如要檢查消費者的網路流量,請使用防火牆政策將流量重新導向至虛擬私有雲的攔截端點群組。流量隨後會通過供應商的攔截部署群組,前往運算資源。
本頁面說明如何設定及管理全域網路防火牆政策和規則。如要建立階層式防火牆政策和規則,請參閱「使用階層式防火牆政策和規則」。
事前準備
在 Google Cloud 專案中啟用 Compute Engine API。
在 Google Cloud 專案中啟用 Network Security API。
安裝 gcloud CLI。
建立安全性設定檔群組。
角色
如要建立、查看或刪除防火牆規則,請要求管理員在專案中授予您必要的 Identity and Access Management (IAM) 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如要查看這個頁面列出的作業進度,請確保使用者角色具有下列專案層級的 Compute 安全性管理員 (roles/compute.securityAdmin)、Compute 網路管理員 (roles/compute.networkAdmin) 和 Compute 檢視者 (roles/compute.viewer) 角色:
compute.networks.getcompute.networks.listcompute.firewallPolicies.createcompute.firewallPolicies.updatecompute.firewallPolicies.removeAssociation
建立防火牆政策和規則
您可以使用 APPLY_SECURITY_PROFILE_GROUP 動作建立防火牆政策和規則。
控制台
如要建立網路防火牆政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取機構內的專案。
按一下「建立防火牆政策」。
在「Name」(名稱) 欄位中,輸入政策名稱。
在「Deployment scope」(部署範圍) 部分,選取「Global」(全域)。
如要為政策建立規則,請按一下「繼續」,然後點選「新增規則」。
- 在「優先順序」欄位中,設定規則的順序編號,其中
0代表最高優先順序。 - 在「Direction of traffic」(流量方向) 中選擇「Ingress」(輸入)。
- 在「相符時執行的動作」中,選擇「進行 L7 檢查」。
- 在「用途」部分,選擇「NSI in-band」。
- 在「安全性設定檔群組」中,選取自訂攔截安全性設定檔群組。
- 在「目標類型」中,指定規則的目標。
- 針對「來源篩選器」,指定來源篩選器。
- 在「目的地」中,指定目的地篩選器。
- 在「Protocols and ports」(通訊協定和通訊埠) 中,指定規則要套用至所有通訊協定和所有目的地通訊埠,或指定規則要套用至哪些通訊協定和目的地通訊埠。
- 點選「建立」。
- 在「優先順序」欄位中,設定規則的順序編號,其中
按一下「新增規則」,新增其他規則。
如要將政策與網路建立關聯,請按一下「繼續」,然後按一下「將政策與虛擬私有雲網路建立關聯」。
點選「建立」。
詳情請參閱「建立全域網路防火牆規則」。
gcloud
如要建立網路防火牆政策,請使用 gcloud compute firewall-policies create 指令:
gcloud compute network-firewall-policies create FIREWALL_POLICY
如要建立防火牆規則,請使用 gcloud compute network-firewall-policies rules create 指令:
gcloud compute network-firewall-policies rules create PRIORITY \
--action APPLY_SECURITY_PROFILE_GROUP \
--firewall-policy FIREWALL_POLICY \
--security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
--direction DIRECTION \
--layer4-configs LAYER4_CONIFG \
--src-ip-ranges SRC_IP_RANGE \
[--dest-ip-ranges DEST_IP_RANGE] \
--global-firewall-policy
更改下列內容:
PRIORITY:要新增規則的優先順序。FIREWALL_POLICY:要建立規則的防火牆政策 ID。ORGANIZATION_ID:建立安全設定檔群組的機構 ID。SECURITY_PROFILE_GROUP_ID:具有custom-intercept-profile動作的安全設定檔群組 ID。DIRECTION:指出規則是ingress還是egress規則。如未指定方向,系統預設會對傳入流量套用規則。對於傳入流量,您無法指定目的地範圍。連出流量無法指定來源範圍或來源標籤。LAYER4_CONFIG:防火牆規則適用的目的地通訊協定和通訊埠清單。SRC_IP_RANGE:來源 IP 範圍。只有在DIRECTION為ingress時,才會指定此屬性。DEST_IP_RANGE:目的地 IP 範圍。只有在DIRECTION為egress時,才會指定這個值。
Terraform
如要建立防火牆政策,可以使用 google_compute_firewall_policy 資源。
如要建立防火牆政策規則,可以使用 google_compute_network_firewall_policy_rule 資源。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
說明防火牆政策和規則
您可以查看政策的所有詳細資料,包括所有防火牆規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選擇工具中,選取包含全域網路防火牆政策的專案。
按一下政策。
如要查看規則詳細資料,請按一下規則的優先順序。
gcloud
如要說明防火牆政策,請使用 gcloud compute network-firewall-policies describe 指令:
gcloud compute network-firewall-policies describe FIREWALL_POLICY
如要描述防火牆規則,請使用 gcloud compute network-firewall-policies rules describe 指令:
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy FIREWALL_POLICY
將 FIREWALL_POLICY 替換為定義規則的防火牆政策 ID。
刪除防火牆政策和規則
您可以刪除政策和當中的防火牆規則。您必須先刪除機構防火牆政策的所有關聯,才能刪除該政策。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選擇工具中,選取含有政策的專案。
按一下政策。
選取要刪除的規則。
點選「刪除」。
按一下「關聯項目」分頁標籤。
選取要刪除的關聯。
按一下「移除關聯項目」。
移除所有關聯後,按一下「刪除」。
gcloud
如要刪除防火牆規則,請使用 gcloud compute network-firewall-policies rules delete 指令:
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy FIREWALL_POLICY
將 FIREWALL_POLICY 替換為定義規則的防火牆政策 ID。
如要刪除防火牆政策,請使用 gcloud compute network-firewall-policies delete 指令:
gcloud compute network-firewall-policies delete FIREWALL_POLICY