防火牆政策規則

建立防火牆政策規則時,您必須指定一組用來定義規則作用的組成部分。這些元件會指定流量方向、來源、目的地,以及第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。

每項防火牆政策規則都會分別套用到傳入 (ingress) 或傳出 (egress) 連線。

輸入規則

Ingress 方向是指從特定來源傳送到 Google Cloud 目標的傳入連線。輸入規則會套用到傳入封包,其中封包的目的地為目標。

動作為 deny 的輸入規則可封鎖所有傳入執行個體的連線,藉此保護這些執行個體。優先順序較高的規則可能會允許傳入權限。自動建立的預設網路會包含一些預先填入的虛擬私有雲防火牆規則,允許特定類型的流量進入。

輸出規則

Egress 方向是指從目標傳送到目的地的輸出流量。輸出規則會套用到新連線的封包,其中封包的來源為目標。

動作為 allow 的輸出規則可讓執行個體將流量傳送到規則中指定的目的地。優先順序較高的deny防火牆規則 Google Cloud 可能會拒絕輸出流量,也會封鎖或限制特定類型的流量。

防火牆政策規則元件

階層式防火牆政策全域網路防火牆政策區域網路防火牆政策中的規則,都會使用本節所述的元件。「防火牆政策」一詞是指這三種政策的任一類型。如要進一步瞭解防火牆政策類型,請參閱「防火牆政策」。

防火牆政策規則的運作方式大致與 VPC 防火牆規則相同,但仍有幾處差異,詳情請參閱下列章節。

優先順序

防火牆政策中規則的優先順序是 0 到 2,147,483,647 之間的整數 (包含首尾)。整數值越小代表優先順序越高。防火牆政策中規則的優先順序與VPC 防火牆規則的優先順序類似,但有以下差異:

  • 防火牆政策中的每項規則都必須有不重複的優先順序。
  • 防火牆政策中規則的優先順序是規則的專屬 ID。防火牆政策中的規則不會使用名稱進行識別。
  • 防火牆政策中規則的優先順序,決定了防火牆政策本身的評估順序。系統會按照「政策和規則評估順序」一文所述,評估虛擬私有雲防火牆規則,以及階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則。

相符時執行的動作

防火牆政策中的規則可以採取下列其中一項動作:

  • allow 允許流量,並停止進一步評估規則。
  • deny 會禁止流量,並停止進一步評估規則。
  • apply_security_profile_group 會透明地攔截流量,並傳送至設定的防火牆端點,進行第 7 層檢查。

強制執行

您可以將防火牆政策規則的狀態設為啟用或停用,藉此變更是否「執行」規則。您可以在建立或更新規則時設定強制執行狀態。

如果您在建立新的防火牆規則時未設定強制執行狀態,系統會自動啟用防火牆規則。

通訊協定和通訊埠

與虛擬私有雲防火牆規則類似,建立規則時,您必須指定一或多個通訊協定和連接埠限制。在規則中指定 TCP 或 UDP 時,您可以指定通訊協定、通訊協定和目的地通訊埠,或是通訊協定和目的地通訊埠範圍;您無法只指定通訊埠或通訊埠範圍。此外,您只能指定目的地連接埠。系統不支援以來源連接埠為依據的規則。

您可以在防火牆規則中使用下列通訊協定名稱:tcpudpicmp (適用於 IPv4 ICMP)、espahsctpipip。如為其他通訊協定,請使用 IANA 通訊協定號碼

許多通訊協定在 IPv4 和 IPv6 中都使用相同的名稱和編號,但 ICMP 等通訊協定並非如此。如要指定 IPv4 ICMP,請使用 icmp 或通訊協定編號 1。如要指定 IPv6 ICMP,請使用通訊協定編號 58

防火牆規則不支援指定 ICMP 類型和代碼,僅支援通訊協定。

防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。

如未指定通訊協定和通訊埠參數,規則會套用至所有通訊協定和目的地通訊埠。

記錄

防火牆政策規則的記錄功能與虛擬私有雲 防火牆規則記錄功能相同,但有以下例外狀況:

  • 參考欄位包含防火牆政策 ID 和一個數字,指出政策附加的資源層級。舉例來說,0 表示政策套用至機構,1 則表示政策套用至機構下的頂層資料夾。

  • 防火牆政策規則的記錄包含 target_resource 欄位,可識別規則適用的虛擬私有雲網路。

  • 記錄功能只能針對 allowdenyapply_security_profile_group 規則啟用,無法針對 goto_next 規則啟用。

目標、來源、目的地

目標參數會識別防火牆規則套用的執行個體網路介面。

您可以指定來源參數目的地參數,套用至輸入和輸出防火牆規則的封包來源或目的地。防火牆規則的方向會決定來源和目的地參數的可能值。

目標、來源和目的地參數會一起運作。

目標

目標參數會識別 Compute Engine 執行個體的網路介面,包括 Google Kubernetes Engine 節點和 App Engine 彈性環境執行個體。

您可以為輸入或輸出規則定義目標。有效目標選項取決於防火牆政策類型。

階層式防火牆政策規則的目標

階層式防火牆政策規則支援下列目標:

  • 預設最廣泛的目標:如果您在階層式防火牆政策規則中省略目標規格,防火牆規則會套用至與防火牆政策相關聯的 Resource Manager 節點 (資料夾或機構) 下方,所有專案中所有虛擬私有雲網路的所有執行個體。這是最廣泛的目標組合。

  • 特定網路:如果您使用 target-resources 參數指定一或多個虛擬私有雲網路,最廣泛的目標集會縮小為在至少一個指定虛擬私有雲網路中具有網路介面的 VM。

  • 以服務帳戶識別的執行個體:如果您使用 target-service-accounts 參數指定一或多個服務帳戶,最廣泛的目標組合會縮小為使用指定服務帳戶的 VM。

  • 以服務帳戶識別的特定網路和執行個體:如果您同時指定 target-resources 參數和 target-service-accounts 參數,最廣泛的目標組合會縮小範圍,只包含符合下列兩項條件的 VM:

    • VM 在其中一個指定的虛擬私有雲網路中具有網路介面。
    • VM 會使用其中一個指定的服務帳戶。

全域網路防火牆政策規則的目標

全域網路防火牆政策規則支援下列目標:

  • 預設目標 - 虛擬私有雲網路中的所有執行個體:如果您省略全域網路防火牆政策規則中的目標規格,防火牆規則會套用至在與政策相關聯的虛擬私有雲網路中,具有網路介面的執行個體。執行個體可位於任何區域。這是最廣泛的目標組合。

  • 以目標安全標記識別的執行個體:如果您使用 target-secure-tags 參數指定目標標記,系統會縮小目標範圍,只納入繫結至標記的 VM。

  • 以目標服務帳戶識別的執行個體:如果您使用 target-service-accounts 參數指定服務帳戶,最廣泛的目標組合會縮小範圍,只納入使用指定服務帳戶的 VM。

區域網路防火牆政策規則的目標

區域網路防火牆政策規則支援下列目標:

  • 預設目標 - 區域和虛擬私有雲網路中的所有執行個體:如果您在區域網路防火牆政策規則中省略目標規格,防火牆規則會套用至在與政策相關聯的虛擬私有雲網路中,具有網路介面的執行個體。執行個體必須與政策位於相同區域。這是最廣泛的目標組合。

  • 以目標安全標記識別的執行個體:如果您使用 target-secure-tags 參數指定目標標記,系統會縮小目標範圍,只納入繫結至標記的 VM。

  • 以目標服務帳戶識別的執行個體:如果您使用 target-service-accounts 參數指定服務帳戶,最廣泛的目標組合會縮小範圍,只納入使用指定服務帳戶的 VM。

輸入規則的目標和 IP 位址

系統會根據下列條件,處理轉送至目標 VM 網路介面的封包:

  • 如果輸入防火牆規則包含目的地 IP 位址範圍,封包的目的地必須符合其中一個明確定義的目的地 IP 位址範圍。

  • 如果輸入防火牆規則包含目的地 IP 位址範圍,封包目的地就必須符合下列其中一個 IP 位址:

    • 指派給執行個體 NIC 的主要內部 IPv4 位址。

    • 執行個體 NIC 上設定的任何別名 IP 位址範圍

    • 與執行個體 NIC 相關聯的外部 IPv4 位址。

    • 如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。

    • 與轉送規則相關聯的內部或外部 IP 位址,用於直通負載平衡,其中執行個體是內部直通網路負載平衡器或外部直通網路負載平衡器的後端。

    • 與用於通訊協定轉送的轉送規則相關聯的內部或外部 IP 位址,其中執行個體是由目標執行個體參照。

    • 使用執行個體 (next-hop-instancenext-hop-address) 做為下一個躍點 VM 的自訂靜態路徑目的地範圍內的 IP 位址。

    • 如果 VM 是內部直通式網路負載平衡器 (next-hop-ilb) 的後端,則為使用該負載平衡器做為下一個躍點的自訂靜態路徑目的地範圍內的 IP 位址。

輸出規則的目標和 IP 位址

從目標的網路介面發出的封包處理方式,取決於目標 VM 的 IP 轉送設定。IP 轉送功能預設為停用。

  • 如果目標 VM 已停用 IP 轉送功能,該 VM 可以發出具有下列來源的封包:

    • 執行個體 NIC 的主要內部 IPv4 位址。

    • 執行個體 NIC 上設定的任何別名 IP 位址範圍。

    • 如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。

    • 與轉送規則相關聯的內部或外部 IP 位址,適用於直通式負載平衡或通訊協定轉送。如果執行個體是內部直通式網路負載平衡器、外部直通式網路負載平衡器的後端,或是目標執行個體參照的執行個體,則此為有效狀態。

    如果輸出防火牆規則包含來源 IP 位址範圍,目標 VM 仍會限制為先前提及的來源 IP 位址,但來源參數可用於縮小該集合。如果未使用來源參數,且未啟用 IP 轉送,不會擴展可能的封包來源位址集。

    如果輸出防火牆規則「未」包含來源 IP 位址範圍,則允許所有先前提及的來源 IP 位址。

  • 如果目標 VM 啟用 IP 轉送功能,該 VM 就能發出含有任意來源位址的封包。您可以使用來源參數,更精確地定義允許的封包來源集。

來源

來源參數值取決於下列因素:

  • 包含防火牆規則的防火牆政策類型
  • 防火牆規則的方向

輸入規則的來源

下表列出來源參數,這些參數可單獨使用,也可以在單一輸入防火牆政策規則中合併使用。您必須至少指定一個來源參數,才能使用 Cloud NGFW。

輸入規則來源參數 階層式防火牆政策支援 全域和區域網路防火牆政策支援
來源 IP 位址範圍

簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。
來源位址群組

可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆規則會參照集合。詳情請參閱防火牆政策的位址群組
來源網域名稱

一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱 (FQDN) 物件
來源安全標記

一或多個來源安全標記的清單。 詳情請參閱「來源安全標記如何表示封包來源」。
來源地理位置

一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件
Google Threat Intelligence 來源清單

一或多個預先定義的 Google Threat Intelligence 清單名稱。詳情請參閱「防火牆政策規則的 Google 威脅情報」。
來源網路類型

定義安全邊界的限制。詳情請參閱網路類型

在單一 Ingress 規則中,您可以使用兩個以上的來源參數來產生來源組合。Cloud NGFW 會對每個傳入規則的來源組合強制執行下列限制:

  • 來源 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得兩者混用。
  • 含有 IPv4 CIDR 的來源位址群組,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
  • 含有 IPv4 CIDR 的來源 IP 位址範圍,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
  • 含有 IPv6 CIDR 的來源 IP 位址範圍,無法與含有 IPv4 CIDR 的來源位址群組搭配使用。
  • 網際網路網路類型無法與來源安全標記搭配使用。
  • 非網際網路類型、虛擬私有雲網路類型和虛擬私有雲間類型,無法搭配 來源 Google 威脅情報清單或 來源地理位置使用。

Cloud NGFW 會套用下列邏輯,將封包與使用來源組合的輸入規則相符:

  • 如果來源組合包含來源網路類型,只要封包符合來源組合中的至少一個來源參數,就會符合連入規則。

  • 如果來源組合包含來源網路類型,封包符合來源網路類型來源組合中至少一個其他來源參數,就會符合輸入規則。

來源安全標記如何表示封包來源

全域和區域網路防火牆政策中的輸入規則可使用安全標記指定來源。每個安全標記都與單一虛擬私有雲端網路相關聯,且安全標記只能繫結至 VM,該 VM 必須在安全標記相關聯的虛擬私有雲端網路中具有網路介面。

如果符合下列條件,從 VM 網路介面傳送的封包就會符合使用安全標記來源的 Ingress 規則:

  • VM 必須與安全代碼建立關聯。

  • 如果輸入規則位於區域網路政策中,VM 必須位於網路防火牆政策區域的某個可用區。如果輸入規則位於全域網路防火牆政策中,VM 可以位於任何區域。

  • 傳送封包的 VM 網路介面符合下列其中一項條件:

    • VM 網路介面與套用全域或區域網路防火牆政策的 VPC 網路位於同一個 VPC 網路。
    • 虛擬機網路介面位於虛擬私有雲網路中,該網路透過虛擬私有雲網路對等互連,連線至套用全域或區域網路防火牆政策的虛擬私有雲網路。

輸出規則的來源

在階層式防火牆政策和網路防火牆政策中,您都可以使用下列來源做為輸出規則:

  • 預設值 - 由目標隱含:如果您從輸出規則中省略來源參數,系統會隱含定義封包來源,如「輸出規則的目標和 IP 位址」一文所述。

  • 來源 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。

  • 來源 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。

如要為輸出規則新增來源 IP 位址範圍,請按照下列指引操作:

  • 如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。

  • 如果輸出規則中包含來源 IP 位址範圍和目的地參數,系統會將目的地參數解析為與來源 IP 版本相同的 IP 版本。

    舉例來說,在輸出規則中,來源參數含有 IPv4 位址範圍,目的地參數則含有 FQDN 物件。如果 FQDN 同時解析為 IPv4 和 IPv6 位址,系統只會在強制執行規則時使用解析出的 IPv4 位址。

目的地

您可以使用 IP 位址範圍指定目的地,階層式和網路防火牆政策的輸入和輸出規則都支援這項功能。預設目的地行為取決於規則的方向。

輸入規則的目的地

在階層式和網路防火牆政策中,您都可以使用下列輸入防火牆規則的目的地:

  • 預設值 - 由目標隱含:如果您從輸入規則中省略目的地參數,系統會隱含定義封包目的地,如「輸入規則的目標和 IP 位址」一文所述。

  • 目的地 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。

  • 目的地 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。

如要為連入規則新增目的地 IP 位址範圍,請按照下列準則操作:

  • 如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。

  • 如果入口規則中同時定義來源和目的地參數,來源參數會解析為與目的地 IP 版本相同的 IP 版本。如要進一步瞭解如何定義輸入規則的來源,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。

    舉例來說,在連入規則中,目的地參數含有 IPv6 位址範圍,來源參數則含有地理位置國家/地區代碼。在強制執行規則期間,系統只會使用對應的 IPv6 位址,用於指定的來源國家/地區代碼。

輸出規則的目的地

下表列出可在單一輸出防火牆政策規則中單獨使用或搭配使用的目的地參數。您必須指定至少一個目的地參數,才能使用 Cloud NGFW。

輸出規則目的地參數 階層式防火牆政策支援 全域和區域網路防火牆政策支援
目的地 IP 位址範圍

簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。
目的地地址群組

可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆政策規則會參照集合。詳情請參閱防火牆政策的位址群組
到達網頁網域名稱

一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱 (FQDN) 物件
目的地地理位置

一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件
Google Threat Intelligence 目的地清單

一或多個預先定義的 Google Threat Intelligence 清單名稱。詳情請參閱「防火牆政策規則的 Google 威脅情報」。
目標網路類型

定義安全邊界的限制。詳情請參閱「網路類型」。

在單一輸出規則中,您可以使用兩個以上的目的地參數來產生目的地組合。Cloud NGFW 會對每個輸出規則的目的地組合強制執行下列限制:

  • 目的地 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
  • 包含 IPv4 CIDR 的目的地位址群組,無法與包含 IPv6 CIDR 的目的地位址群組搭配使用。
  • 含有 IPv4 CIDR 的目的地 IP 位址範圍,無法與含有 IPv6 CIDR 的目的地位址群組搭配使用。
  • 含有 IPv6 CIDR 的目的地 IP 位址範圍,無法與含有 IPv4 CIDR 的目的地位址群組搭配使用。
  • 到達網頁 Google 威脅情報清單或到達網頁 地理位置無法與到達網頁非網際網路類型搭配使用。

Cloud NGFW 會套用下列邏輯,將封包與使用目的地組合的輸出規則相符:

  • 如果目的地組合包含目的地網路類型,只要封包符合目的地組合中的至少一個目的地參數,就會符合輸出規則。

  • 如果目的地組合包含目的地網路類型,封包符合目的地網路類型目的地組合中的至少一個其他目的地參數,就會符合輸出規則。

網路類型

網路類型可協助您更有效率地使用較少的防火牆政策規則,達成安全目標。Cloud NGFW 支援四種網路類型,可用於在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策的規則中,建立來源組合或目的地組合。

下表列出四種網路類型,以及網路類型是否可用於 Ingress 規則的來源組合、Egress 規則的目的地組合,或兩者皆可。

網路類型 輸入規則的來源 輸出規則的目的地
網際網路 (INTERNET)
非網際網路 (NON_INTERNET)
虛擬私有雲網路 (VPC_NETWORKS)
虛擬私有雲內部 (INTRA_VPC)

網際網路和非網際網路類型互斥,虛擬私有雲網路和虛擬私有雲內部網路類型是「非網際網路」網路類型的子集。

網際網路類型

網際網路網路類型 (INTERNET) 可做為輸入規則的來源組合一部分,或輸出規則的目的地組合一部分:

  • 針對輸入規則,指定網際網路類型來源和至少一個其他來源參數,安全標記來源除外。如果封包符合至少一個其他來源參數,且符合網際網路類型來源參數,則封包符合輸入規則。

  • 針對輸出規則,指定網際網路類型目的地和至少一個其他目的地參數。如果封包符合至少一個其他目的地參數網際網路類型目的地參數,就會符合輸出規則。

本節的其餘內容說明 Cloud NGFW 用來判斷封包是否屬於網際網路網路類型的條件。

傳入封包的網際網路網路類型

由 Google Maglev 轉送至 VM 網路介面的連入封包,會視為屬於網際網路網路類型。當封包目的地符合下列任一條件時,Maglev 會將封包轉送至 VM 網路介面:

  • VM 網路介面的地區外部 IPv4 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
  • VM 網路介面的地區性外部 IPv6 位址、外部直通網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,封包並未使用透過虛擬私有雲網路對等互連匯入的子網路路由,或來自網路連線中心中樞的虛擬私有雲網路支點。

如要進一步瞭解 Maglev 路由至外部直通式網路負載平衡器或外部通訊協定轉送後端 VM 的封包,請參閱「外部直通式網路負載平衡器和外部通訊協定轉送的路徑」。

外送封包的網際網路類型

VM 網路介面傳送的輸出封包,以及使用預設網際網路閘道下一個躍點的靜態路徑所路由傳送的輸出封包,都屬於網際網路網路類型。不過,如果這些輸出封包的目的地 IP 位址是 Google API 和服務,這些封包就會視為屬於非網際網路網路類型。如要進一步瞭解如何連線至 Google API 和服務,請參閱「非網際網路網路類型」。

使用預設網際網路閘道下一個躍點的靜態路徑轉送封包時,VM 網路介面傳送至下列目的地的任何封包,都會視為屬於網際網路類型:

  • Google 網路以外的外部 IP 位址目的地。
  • VM 網路介面的地區外部 IPv4 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
  • VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
  • 全域外部負載平衡器轉送規則的全域外部 IPv4 和 IPv6 位址目的地。

VM 網路介面傳送至 Cloud VPN 和 Cloud NAT 閘道的封包,會視為屬於網際網路類型:

  • 執行 VPN 軟體的 VM 網路介面傳送至 Cloud VPN 閘道區域外部 IPv4 位址的輸出封包,會視為屬於網際網路類型。
  • 從一個 Cloud VPN 閘道傳送至另一個 Cloud VPN 閘道的輸出封包,不屬於任何網路類型,因為防火牆規則只適用於 VM。
  • 如果是 Public NAT,從 VM 網路介面傳送至 Cloud NAT 閘道區域外部 IPv4 位址的回應封包,會視為屬於網際網路類型。

如果虛擬私有雲網路是透過虛擬私有雲網路對等互連功能連線,或是虛擬私有雲網路以虛擬私有雲輻射網路的形式,參與同一個網路連線中心中樞,IPv6 子網路路徑就能提供連線,連至虛擬機器網路介面的區域外部 IPv6 位址目的地、區域外部負載平衡器轉送規則,以及外部通訊協定轉送規則。如果使用子網路路徑提供這些區域外部 IPv6 位址目的地的連線,則目的地會位於非網際網路網路類型中。

非網際網路網路類型

非網際網路網路類型 (NON-INTERNET) 可做為輸入規則的來源組合一部分,或輸出規則的目的地組合一部分:

  • 針對輸入規則,指定非網際網路類型的來源,以及至少一個其他來源參數,但威脅情資清單來源或地理位置來源除外。如果封包符合至少一個其他來源參數 ,且符合非網際網路類型的來源參數,則封包符合輸入規則。

  • 針對輸出規則,指定非網際網路類型的目的地,以及至少一個其他目的地參數。如果封包符合至少一個其他目的地參數符合非網際網路類型目的地參數,就會符合輸出規則。

本節的其餘部分會說明 Cloud NGFW 用來判斷封包是否屬於非網際網路網路類型的條件。

傳入封包的非網際網路網路類型

透過虛擬私有雲網路內的下一個躍點,或從 Google API 和服務轉送至 VM 網路介面的輸入封包,會視為屬於非網際網路網路類型。

在下列情況下,封包會透過虛擬私有雲網路內的下一個躍點,或從 Google API 和服務轉送:

  • 封包目的地符合下列其中一項條件:

    • VM 網路介面的區域內部 IPv4 或 IPv6 位址、內部直通式網路負載平衡器的轉送規則,或是內部通訊協定轉送的轉送規則。
    • VM 網路介面的地區外部 IPv6 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,且封包是透過本機子網路路徑、對等互連子網路路徑或網路連線中心子網路路徑轉送。
    • 靜態路徑目的地範圍內的任何位址,其中接收 VM 是下一個躍點 VM,或是下一個躍點內部直通式網路負載平衡器的後端 VM。

  • 封包來源符合下列其中一項條件:

輸出封包的非網際網路網路類型

VM 網路介面傳送並在虛擬私有雲網路中轉送的傳出封包,或是傳送至 Google API 和服務的封包,都屬於非網際網路網路類型。

在下列情況下,封包會透過虛擬私有雲網路內的下一個躍點,或轉送至 Google API 和服務:

虛擬私有雲網路類型

虛擬私有雲網路類型 (VPC_NETWORKS) 只能做為輸入規則的來源組合。您無法將虛擬私有雲網路類型做為輸出規則目的地組合的一部分。

如要將虛擬私有雲網路類型做為 Ingress 規則來源組合的一部分,請執行下列操作:

  1. 您必須指定來源虛擬私有雲網路清單:

    • 來源網路清單必須包含至少一個虛擬私有雲網路。 您最多可以在來源網路清單中新增 250 個虛擬私有雲網路。
    • 您必須先建立虛擬私有雲網路,才能將其新增至來源網路清單。
    • 你可以使用部分或完整網址 ID 新增電視網。
    • 您新增至來源網路清單的 VPC 網路不必相互連線。每個虛擬私有雲網路都可以位於任何專案中。
    • 如果虛擬私有雲網路在新增至來源網路清單後遭到刪除,清單中仍會保留對已刪除網路的參照。強制執行輸入規則時,Cloud NGFW 會忽略已刪除的 VPC 網路。如果來源網路清單中的所有 VPC 網路都已刪除,依據該清單的輸入規則就會失效,因為這些規則與任何封包都不相符。

  2. 您必須指定至少一個其他來源參數,但 威脅情資清單來源或 地理位置來源除外。

如果符合下列所有條件,封包就會符合在來源組合中使用 VPC 網路類型的輸入規則:

  • 封包符合至少一個其他來源參數。

  • 封包是由其中一個來源虛擬私有雲網路中的資源傳送。

  • 來源 VPC 網路和含有連入規則的防火牆政策所套用的 VPC 網路是同一個 VPC 網路,或是透過 VPC 網路對等互連方式連線,或做為 Network Connectivity Center 中樞的 VPC 支點。

下列資源位於 VPC 網路中:

  • VM 網路介面
  • Cloud VPN 通道
  • Cloud Interconnect VLAN 連結
  • 路由器設備
  • 僅限 Proxy 的子網路中的 Envoy Proxy
  • Private Service Connect 端點
  • 無伺服器虛擬私人雲端存取連接器

虛擬私有雲網路內部類型

VPC 內部網路類型 (INTRA_VPC) 只能做為輸入規則的來源組合。您無法在輸出規則的目的地組合中使用 VPC 內網路類型。

如要使用虛擬私有雲內類型做為連入規則來源組合的一部分,您必須指定至少一個其他來源參數,但 威脅情資清單來源或 地理位置來源除外。

如果符合下列所有條件,封包就會符合在來源組合中使用 VPC 內類型傳輸規則:

  • 封包符合至少一個其他來源參數。

  • 封包是由虛擬私有雲網路中的資源傳送,而該網路套用了包含輸入規則的防火牆政策。

下列資源位於 VPC 網路中:

  • VM 網路介面
  • Cloud VPN 通道
  • Cloud Interconnect VLAN 連結
  • 路由器設備
  • 僅限 Proxy 的子網路中的 Envoy Proxy
  • Private Service Connect 端點
  • 無伺服器虛擬私人雲端存取連接器

地理位置物件

在防火牆政策規則中使用地理位置物件,根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量。

您可以對傳入和傳出流量套用含有地理位置物件的規則。系統會根據流量方向,比對與國家/地區代碼相關聯的 IP 位址與流量來源或目的地。

  • 您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策設定地理位置物件。

  • 如要將地理位置新增至防火牆政策規則,請使用 ISO 3166 alpha-2 國家/地區代碼中定義的兩個字母國家/地區代碼。

    舉例來說,如要只允許來自美國的傳入流量進入網路,請建立傳入防火牆政策規則,並將來源國家/地區代碼設為 US,動作設為 allow。同樣地,如要只允許前往美國的外送流量,請設定外送防火牆政策規則,並將目的地國家/地區代碼設為 US,動作設為 allow

  • Cloud NGFW 可讓您為下列受美國全面制裁的地區設定防火牆規則:

    地域 指派的代碼
    克里米亞 XC
    所謂的頓內次克人民共和國及盧甘斯克人民共和國 XD

  • 如果單一防火牆規則中包含任何重複的國家/地區代碼,系統只會保留該國家/地區代碼的一個項目。系統已移除重複的項目。舉例來說,在國家/地區代碼清單 ca,us,us 中,只會保留 ca,us

  • Google 會維護含有 IP 位址和國家/地區代碼對應項目的資料庫。Google Cloud 防火牆會使用這個資料庫,將來源和目的地流量的 IP 位址對應至國家/地區代碼,然後套用與地理位置物件相符的防火牆政策規則。

  • 在下列情況下,IP 位址指派和國家/地區代碼有時會變更:

    由於 Google 資料庫需要一段時間才能反映這些變更,因此您可能會發現某些流量中斷,或特定流量的行為有所改變 (遭封鎖或允許)。

將地理位置物件與其他防火牆政策規則篩選器搭配使用

您可以搭配其他來源或目的地篩選器使用地理位置物件。 視規則方向而定,防火牆政策規則會套用至符合所有指定篩選條件聯集的連入或連出流量。

如要瞭解地理位置物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源網路防火牆政策中輸入規則的來源

如要瞭解地理位置物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。

防火牆政策規則適用的 Google Threat Intelligence

防火牆政策規則可讓您根據 Google 威脅情報資料允許或封鎖流量,確保網路安全。Google Threat Intelligence 資料包括下列類別的 IP 位址清單:

  • Tor 結束節點Tor 是開放原始碼軟體,可進行匿名通訊。如要排除隱藏身分的使用者,請封鎖 Tor 結束節點的 IP 位址 (流量離開 Tor 網路的端點)。
  • 已知的惡意 IP 位址:已知是網頁應用程式攻擊來源的 IP 位址。如要提升應用程式的安全性,請封鎖這些 IP 位址。
  • 搜尋引擎:您可以允許這些 IP 位址,讓網站編入索引。
  • 公有雲 IP 位址範圍:您可以封鎖這個類別,避免惡意自動化工具瀏覽網路應用程式;如果您的服務使用其他公有雲,則可以允許這個類別。這個類別進一步細分為以下子類別:
    • Amazon Web Services 使用的 IP 位址範圍
    • Microsoft Azure 使用的 IP 位址範圍
    • Google Cloud使用的 IP 位址範圍
    • Google 服務使用的 IP 位址範圍

Google 威脅情報資料清單可包含 IPv4 位址、IPv6 位址或兩者。如要在防火牆政策規則中設定 Google Threat Intelligence,請根據要允許或封鎖的類別,使用預先定義的 Google Threat Intelligence 清單名稱。這些清單會持續更新,保護服務免於新威脅侵擾,且無須額外設定。有效清單名稱如下。

名單名稱 說明
iplist-tor-exit-nodes 比對 TOR 結束節點的 IP 位址
iplist-known-malicious-ips 比對已知會攻擊網頁應用程式的 IP 位址
iplist-search-engines-crawlers 與搜尋引擎檢索器的 IP 位址相符
iplist-vpn-providers 比對信譽不佳的 VPN 供應商所屬 IP 位址
iplist-anon-proxies 比對屬於開放式匿名 Proxy 的 IP 位址
iplist-crypto-miners 與加密貨幣挖礦網站的 IP 位址相符
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
  • iplist-public-clouds-google-services
 比對屬於公有雲的 IP 位址
  • 與 Amazon Web Services 使用的 IP 位址範圍相符
  • 符合 Microsoft Azure 使用的 IP 位址範圍
  • 與 Google Cloud使用的 IP 位址範圍相符
  • 與 Google 服務使用的 IP 位址範圍相符

搭配其他防火牆政策規則篩選器使用 Google Threat Intelligence

如要使用 Google 威脅情報定義防火牆政策規則,請按照下列 準則操作:

  • 針對輸出規則,請使用一或多個目的地 Google 威脅情報清單指定目的地。

  • 針對輸入規則,請使用一或多個來源 Google Threat Intelligence 清單指定來源。

  • 您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策,設定 Google Threat Intelligence 清單。

  • 您可以將這些清單與其他來源或目的地規則篩選器元件搭配使用。

    如要瞭解 Google 威脅情報清單如何搭配 Ingress 規則中的其他來源篩選器運作,請參閱階層式防火牆政策中 Ingress 規則的來源網路防火牆政策中 Ingress 規則的來源

    如要瞭解 Google 威脅情報清單如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。

  • 防火牆記錄是在規則層級進行,為方便您偵錯及分析防火牆規則的影響,請勿在單一防火牆規則中加入多個 Google Threat Intelligence 清單。

  • 您可以在防火牆政策規則中新增多個 Google 威脅情報清單。 無論清單中包含多少 IP 位址或 IP 位址範圍,規則中包含的每個清單名稱都會計為一個屬性。舉例來說,如果您在防火牆政策規則中加入 iplist-tor-exit-nodesiplist-known-malicious-ipsiplist-search-engines-crawlers 清單名稱,每個防火牆政策的規則屬性計數就會增加三。如要進一步瞭解規則屬性計數,請參閱配額與限制

為 Google Threat Intelligence 清單建立例外狀況

如果您有適用於 Google 威脅情報清單的規則,可以使用下列技術建立例外規則,適用於 Google 威脅情報清單中的特定 IP 位址:

  • 選擇性允許防火牆規則:假設您有輸入或輸出防火牆規則,會拒絕來自或傳送至 Google 威脅情報清單的封包。如要允許來自或傳送至 Google 威脅情報清單中特定 IP 位址的封包,請建立優先順序較高的個別輸入或輸出允許防火牆規則,並將例外 IP 位址指定為來源或目的地。

  • 選擇性拒絕防火牆規則:假設您有輸入或輸出防火牆規則,允許來自或傳送至 Google 威脅情報清單的封包。如要拒絕來自或傳送至 Google 威脅情報清單中特定 IP 位址的封包,請建立優先順序較高的輸入或輸出拒絕防火牆規則,並將例外 IP 位址指定為來源或目的地。

防火牆政策的位址群組

位址群組是 IPv4 位址範圍或 IPv6 位址範圍的邏輯集合,格式為 CIDR。您可以使用位址群組,定義許多防火牆規則參照的一致來源或目的地。更新位址群組時,不需要修改使用這些群組的防火牆規則。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組

您可以分別為輸入和輸出防火牆規則定義來源和目的地位址群組。

如要瞭解來源位址群組如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源網路防火牆政策中輸入規則的來源

如要瞭解目的地地址群組如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。

FQDN 物件

在防火牆政策規則中使用完整網域名稱 (FQDN) 物件,篩選來自或傳送至特定網域的輸入或輸出流量。

您可以使用 FQDN 物件,將防火牆政策規則套用至輸入和輸出流量。根據流量方向,系統會比對與網域名稱相關聯的 IP 位址與流量來源或目的地。

  • 您可以在防火牆政策規則中設定 FQDN 物件,適用於階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策。

  • 您必須以標準 FQDN 語法指定 FQDN 物件。

    如要進一步瞭解網域名稱格式,請參閱網域名稱格式

  • Cloud NGFW 會定期更新含有 FQDN 物件的防火牆政策規則,並納入最新的網域名稱解析結果。

  • 系統會根據 Cloud DNS 的虛擬私有雲名稱解析順序,將防火牆政策規則中指定的網域名稱解析為 IP 位址。如果網域名稱解析結果 (又稱網域名稱系統 (DNS) 記錄) 有任何變更,Cloud DNS 會通知 Cloud NGFW。

  • 如果兩個網域名稱解析為同一個 IP 位址,防火牆政策規則會套用至該 IP 位址,而非僅套用至一個網域。換句話說,FQDN 物件是第 3 層實體。

  • 如果輸出防火牆政策規則中的 FQDN 物件包含 DNS 記錄中具有 CNAME 的網域,您必須使用 VM 可查詢的所有網域名稱 (包括所有可能的別名) 設定輸出防火牆政策規則,確保防火牆規則行為可靠。如果 VM 查詢的 CNAME 未在輸出防火牆政策規則中設定,政策可能無法在 DNS 記錄變更期間運作。

  • 您也可以在網路防火牆政策規則中使用 Compute Engine 內部 DNS 名稱。不過,請確保您的網路未設定在傳出伺服器政策中使用替代名稱伺服器。

  • 如要在網路防火牆政策規則中新增自訂網域名稱,可以使用 Cloud DNS 管理區域解析網域名稱。不過,請確保網路未設定為在傳出伺服器政策中使用替代名稱伺服器。如要進一步瞭解區域管理,請參閱「建立、修改及刪除區域」。

限制

下列限制適用於使用 FQDN 物件的輸入和輸出防火牆規則:

  • FQDN 物件不支援萬用字元 (*) 和頂層 (根) 網域名稱。 例如,系統不支援 *.example.com..org

  • FQDN 物件與 Cloud DNS DNS64 不相容。如果啟用 DNS64 時使用 FQDN,VM 將不會收到 NAT 轉換的 IPv6 位址。

您可以在輸入防火牆政策規則中使用 FQDN 物件。為輸入規則定義 FQDN 物件時,請務必考量下列限制:

  • 網域名稱最多可解析為 32 個 IPv4 位址和 32 個 IPv6 位址。如果 DNS 查詢解析出的 IPv4 和 IPv6 位址超過 32 個,系統會截斷查詢結果,只保留解析出的 32 個 IPv4 或 IPv6 位址。因此,請勿在輸入防火牆政策規則中加入指向超過 32 個 IPv4 和 IPv6 位址的網域名稱。

  • 部分網域名稱查詢會根據提出要求的用戶端位置,提供專屬答案。防火牆政策規則的 DNS 解析作業執行位置,是包含防火牆政策規則適用 VM 的 Google Cloud 區域。

  • 如果網域名稱解析結果差異很大,或網域名稱解析使用 DNS 型負載平衡形式,請勿使用採用 FQDN 物件的 Ingress 規則。舉例來說,許多 Google 網域名稱都使用以 DNS 為基礎的負載平衡機制。

您可以在輸出防火牆政策規則中使用 FQDN 物件,但不建議搭配 TTL (存留時間) 不到 90 秒的 DNS A 記錄使用 FQDN 物件。

將 FQDN 物件與其他防火牆政策規則篩選條件搭配使用

在防火牆政策規則中,您可以定義 FQDN 物件,以及其他來源或目的地篩選條件。

如要瞭解 FQDN 物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源網路防火牆政策中輸入規則的來源

如要瞭解 FQDN 物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。

網域名稱格式

虛擬私有雲防火牆支援 RFC 1035RFC 1123RFC 4343 中定義的網域名稱格式。

如要將網域名稱新增至防火牆政策規則,請遵循下列格式規範:

  • 網域名稱至少須包含兩個標籤,說明如下:

    • 每個標籤都符合規則運算式,且只包含以下字元:[a-z]([-a-z0-9][a-z0-9])?.
    • 每個標籤的長度介於 1 到 63 個字元之間。
    • 標籤會以半形句號 (.) 串連。

  • 網域名稱的編碼長度上限不得超過 255 個位元組 (八位元)。

  • 您也可以將國際化網域名稱 (IDN) 新增至防火牆政策規則。

  • 網域名稱必須採用 Unicode 或 Punycode 格式。

  • 如果您以 Unicode 格式指定 IDN, Google Cloud 防火牆會先將其轉換為 Punycode 格式,再進行處理。或者,您可以使用國際化網域名稱轉換工具,取得國際化網域名稱的 Punycode 表示法。

  • 防火牆不支援在同一項防火牆政策規則中使用等效網域名稱。 Google Cloud 將網域名稱轉換為 Punycode 後,如果兩個網域名稱的差異最多只有結尾的點,就會視為等效。

FQDN 例外狀況

在防火牆政策規則中使用 FQDN 物件時,您可能會在 DNS 名稱解析期間遇到下列例外狀況:

  • 網域名稱格式錯誤:建立防火牆政策規則時,如果指定一或多個格式無效的網域名稱,系統會顯示錯誤訊息。除非所有網域名稱格式正確,否則無法建立防火牆政策規則。

  • 網域名稱不存在 (NXDOMAIN):如果網域名稱不存在, Google Cloud 會忽略防火牆政策規則中的 FQDN 物件。

  • 無法解析 IP 位址:如果網域名稱無法解析為任何 IP 位址,系統會忽略 FQDN 物件。

  • 無法連線至 Cloud DNS 伺服器:如果無法連線至 DNS 伺服器,只有在先前快取的 DNS 解析結果可用時,系統才會套用使用 FQDN 物件的防火牆政策規則。如果沒有快取的 DNS 解析結果,或快取的 DNS 結果已過期,系統會忽略規則的 FQDN 物件。

後續步驟