本頁面說明如何使用階層式防火牆政策和規則,控管Google Cloud 機構和資料夾的網路流量。瞭解如何在機構或資料夾層級定義政策,然後將政策與特定資源建立關聯。
閱讀本頁面之前,請務必先熟悉「階層式防火牆政策總覽」一文所述概念。如需階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
限制
- 階層式防火牆政策規則不支援使用網路標記定義目標。您必須改用目標虛擬私有雲 (VPC) 網路或目標服務帳戶。
- 防火牆政策可在資料夾和機構層級套用,但無法在虛擬私有雲網路層級套用。虛擬私有雲網路支援一般虛擬私有雲防火牆規則。
- 一個資源 (資料夾或機構) 只能與一項防火牆政策建立關聯,不過資料夾中的虛擬機器 (VM) 執行個體可以沿用 VM 以上整個資源階層的規則。
- 防火牆政策規則記錄支援
allow和deny規則,但不支援goto_next規則。 - 防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
防火牆政策工作
本節說明如何建立及關聯階層式防火牆政策。
建立防火牆政策
建立階層式防火牆政策時,您可以將其父項設為機構或機構內的資料夾。建立政策後,您可以將政策與機構或機構中的資料夾建立關聯。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或機構內的資料夾。
按一下「建立防火牆政策」。
在「Policy name」(政策名稱) 欄位中,輸入政策名稱。
選用:如要為政策建立規則,請按一下「繼續」。
在「新增規則」部分,按一下「建立防火牆規則」。如要進一步瞭解如何建立防火牆規則,請參閱下列文章:
選用:如要將政策與資源建立關聯,請按一下「繼續」。
在「將政策與資源建立關聯」部分中,按一下「新增」。
詳情請參閱「將政策與機構或資料夾建立關聯」。
點選「建立」。
gcloud
執行下列指令,建立以機構為上層的階層式防火牆政策:
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
執行下列指令,建立父項為機構內資料夾的階層式防火牆政策:
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
更改下列內容:
ORG_ID:貴機構的 ID指定機構 ID,建立以機構為父項的政策。這項政策可以與機構或機構內的資料夾建立關聯。
SHORT_NAME:政策名稱使用 Google Cloud CLI 建立的政策有兩個名稱:系統產生的名稱和您提供的簡稱。使用 gcloud CLI 更新現有政策時,您可以提供系統產生的名稱或簡稱,以及機構 ID。使用 API 更新政策時,您必須提供系統產生的名稱。
FOLDER_ID:資料夾的 ID指定資料夾 ID,建立以資料夾為父項的政策。 政策可與包含資料夾的機構或該機構內的任何資料夾建立關聯。
將政策與機構或資料夾建立關聯
將階層式防火牆政策與機構或機構中的資料夾建立關聯後,防火牆政策的規則 (已停用的規則除外,且須遵守各項規則的目標) 會套用至相關聯機構或資料夾專案中虛擬私有雲網路的資源。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
按一下「新增關聯」。
選取機構根層級,或選取機構內的資料夾。
按一下「新增」。
gcloud
根據預設,如果您嘗試將關聯插入已有關聯的機構或資料夾,方法就會失敗。如果您指定 --replace-association-on-target 旗標,系統會在建立新關聯的同時刪除現有關聯。這樣可避免資源在轉換期間沒有政策。
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
更改下列內容:
POLICY_NAME:政策的簡稱或系統產生的名稱ORG_ID:貴機構的 IDFOLDER_ID:如果您要將政策與資料夾建立關聯,請在此指定資料夾;如果要將政策與機構層級建立關聯,請省略此步驟ASSOCIATION_NAME:關聯的選用名稱;如未指定,名稱會設為「機構ORG_ID」或「資料夾FOLDER_ID」
防火牆政策規則工作
本節說明如何建立階層式防火牆政策規則。
為 VM 目標建立輸入規則
本節說明如何建立適用於 Compute Engine 執行個體網路介面的輸入規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取包含階層式防火牆政策的機構或資料夾。
如有需要,請在「階層索引」部分選取子資料夾。
在「防火牆政策」部分,按一下要建立規則的階層式防火牆政策名稱。
在「防火牆規則」部分,按一下「建立防火牆規則」,並指定下列設定參數:
優先順序:規則的數值評估順序。
系統會從最高優先順序到最低優先順序評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。 建議您將規則優先順序值間隔設為大於 1 (例如100、200、300),這樣之後就能在現有規則之間建立新規則。說明:提供說明 (選填)。
「Direction of traffic」(流量方向):選取「Ingress」(輸入)。
「相符時執行的動作」:選取下列其中一項:
- 允許:允許符合規則參數的連線。
- 拒絕:封鎖符合規則參數的連線。
- 前往下一個步驟:繼續進行防火牆規則評估程序。
「記錄」:選取「開啟」,啟用防火牆規則記錄功能;選取「關閉」,停用這項規則的防火牆規則記錄功能。
目標網路:如要將防火牆政策套用至特定虛擬私有雲網路中的目標,請按一下「新增網路」,然後選取「專案」和「網路」。
目標:選取下列其中一個選項:
- 套用至所有項目:Cloud NGFW 會使用最廣泛的執行個體目標。
- 服務帳戶:將最廣泛的執行個體目標縮小為使用您在「目標服務帳戶」中指定服務帳戶的 VM 執行個體網路介面。
- 安全標記:將最廣泛的執行個體目標縮小為 VM 執行個體的網路介面,這些介面至少繫結至您指定的其中一個安全標記值。按一下「Select scope for tags」(選取標記範圍),然後選取包含要比對標記值的機構或專案。如要新增更多代碼值,請按一下「新增代碼」。
來源網路情境:指定網路情境:
- 如要略過依網路情境篩選連入流量,請選取「所有網路情境」。
- 如要篩選特定網路情境的連入流量,請選取「特定網路情境」,然後選取網路情境:
- 網際網路:輸入封包的輸入流量必須符合網際網路網路環境。
- 非網際網路:傳入流量必須符合傳入封包的非網際網路網路環境。
- 虛擬私有雲內部:傳入流量必須符合虛擬私有雲網路環境的條件。
- 虛擬私有雲網路:連入流量必須符合虛擬私有雲網路環境的條件。您必須選取至少一個虛擬私有雲網路:
- 選取目前專案:可從包含防火牆政策的專案中,新增一或多個虛擬私有雲網路。
- 手動輸入網路:可手動輸入專案和虛擬私有雲網路。
- 「選取專案」:可讓您選取專案,並從中選取虛擬私有雲網路。
來源篩選器:指定其他來源參數。部分來源參數無法同時使用,且您選擇的來源聯播網環境會限制可使用的來源參數。詳情請參閱「輸入規則的來源」和「輸入規則來源組合」。
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
0.0.0.0/0。 - 如要依來源 IPv6 範圍篩選傳入流量,請選取 IPv6,然後在 IPv6 ranges 欄位中輸入 CIDR 區塊。使用「
::/0」代表任何 IPv6 來源。 - 如要依來源安全代碼值篩選連入流量,請在「安全代碼」部分選取「選取代碼的範圍」。然後提供標記鍵和標記值。如要新增更多代碼值,請按一下「新增代碼」。
- 如要依來源 FQDN 篩選連入流量,請在「FQDNs」欄位中輸入 FQDN。詳情請參閱 FQDN 物件。
- 如要依來源地理位置篩選輸入流量,請從「地理位置」欄位選取一或多個位置。詳情請參閱「地理位置物件」。
- 如要依來源位址群組篩選連入流量,請從「位址群組」欄位選取一或多個位址群組。詳情請參閱防火牆政策的位址群組。
- 如要依來源 Google 威脅情報清單篩選連入流量,請從「Google Cloud Threat Intelligence」(Google Cloud 威脅情報) 欄位選取一或多個 Google 威脅情報清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用
目的地:指定選用的目的地參數。詳情請參閱「傳入規則的目的地」。
- 如要略過依目的地 IP 位址篩選輸入流量,請選取「無」。
- 如要依目的地 IP 位址篩選傳入流量,請選取「IPv4」或「IPv6」,然後以來源 IPv4 範圍或來源 IPv6 範圍使用的格式,輸入一或多個 CIDR。
通訊協定和通訊埠:指定通訊協定和目的地通訊埠,讓流量符合規則。詳情請參閱「通訊協定和通訊埠」。
強制執行:指定是否強制執行防火牆規則:
- 啟用:建立規則,並開始對新連線強制執行規則。
- 已停用:建立規則,但不對新連線強制執行規則。
點選「建立」。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
更改下列內容:
PRIORITY:政策中規則的數字評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值間的差異設為大於 1 (例如100、200、300),這樣之後就能在現有規則之間建立新規則。POLICY_NAME:您要在其中建立規則的階層式防火牆政策名稱。ORG_ID:如果父項是機構,則為包含階層式防火牆政策的機構 ID。FOLDER_ID:如果父項是資料夾,則為包含階層式防火牆政策的資料夾 ID。DESCRIPTION:新規則的選用說明。-
ACTION:指定下列其中一項動作:allow:允許符合規則的連線。deny:拒絕符合規則的連線。goto_next:繼續防火牆規則評估程序。
apply_security_profile_group:將封包傳送至防火牆端點或攔截端點群組。- 如果動作是
apply_security_profile_group,您必須加入--security-profile-group SECURITY_PROFILE_GROUP,其中SECURITY_PROFILE_GROUP是安全性設定檔群組的名稱。 - 安全性設定檔群組的安全性設定檔可以參照 Cloud NGFW 防火牆端點或網路安全整合服務攔截端點群組,以進行頻內整合。
- 如果安全性設定檔群組的安全性設定檔參照 Cloud NGFW 防火牆端點,請加入
--tls-inspect或--no-tls-inspect,啟用或停用 TLS 檢查。
- 如果動作是
--enable-logging和--no-enable-logging旗標可啟用或停用虛擬私有雲防火牆規則記錄。--disabled和--no-disabled旗標可控制規則是否停用 (不強制執行) 或啟用 (強制執行)。-
指定目標:
- 如果省略
--target-resources、--target-secure-tags和--target-service-accounts旗標,Cloud NGFW 會使用最廣泛的執行個體目標。 TARGET_NETWORKS:以逗號分隔的虛擬私有雲網路清單,這些網路以網路資源網址指定,格式為https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。--target-resources旗標可單獨使用,或與另一個目標旗標搭配使用。詳情請參閱「特定目標組合」。TARGET_SECURE_TAGS:以半形逗號分隔的安全標記值清單,可將最廣泛的執行個體目標縮小為繫結至至少一個安全標記值的 VM 執行個體網路介面。TARGET_SERVICE_ACCOUNTS:以逗號分隔的服務帳戶清單,可將最廣泛的執行個體目標縮小為使用其中一個服務帳戶的 VM 執行個體網路介面。
- 如果省略
LAYER_4_CONFIGS:以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種:- IP 通訊協定名稱 (
tcp) 或 IANA IP 通訊協定編號 (17),不含任何目的地通訊埠。 - 以半形冒號 (
tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。 - IP 通訊協定名稱和目的地通訊埠範圍,以冒號分隔,並以破折號分隔起始和結束目的地通訊埠 (
tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
- IP 通訊協定名稱 (
-
為輸入規則指定來源。詳情請參閱「輸入規則來源組合」:
SRC_NETWORK_CONTEXT:定義要與其他支援的來源參數搭配使用的來源網路環境,以產生來源組合。--target-type=INSTANCES的有效值為:INTERNET、NON_INTERNET、VPC_NETWORKS或INTRA_VPC。詳情請參閱「網路環境」。SRC_VPC_NETWORKS:以半形逗號分隔的虛擬私有雲網路清單,這些網路以網址 ID 指定。只有在--src-network-context為VPC_NETWORKS時,才指定這個旗標。SRC_IP_RANGES:以逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。SRC_ADDRESS_GROUPS:以半形逗號分隔的地址群組清單,這些群組以專屬網址 ID 指定。清單中的位址群組必須包含所有 IPv4 位址或所有 IPv6 位址,不得同時包含兩者。SRC_DOMAIN_NAMES:以逗號分隔的 FQDN 物件清單,格式為網域名稱。SRC_SECURE_TAGS:以逗號分隔的標籤清單。如果--src-network-context為INTERNET,則無法使用--src-secure-tags旗標。SRC_COUNTRY_CODES:以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱「地理位置物件」。如果--src-network-context為NON_INTERNET、VPC_NETWORKS或INTRA_VPC,您就無法使用--src-region-codes標記。SRC_THREAT_LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱。詳情請參閱「Google Threat Intelligence for 防火牆政策規則」。如果--src-network-context為NON_INTERNET、VPC_NETWORKS或INTRA_VPC,您就無法使用--src-threat-intelligence旗標。
-
(選用) 指定輸入規則的目的地:
DEST_IP_RANGES:以逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。
為 VM 目標建立輸出規則
以下說明如何建立輸出規則。輸出規則僅適用於 Compute Engine 執行個體的網路介面目標。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取包含階層式防火牆政策的機構或資料夾。
如有需要,請在「階層索引」部分選取子資料夾。
在「防火牆政策」部分,按一下要建立規則的階層式防火牆政策名稱。
在「防火牆規則」部分,按一下「建立防火牆規則」,並指定下列設定參數:
優先順序:規則的數值評估順序。
系統會從最高優先順序到最低優先順序評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。 建議您將規則優先順序值間隔設為大於 1 (例如100、200、300),這樣之後就能在現有規則之間建立新規則。說明:提供說明 (選填)。
「流量方向」:選取「輸出」。
「相符時執行的動作」:選取下列其中一項:
- 允許:允許符合規則參數的連線。
- 拒絕:封鎖符合規則參數的連線。
- 前往下一個步驟:繼續進行防火牆規則評估程序。
「記錄」:選取「開啟」,啟用防火牆規則記錄功能;選取「關閉」,停用這項規則的防火牆規則記錄功能。
目標網路:如要將防火牆政策套用至特定虛擬私有雲網路中的目標,請按一下「新增網路」,然後選取「專案」和「網路」。
目標:選取下列其中一個選項:
- 套用至所有項目:Cloud NGFW 會使用最廣泛的執行個體目標。
- 服務帳戶:將最廣泛的執行個體目標縮小為使用您在「目標服務帳戶」中指定服務帳戶的 VM 執行個體網路介面。
- 安全標記:將最廣泛的執行個體目標縮小為 VM 執行個體的網路介面,這些介面至少繫結至您指定的其中一個安全標記值。按一下「Select scope for tags」(選取標記範圍),然後選取包含要比對標記值的機構或專案。如要新增更多代碼值,請按一下「新增代碼」。
目標網路情境:指定網路情境:
- 如要略過依網路情境篩選外送流量,請選取「所有網路情境」。
- 如要將輸出流量篩選至特定網路情境,請選取「特定網路情境」,然後選取網路情境:
- 網際網路:輸出流量必須符合輸出封包的網際網路網路環境。
- 非網際網路:輸出流量必須符合輸出封包的非網際網路網路環境。
目的地篩選器:指定其他目的地參數。部分到達網頁參數無法同時使用,且您選擇的到達網頁聯播網內容會限制可使用的到達網頁篩選器。詳情請參閱「輸出規則目的地」和「輸出規則目的地組合」。
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP ranges」(IP 範圍) 欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
0.0.0.0/0。 - 如要依目的地 IPv6 範圍篩選傳出流量,請選取「IPv6」,然後在「IPv6 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用
::/0。 - 如要依目的地 FQDN 篩選輸出流量,請在「FQDNs」(FQDN) 欄位中輸入 FQDN。詳情請參閱 FQDN 物件。
- 如要依目的地地理位置篩選輸出流量,請從「地理位置」欄位選取一或多個位置。詳情請參閱「地理位置物件」。
- 如要依目的地地址群組篩選輸出流量,請從「地址群組」欄位選取一或多個地址群組。詳情請參閱防火牆政策的位址群組。
- 如要依目的地 Google Threat Intelligence 清單篩選輸出流量,請從「Google Cloud Threat Intelligence」欄位選取一或多個 Google Threat Intelligence 清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP ranges」(IP 範圍) 欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
來源:指定選用來源參數。詳情請參閱「輸出規則的來源」。
- 如要略過依來源 IP 位址篩選輸出流量,請選取「無」。
- 如要依來源 IP 位址篩選輸出流量,請選取「IPv4」或「IPv6」,然後輸入一或多個 CIDR,格式與目的地 IPv4 範圍或目的地 IPv6 範圍相同。
通訊協定和通訊埠:指定通訊協定和目的地通訊埠,讓流量符合規則。詳情請參閱「通訊協定和通訊埠」。
強制執行:指定是否強制執行防火牆規則:
- 啟用:建立規則,並開始對新連線強制執行規則。
- 已停用:建立規則,但不對新連線強制執行規則。
點選「建立」。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
更改下列內容:
PRIORITY:政策中規則的數字評估順序。系統會依優先順序 (由高到低) 評估規則,其中0為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值間的差異設為大於 1 (例如100、200、300),這樣之後就能在現有規則之間建立新規則。POLICY_NAME:您要在其中建立規則的階層式防火牆政策名稱。ORG_ID:如果父項是機構,則為包含階層式防火牆政策的機構 ID。FOLDER_ID:如果父項是資料夾,則為包含階層式防火牆政策的資料夾 ID。DESCRIPTION:新規則的選用說明。-
ACTION:指定下列其中一項動作:allow:允許符合規則的連線。deny:拒絕符合規則的連線。goto_next:繼續防火牆規則評估程序。
apply_security_profile_group:將封包傳送至防火牆端點或攔截端點群組。- 如果動作是
apply_security_profile_group,您必須加入--security-profile-group SECURITY_PROFILE_GROUP,其中SECURITY_PROFILE_GROUP是安全性設定檔群組的名稱。 - 安全性設定檔群組的安全性設定檔可以參照 Cloud NGFW 防火牆端點或網路安全整合服務攔截端點群組,以進行頻內整合。
- 如果安全性設定檔群組的安全性設定檔參照 Cloud NGFW 防火牆端點,請加入
--tls-inspect或--no-tls-inspect,啟用或停用 TLS 檢查。
- 如果動作是
--enable-logging和--no-enable-logging旗標可啟用或停用虛擬私有雲防火牆規則記錄。--disabled和--no-disabled旗標可控制規則是否停用 (不強制執行) 或啟用 (強制執行)。-
指定目標:
- 如果省略
--target-resources、--target-secure-tags和--target-service-accounts旗標,Cloud NGFW 會使用最廣泛的執行個體目標。 TARGET_NETWORKS:以逗號分隔的虛擬私有雲網路清單,這些網路以網路資源網址指定,格式為https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。--target-resources旗標可單獨使用,或與另一個目標旗標搭配使用。詳情請參閱「特定目標組合」。TARGET_SECURE_TAGS:以半形逗號分隔的安全標記值清單,可將最廣泛的執行個體目標縮小為繫結至至少一個安全標記值的 VM 執行個體網路介面。TARGET_SERVICE_ACCOUNTS:以逗號分隔的服務帳戶清單,可將最廣泛的執行個體目標縮小為使用其中一個服務帳戶的 VM 執行個體網路介面。
- 如果省略
LAYER_4_CONFIGS:以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種:- IP 通訊協定名稱 (
tcp) 或 IANA IP 通訊協定編號 (17),不含任何目的地通訊埠。 - 以半形冒號 (
tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。 - IP 通訊協定名稱和目的地通訊埠範圍,以冒號分隔,並以破折號分隔起始和結束目的地通訊埠 (
tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
- IP 通訊協定名稱 (
-
指定輸出規則的目的地。詳情請參閱「輸出規則目的地組合」:
DEST_NETWORK_CONTEXT:定義要與其他支援的目的地參數搭配使用的目的地網路環境,以產生目的地組合。有效值為INTERNET和NON_INTERNET。詳情請參閱「網路環境」。DEST_IP_RANGES:以逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。DEST_ADDRESS_GROUPS:以半形逗號分隔的地址群組清單,這些群組以不重複網址識別碼指定。DEST_DOMAIN_NAMES:以逗號分隔的 FQDN 物件清單,格式為網域名稱。DEST_COUNTRY_CODES:以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱地理位置物件。DEST_THREAT_LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱。詳情請參閱「Google Threat Intelligence for 防火牆政策規則」。
-
(選用) 指定輸出規則的來源:
SRC_IP_RANGES:以逗號分隔的 IP 位址範圍清單,格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR,不得混用。