本頁假設您熟悉「階層式防火牆政策總覽」中說明的概念。如要查看階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
限制
- 階層式防火牆政策規則不支援使用網路標記定義目標。您必須改用目標虛擬私有雲 (VPC) 網路或目標服務帳戶。
- 防火牆政策可套用至資料夾和機構層級,但無法套用至 VPC 網路層級。虛擬私有雲網路支援一般虛擬私有雲防火牆規則。
- 一個資源 (資料夾或組織) 只能與一項防火牆政策建立關聯,不過資料夾中的虛擬機器 (VM) 執行個體可以沿用 VM 以上整個資源階層的規則。
- 防火牆規則記錄功能支援
allow和deny規則,但不支援goto_next規則。 - 防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
防火牆政策工作
本節說明如何建立及管理階層式防火牆政策。
如要查看本節所列工作產生的作業進度,請確認 IAM 主體除了各項工作所需的權限或角色外,還具備下列權限或角色。
建立防火牆政策
建立階層式防火牆政策時,您可以將其父項設為機構或機構內的資料夾。建立政策後,您可以將政策與機構或機構中的資料夾建立關聯。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或機構內的資料夾。
按一下「建立防火牆政策」。
在「Policy name」(政策名稱) 欄位中,輸入政策名稱。
選用:如要為政策建立規則,請按一下「繼續」。
在「新增規則」部分,按一下「建立防火牆規則」。如要進一步瞭解如何建立防火牆規則,請參閱下列文章:
選用:如要將政策與資源建立關聯,請按一下「繼續」。
在「將政策與資源建立關聯」部分中,按一下「新增」。
詳情請參閱「將政策與機構或資料夾建立關聯」。
點選「建立」。
gcloud
執行下列指令,建立以機構為上層的階層式防火牆政策:
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
執行下列指令,建立父項為機構內資料夾的階層式防火牆政策:
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
更改下列內容:
ORG_ID:貴機構的 ID指定機構 ID,建立以機構為父項的政策。這項政策可以與機構或機構內的資料夾建立關聯。
SHORT_NAME:政策名稱使用 Google Cloud CLI 建立的政策會有兩個名稱:系統產生的名稱和您提供的簡短名稱。使用 gcloud CLI 更新現有政策時,您可以提供系統產生的名稱,也可以提供簡稱和機構 ID。使用 API 更新政策時,您必須提供系統產生的名稱。
FOLDER_ID:資料夾的 ID指定資料夾 ID,建立以資料夾為父項的政策。 政策可與包含資料夾的機構或該機構內的任何資料夾建立關聯。
將政策與機構或資料夾建立關聯
將階層式防火牆政策與機構或機構中的資料夾建立關聯後,防火牆政策的規則 (已停用的規則除外,且須遵守各項規則的目標) 會套用至相關聯機構或資料夾專案中虛擬私有雲網路的資源。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
按一下「新增關聯」。
選取機構根層級,或選取機構內的資料夾。
按一下「新增」。
gcloud
根據預設,如果您嘗試將關聯插入已有關聯的機構或資料夾,方法就會失敗。如果您指定 --replace-association-on-target 旗標,系統會在建立新關聯的同時刪除現有關聯。這樣可避免資源在轉換期間沒有政策。
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
更改下列內容:
POLICY_NAME:政策的簡稱或系統產生的名稱ORG_ID:貴機構的 IDFOLDER_ID:如果要將政策與資料夾建立關聯,請在此指定;如果要將政策與機構層級建立關聯,請省略此項ASSOCIATION_NAME:關聯的選用名稱;如未指定,名稱會設為「機構ORG_ID」或「資料夾FOLDER_ID」
將政策從一個資源移至另一個資源
移動政策只會變更政策的父項,變更政策的父項可能會影響哪些 IAM 主體可以在政策中建立及更新規則,以及哪些 IAM 主體可以建立未來的關聯。
移動政策不會變更任何現有的政策關聯,也不會影響政策中規則的評估。
控制台
請使用 Google Cloud CLI 執行此程序。
gcloud
執行下列指令,將階層式防火牆政策移至機構:
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID
執行下列指令,將階層式防火牆政策移至機構中的資料夾:
gcloud compute firewall-policies move POLICY_NAME \
--folder FOLDER_ID
更改下列內容:
POLICY_NAME:要移動的政策簡短名稱或系統產生的名稱ORG_ID:政策要移往的機構 IDFOLDER_ID:政策要移往的資料夾 ID
更新政策說明
唯一可更新的政策欄位是「說明」欄位。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策。
按一下 [編輯]。
修改說明。
按一下 [儲存]。
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
列出政策
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
如果是機構,系統會在「與這個機構相關聯的防火牆政策」部分顯示相關聯的政策。「位於這個機構的防火牆政策」部分會列出機構擁有的政策。
如果是資料夾,則「與這個資料夾相關聯或由這個資料夾沿用的防火牆政策」部分會顯示與資料夾相關聯或由資料夾沿用的政策。「位於這個資料夾的防火牆政策」部分會列出資料夾擁有的政策。
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
描述政策
您可以查看階層式防火牆政策的詳細資料,包括政策規則和相關聯的規則屬性。所有這些規則屬性都會計入規則屬性配額。詳情請參閱「每個防火牆政策」表格中的「每個階層式防火牆政策的規則屬性」。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策。
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
刪除政策
如要刪除階層式防火牆政策,請先刪除所有關聯。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下要刪除的政策。
按一下「關聯項目」分頁標籤。
選取所有關聯。
按一下「移除關聯」。
移除所有關聯後,按一下「刪除」。
gcloud
使用下列指令刪除政策:
gcloud compute firewall-policies delete POLICY_NAME \
--organization ORG_ID
列出資源的關聯
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
系統會顯示所選資源 (組織或資料夾) 的相關聯和繼承政策清單。
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
刪除關聯
如要變更與機構或資料夾相關聯的階層式防火牆政策,建議您改為建立新政策並建立關聯,而非刪除現有的關聯政策。您可以在一個步驟中建立新政策的關聯,確保階層式防火牆政策一律會與機構或資料夾建立關聯。
如要刪除階層式防火牆政策與機構或資料夾之間的關聯,請按照本節所述步驟操作。刪除關聯後,階層式防火牆政策中的規則不會套用至新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
選取要刪除的關聯。
按一下「移除關聯」。
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
防火牆政策規則工作
本節說明如何建立及管理階層式防火牆政策規則。
為 VM 目標建立輸入規則
本節說明如何建立適用於 Compute Engine 執行個體網路介面的輸入規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取包含階層式防火牆政策的機構或資料夾。
如有需要,請在「階層索引」部分選取子資料夾。
在「防火牆政策」部分,按一下要建立規則的階層式防火牆政策名稱。
在「防火牆規則」部分,按一下「建立防火牆規則」,並指定下列設定參數:
優先順序:規則的數值評估順序。
系統會從最高到最低優先順序評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。 建議您將規則優先順序值間隔設為大於 1 (例如100、200、300),這樣之後就能在現有規則之間建立新規則。說明:提供說明 (選填)。
「Direction of traffic」(流量方向):選取「Ingress」(輸入)。
「相符時執行的動作」:選取下列其中一項:
- 允許:允許符合規則參數的連線。
- 拒絕:封鎖符合規則參數的連線。
- 前往下一個步驟:繼續進行防火牆規則評估程序。
「記錄」:選取「開啟」,啟用防火牆規則記錄功能;選取「關閉」,停用這項規則的防火牆規則記錄功能。
目標網路:如要將防火牆政策套用至特定虛擬私有雲網路中的目標,請按一下「新增網路」,然後選取「專案」和「網路」。
目標:選取下列其中一個選項:
- 適用於所有執行個體:Cloud NGFW 使用最廣泛的執行個體目標。
- 服務帳戶:將最廣泛的執行個體目標縮小為使用您在「目標服務帳戶」中指定服務帳戶的 VM 執行個體網路介面。
- 安全標記:將最廣泛的執行個體目標縮小為 VM 執行個體的網路介面,這些介面至少繫結至您指定的其中一個安全標記值。按一下「Select scope for tags」(選取標記範圍),然後選取包含要比對標記值的機構或專案。如要新增更多代碼值,請按一下「新增代碼」。
來源網路類型:指定網路類型:
- 如要略過依網路類型篩選連入流量,請選取「所有網路類型」。
- 如要將連入流量篩選至特定網路類型,請選取「特定網路類型」,然後選取網路類型:
- 網際網路:輸入封包的傳入流量必須符合網際網路網路類型。
- 非網際網路:傳入流量必須符合傳入封包的非網際網路網路類型。
- 虛擬私有雲內部:傳入流量必須符合虛擬私有雲網路類型標準。
- 虛擬私有雲網路:連入流量必須符合虛擬私有雲網路類型條件。您必須選取至少一個虛擬私有雲網路:
- 選取目前專案:可從包含防火牆政策的專案中,新增一或多個虛擬私有雲網路。
- 手動輸入網路:可手動輸入專案和虛擬私有雲網路。
- 「選取專案」:可供您選取專案,並從中選取虛擬私有雲網路。
來源篩選器:指定其他來源參數。部分來源參數無法同時使用,且您選擇的來源聯播網類型會限制可使用的來源參數。詳情請參閱「輸入規則的來源」和「輸入規則來源組合」。
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
0.0.0.0/0。 - 如要依來源 IPv6 範圍篩選傳入流量,請選取「IPv6」,然後在「IPv6 ranges」(IPv6 範圍) 欄位中輸入 CIDR 區塊。使用
::/0代表任何 IPv6 來源。 - 如要依來源安全標記值篩選連入流量,請在「安全標記」部分選取「選取標記的範圍」。然後提供標記鍵和標記值。如要新增更多代碼值,請按一下「新增代碼」。
- 如要依來源 FQDN 篩選連入流量,請在「FQDNs」欄位中輸入 FQDN。詳情請參閱 FQDN 物件。
- 如要依來源地理位置篩選輸入流量,請從「地理位置」欄位選取一或多個位置。詳情請參閱地理位置物件。
- 如要依來源位址群組篩選連入流量,請從「位址群組」欄位選取一或多個位址群組。詳情請參閱防火牆政策的位址群組。
- 如要依來源 Google 威脅情報清單篩選連入流量,請從「Google Cloud Threat Intelligence」(Google Cloud 威脅情報) 欄位選取一或多個 Google 威脅情報清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
目的地:指定選用的目的地參數。詳情請參閱「連入規則的目的地」。
- 如要略過依目的地 IP 位址篩選輸入流量,請選取「無」。
- 如要依目的地 IP 位址篩選傳入流量,請選取「IPv4」或「IPv6」,然後使用與來源 IPv4 範圍或來源 IPv6 範圍相同的格式,輸入一或多個 CIDR。
「通訊協定和通訊埠」:指定通訊協定和目的地通訊埠,讓流量符合規則。詳情請參閱「通訊協定和通訊埠」。
強制執行:指定是否強制執行防火牆規則:
- 已啟用:建立規則,並開始對新連線強制執行規則。
- 已停用:建立規則,但不對新連線強制執行規則。
點選「建立」。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
更改下列內容:
PRIORITY:政策中規則的數字評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值以大於 1 的差值分隔 (例如100、200、300),以便日後在現有規則之間建立新規則。POLICY_NAME:要在其中建立規則的階層式防火牆政策名稱。ORG_ID:如果階層式防火牆政策的父項是機構,則為包含該政策的機構 ID。FOLDER_ID:如果父項是資料夾,則為包含階層式防火牆政策的資料夾 ID。DESCRIPTION:新規則的選用說明。-
ACTION:指定下列其中一項動作:allow:允許符合規則的連線。deny:拒絕符合規則的連線。goto_next:繼續防火牆規則評估程序。
apply_security_profile_group:將封包傳送至防火牆端點或攔截端點群組。- 如果動作是
apply_security_profile_group,您必須加入--security-profile-group SECURITY_PROFILE_GROUP,其中SECURITY_PROFILE_GROUP是安全性設定檔群組的名稱。 - 安全性設定檔群組的安全性設定檔可以參照 Cloud NGFW 防火牆端點或網路安全整合攔截端點群組,以進行頻內整合。
- 如果安全性設定檔群組的安全性設定檔參照 Cloud NGFW 防火牆端點,請加入
--tls-inspect或--no-tls-inspect,啟用或停用 TLS 檢查。
- 如果動作是
--enable-logging和--no-enable-logging標記可啟用或停用防火牆規則記錄。--disabled和--no-disabled旗標可控制規則是否停用 (不強制執行) 或啟用 (強制執行)。-
指定目標:
- 如果省略
--target-resources、--target-secure-tags和--target-service-accounts旗標,Cloud NGFW 會使用最廣泛的執行個體目標。 TARGET_NETWORKS:以半形逗號分隔的虛擬私有雲網路清單,這些網路以網路資源網址指定,格式為https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。--target-resources旗標可單獨使用,或與另一個目標旗標搭配使用。詳情請參閱「特定目標組合」。TARGET_SECURE_TAGS:以半形逗號分隔的安全代碼值清單,可將最廣泛的執行個體目標縮小為繫結至至少一個安全代碼值的 VM 執行個體網路介面。TARGET_SERVICE_ACCOUNTS:以半形逗號分隔的服務帳戶清單,可將最廣泛的執行個體目標縮小為使用其中一個服務帳戶的 VM 執行個體網路介面。
- 如果省略
LAYER_4_CONFIGS:以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種:- IP 通訊協定名稱 (
tcp) 或 IANA IP 通訊協定編號 (17),不含任何目的地通訊埠。 - 以冒號 (
tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。 - IP 通訊協定名稱和目的地通訊埠範圍,以冒號分隔,並以破折號分隔起始和結束目的地通訊埠 (
tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
- IP 通訊協定名稱 (
-
為輸入規則指定來源。詳情請參閱「輸入規則來源組合」:
SRC_NETWORK_TYPE:定義要與其他支援的來源參數搭配使用的來源網路類型,以產生來源組合。--target-type=INSTANCES的有效值為:INTERNET、NON_INTERNET、VPC_NETWORKS或INTRA_VPC。詳情請參閱「網路類型」。SRC_VPC_NETWORKS:以半形逗號分隔的虛擬私有雲網路清單,這些網路以網址 ID 指定。只有在--src-network-type為VPC_NETWORKS時,才指定這個旗標。SRC_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。SRC_ADDRESS_GROUPS:以半形逗號分隔的地址群組清單,這些群組由專屬網址 ID 指定。清單中的位址群組必須包含所有 IPv4 位址或所有 IPv6 位址,不得同時包含兩者。SRC_DOMAIN_NAMES:以半形逗號分隔的 FQDN 物件清單,格式為網域名稱。SRC_SECURE_TAGS:以半形逗號分隔的標記清單。如果--src-network-type為INTERNET,則無法使用--src-secure-tags旗標。SRC_COUNTRY_CODES:以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱地理位置物件。 如果--src-network-type是NON_INTERNET、VPC_NETWORKS或INTRA_VPC,您就無法使用--src-region-codes旗標。SRC_THREAT_LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。如果--src-network-type為NON_INTERNET、VPC_NETWORKS或INTRA_VPC,您就無法使用--src-threat-intelligence旗標。
-
(選用) 指定輸入規則的目的地:
DEST_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。
為 VM 目標建立輸出規則
以下說明如何建立輸出規則。輸出規則僅適用於 Compute Engine 執行個體的網路介面目標。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取包含階層式防火牆政策的機構或資料夾。
如有需要,請在「階層索引」部分選取子資料夾。
在「防火牆政策」部分,按一下要建立規則的階層式防火牆政策名稱。
在「防火牆規則」部分,按一下「建立防火牆規則」,並指定下列設定參數:
優先順序:規則的數值評估順序。
系統會從最高到最低優先順序評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。 建議您將規則優先順序值間隔設為大於 1 (例如100、200、300),這樣之後就能在現有規則之間建立新規則。說明:提供說明 (選填)。
「流量方向」:選取「輸出」。
「相符時執行的動作」:選取下列其中一項:
- 允許:允許符合規則參數的連線。
- 拒絕:封鎖符合規則參數的連線。
- 前往下一個步驟:繼續進行防火牆規則評估程序。
「記錄」:選取「開啟」,啟用防火牆規則記錄功能;選取「關閉」,停用這項規則的防火牆規則記錄功能。
目標網路:如要將防火牆政策套用至特定虛擬私有雲網路中的目標,請按一下「新增網路」,然後選取「專案」和「網路」。
目標:選取下列其中一個選項:
- 適用於所有執行個體:Cloud NGFW 使用最廣泛的執行個體目標。
- 服務帳戶:將最廣泛的執行個體目標縮小為使用您在「目標服務帳戶」中指定服務帳戶的 VM 執行個體網路介面。
- 安全標記:將最廣泛的執行個體目標縮小為 VM 執行個體的網路介面,這些介面至少繫結至您指定的其中一個安全標記值。按一下「Select scope for tags」(選取標記範圍),然後選取包含要比對標記值的機構或專案。如要新增更多代碼值,請按一下「新增代碼」。
目標網路類型:指定網路類型:
- 如要略過依網路類型篩選輸出流量的步驟,請選取「所有網路類型」。
- 如要將輸出流量篩選至特定網路類型,請選取「特定網路類型」,然後選取網路類型:
- 網際網路:外送流量必須符合輸出封包的網際網路網路類型。
- 非網際網路:外送流量必須符合外送封包的非網際網路類型。
目的地篩選器:指定其他目的地參數。部分到達網頁參數無法同時使用,且您選擇的到達網頁網路類型會限制可使用的到達網頁篩選器。詳情請參閱「輸出規則目的地」和「輸出規則目的地組合」。
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
0.0.0.0/0。 - 如要依目的地 IPv6 範圍篩選傳出流量,請選取「IPv6」,然後在「IPv6 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用
::/0。 - 如要依目的地 FQDN 篩選輸出流量,請在「FQDNs」(FQDN) 欄位中輸入 FQDN。詳情請參閱 FQDN 物件。
- 如要依目的地地理位置篩選輸出流量,請從「地理位置」欄位選取一或多個位置。詳情請參閱「地理位置物件」。
- 如要依目的地地址群組篩選輸出流量,請從「地址群組」欄位選取一或多個地址群組。詳情請參閱「防火牆政策的位址群組」。
- 如要依目的地 Google Threat Intelligence 清單篩選輸出流量,請從「Google Cloud Threat Intelligence」欄位選取一或多個 Google Threat Intelligence 清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
來源:指定選用來源參數。詳情請參閱「輸出規則的來源」。
- 如要略過依來源 IP 位址篩選輸出流量,請選取「無」。
- 如要依來源 IP 位址篩選輸出流量,請選取「IPv4」或「IPv6」,然後輸入一或多個 CIDR,格式與目的地 IPv4 範圍或目的地 IPv6 範圍相同。
「通訊協定和通訊埠」:指定通訊協定和目的地通訊埠,讓流量符合規則。詳情請參閱「通訊協定和通訊埠」。
強制執行:指定是否強制執行防火牆規則:
- 已啟用:建立規則,並開始對新連線強制執行規則。
- 已停用:建立規則,但不對新連線強制執行規則。
點選「建立」。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
更改下列內容:
PRIORITY:政策中規則的數字評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值以大於 1 的差值分隔 (例如100、200、300),以便日後在現有規則之間建立新規則。POLICY_NAME:要在其中建立規則的階層式防火牆政策名稱。ORG_ID:如果階層式防火牆政策的父項是機構,則為包含該政策的機構 ID。FOLDER_ID:如果父項是資料夾,則為包含階層式防火牆政策的資料夾 ID。DESCRIPTION:新規則的選用說明。-
ACTION:指定下列其中一項動作:allow:允許符合規則的連線。deny:拒絕符合規則的連線。goto_next:繼續防火牆規則評估程序。
apply_security_profile_group:將封包傳送至防火牆端點或攔截端點群組。- 如果動作是
apply_security_profile_group,您必須加入--security-profile-group SECURITY_PROFILE_GROUP,其中SECURITY_PROFILE_GROUP是安全性設定檔群組的名稱。 - 安全性設定檔群組的安全性設定檔可以參照 Cloud NGFW 防火牆端點或網路安全整合攔截端點群組,以進行頻內整合。
- 如果安全性設定檔群組的安全性設定檔參照 Cloud NGFW 防火牆端點,請加入
--tls-inspect或--no-tls-inspect,啟用或停用 TLS 檢查。
- 如果動作是
--enable-logging和--no-enable-logging標記可啟用或停用防火牆規則記錄。--disabled和--no-disabled旗標可控制規則是否停用 (不強制執行) 或啟用 (強制執行)。-
指定目標:
- 如果省略
--target-resources、--target-secure-tags和--target-service-accounts旗標,Cloud NGFW 會使用最廣泛的執行個體目標。 TARGET_NETWORKS:以半形逗號分隔的虛擬私有雲網路清單,這些網路以網路資源網址指定,格式為https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。--target-resources旗標可單獨使用,或與另一個目標旗標搭配使用。詳情請參閱「特定目標組合」。TARGET_SECURE_TAGS:以半形逗號分隔的安全代碼值清單,可將最廣泛的執行個體目標縮小為繫結至至少一個安全代碼值的 VM 執行個體網路介面。TARGET_SERVICE_ACCOUNTS:以半形逗號分隔的服務帳戶清單,可將最廣泛的執行個體目標縮小為使用其中一個服務帳戶的 VM 執行個體網路介面。
- 如果省略
LAYER_4_CONFIGS:以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種:- IP 通訊協定名稱 (
tcp) 或 IANA IP 通訊協定編號 (17),不含任何目的地通訊埠。 - 以半形冒號 (
tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。 - IP 通訊協定名稱和目的地通訊埠範圍,以冒號分隔,並以破折號分隔起始和結束目的地通訊埠 (
tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
- IP 通訊協定名稱 (
-
指定輸出規則的目的地。詳情請參閱「輸出規則目的地組合」:
DEST_NETWORK_TYPE:定義要與其他支援的目的地參數搭配使用的目的地網路類型,以產生目的地組合。有效值為INTERNET和NON_INTERNET。詳情請參閱「網路類型」。DEST_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。DEST_ADDRESS_GROUPS:以半形逗號分隔的地址群組清單,這些地址群組由專屬網址 ID 指定。DEST_DOMAIN_NAMES:以半形逗號分隔的 FQDN 物件清單,格式為網域名稱。DEST_COUNTRY_CODES:以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱地理位置物件。DEST_THREAT_LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
-
(選用) 指定輸出規則的來源:
SRC_IP_RANGES:以半形逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。
列出政策中的所有規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策,規則會列在「防火牆規則」分頁中。
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization=ORG_ID
更改下列內容:
POLICY_NAME:包含規則的階層式防火牆政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
說明規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策。
按一下規則的優先順序。
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID
更改下列內容:
POLICY_NAME:包含新規則的階層式防火牆政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
更新規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取包含階層式防火牆政策的機構或資料夾。
按一下要更新規則的階層式防火牆政策名稱。
按一下規則的優先順序。
按一下 [編輯]。
修改要變更的防火牆規則欄位。如需各個欄位的說明,請參閱下列文章:
按一下 [儲存]。
gcloud
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--organization ORG_ID \
[...other flags that you want to modify...]
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則。POLICY_NAME:包含規則的政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
提供要修改的旗標。如需標記說明,請參閱下列任一文章:
將規則從一項政策複製到另一項政策
從目標政策中移除所有規則,並以來源政策中的規則取代。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下要複製規則的政策。
按一下畫面頂端的「複製」。
提供目標政策的名稱。
如要立即建立新政策的關聯,請按一下「繼續」,開啟「將政策與資源建立關聯」部分。
按一下 [Clone] (複製)。
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--source-firewall-policy=SOURCE_POLICY \
--organization=ORG_ID \
更改下列內容:
POLICY_NAME:要接收複製規則的政策SOURCE_POLICY:要從中複製規則的政策,必須是資源的網址ORG_ID:包含階層式防火牆政策的機構 ID。
刪除規則
從政策中刪除規則後,該規則就不會再套用至與規則目標的新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策。
選取要刪除的規則。
按一下「Delete」(刪除)。
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID
更改下列內容:
PRIORITY:要從政策中刪除的規則優先順序。POLICY_NAME:包含規則的階層式防火牆政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
取得網路的有效防火牆規則
您可以查看適用於虛擬私有雲網路所有區域的階層式防火牆政策規則、虛擬私有雲防火牆規則和全域網路防火牆政策規則。
控制台
前往 Google Cloud 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
按一下要查看防火牆政策規則的網路。
按一下「防火牆」。
展開各項防火牆政策,查看套用至這個網路的規則。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
將 NETWORK_NAME 替換為要查看有效規則的網路。
您也可以從「防火牆」頁面查看網路的有效防火牆規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
防火牆政策會列在「這項專案沿用的防火牆政策」專區中。
按一下各項防火牆政策,即可查看套用至這個網路的規則。
取得 VM 介面的有效防火牆規則
您可以查看套用至 Compute Engine VM 網路介面的所有防火牆規則,包括所有適用的防火牆政策和虛擬私有雲防火牆規則。
控制台
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
在專案選取器選單中,選取含有 VM 的專案。
按一下 VM。
在「網路介面」部分,點選介面。
有效防火牆規則會顯示在「網路設定分析」部分中的「防火牆」分頁。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
更改下列內容:
INSTANCE_NAME:要查看有效規則的 VM;如果未指定介面,指令會傳回主要介面 (nic0) 的規則。INTERFACE:要查看有效規則的 VM 介面;預設值為nic0。ZONE:VM 的區域;如果所選區域已設為預設區域,則此行可省略。
疑難排解
本節說明您可能會遇到的錯誤訊息。
FirewallPolicy may not specify a name. One will be provided.您無法指定政策名稱。階層式防火牆政策「名稱」是政策建立時,由 Google Cloud 產生的數值 ID。不過,您可以指定較容易記住的簡稱,在許多情況下做為別名使用。
FirewallPolicy may not specify associations on creation.只有在建立階層式防火牆政策後,才能建立關聯。
Can't move firewall policy to a different organization.階層式防火牆政策只能在同一個機構內移動。
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.如果資源已附加階層式防火牆政策,除非將取代現有關聯的選項設為 true,否則附加作業會失敗。
Can't have rules with the same priorities.階層式防火牆政策中的規則優先順序不得重複。
Direction must be specified for a firewall policy rule.直接傳送 REST 要求建立階層式防火牆政策規則時,必須指定規則的方向。使用 Google Cloud CLI 時,如果未指定方向,預設值為
INGRESS。Can't specify enable_logging on a goto_next rule.對於採用 goto_next 動作的規則,系統不允許防火牆記錄功能,因為 goto_next 動作用於表示不同防火牆政策的評估順序,並非終端動作 (例如 ALLOW 或 DENY)。
Must specify at least one destination on Firewall policy rule.防火牆政策規則中的
layer4Configs旗標必須指定至少一個通訊協定,或是通訊協定和目的地通訊埠。如要進一步瞭解如何排解防火牆政策規則問題,請參閱「虛擬私有雲防火牆規則疑難排解」。