防火墙政策是一组防火墙规则,可用于控制 VPC 网络中的入站和出站流量。借助防火墙政策规则,您可以明确拒绝或允许连接。
在带内网络安全集成中,您可以使用分层和全球网络(推荐)防火墙政策和规则来重定向网络流量。流量会流经 VPC 网络的拦截端点组、提供方的拦截部署组,然后到达提供方的计算资源以进行流量检查。
本页介绍了用于数据包检查的防火墙政策和规则。
防火墙政策和规则
如需将流量重定向到拦截端点组,您可以创建网络防火墙政策和规则或分层防火墙政策和规则。
创建防火墙政策时,您必须创建一条操作为 APPLY_SECURITY_PROFILE_GROUP 的防火墙规则。规则必须引用包含 custom-intercept-profile 操作的安全配置文件组。
优先级
防火墙规则的优先级必须是 0 到 2,147,483,547(含)之间的整数。数字越小,优先级越高。如需了解详情,请参阅防火墙规则优先级。
对匹配项执行的操作
防火墙政策中的规则可以执行以下操作之一:
allow操作允许流量,并停止进一步的规则评估。deny操作会拒绝流量,并停止进一步的规则评估。apply_security_profile_group操作以透明方式拦截流量,并将其发送到已配置的防火墙端点或拦截端点组以进行检查。然后,允许还是拒绝数据包的决定取决于防火墙端点(或拦截端点组)和配置的安全配置文件。在这两种情况下,规则评估过程都会停止。
如需了解详情,请参阅政策和规则评估顺序。
出站流量和入站流量
操作为 deny 的入站流量规则通过禁止发往所有实例的连接来保护所有实例。入站访问可能会被更高优先级的规则所允许。
具有 allow 操作的出站流量规则允许实例将流量发送到规则中指定的目的地。出站流量可以被优先级更高的拒绝防火墙规则拒绝。 Google Cloud 还会阻止或限制特定类型的流量。
将防火墙规则添加到政策后,您便可以将防火墙政策与您的网络相关联。如需了解详情,请参阅创建和管理规则。
协议和端口
与防火墙规则类似,您必须在创建防火墙规则时指定一个或多个协议和端口限制条件。在防火墙规则中指定 TCP 或 UDP 时,您可以指定协议、协议和目的地端口,或协议和目的地端口范围;不能仅指定端口或端口范围。您只能指定目的地端口。系统不支持基于来源端口的规则。
您可以在防火墙规则中使用以下协议名称:
tcpudpicmp(适用于 IPv4 ICMP)espahsctpipip
对于所有其他协议,请使用 IANA 协议编号。
如需了解详情,请参阅防火墙规则协议和端口。
方向
防火墙规则适用的方向。可为 INGRESS 或 EGRESS。
INGRESS:入站流量方向是指从特定来源发送到 Google Cloud 目标的传入连接。入站流量规则适用于入站数据包,其中数据包的目的地是目标。操作为“拒绝”的入站规则通过禁止发往所有实例的连接来保护所有实例。入站访问可能会被更高优先级的规则所允许。自动创建的默认网络包含一些预先填充的 Virtual Private Cloud 防火墙规则,这些规则允许某些类型的流量入站。
EGRESS:出站方向是指从目标发送到目的地的出站流量。出站流量规则适用于数据包来源为相应目标的新连接的数据包。