Cloud Next Generation Firewall 中的防火牆規則會根據定義的條件,決定是否允許或拒絕虛擬私有雲 (VPC) 網路內的流量。Cloud NGFW 防火牆政策可讓您將多項防火牆規則歸為一組,一次更新所有規則,透過 Identity and Access Management (IAM) 角色有效地控管。
本文將概略說明各種防火牆政策和防火牆政策規則。
防火牆政策
Cloud NGFW 支援下列類型的防火牆政策:
階層式防火牆政策
階層式防火牆政策可讓您將規則分組為政策物件,並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。
如需階層式防火牆政策的規格和詳細資料,請參閱「階層式防火牆政策」。
全域網路防火牆政策
全域網路防火牆政策可將規則分組為政策物件,並套用至虛擬私有雲網路的所有區域。
如要瞭解全域網路防火牆政策的規格和詳細資料,請參閱「全域網路防火牆政策」。
區域性防火牆政策
區域網路防火牆政策可讓您將規則分組至政策物件,並套用至虛擬私有雲網路的特定區域。
如要瞭解區域防火牆政策規格和詳細資料,請參閱「區域網路防火牆政策」。
區域性系統防火牆政策數量
區域性系統防火牆政策與區域性網路防火牆政策類似,但由 Google 管理。區域性系統防火牆政策具有下列特性:
Google Cloud 在評估階層式防火牆政策中的規則後,立即評估區域性系統防火牆政策中的規則。詳情請參閱「防火牆規則評估程序」。
您無法修改區域系統防火牆政策中的規則,但可以啟用或停用防火牆規則記錄。
Google Cloud 在虛擬私有雲網路的區域中建立區域系統防火牆政策,前提是 Google 服務需要該網路區域中的規則。 Google Cloud 可根據 Google 服務的需求,將多個區域系統防火牆政策與虛擬私有雲網路的區域建立關聯。
評估區域系統防火牆政策中的規則時,系統不會向您收費。
網路設定檔互動
一般虛擬私有雲網路支援階層式防火牆政策、全域網路防火牆政策、區域網路防火牆政策和虛擬私有雲防火牆規則中的防火牆規則。所有防火牆規則都會編寫為 Andromeda 網路虛擬化堆疊的一部分。
使用特定網路設定檔的虛擬私有雲網路,會限制您可使用的防火牆政策和規則屬性。如為 RoCE 虛擬私有雲網路,請參閱「適用於 RoCE 虛擬私有雲網路的 Cloud NGFW」,而非本頁內容。
防火牆政策規則
在 Google Cloud中,防火牆政策規則具有方向,可決定是控管進入網路的流量,還是離開網路的流量。每項防火牆政策規則都會分別套用到傳入 (ingress) 或傳出 (egress) 連線。
輸入規則
Ingress 方向是指從特定來源傳送到 Google Cloud 目標的傳入連線。輸入規則會套用到下列類型目標收到的輸入封包:
- 虛擬機器 (VM) 執行個體的網路介面
- 代管 Envoy Proxy,可為內部應用程式負載平衡器和內部 Proxy 網路負載平衡器提供支援
動作為 deny 的輸入規則可封鎖傳入目標的連線,藉此保護目標。如果優先順序較高的規則允許流量,防火牆就會允許該流量,並忽略任何可能拒絕相同流量的低優先順序規則。請注意,優先順序較高的規則一律優先適用。
自動建立的預設網路包含一些預先填入的虛擬私有雲防火牆規則,可允許特定類型的輸入流量。
輸出規則
輸出方向是指從目標Google Cloud 資源 (例如 VM 網路介面) 傳送到目的地的輸出流量。
動作為 allow 的輸出規則可讓執行個體將流量傳送至規則中指定的目的地。如果輸出流量符合優先順序較高的 deny 規則,系統就會封鎖該流量。這項動作的優先順序高於任何可能允許流量的低優先順序規則。 Google Cloud 也會封鎖或限制特定類型的流量。
後續步驟
- 如要建立及修改階層式防火牆政策和規則,請參閱「使用階層式防火牆政策和規則」。
- 如要建立及修改全域網路防火牆政策和規則,請參閱「使用全域網路防火牆政策和規則」。
- 如要建立及修改區域網路防火牆政策和規則,請參閱「使用區域網路防火牆政策和規則」。