标网络类型:
- 如需过滤属于任何网络类型的出站流量,请选择所有网络类型。
- 如需过滤属于特定网络类型的出站流量,请选择特定网络类型。
- 如需过滤属于互联网 (
INTERNET) 网络类型的出站流量,请选择互联网。 - 如需过滤属于非互联网 (
NON-INTERNET) 网络类型的出站流量,请选择非互联网。 如需详细了解网络类型,请参阅网络类型。
- 如需过滤属于互联网 (
对于入站流量规则,请指定来源过滤条件:
- 如需按来源 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用
0.0.0.0/0。 - 如需按来源 IPv6 范围过滤传入的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用
::/0。 如需按安全标记限制来源,请点击安全标记部分中的选择标记范围。
- 选择要在其中创建标记的组织或项目。输入规则应应用于的键值对。
- 如需添加更多键值对,请点击添加标记。
- 如需按来源 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用
对于出站流量规则,请指定目标过滤条件:
- 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用
0.0.0.0/0。 - 如需按目标 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用
::/0。
- 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用
可选:如果您要创建入站流量规则,请指定此规则适用的来源 FQDN。如果要创建出站流量规则,请选择此规则适用的目标 FQDN。如需详细了解域名对象,请参阅域名对象。
可选:如果您要创建入站流量规则,请选择此规则适用的来源地理位置。如果要创建出站流量规则,请选择此规则适用的目标地理位置。如需详细了解地理位置对象,请参阅地理位置对象。
可选:如果您要创建入站流量规则,请选择此规则适用的来源地址组。如果要创建出站流量规则,请选择此规则适用的目标地址组。如需详细了解地址组,请参阅防火墙政策的地址组。
可选:如果您要创建入站流量规则,请选择此规则适用的 Google Cloud 威胁情报来源列表。 如果要创建出站流量规则,请选择此规则适用的目标 Google Cloud 威胁情报列表。如需详细了解 Google Threat Intelligence,请参阅防火墙政策规则的 Google Threat Intelligence。
可选:对于入站流量规则,请指定目标过滤条件:
- 如需按目标 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用
0.0.0.0/0。 - 如需按目标 IPv6 范围过滤传入的流量,请选择 IPv6 范围,然后在目标 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用
::/0。 如需了解详情,请参阅入站流量规则的目的地。
- 如需按目标 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用
可选:对于出站流量规则,请指定来源过滤条件:
- 如需按来源 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用
0.0.0.0/0。 - 如需按来源 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用
::/0。 如需了解详情,请参阅出站流量规则的来源。
- 如需按来源 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用
对于协议和端口,指定规则适用于所有协议和所有目标端口,或指定应用哪些协议和端口。
点击创建。
- 优先级:规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中
点击创建防火墙规则以添加其他规则。
gcloud
如需创建入站流量规则,请使用以下命令:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
替换以下内容:
PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中0是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。POLICY_NAME:包含新规则的地区级网络防火墙政策的名称。POLICY_REGION:包含新规则的政策的区域。DESCRIPTION:新规则的可选说明ACTION:指定以下操作之一:allow:允许与规则匹配的连接。deny:拒绝与规则匹配的连接。goto_next:继续执行防火墙规则评估流程的下一步。
--enable-logging和--no-enable-logging参数用于启用或停用防火墙规则日志记录。--disabled和--no-disabled参数用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。- 指定目标:
TARGET_SECURE_TAGS:以英文逗号分隔的安全标记列表。TARGET_SERVICE_ACCOUNTS:以英文逗号分隔的服务账号列表。- 如果您同时省略
--target-secure-tags和--target-service-accounts参数,则规则会应用于最广泛的目标。
LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:- 不含任何目标端口的 IP 协议名称 (
tcp) 或 IANA IP 协议编号 (17)。 - 以英文冒号 (
tcp:80) 分隔的 IP 协议名称和目标端口。 - IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (
tcp:5000-6000)。如需了解详情,请参阅协议和端口。
- 不含任何目标端口的 IP 协议名称 (
- 为入站规则指定来源:
SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部为 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。SRC_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。列表中的地址组必须包含所有 IPv4 地址或所有 IPv6 地址,而不能同时包含这两种地址。SRC_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。SRC_SECURE_TAGS:以英文逗号分隔的标记列表。如果--src-network-type为INTERNET,则无法使用--src-secure-tags参数。SRC_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象。 如果--src-network-type为NON_INTERNET、VPC_NETWORK或INTRA_VPC,则无法使用--src-region-codes参数。SRC_THREAT_LIST_NAMES:Google Threat Intelligence 列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。 如果--src-network-type为NON_INTERNET、VPC_NETWORK或INTRA_VPC,则无法使用--src-threat-intelligence参数。SRC_NETWORK_TYPE:定义要与另一个受支持的目标参数结合使用的源网络类型,以生成特定的目标组合。有效值为INTERNET、NON_INTERNET、VPC_NETWORK或INTRA_VPC。如需了解详情,请参阅网络类型。SRC_VPC_NETWORK:以网址标识符指定的一系列 VPC 网络,以英文逗号分隔。仅当--src-network-type为VPC_NETWORKS时,才应指定此参数。
- (可选)为入站规则指定目的地:
DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时包含这两者。
如需创建出站流量规则,请使用以下命令:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
替换以下内容:
PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中0是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如100、200、300),以便日后在现有规则之间创建新规则。POLICY_NAME:包含新规则的地区级网络防火墙政策的名称。POLICY_REGION:包含新规则的政策的区域。DESCRIPTION:新规则的可选说明ACTION:指定以下操作之一:allow:允许与规则匹配的连接。deny:拒绝与规则匹配的连接。goto_next:继续执行防火墙规则评估流程的下一步。
--enable-logging和--no-enable-logging参数用于启用或停用防火墙规则日志记录。--disabled和--no-disabled参数用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。- 指定目标:
TARGET_SECURE_TAGS:以英文逗号分隔的安全标记列表。TARGET_SERVICE_ACCOUNTS:以英文逗号分隔的服务账号列表。- 如果您同时省略
--target-secure-tags和--target-service-accounts参数,则规则会应用于最广泛的目标。
LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:- 不含任何目标端口的 IP 协议名称 (
tcp) 或 IANA IP 协议编号 (17)。 - 以英文冒号 (
tcp:80) 分隔的 IP 协议名称和目标端口。 - IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (
tcp:5000-6000)。如需了解详情,请参阅协议和端口。
- 不含任何目标端口的 IP 协议名称 (
- (可选)为出站规则指定来源:
SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部为 IPv4 CIDR 或 IPv6 CIDR,不能同时包含这两种类型。
- 为出站规则指定目的地:
DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时包含这两者。DEST_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。DEST_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。DEST_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象。DEST_THREAT_LIST_NAMES:Google Threat Intelligence 列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。DEST_NETWORK_TYPE:定义要与另一个受支持的目标参数结合使用的目标网络类型,以生成特定的目标组合。有效值为INTERNET和NON_INTERNET。如需了解详情,请参阅网络类型。
更新规则
如需了解标志说明,请参阅创建规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击规则的优先级。
点击修改。
修改要更改的标志。
点击保存。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME \
[...flags you want to modify...]
描述规则
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击规则的优先级。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
替换以下内容:
PRIORITY:唯一标识规则的优先级编号POLICY_NAME:包含规则的政策的名称REGION_NAME:包含规则的政策的区域
删除规则
从政策中删除规则会导致该规则不再适用于与规则目标的新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
选择要删除的规则。
点击删除。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
替换以下内容:
PRIORITY:唯一标识规则的优先级编号POLICY_NAME:包含规则的政策REGION_NAME:包含规则的政策的区域
将规则从一个政策克隆到另一个政策
克隆操作会将来源政策中的规则复制到目标政策,并替换目标政策中的所有现有规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击要从中复制规则的政策。
点击屏幕顶部的克隆。
提供目标政策的名称。
如果您想立即关联新政策,请点击继续 > 关联。
在将政策与 VPC 网络关联页面中,选择相应网络,然后点击关联。
点击继续。
点击克隆。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy SOURCE_POLICY
替换以下内容:
TARGET_POLICY:目标政策的名称TARGET_POLICY_REGION:目标政策的区域SOURCE_POLICY:来源政策的网址
获取网络中某个区域的有效防火墙规则
您可以查看应用于 VPC 网络特定区域的所有分层防火墙政策规则、VPC 防火墙规则、全球网络防火墙政策规则和区域级网络防火墙政策规则。
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
替换以下内容:
REGION_NAME:您要查看其有效规则的区域。NETWORK_NAME:您要查看其有效规则的网络。