防火牆政策可讓您將多項防火牆規則組成群組,然後一次更新所有規則,並透過 Identity and Access Management (IAM) 角色有效地控管。這些政策包含可明確拒絕或允許連線的規則,與虛擬私有雲 (VPC) 防火牆規則相同。
階層式防火牆政策
階層式防火牆政策可讓您將規則歸類至政策物件,並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。
如要瞭解階層式防火牆政策的規格和詳細資料,請參閱「階層式防火牆政策」。
全域網路防火牆政策
全域網路防火牆政策可將規則歸類為政策物件,並套用至所有區域 (全域)。防火牆政策必須與虛擬私有雲網路建立關聯,才會生效。如要將全域網路防火牆政策與網路建立關聯,請參閱「將政策與網路建立關聯」。將全域網路防火牆政策與虛擬私有雲網路建立關聯後,政策中的規則就能套用至虛擬私有雲網路中的資源。您只能將網路防火牆政策連結至虛擬私有雲網路。
如要瞭解全域網路防火牆政策的規格和詳細資料,請參閱全域網路防火牆政策。
區域性防火牆政策
區域網路防火牆政策可讓您將規則編成政策物件群組,並套用至特定區域。區域網路防火牆政策必須與相同區域的虛擬私有雲網路建立關聯,才會生效。如要將區域網路防火牆政策與網路建立關聯,請參閱「將政策與網路建立關聯」。將區域網路防火牆政策與虛擬私有雲網路建立關聯後,政策中的規則就能套用至虛擬私有雲網路該區域內的資源。
如要瞭解區域防火牆政策的規格和詳細資料,請參閱區域網路防火牆政策。
將防火牆政策和規則套用至網路
一般虛擬私有雲網路支援階層式防火牆政策、全域網路防火牆政策、區域網路防火牆政策和虛擬私有雲防火牆規則中的防火牆規則。所有防火牆規則都會編寫為 Andromeda 網路虛擬化堆疊的一部分。
如為 RoCE 虛擬私有雲網路,請參閱「適用於 RoCE 虛擬私有雲網路的 Cloud NGFW」,而非本節內容。
網路防火牆政策強制執行順序
每個一般虛擬私有雲網路都有網路防火牆政策強制執行順序,可控制系統評估全域網路防火牆政策和區域網路防火牆政策中規則的時間。
AFTER_CLASSIC_FIREWALL(預設):Cloud NGFW 會先評估虛擬私有雲防火牆規則,再評估全域網路防火牆政策和區域網路防火牆政策中的規則。BEFORE_CLASSIC_FIREWALL:Cloud NGFW 會先評估全域網路防火牆政策和區域網路防火牆政策中的規則,再評估虛擬私有雲防火牆規則。
如要變更網路防火牆政策的強制執行順序,請執行下列任一操作:
使用
networks.patch方法,並設定 VPC 網路的networkFirewallPolicyEnforcementOrder屬性。使用
gcloud compute networks update指令並加上--network-firewall-policy-enforcement-order旗標。例如:
gcloud compute networks update VPC_NETWORK_NAME \ --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER
防火牆規則評估程序
針對特定封包,Cloud NGFW 會根據流量方向評估下列規則:
- 如果目標資源收到封包,則為輸入防火牆規則。
- 如果目標資源傳送封包,則為輸出防火牆規則。
Cloud NGFW 會依特定順序評估防火牆規則。順序取決於網路防火牆政策的強制執行順序,可以是 AFTER_CLASSIC_FIREWALL 或 BEFORE_CLASSIC_FIREWALL。
AFTER_CLASSIC_FIREWALL強制執行順序中的規則評估順序
在AFTER_CLASSIC_FIREWALL網路防火牆政策強制執行順序中,Cloud NGFW 會在評估階層式防火牆政策中的規則後,評估虛擬私有雲防火牆規則。這是預設的評估順序。
系統會依下列順序評估防火牆規則:
階層式防火牆政策。
Cloud NGFW 會依下列順序評估階層式防火牆政策:
- 與包含目標資源的機構相關聯的階層式防火牆政策。
- 與資料夾上層項目相關聯的階層式防火牆政策,從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在階層式防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包,取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估會繼續執行下列其中一項操作:- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序的下一步。
如果階層式防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估下列其中一項:- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序的下一步。
虛擬私有雲防火牆規則。
評估虛擬私有雲防火牆規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
當一或兩項虛擬私有雲防火牆規則與流量相符時,防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。
如果兩個規則相符,優先順序必須相同,但動作不同。在本例中,Cloud NGFW 會強制執行
deny虛擬私有雲防火牆規則,並忽略allow虛擬私有雲防火牆規則。如果沒有任何 VPC 防火牆規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作,繼續評估順序中的下一個步驟。全域網路防火牆政策。
評估全域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在全域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包,取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估作業會繼續進行,並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這項操作會繼續評估,直到評估順序中的區域網路防火牆政策步驟為止。區域網路防火牆政策。
Cloud NGFW 會評估與目標資源的區域和 VPC 網路相關聯的區域網路防火牆政策規則。
評估區域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在區域網路防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。goto_next:規則評估作業會繼續進行,並依評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這個動作會繼續評估, 並按照評估順序進行下一個步驟。隱含防火牆規則。
當所有符合流量的規則都具有明確的
goto_next動作,或規則評估作業繼續執行隱含的goto_next動作時,Cloud NGFW 會強制執行下列隱含的防火牆規則。- 默示允許輸出
- 默示拒絕輸入
下圖顯示網路防火牆政策強制執行順序為 AFTER_CLASSIC_FIREWALL 時的評估順序:
AFTER_CLASSIC_FIREWALL,防火牆規則解析流程 (按一下可放大)。BEFORE_CLASSIC_FIREWALL強制執行順序中的規則評估順序
在BEFORE_CLASSIC_FIREWALL網路防火牆政策強制執行順序中,Cloud NGFW 會在評估網路防火牆政策中的規則後,評估虛擬私有雲防火牆規則。
系統會依下列順序評估防火牆規則:
階層式防火牆政策。
Cloud NGFW 會依下列順序評估階層式防火牆政策:
- 與包含目標資源的機構相關聯的階層式防火牆政策。
- 與資料夾上層項目相關聯的階層式防火牆政策,從頂層資料夾到包含目標資源專案的資料夾。
評估每個階層式防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在階層式防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包,取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估會繼續執行下列其中一項操作:- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序的下一步。
如果階層式防火牆政策中沒有任何規則符合流量,Cloud NGFW 會使用隱含的
goto_next動作。這項動作會繼續評估下列其中一項:- 與目標資源較近的資料夾上層祖先相關聯的階層式防火牆政策 (如有)。
- 如果所有階層式防火牆政策都已評估,則評估順序的下一步。
全域網路防火牆政策。
評估全域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在全域網路防火牆政策中,最多只能有一項規則與流量相符。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。apply_security_profile_group:規則會將流量轉送至已設定的防火牆端點,並停止所有規則評估作業。是否允許或捨棄封包,取決於安全性設定檔群組中設定的安全性設定檔。goto_next:規則評估作業會繼續進行,並在評估順序中進入區域網路防火牆政策步驟。
如果全域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這項操作會繼續評估,直到評估順序中的區域網路防火牆政策步驟為止。區域網路防火牆政策。
Cloud NGFW 會評估與目標資源的區域和虛擬私有雲網路相關聯的區域網路防火牆政策中的規則。如果多項政策與相同區域和網路相關聯,系統會先評估關聯優先順序最高的政策。
評估區域網路防火牆政策中的規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
在區域網路防火牆政策中,最多只能有一項規則符合流量。防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。goto_next:規則評估作業會繼續進行,並依評估順序進入下一個步驟。
如果區域網路防火牆政策中沒有任何規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作。這個動作會繼續評估, 並按照評估順序進行下一個步驟。虛擬私有雲防火牆規則。
評估虛擬私有雲防火牆規則時,Cloud NGFW 會執行下列步驟:
- 忽略目標不符合目標資源的所有規則。
- 忽略所有與封包方向不符的規則。
- 從最高到最低優先順序評估其餘規則。
符合下列任一條件時,系統就會停止評估:
- 適用於目標資源的規則與流量相符。
- 沒有適用於目標資源的規則與流量相符。
當一或兩項虛擬私有雲防火牆規則與流量相符時,防火牆規則的相符時執行的動作可以是下列其中一項:
allow:規則允許流量,並停止所有規則評估。deny:規則會拒絕流量,並停止所有規則評估。
如果兩個規則相符,優先順序必須相同,但動作不同。在本例中,Cloud NGFW 會強制執行
deny虛擬私有雲防火牆規則,並忽略allow虛擬私有雲防火牆規則。如果沒有任何 VPC 防火牆規則與流量相符,Cloud NGFW 會使用隱含的
goto_next動作,繼續評估順序中的下一個步驟。隱含防火牆規則。
當所有符合流量的規則都具有明確的
goto_next動作,或規則評估作業繼續執行隱含的goto_next動作時,Cloud NGFW 會強制執行下列隱含的防火牆規則。- 默示允許輸出
- 默示拒絕輸入
下圖顯示網路防火牆政策強制執行順序為 BEFORE_CLASSIC_FIREWALL 時的評估順序:
BEFORE_CLASSIC_FIREWALL,防火牆規則的解析流程 (按一下可放大)。有效的防火牆規則
階層式防火牆政策規則、虛擬私有雲防火牆規則,以及全域和區域網路防火牆政策規則,都會控管連線。查看影響個別網路或 VM 介面的所有防火牆規則,或許能派上用場。
網路有效防火牆規則
您可以查看套用至虛擬私有雲網路的所有防火牆規則。 清單包含下列所有類型的規則:
- 從階層式防火牆政策繼承的規則
- 虛擬私有雲防火牆規則
- 從全域和區域網路防火牆政策套用的規則
執行個體有效的防火牆規則
您可以查看套用至 VM 網路介面的所有防火牆規則。清單包含下列所有類型的規則:
- 從階層式防火牆政策繼承的規則
- 透過介面的虛擬私有雲防火牆套用的規則
- 從全域和區域網路防火牆政策套用的規則
規則的排序方式是從機構層級到虛擬私有雲網路。系統只會顯示套用至 VM 介面的規則。系統不會顯示其他政策的規則。
如要查看區域內的有效防火牆政策規則,請參閱「取得網路的有效區域防火牆政策」。
預先定義的規則
建立階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策時,Cloud NGFW 會在政策中新增預先定義的規則。Cloud NGFW 新增至政策的預先定義規則,取決於您建立政策的方式。
如果您使用 Google Cloud 控制台建立防火牆政策,Cloud NGFW 會將下列規則新增至新政策:
如果您使用 Google Cloud CLI 或 API 建立防火牆政策,Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。
新防火牆政策中的所有預先定義規則,都會刻意使用低優先順序 (優先順序編號較大),因此您可以建立優先順序較高的規則來覆寫這些規則。除了優先順序最低的 goto-next 規則,您也可以自訂預先定義的規則。
私人 IPv4 範圍的 goto-next 規則
輸出規則,目的地 IPv4 範圍為
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,優先順序為1000,動作為goto_next。輸入規則,來源 IPv4 範圍為
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,優先順序為1001,動作為goto_next。
預先定義的 Google Threat Intelligence 拒絕規則
輸入規則,來源為 Google Threat Intelligence 清單
iplist-tor-exit-nodes、優先順序為1002,且動作為deny。輸入規則,來源為 Google Threat Intelligence 清單
iplist-known-malicious-ips、優先順序為1003,且動作為deny。輸出規則,目的地為 Google Threat Intelligence 清單
iplist-known-malicious-ips、優先順序為1004,以及deny動作。
如要進一步瞭解 Google Threat Intelligence,請參閱「適用於防火牆政策規則的 Google Threat Intelligence」。
預先定義的地理位置拒絕規則
- 一項來源比對地理位置為
CU、IR、KP、SY、XC和XD的連入規則,優先順序為1005,且動作為deny。
如要進一步瞭解地理位置,請參閱「地理位置物件」。
優先順序最低的 goto-next 規則
您無法修改或刪除下列規則:
目的地 IPv6 範圍為
::/0、優先順序為2147483644且動作為goto_next的輸出規則。輸入規則,來源 IPv6 範圍為
::/0,優先順序為2147483645,且動作為goto_next。目的地 IPv4 範圍為
0.0.0.0/0、優先順序為2147483646且動作為goto_next的輸出規則。來源 IPv4 範圍為
0.0.0.0/0、優先順序為2147483647,且動作為goto_next的輸入規則。
後續步驟
- 如要建立及修改階層式防火牆政策和規則,請參閱「使用階層式防火牆政策和規則」。
- 如要查看階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
- 如要建立及修改全域網路防火牆政策和規則,請參閱「使用全域網路防火牆政策和規則」。
- 如要建立及修改區域網路防火牆政策和規則,請參閱「使用區域網路防火牆政策和規則」。