防火牆政策是一組防火牆規則,可讓您控管虛擬私有雲網路的傳入和傳出流量。防火牆政策規則可讓您明確拒絕或允許連線。
在頻內網路安全整合中,您可以使用階層式和全域網路 (建議) 防火牆政策和規則,重新導向網路流量。流量會先流經 VPC 網路的攔截端點群組和生產者的攔截部署群組,然後流向生產者的運算資源,以進行流量檢查。
本頁面說明用於封包檢查的防火牆政策和規則。
防火牆政策和規則
如要將流量重新導向至攔截端點群組,您可以建立網路或階層式防火牆政策和規則。
建立防火牆政策時,您必須建立動作為 APPLY_SECURITY_PROFILE_GROUP 的防火牆規則。規則必須參照包含 custom-intercept-profile 動作的安全性設定檔群組。
優先順序
防火牆規則的優先順序必須是介於 0 至 2,147,483,547 之間的整數 (含首尾)。整數值越小,代表優先順序越高。詳情請參閱「防火牆規則優先順序」。
相符時執行的動作
防火牆政策中的規則可以採取下列其中一項動作:
allow動作會允許流量,並停止進一步評估規則。deny動作會拒絕流量,並停止進一步評估規則。apply_security_profile_group動作會以透明方式攔截流量,並傳送至設定的防火牆端點或攔截端點群組進行檢查。是否允許封包取決於防火牆端點 (或攔截端點群組) 和設定的安全設定檔。無論是哪種情況,規則評估程序都會停止。
詳情請參閱「政策和規則評估順序」。
輸出和輸入
動作為 deny 的輸入規則可封鎖所有傳入執行個體的連線,藉此保護這些執行個體。優先順序較高的規則可能會允許傳入存取權。
動作為 allow 的輸出規則可讓執行個體將流量傳送至規則中指定的目的地。優先順序較高的拒絕防火牆規則可能會拒絕傳出流量。 Google Cloud 也會封鎖或限制特定類型的流量。
將防火牆規則新增至政策後,請將防火牆政策與網路建立關聯。詳情請參閱「建立及管理規則」。
通訊協定和通訊埠
與防火牆規則類似,建立防火牆規則時,您必須指定一或多個通訊協定和連接埠限制。在防火牆規則中指定 TCP 或 UDP 時,您可以指定通訊協定、通訊協定和目的地通訊埠,或是通訊協定和目的地通訊埠範圍;您無法只指定通訊埠或通訊埠範圍。此外,您只能指定目的地連接埠。系統不支援以來源連接埠為依據的規則。
您可以在防火牆規則中使用下列通訊協定名稱:
tcpudpicmp(適用於 IPv4 ICMP)espahsctpipip
如為其他通訊協定,請使用 IANA 通訊協定編號。
詳情請參閱「防火牆規則通訊協定和連接埠」。
方向
防火牆規則的適用方向。可以是 INGRESS 或 EGRESS。
INGRESS:ingress 方向是指從特定來源傳送到 Google Cloud 目標的連入連線。輸入規則會套用到傳入封包,其中封包的目的地為目標。如果輸入規則的動作為拒絕,系統就會封鎖傳入執行個體的連線,藉此保護所有執行個體。優先順序較高的規則可能會允許傳入存取權。自動建立的預設網路會預先填入一些虛擬私有雲防火牆規則,允許特定類型的流量進入。
EGRESS:輸出方向是指從目標傳送到目的地的輸出流量。新連線的封包如果是從目標傳送,就會套用輸出規則。