使用区域级网络防火墙政策和规则

本页面假定您熟悉区域级网络防火墙政策中所述的概念。

防火墙政策任务

本部分介绍了如何创建、关联和管理区域级网络防火墙政策。

创建区域级网络防火墙政策

使用 Google Cloud 控制台创建区域级网络防火墙政策时,您可以在创建期间将该政策与区域和 Virtual Private Cloud (VPC) 网络相关联。如果您使用 Google Cloud CLI 创建政策,则必须在创建政策后将政策与区域和网络相关联

与区域级网络防火墙政策相关联的 VPC 网络必须与该区域级网络防火墙政策位于同一项目中。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择您的组织内的项目。

  3. 点击创建防火墙政策

  4. 政策名称字段中,输入政策名称。

  5. 对于政策类型,选择 VPC 政策RDMA RoCE 政策

  6. 对于部署范围,选择区域级。选择要在用于创建此防火墙政策的区域。

  7. 如需为政策创建规则,请点击继续

  8. 添加规则部分中,点击创建防火墙规则。如需详细了解如何创建防火墙规则,请参阅以下内容:

  9. 如果要将政策与网络关联,请点击继续

  10. 将政策与网络相关联部分中,点击关联

    如需了解详情,请参阅将政策与网络关联

  11. 点击创建

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --region=REGION_NAME

替换以下内容:

  • NETWORK_FIREWALL_POLICY_NAME:政策的名称
  • DESCRIPTION:政策的说明
  • POLICY_TYPE:网络防火墙政策的类型。 如需了解详情,请参阅规范
  • REGION_NAME:政策的区域

将政策与网络相关联

您可以将区域级网络防火墙政策与 VPC 网络的某个区域相关联,并将该政策中的规则应用于该网络区域。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 点击添加关联

  6. 选择项目中的网络。

  7. 点击关联

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME

替换以下内容:

  • POLICY_NAME:政策的简称或系统生成的名称。
  • POLICY_REGION:包含相应规则的政策的区域。
  • NETWORK_NAME:关联网络的名称。
  • ASSOCIATION_NAME:关联的可选名称。 如果未指定,则将名称设置为 network-NETWORK_NAME

删除关联

如需停止对网络强制执行防火墙政策,请删除关联。

但是,如果您打算将一项防火墙政策替换为另一项安全政策,则无需先删除现有关联。删除此关联后,系统会在一段时间内不强制执行任何政策。请改为在关联新政策时替换现有政策。

如需删除区域级网络防火墙政策与 VPC 网络区域之间的关联,请按照本部分中提到的步骤操作。删除区域级网络防火墙政策的关联后,该政策中的规则不再适用于新连接。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含政策的项目或文件夹。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 选择要删除的关联。

  6. 点击移除关联

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION

描述区域级网络防火墙政策

您可以查看区域级网络防火墙政策的详细信息,包括政策规则和关联的规则属性。所有这些规则属性都计入规则属性配额。如需了解详情,请参阅每项防火墙政策表中的“每项区域级网络防火墙政策的规则属性”。此外,您还可以查看现有 VPC 网络关联的优先级。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。

  3. 点击您的政策。

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

更新区域级网络防火墙政策说明

唯一可以更新的政策字段是说明字段。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。

  3. 点击您的政策。

  4. 点击修改

  5. 说明字段中,修改说明。

  6. 点击保存

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

列出区域级网络防火墙政策

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

    网络防火墙政策部分显示项目中可用的政策。

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

删除区域级网络防火墙政策

您必须先删除区域级网络防火墙政策的所有关联,然后才能删除该政策。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您要删除的政策。

  4. 点击关联标签页。

  5. 选择所有关联。

  6. 点击移除关联

  7. 移除所有关联后,点击删除

gcloud

使用以下命令删除政策:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

防火墙政策规则任务

本部分介绍了如何创建和管理区域级网络防火墙政策规则。

为虚拟机目标创建入站规则

本部分介绍如何创建适用于 Compute Engine 实例的网络接口的入站规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器列表中,选择包含区域级网络防火墙政策的项目。

  3. 网络防火墙政策部分中,点击要创建规则的区域网络防火墙政策的名称。

  4. 防火墙规则部分,点击创建防火墙规则,然后指定以下配置参数:

    1. 优先级:规则的数字评估顺序。

      这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。 建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。

    2. 说明:提供说明(可选)。

    3. 流量方向:选择入站

    4. 对匹配项执行的操作:选择以下选项之一:

      • 允许:允许与规则参数匹配的连接。
      • 拒绝:用于屏蔽与规则参数匹配的连接。
      • 转到下一层:继续执行防火墙规则评估流程

    5. 日志:选择启用可启用防火墙规则日志记录;选择关闭可针对相应规则停用防火墙规则日志记录。

    6. 目标:选择以下选项之一:

      • 应用于所有实例:Cloud NGFW 使用最广泛的实例目标
      • 服务账号:将最大范围的实例目标缩小到使用您指定的服务账号的虚拟机实例的网络接口:

        • 服务账号范围部分,依次选择在此项目中 > 目标服务账号。用于指定与区域级网络防火墙政策位于同一项目中的服务账号。
        • 服务账号范围部分,依次选择在其他项目中 > 目标服务账号。用于指定共享 VPC 服务项目中的服务账号。
      • 安全标记:将最大范围的实例目标缩小为绑定到您指定的至少一个安全标记值的虚拟机实例的网络接口。点击选择标记范围,然后选择包含要匹配的标记值的组织或项目。如需添加更多标记值,请点击添加标记

    7. 来源网络类型:指定网络类型

      • 如需跳过按网络类型过滤入站流量,请选择所有网络类型
      • 如需过滤到特定网络类型的入站流量,请选择特定网络类型,然后选择一种网络类型:

    8. 来源过滤条件:指定其他来源参数。某些来源参数不能一起使用,并且您选择的来源广告资源网类型会限制您可以使用的来源参数。如需了解详情,请参阅入站流量规则的来源以及入站流量规则来源组合

      • 如需按来源 IPv4 范围过滤入站流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用 0.0.0.0/0
      • 如需按来源 IPv6 范围过滤入站流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用 ::/0
      • 如需按来源安全标记值过滤入站流量,请在安全标记部分中选择选择标记范围。然后,提供标记键和标记值。如需添加更多标记值,请点击添加标记
      • 如需按来源 FQDN 过滤入站流量,请在 FQDN 字段中输入 FQDN。如需了解详情,请参阅 FQDN 对象
      • 如需按来源地理位置过滤入站流量,请从地理位置字段中选择一个或多个位置。如需了解详情,请参阅地理定位对象
      • 如需按来源地址组过滤入站流量,请从地址组字段中选择一个或多个地址组。如需了解详情,请参阅防火墙政策的地址组
      • 如需按来源 Google 威胁情报列表过滤入站流量,请从 Google Cloud 威胁情报字段中选择一个或多个 Google 威胁情报列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence

    9. 目的地:指定可选的目的地参数。如需了解详情,请参阅入站流量规则的目的地

      • 如需跳过按目标 IP 地址过滤入站流量,请选择
      • 如需按目标 IP 地址过滤入站流量,请选择 IPv4IPv6,然后输入一个或多个 CIDR,所用格式与来源 IPv4 范围或来源 IPv6 范围的格式相同。

    10. 协议和端口:指定流量要匹配规则所用的协议和目标端口。如需了解详情,请参阅协议和端口

    11. 强制执行:指定是否强制执行防火墙规则:

      • 已启用:创建规则并开始对新连接强制执行该规则。
      • 已停用:创建规则,但不针对新连接强制执行该规则。

  5. 点击创建

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

替换以下内容:

  • PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。
  • POLICY_NAME:您要在其中创建规则的区域网络防火墙政策的名称。
  • PROJECT_ID:包含区域网络防火墙政策的项目 ID。
  • POLICY_REGION:政策的区域。
  • DESCRIPTION:新规则的可选说明。
  • ACTION:指定以下操作之一:

    • allow:允许与规则匹配的连接。
    • deny:拒绝与规则匹配的连接。
    • goto_next:继续执行防火墙规则评估流程
  • --enable-logging--no-enable-logging 标志用于启用或停用防火墙规则日志记录。
  • --disabled--no-disabled 标志用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。
  • 指定目标

    • 如果您同时省略 --target-secure-tags--target-service-accounts 标志,Cloud NGFW 会使用最广泛的实例目标
    • TARGET_SECURE_TAGS安全标记值列表(以英文逗号分隔),用于将最广泛的实例目标范围缩小到绑定到至少一个安全标记值的虚拟机实例的网络接口。
    • TARGET_SERVICE_ACCOUNTS:服务账号的英文逗号分隔列表,用于将最大范围的实例目标缩小到使用其中一个服务账号的虚拟机实例的网络接口。
  • LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:
    • 不含任何目标端口的 IP 协议名称 (tcp) 或 IANA IP 协议编号 (17)。
    • 以英文冒号 (tcp:80) 分隔的 IP 协议名称和目标端口。
    • IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (tcp:5000-6000)。如需了解详情,请参阅协议和端口
  • 为入站规则指定来源。 如需了解详情,请参阅入站流量规则来源组合

    • SRC_NETWORK_TYPE:定义要与另一个受支持的来源参数结合使用的来源网络类型,以生成来源组合。当值为 --target-type=INSTANCES 时,有效值为:INTERNETNON_INTERNETVPC_NETWORKSINTRA_VPC。如需了解详情,请参阅网络类型
    • SRC_VPC_NETWORKS:以英文逗号分隔的 VPC 网络列表,其中包含由其网址标识符指定的 VPC 网络。仅当 --src-network-typeVPC_NETWORKS 时,才应指定此标志。
    • SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。
    • SRC_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。列表中的地址组必须包含所有 IPv4 地址或所有 IPv6 地址,而不能同时包含这两种地址。
    • SRC_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。
    • SRC_SECURE_TAGS:以英文逗号分隔的标记列表。如果 --src-network-typeINTERNET,则不能使用 --src-secure-tags 标志。
    • SRC_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象。 如果 --src-network-typeNON_INTERNETVPC_NETWORKSINTRA_VPC,则无法使用 --src-region-codes 标志。
    • SRC_THREAT_LIST_NAMES:Google 威胁情报列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence。 如果 --src-network-typeNON_INTERNETVPC_NETWORKSINTRA_VPC,则无法使用 --src-threat-intelligence 标志。
  • (可选)指定入站规则的目标

    • DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。

为内部负载均衡器目标创建 Ingress 规则

如需限制对一个或多个内部应用负载平衡器或内部代理网络负载平衡器转发规则的访问权限,请创建至少两条具有 --target-type=INTERNAL_MANAGED_LB 的入站规则。这是必需的,因为内部应用负载平衡器和内部代理网络负载平衡器目标的隐式操作允许入站流量。限制访问权限所需的规则如下:

  • 优先级较低的入站拒绝防火墙规则,其值为 --src-ip-ranges=0.0.0.0/0
  • 优先级较高的入站流量允许防火墙规则,其中包含您指定的来源参数。

本部分介绍了如何为内部应用负载平衡器和内部代理网络负载平衡器目标创建入站规则

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

替换以下内容:

  • PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。
  • POLICY_NAME:您要在其中创建规则的区域网络防火墙政策的名称。
  • PROJECT_ID:包含区域网络防火墙政策的项目 ID。
  • POLICY_REGION:政策的区域。
  • DESCRIPTION:新规则的可选说明。
  • ACTION:指定以下操作之一:

    • allow:允许与规则匹配的连接。
    • deny:拒绝与规则匹配的连接。
    • goto_next:继续执行防火墙规则评估流程
  • --enable-logging--no-enable-logging 标志用于启用或停用防火墙规则日志记录。
  • --disabled--no-disabled 标志用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。
  • 指定目标

    • 如果您省略 --target-forwarding-rules 标志,Cloud NGFW 将使用最广泛的负载均衡器目标
    • TARGET_FORWARDING_RULES:以目标转发规则格式指定的内部应用负载平衡器或内部代理网络负载平衡器的单个转发规则。此参数将最广泛的负载均衡器目标缩小到特定的内部应用负载均衡器或内部代理网络负载均衡器。
  • LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:
    • 不含任何目标端口的 IP 协议名称 (tcp) 或 IANA IP 协议编号 (17)。
    • 以英文冒号 (tcp:80) 分隔的 IP 协议名称和目标端口。
    • IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (tcp:5000-6000)。如需了解详情,请参阅协议和端口
  • 为入站规则指定来源。 如需了解详情,请参阅入站流量规则来源组合

    • SRC_NETWORK_TYPE:定义要与另一个受支持的来源参数结合使用的来源网络类型,以生成来源组合。当值为 --target-type=INTERNAL_MANAGED_LB 时,有效值为 VPC_NETWORKSINTRA_VPC。如需了解详情,请参阅网络类型
    • SRC_VPC_NETWORKS:以英文逗号分隔的 VPC 网络列表,其中包含由其网址标识符指定的 VPC 网络。仅当 --src-network-typeVPC_NETWORKS 时,才应指定此标志。
    • SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。
    • SRC_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。列表中的地址组必须包含所有 IPv4 地址或所有 IPv6 地址,而不能同时包含这两种地址。
    • SRC_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。
  • (可选)指定入站规则的目标

    • DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。

为虚拟机目标创建出站规则

以下说明展示了如何创建出站规则。出站规则仅适用于作为 Compute Engine 实例网络接口的目标。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器列表中,选择包含区域级网络防火墙政策的项目。

  3. 网络防火墙政策部分中,点击要创建规则的区域网络防火墙政策的名称。

  4. 防火墙规则部分,点击创建防火墙规则,然后指定以下配置参数:

    1. 优先级:规则的数字评估顺序。

      这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。 建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。

    2. 说明:提供说明(可选)。

    3. 流量方向:选择出站

    4. 对匹配项执行的操作:选择以下选项之一:

      • 允许:允许与规则参数匹配的连接。
      • 拒绝:用于屏蔽与规则参数匹配的连接。
      • 转到下一层:继续执行防火墙规则评估流程

    5. 日志:选择启用可启用防火墙规则日志记录;选择关闭可针对相应规则停用防火墙规则日志记录。

    6. 目标:选择以下选项之一:

      • 应用于所有实例:Cloud NGFW 使用最广泛的实例目标
      • 服务账号:将最大范围的实例目标缩小到使用您指定的服务账号的虚拟机实例的网络接口:

        • 服务账号范围部分,依次选择在此项目中 > 目标服务账号。用于指定与区域级网络防火墙政策位于同一项目中的服务账号。
        • 服务账号范围部分,依次选择在其他项目中 > 目标服务账号。用于指定共享 VPC 服务项目中的服务账号。
      • 安全标记:将最大范围的实例目标缩小为绑定到您指定的至少一个安全标记值的虚拟机实例的网络接口。点击选择标记范围,然后选择包含要匹配的标记值的组织或项目。如需添加更多标记值,请点击添加标记

    7. 目标网络类型:指定网络类型

    8. 目标过滤条件:指定其他目标参数。某些目标参数不能一起使用,并且您选择的目标广告资源网类型会限制您可以使用的目标过滤条件。如需了解详情,请参阅出站流量规则的目的地出站流量规则目的地组合

      • 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用 0.0.0.0/0
      • 如需按目标 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用 ::/0
      • 如需按目标 FQDN 过滤传出的流量,请在 FQDN 字段中输入 FQDN。如需了解详情,请参阅 FQDN 对象
      • 如需按目标地理位置过滤传出的流量,请从地理位置字段中选择一个或多个位置。如需了解详情,请参阅地理定位对象
      • 如需按目标地址组过滤出站流量,请从地址组字段中选择一个或多个地址组。如需了解详情,请参阅防火墙政策的地址组
      • 如需按目的地 Google Threat Intelligence 列表过滤出站流量,请从 Google Cloud 威胁情报字段中选择一个或多个 Google Threat Intelligence 列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence

    9. 来源:指定可选的来源参数。如需了解详情,请参阅出站流量规则的来源

      • 如需跳过按来源 IP 地址过滤传出流量,请选择
      • 如需按来源 IP 地址过滤传出的流量,请选择 IPv4IPv6,然后输入一个或多个 CIDR,格式与目标 IPv4 范围或目标 IPv6 范围所用的格式相同。

    10. 协议和端口:指定流量要匹配规则所用的协议和目标端口。如需了解详情,请参阅协议和端口

    11. 强制执行:指定是否强制执行防火墙规则:

      • 已启用:创建规则并开始对新连接强制执行该规则。
      • 已停用:创建规则,但不针对新连接强制执行该规则。

  5. 点击创建

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

替换以下内容:

  • PRIORITY:政策中规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。建议您将规则优先级值之间的差值设为大于 1(例如 100200300),以便日后在现有规则之间创建新规则。
  • POLICY_NAME:您要在其中创建规则的区域网络防火墙政策的名称。
  • PROJECT_ID:包含区域网络防火墙政策的项目 ID。
  • POLICY_REGION:政策的区域。
  • DESCRIPTION:新规则的可选说明。
  • ACTION:指定以下操作之一:

    • allow:允许与规则匹配的连接。
    • deny:拒绝与规则匹配的连接。
    • goto_next:继续执行防火墙规则评估流程
  • --enable-logging--no-enable-logging 标志用于启用或停用防火墙规则日志记录。
  • --disabled--no-disabled 标志用于控制规则是处于停用(不强制执行)状态还是启用(强制执行)状态。
  • 指定目标

    • 如果您同时省略 --target-secure-tags--target-service-accounts 标志,Cloud NGFW 会使用最广泛的实例目标
    • TARGET_SECURE_TAGS安全标记值列表(以英文逗号分隔),用于将最广泛的实例目标范围缩小到绑定到至少一个安全标记值的虚拟机实例的网络接口。
    • TARGET_SERVICE_ACCOUNTS:服务账号的英文逗号分隔列表,用于将最大范围的实例目标缩小到使用其中一个服务账号的虚拟机实例的网络接口。
  • LAYER_4_CONFIGS:以英文逗号分隔的第 4 层配置列表。每个第 4 层配置可以是以下项之一:
    • 不含任何目标端口的 IP 协议名称 (tcp) 或 IANA IP 协议编号 (17)。
    • 以英文冒号 (tcp:80) 分隔的 IP 协议名称和目标端口。
    • IP 协议名称和目标端口范围,以英文冒号分隔,并使用英文短划线分隔起始目标端口和结束目标端口 (tcp:5000-6000)。如需了解详情,请参阅协议和端口
  • 为出站规则指定目的地。 如需了解详情,请参阅出站流量规则目的地组合

    • DEST_NETWORK_TYPE:定义要与另一个受支持的目标参数结合使用的目标网络类型,以生成目标组合。有效值为 INTERNETNON_INTERNET。如需了解详情,请参阅网络类型
    • DEST_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。
    • DEST_ADDRESS_GROUPS:以英文逗号分隔的地址组列表,其中每个地址组都由其唯一网址标识符指定。
    • DEST_DOMAIN_NAMES:以英文逗号分隔的 FQDN 对象列表,格式如域名格式中所述。
    • DEST_COUNTRY_CODES:以英文逗号分隔的双字母国家/地区代码列表。如需了解详情,请参阅地理定位对象
    • DEST_THREAT_LIST_NAMES:Google 威胁情报列表名称的逗号分隔列表。如需了解详情,请参阅防火墙政策规则的 Google Threat Intelligence
  • (可选)指定出站流量规则的来源

    • SRC_IP_RANGES:以英文逗号分隔的 IP 地址范围列表(采用 CIDR 格式)。列表中的范围必须全部是 IPv4 CIDR 或 IPv6 CIDR,不能同时使用这两者。

更新规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。

  3. 点击包含要更新的规则的区域级网络防火墙政策的名称。

  4. 点击规则的优先级。

  5. 点击修改

  6. 修改要更改的防火墙规则字段。如需查看各个字段的说明,请参阅以下内容之一:

  7. 点击保存

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    [...other flags that you want to modify...]

替换以下内容:

  • PRIORITY:唯一标识规则的优先级编号。
  • POLICY_NAME:包含规则的政策的名称。
  • POLICY_REGION:包含相应规则的政策的区域。

提供要修改的标志。如需了解标志说明,请参阅以下内容之一:

描述规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 点击规则的优先级。

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --firewall-policy-region=POLICY_REGION

替换以下内容:

  • PRIORITY:唯一标识规则的优先级编号。
  • POLICY_NAME:包含规则的政策的名称。
  • POLICY_REGION:包含相应规则的政策的区域。

删除规则

从政策中删除规则会导致该规则不再适用于与该规则的目标建立的新连接。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击您的政策。

  4. 选择要删除的规则。

  5. 点击删除

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --firewall-policy-region=POLICY_REGION

替换以下内容:

  • PRIORITY:唯一标识规则的优先级编号。
  • POLICY_NAME:包含规则的政策的名称。
  • POLICY_REGION:包含相应规则的政策的区域。

将规则从一个政策克隆到另一个政策

克隆操作会将来源政策中的规则复制到目标政策,并替换目标政策中的所有现有规则。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击要从中复制规则的政策。

  4. 点击屏幕顶部的克隆

  5. 提供目标政策的名称。

  6. 如果您想立即关联新政策,请点击继续 > 关联

  7. 将政策与 VPC 网络关联页面中,选择相应网络,然后点击关联

  8. 点击继续

  9. 点击克隆

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy=SOURCE_POLICY

替换以下内容:

  • TARGET_POLICY:目标政策的名称。
  • TARGET_POLICY_REGION:目标政策的区域。
  • SOURCE_POLICY:源政策的网址。

获取网络中某个区域的有效防火墙规则

您可以查看应用于 VPC 网络特定区域的所有分层防火墙政策规则、VPC 防火墙规则、全球网络防火墙政策规则和区域级网络防火墙政策规则。

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

替换以下内容:

  • REGION_NAME:您要查看其有效规则的区域。
  • NETWORK_NAME:您要查看其有效规则的网络。