Cloud Next Generation Firewall 中的防火墙规则可根据定义的条件确定是否允许 Virtual Private Cloud (VPC) 网络中的流量。借助 Cloud NGFW 防火墙政策,您可以对多条防火墙规则进行分组,从而能够一次性更新所有这些规则,并通过 Identity and Access Management (IAM) 角色进行有效控制。
本文档简要介绍了不同类型的防火墙政策和防火墙政策规则。
防火墙政策
Cloud NGFW 支持以下类型的防火墙政策:
分层防火墙政策
分层防火墙政策可让您将规则分组到政策对象中,该对象可应用于一个或多个项目中的许多 VPC 网络。您可以将分层防火墙政策与整个组织或单个文件夹关联。
如需了解分层防火墙政策规范和详细信息,请参阅分层防火墙政策。
全球网络防火墙政策数量
通过全球网络防火墙政策,您可以将规则分组到政策对象中,该对象可应用于 VPC 网络的所有区域。
如需了解全球网络防火墙政策规范和详细信息,请参阅全球网络防火墙政策。
区域级网络防火墙政策数量
通过区域级网络防火墙政策,您可以将规则分组到可应用于 VPC 网络特定区域的政策对象中。
如需了解区域级防火墙政策规范和详细信息,请参阅区域级网络防火墙政策。
区域级系统防火墙政策数量
区域级系统防火墙政策与区域级网络防火墙政策类似,但由 Google 管理。区域级系统防火墙政策具有以下特征:
Google Cloud 在评估分层防火墙政策中的规则后,立即评估区域级系统防火墙政策中的规则。如需了解详情,请参阅防火墙规则评估流程。
您无法修改区域级系统防火墙政策中的规则,但可以启用或停用防火墙规则日志记录。
Google Cloud 当 Google 服务需要 VPC 网络中某个区域的规则时,会在该区域中创建区域级系统防火墙政策。 Google Cloud 可以根据 Google 服务的需求,将多个区域级系统防火墙政策与 VPC 网络的某个区域相关联。
您无需为评估区域级系统防火墙政策中的规则付费。
网络配置文件互动
常规 VPC 网络支持分层防火墙政策、全球网络防火墙政策、区域级网络防火墙政策和 VPC 防火墙规则中的防火墙规则。所有防火墙规则都作为 Andromeda 网络虚拟化堆栈的一部分进行编程。
使用特定网络配置文件的 VPC 网络会限制您可以使用的防火墙政策和规则属性。对于 RoCE VPC 网络,请参阅 Cloud NGFW for RoCE VPC 网络,而不是本页面。
防火墙政策规则
在 Google Cloud中,防火墙政策规则具有方向,用于确定该规则是控制传入您网络的流量,还是控制从您网络流出的流量。每条防火墙政策规则都适用于传入(入站流量)或传出(出站流量)连接。
入站规则
入站流量方向是指从特定来源发送到 Google Cloud 目标的传入连接。入站规则适用于到达以下类型目标的入站数据包:
- 虚拟机 (VM) 实例的网络接口
- 为内部应用负载平衡器和内部代理网络负载平衡器提供支持的受管 Envoy 代理
操作为 deny 的入站流量规则通过禁止发往目标资源的连接来保护目标资源。如果优先级较高的规则允许流量,则防火墙会允许该流量,并忽略可能会拒绝该流量的任何优先级较低的规则。请注意,优先级较高的规则始终优先。
自动创建的默认网络包含一些预先填充的 VPC 防火墙规则,这些规则允许某些类型的数据流量入站。
出站流量规则
出站流量方向是指从目标Google Cloud 资源(例如虚拟机网络接口)发送到目的地的出站流量。
具有 allow 操作的出站流量规则允许实例将流量发送到规则中指定的目的地。如果出站流量与高优先级的 deny 规则匹配,则会被阻止。此操作优先于可能允许相应流量的任何较低优先级的规则。 Google Cloud 还会阻止或限制特定类型的流量。
后续步骤
- 如需创建和修改分层防火墙政策和规则,请参阅使用分层防火墙政策和规则。
- 如需创建和修改全球网络防火墙政策和规则,请参阅使用全球网络防火墙政策和规则。
- 如需创建和修改区域级网络防火墙政策和规则,请参阅使用区域级网络防火墙政策和规则。