本頁假設您熟悉區域網路防火牆政策中說明的概念。
防火牆政策工作
本節說明如何建立、建立關聯及管理區域網路防火牆政策。
建立區域網路防火牆政策
使用 Google Cloud 主控台建立區域網路防火牆政策時,您可以在建立政策期間,將政策與區域和虛擬私有雲 (VPC) 網路建立關聯。如果使用 Google Cloud CLI 建立政策,您必須在建立政策後將政策與區域和網路建立關聯。
與區域網路防火牆政策相關聯的虛擬私有雲網路,必須與區域網路防火牆政策位於同一個專案。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取機構內的專案。
按一下「建立防火牆政策」。
在「Policy name」(政策名稱) 欄位中,輸入政策名稱。
在「部署範圍」部分,選取「區域」。選取要建立這項防火牆政策的區域。
如要為政策建立規則,請按一下「繼續」。
在「新增規則」部分,按一下「建立防火牆規則」。
詳情請參閱「建立規則」。
如要將政策與網路建立關聯,請按一下「繼續」。
在「將政策與網路建立關聯」部分中,按一下「建立關聯」。
詳情請參閱「將政策與網路建立關聯」。
點選「建立」。
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
更改下列內容:
NETWORK_FIREWALL_POLICY_NAME:政策名稱DESCRIPTION:政策說明REGION_NAME:政策的區域
將政策與網路建立關聯
您可以將區域網路防火牆政策與虛擬私有雲網路的區域建立關聯,並將政策中的規則套用至該網路區域。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下政策。
按一下「關聯項目」分頁標籤。
按一下「新增關聯」。
選取專案中的網路。
按一下「關聯」。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
--name ASSOCIATION_NAME \
--firewall-policy-region=REGION_NAME
更改下列內容:
POLICY_NAME:政策的簡短名稱或系統產生的名稱。NETWORK_NAME:相關聯的網路名稱。ASSOCIATION_NAME:關聯的選用名稱。 如未指定,名稱會設為network-NETWORK_NAME。REGION_NAME:政策的區域。
刪除關聯
如要停止在網路上強制執行防火牆政策,請刪除關聯。
不過,如果您打算替換防火牆政策,則不需要先刪除現有連結關係。刪除關聯後,系統會有一段時間不強制執行任何政策。而是建立新政策並建立關聯,取代現有政策。
如要刪除區域網路防火牆政策與虛擬私有雲網路區域之間的關聯,請按照本節所述步驟操作。刪除關聯後,區域網路防火牆政策中的規則不會套用至新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的專案或含有政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
選取要刪除的關聯。
按一下「移除關聯」。
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region REGION_NAME
說明區域網路防火牆政策
您可以查看區域網路防火牆政策的詳細資料,包括政策規則和相關聯的規則屬性。所有這些規則屬性都會計入規則屬性配額。詳情請參閱「每個防火牆政策」表格中的「每個區域網路防火牆政策的規則屬性」。此外,您也可以查看現有 VPC 網路關聯的優先順序。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有區域網路防火牆政策的專案。
按一下政策。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
更新區域網路防火牆政策說明
唯一可更新的政策欄位是「說明」欄位。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有區域網路防火牆政策的專案。
按一下政策。
按一下 [編輯]。
在「Description」(說明) 欄位中修改說明。
按一下 [儲存]。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
列出區域網路防火牆政策
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
「網路防火牆政策」部分會顯示專案中可用的政策。
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
刪除區域網路防火牆政策
如要刪除區域網路防火牆政策,請先刪除所有關聯。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下要刪除的政策。
按一下「關聯項目」分頁標籤。
選取所有關聯。
按一下「移除關聯」。
移除所有關聯後,按一下「刪除」。
gcloud
使用下列指令刪除政策:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
防火牆政策規則工作
本節說明如何建立及管理區域網路防火牆政策規則。
建立規則
區域網路防火牆政策中的每項規則都是輸入或輸出規則,且具有不重複的優先順序。如要進一步瞭解規則的其他參數,包括有效的來源組合和目的地組合,請參閱「防火牆政策規則」。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下區域政策名稱。
在「防火牆規則」部分,按一下「建立防火牆規則」。
填入規則欄位:
- 優先順序:規則的數值評估順序。系統會依優先順序由高至低評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值以大於 1 的差值分隔 (例如100、200、300),以便日後在現有規則之間建立新規則。 - 將「記錄」設為「開啟」或「關閉」。
- 在「Direction of traffic」(流量方向) 中選擇「Ingress」(輸入) 或「Egress」(輸出)。
- 在「相符時執行的動作」中,指定要允許 (允許) 或拒絕 (拒絕) 符合規則的連線,或是將連線評估作業傳遞至階層中下一個防火牆規則 (前往下一個)。
指定規則的「目標」。
- 如要將規則套用到網路中的所有執行個體,請選擇「套用至所有執行個體」。
- 如要讓規則套用至與特定服務帳戶相關聯的執行個體,請選擇「服務帳戶」,並在「服務帳戶範圍」底下,指示服務帳戶是位於目前專案還是其他專案,接著在「目標服務帳戶」欄位中選擇或輸入服務帳戶名稱。
如要根據安全標記將規則套用到特定執行個體,請選擇「安全標記」。
- 按一下「Select scope for tags」(選取代碼範圍),然後選取要建立安全代碼鍵/值配對的機構或專案。輸入要套用規則的鍵/值組合。
- 如要新增更多鍵/值組合,請按一下「新增代碼」。
針對輸入規則,指定來源網路類型 (預覽):
- 如要篩選屬於任何網路類型的連入流量,請選取「所有網路類型」。
- 如要篩選屬於特定網路類型的連入流量,請選取「特定網路類型」。
- 如要篩除屬於網際網路 (
INTERNET) 網路類型的連入流量,請選取「網際網路」。 - 如要篩選屬於非網際網路 (
NON-INTERNET) 網路類型的連入流量,請選取「非網際網路」。 - 如要篩選屬於虛擬私有雲內部 (
INTRA_VPC) 網路類型的輸入流量,請選取「虛擬私有雲內部」。 - 如要篩選屬於虛擬私有雲網路 (
VPC_NETWORKS) 類型的連入流量,請選取「虛擬私有雲網路」,然後使用下列按鈕指定一或多個網路:- 選取目前專案:可從目前專案新增一或多個網路。
- 手動輸入網路:可讓你手動輸入專案和網路。
- 選取專案:可選擇專案,然後從該專案中選擇網路。 如要進一步瞭解網路類型,請參閱「網路類型」。
- 如要篩除屬於網際網路 (
針對輸出規則,指定目的地網路類型:
- 如要篩選屬於任何網路類型的輸出流量,請選取「所有網路類型」。
- 如要篩選屬於特定網路類型的輸出流量,請選取「特定網路類型」。
- 如要篩選屬於網際網路 (
INTERNET) 網路類型的輸出流量,請選取「網際網路」。 - 如要篩選屬於非網際網路 (
NON-INTERNET) 網路類型的輸出流量,請選取「非網際網路」。 如要進一步瞭解網路類型,請參閱「網路類型」。
- 如要篩選屬於網際網路 (
針對「Ingress」(輸入) 規則,指定「Source filter」(來源篩選器):
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
0.0.0.0/0。 - 如要依來源 IPv6 範圍篩選傳入流量,請選取「IPv6」,然後在「IPv6 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv6 來源,請使用
::/0。 如要使用安全標記限制來源,請按一下「安全標記」專區中的「選取標記範圍」。
- 選取要建立標記的機構或專案。輸入要套用規則的鍵/值組合。
- 如要新增更多鍵/值組合,請按一下「新增代碼」。
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
針對「Egress」(輸出) 規則,指定「Destination filter」(目的地篩選器):
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
0.0.0.0/0。 - 如要依目的地 IPv6 範圍篩選傳出流量,請選取「IPv6」,然後在「IPv6 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用
::/0。
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
選用:如果您要建立「輸入」規則,請指定此規則適用的來源完整網域名稱。如果您要建立「輸出」規則,請選取這項規則適用的目的地 FQDN。如要進一步瞭解網域名稱物件,請參閱完整網域名稱 (FQDN) 物件。
選用:如要建立輸入規則,請選取這項規則適用的來源地理位置。如要建立「輸出」規則,請選取此規則適用的目的地「地理位置」。如要進一步瞭解地理位置物件,請參閱地理位置物件。
選用:如果您要建立 Ingress 規則,請選取要套用這項規則的來源「位址群組」。如果您要建立「輸出」規則,請選取這項規則適用的目的地「位址群組」。如要進一步瞭解位址群組,請參閱「防火牆政策的位址群組」。
選用:如果您要建立「輸入」規則,請選取這項規則適用的「Google Cloud Threat Intelligence」清單。如要建立「Egress」(輸出) 規則,請選取這項規則適用的目的地 Google Cloud Threat Intelligence 清單。如要進一步瞭解 Google Threat Intelligence,請參閱「防火牆政策規則的 Google Threat Intelligence」。
選用:針對「Ingress」(輸入) 規則,指定「Destination」(目的地) 篩選器:
- 如要依目的地 IPv4 範圍篩選傳入流量,請選取「IPv4」,並在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
0.0.0.0/0。 - 如要依目的地 IPv6 範圍篩選傳入流量,請選取「IPv6 範圍」,並在「目的地 IPv6 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用
::/0。詳情請參閱「輸入規則目的地」。
- 如要依目的地 IPv4 範圍篩選傳入流量,請選取「IPv4」,並在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
選用:針對「輸出」規則,指定「來源」篩選器:
- 如要依來源 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
0.0.0.0/0。 - 如要依來源 IPv6 範圍篩選傳出流量,請選取「IPv6」,然後在「IPv6 ranges」(IPv6 範圍) 欄位中輸入 CIDR 區塊。如為任何 IPv6 來源,請使用
::/0。 詳情請參閱「輸出規則的來源」。
- 如要依來源 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
在「Protocols and ports」(通訊協定和通訊埠) 中,指定規則要套用至所有通訊協定和所有目的地通訊埠,或指定要套用至哪些通訊協定和目的地通訊埠。
點選「建立」。
- 優先順序:規則的數值評估順序。系統會依優先順序由高至低評估規則,其中
按一下「建立防火牆規則」,新增其他規則。
gcloud
如要建立輸入規則,請使用下列指令:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
更改下列內容:
PRIORITY:政策中規則的數值評估順序。系統會依優先順序 (由高到低) 評估規則,其中0代表最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值以大於 1 的差值分隔 (例如100、200、300),以便日後在現有規則之間建立新規則。POLICY_NAME:包含新規則的區域性網路防火牆政策名稱。POLICY_REGION:包含新規則的政策區域。DESCRIPTION:新規則的選用說明ACTION:指定下列其中一項動作:allow:允許符合規則的連線。deny:拒絕符合規則的連線。goto_next:繼續執行防火牆規則評估程序的下一個步驟。
--enable-logging和--no-enable-logging標記可啟用或停用防火牆規則記錄。--disabled和--no-disabled旗標可控管規則是否要停用 (不強制執行) 或啟用 (強制執行)。- 指定目標:
TARGET_SECURE_TAGS:以半形逗號分隔的安全代碼清單。TARGET_SERVICE_ACCOUNTS:以半形逗號分隔的服務帳戶清單。- 如果省略
--target-secure-tags和--target-service-accounts標記,規則會套用至最廣泛的目標。
LAYER_4_CONFIGS:以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種:- IP 通訊協定名稱 (
tcp) 或 IANA IP 通訊協定編號 (17),不含任何目的地連接埠。 - 以半形冒號 (
tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。 - IP 通訊協定名稱和目的地通訊埠範圍,以冒號分隔,並以破折號分隔起始和結束目的地通訊埠 (
tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
- IP 通訊協定名稱 (
- 指定輸入規則的來源:
SRC_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。SRC_ADDRESS_GROUPS:以半形逗號分隔的地址群組清單,這些地址群組由不重複網址識別碼指定。清單中的位址群組必須包含所有 IPv4 位址或所有 IPv6 位址, 不得同時包含兩者。SRC_DOMAIN_NAMES:以半形逗號分隔的 FQDN 物件清單,格式為網域名稱。SRC_SECURE_TAGS:以半形逗號分隔的標記清單。如果--src-network-type為INTERNET,則無法使用--src-secure-tags旗標。SRC_COUNTRY_CODES:以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱地理位置物件。 如果--src-network-type是NON_INTERNET、VPC_NETWORK或INTRA_VPC,您就無法使用--src-region-codes旗標。SRC_THREAT_LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。如果--src-network-type為NON_INTERNET、VPC_NETWORK或INTRA_VPC,您就無法使用--src-threat-intelligence旗標。SRC_NETWORK_TYPE:定義要與其他支援的目的地參數搭配使用的來源網路類型,以產生特定目的地組合。有效值為INTERNET、NON_INTERNET、VPC_NETWORK或INTRA_VPC。詳情請參閱「網路類型」。SRC_VPC_NETWORK:以半形逗號分隔的虛擬私有雲網路清單,這些網路以網址 ID 指定。只有在--src-network-type為VPC_NETWORKS時,才指定這個旗標。
- 視需要指定輸入規則的目的地:
DEST_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單 (CIDR 格式)。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得兩者混用。
如要建立輸出規則,請使用下列指令:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
更改下列內容:
PRIORITY:政策中規則的數值評估順序。系統會依優先順序 (由高到低) 評估規則,其中0代表最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值以大於 1 的差值分隔 (例如100、200、300),以便日後在現有規則之間建立新規則。POLICY_NAME:包含新規則的區域性網路防火牆政策名稱。POLICY_REGION:包含新規則的政策區域。DESCRIPTION:新規則的選用說明ACTION:指定下列其中一項動作:allow:允許符合規則的連線。deny:拒絕符合規則的連線。goto_next:繼續執行防火牆規則評估程序的下一個步驟。
--enable-logging和--no-enable-logging標記可啟用或停用防火牆規則記錄。--disabled和--no-disabled旗標可控管規則是否要停用 (不強制執行) 或啟用 (強制執行)。- 指定目標:
TARGET_SECURE_TAGS:以半形逗號分隔的安全代碼清單。TARGET_SERVICE_ACCOUNTS:以半形逗號分隔的服務帳戶清單。- 如果省略
--target-secure-tags和--target-service-accounts標記,規則會套用至最廣泛的目標。
LAYER_4_CONFIGS:以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種:- IP 通訊協定名稱 (
tcp) 或 IANA IP 通訊協定編號 (17),不含任何目的地連接埠。 - 以半形冒號 (
tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。 - IP 通訊協定名稱和目的地通訊埠範圍,以冒號分隔,並以破折號分隔起始和結束目的地通訊埠 (
tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
- IP 通訊協定名稱 (
- (選用) 指定輸出規則的來源:
SRC_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單 (CIDR 格式)。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。
- 指定輸出規則的目的地:
DEST_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單 (CIDR 格式)。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得兩者混用。DEST_ADDRESS_GROUPS:以半形逗號分隔的地址群組清單,這些地址群組由不重複網址識別碼指定。DEST_DOMAIN_NAMES:以半形逗號分隔的 FQDN 物件清單,格式為網域名稱。DEST_COUNTRY_CODES:以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱地理位置物件。DEST_THREAT_LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。DEST_NETWORK_TYPE:定義要與其他支援的目的地參數搭配使用的目的地網路類型,以產生特定目的地組合。有效值為INTERNET和NON_INTERNET。詳情請參閱「網路類型」。
為內部應用程式負載平衡器和內部 Proxy 網路負載平衡器建立防火牆規則
您可以在區域網路防火牆政策中建立輸入規則,套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy。這些 Proxy 位於虛擬私有雲網路區域的僅限 Proxy 子網路中。
建立適用於負載平衡器的規則時,請注意下列事項:
目標:防火牆規則一次只能套用至負載平衡器或虛擬機器 (VM) 執行個體,不能同時套用至兩者。將
--target-type旗標設為INTERNAL_MANAGED_LB,並設定適用於負載平衡器的防火牆規則時,只能使用--target-forwarding-rules旗標。系統不支援其他目標旗標。方向:將
--target-type設為INTERNAL_MANAGED_LB時,請將方向設為INGRESS。系統預設允許輸出流量。如果--target-type標記設為INTERNAL_MANAGED_LB,就無法建立輸出防火牆規則。系統支援所有傳入規則目的地。
系統支援所有傳入規則的來源,但下列來源除外:
- 來源安全標記值 (
--src-secure-tags) - 來源地理位置 (
--src-region-codes) - Google Threat Intelligence 清單來源 (
--src-threat-intelligence)
- 來源安全標記值 (
將
--target-type旗標設為INTERNAL_MANAGED_LB時,內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的代管 Envoy Proxy 預設會允許所有連入流量。如要限制對一或多項負載平衡器轉送規則的存取權,請建立至少兩項規則,並將--target-type旗標設為INTERNAL_MANAGED_LB:- 優先順序較低的輸入拒絕防火牆規則,且優先順序為
--src-ip-ranges=0.0.0.0/0。 - 優先順序較高的輸入允許防火牆規則,且
--src-ip-ranges設為核准的來源 IP 位址範圍。
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
--target-type INTERNAL_MANAGED_LB \
--direction INGRESS \
[--target-forwarding-rules FORWARDING_RULE_NAME] \
--firewall-policy-region=REGION_NAME
[...other fields you want to add...]
更改下列內容:
PRIORITY:規則的數值評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您為規則指定優先順序編號,以便稍後插入規則 (例如100、200、300)。ACTION:下列其中一項動作: *allow:允許符合規則的連線 *deny:拒絕符合規則的連線 *goto_next:將連線評估作業傳遞至階層中的下一個層級,可以是資料夾或網路POLICY_NAME:區域網路防火牆政策的名稱FORWARDING_RULE_NAME:單一內部應用程式負載平衡器或內部 Proxy 網路負載平衡器轉送規則的名稱。您必須使用支援的格式指定名稱。如果將
--target-type設為INTERNAL_MANAGED_LB並省略--target-forwarding-rules旗標,防火牆規則會套用至區域和虛擬私有雲網路中的所有內部應用程式負載平衡器和內部 Proxy 網路負載平衡器轉送規則。REGION_NAME:政策的區域。
如要將防火牆規則套用至受管理 Envoy Proxy,請將 --target-type 設為 INTERNAL_MANAGED_LB。如果省略 --target-type,防火牆規則會改為套用至 VM 執行個體。
如要瞭解其他可用的標記,請參閱建立規則。如需逐步操作說明,請參閱「使用區域網路防火牆政策保護內部應用程式負載平衡器和內部 Proxy 網路負載平衡器」。
為內部應用程式負載平衡器和內部 Proxy 網路負載平衡器建立防火牆規則
您可以在區域網路防火牆政策中建立輸入規則,套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy。這些 Proxy 位於虛擬私有雲網路區域的僅限 Proxy 子網路中。
建立適用於負載平衡器的規則時,請注意下列事項:
目標:防火牆規則一次只能套用至負載平衡器或 VM 執行個體,無法同時套用至兩者。將
--target-type旗標設為INTERNAL_MANAGED_LB,並設定適用於負載平衡器的防火牆規則時,只能使用--target-forwarding-rules旗標。不支援其他目標旗標。方向:將
--target-type設為INTERNAL_MANAGED_LB時,請將方向設為INGRESS。系統預設允許輸出流量。如果--target-type標記設為INTERNAL_MANAGED_LB,您就無法建立輸出防火牆規則。建立至少兩項規則,並將
--target-type設為INTERNAL_MANAGED_LB:系統支援所有傳入規則目的地。
系統支援所有傳入規則的來源,但下列來源除外:
- 來源安全標記值 (
--src-secure-tags) - 來源地理位置 (
--src-region-codes) - Google Threat Intelligence 清單來源 (
--src-threat-intelligence)
- 來源安全標記值 (
將
--target-type旗標設為INTERNAL_MANAGED_LB時,內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的代管 Envoy Proxy 預設會允許所有連入流量。如要限制對一或多項負載平衡器轉送規則的存取權,- 優先順序較低的輸入拒絕防火牆規則,且優先順序為
--src-ip-ranges=0.0.0.0/0。 - 優先順序較高的輸入允許防火牆規則,且
--src-ip-ranges設為核准的來源 IP 位址範圍。
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
--target-type INTERNAL_MANAGED_LB \
--direction INGRESS \
[--target-forwarding-rules FORWARDING_RULE_NAME] \
--firewall-policy-region=REGION_NAME
[...other fields you want to add...]
更改下列內容:
PRIORITY:規則的數值評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您為規則指定優先順序編號,以便稍後插入規則 (例如100、200、300)。ACTION:下列其中一項動作: *allow:允許符合規則的連線 *deny:拒絕符合規則的連線 *goto_next:將連線評估作業傳遞至階層中的下一個層級,可以是資料夾或網路POLICY_NAME:區域網路防火牆政策的名稱FORWARDING_RULE_NAME:單一內部應用程式負載平衡器或內部 Proxy 網路負載平衡器轉送規則的名稱。您必須使用支援的格式指定名稱。如果將
--target-type設為INTERNAL_MANAGED_LB並省略--target-forwarding-rules旗標,防火牆規則會套用至區域和虛擬私有雲網路中的所有內部應用程式負載平衡器和內部 Proxy 網路負載平衡器轉送規則。REGION_NAME:政策的區域。
如要將防火牆規則套用至受管理 Envoy Proxy,請將 --target-type 設為 INTERNAL_MANAGED_LB。如果省略 --target-type,防火牆規則會改為套用至 VM 執行個體。
如要瞭解其他可用旗標,請參閱「建立規則」。如需逐步操作說明,請參閱「使用區域網路防火牆政策保護內部應用程式負載平衡器和內部 Proxy 網路負載平衡器」。
更新規則
如需標記說明,請參閱「建立規則」。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下政策。
按一下規則的優先順序。
按一下 [編輯]。
修改要變更的旗標。
按一下 [儲存]。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME \
[...flags you want to modify...]
更新內部應用程式負載平衡器和內部 Proxy 網路負載平衡器的防火牆規則
您可以更新區域網路防火牆政策中的輸入規則,這些規則會套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy。這些代管 Envoy Proxy 位於虛擬私有雲網路區域的 Proxy 專用子網路中。如要瞭解支援的旗標組合,請參閱「為內部應用程式負載平衡器和內部 Proxy 網路負載平衡器建立防火牆規則」。
gcloud
gcloud beta compute network-firewall-policies rules update PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
--target-type INTERNAL_MANAGED_LB \
--direction INGRESS \
[--target-forwarding-rules FORWARDING_RULE_NAME] \
--firewall-policy-region=REGION_NAME
[...fields you want to modify...]
更改下列內容:
PRIORITY:規則的數值評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您為規則指定優先順序編號,以便稍後插入規則 (例如100、200、300)。ACTION:下列其中一項動作: *allow:允許符合規則的連線 *deny:拒絕符合規則的連線 *goto_next:將連線評估作業傳遞至階層中的下一個層級,可以是資料夾或網路POLICY_NAME:區域網路防火牆政策的名稱。FORWARDING_RULE_NAME:負載平衡器的轉送規則名稱,格式須為支援的格式,前提是您已將--target-type指定為INTERNAL_MANAGED_LB。您只能指定一項轉寄規則。REGION_NAME:要套用政策的區域。
如要將防火牆規則套用至受管理 Envoy Proxy,請將 --target-type 設為 INTERNAL_MANAGED_LB。如果省略 --target-type,防火牆規則會改為套用至 VM 執行個體。
如要瞭解其他可用的標記,請參閱「建立網路防火牆規則」。如需逐步操作說明,請參閱「使用區域網路防火牆政策保護內部應用程式負載平衡器和內部 Proxy 網路負載平衡器」。
說明規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下政策。
按一下規則的優先順序。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則POLICY_NAME:包含規則的政策名稱REGION_NAME:包含規則的政策區域
刪除規則
從政策中刪除規則後,該規則就不會再套用至規則目標的新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下政策。
選取要刪除的規則。
按一下「Delete」(刪除)。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則POLICY_NAME:包含規則的政策REGION_NAME:包含規則的政策區域
將規則從一項政策複製到另一項政策
複製作業會將來源政策的規則複製到目標政策,並取代目標政策中的所有現有規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下要複製規則的政策。
按一下畫面頂端的「複製」。
提供目標政策的名稱。
如要立即建立新政策的關聯,請依序點按「繼續」>「建立關聯」。
在「將政策與虛擬私有雲網路建立關聯」頁面中,選取網路並按一下「建立關聯」。
按一下「繼續」。
按一下 [Clone] (複製)。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy SOURCE_POLICY
更改下列內容:
TARGET_POLICY:目標政策的名稱TARGET_POLICY_REGION:目標政策的區域SOURCE_POLICY:來源政策的網址
取得網路區域的有效防火牆規則
您可以查看套用至虛擬私有雲網路特定區域的所有階層式防火牆政策規則、虛擬私有雲防火牆規則、全域網路防火牆政策規則和區域網路防火牆政策規則。
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
更改下列內容:
REGION_NAME:要查看有效規則的區域。NETWORK_NAME:要查看有效規則的網路。