建立防火牆政策規則時,您必須指定一組用來定義規則作用的組成部分。這些元件會指定流量方向、來源、目的地,以及第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。
每項防火牆政策規則都會分別套用到傳入 (ingress) 或傳出 (egress) 連線。
輸入規則
Ingress 方向是指從特定來源傳送到 Google Cloud 目標的傳入連線。輸入規則會套用到傳入封包,其中封包的目的地為目標。
動作為 deny 的輸入規則可封鎖所有傳入執行個體的連線,藉此保護這些執行個體。優先順序較高的規則可能會允許傳入權限。自動建立的預設網路會包含一些預先填入的虛擬私有雲防火牆規則,允許特定類型的流量進入。
輸出規則
Egress 方向是指從目標傳送到目的地的輸出流量。輸出規則會套用到新連線的封包,其中封包的來源為目標。
動作為 allow 的輸出規則可讓執行個體將流量傳送至規則中指定的目的地。優先順序較高的防火牆規則可能會拒絕輸出流量。deny Google Cloud 此外,這類規則也會封鎖或限制特定類型的流量。
防火牆政策規則元件
階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則,都會使用本節所述的元件。「防火牆政策」一詞是指這三種政策的任一類型。如要進一步瞭解防火牆政策類型,請參閱「防火牆政策」。
防火牆政策規則的運作方式大致與 VPC 防火牆規則相同,但仍有幾處差異,詳情請參閱下列章節。
優先順序
防火牆政策中規則的優先順序是 0 到 2,147,483,647 之間的整數 (包含首尾)。整數值越小代表優先順序越高。防火牆政策中規則的優先順序與VPC 防火牆規則的優先順序類似,但有以下差異:
- 防火牆政策中的每項規則都必須有不重複的優先順序。
- 防火牆政策中規則的優先順序是規則的專屬 ID。防火牆政策中的規則不會使用名稱進行識別。
- 防火牆政策中規則的優先順序,決定了防火牆政策本身的評估順序。系統會按照「政策和規則評估順序」一文所述,評估虛擬私有雲防火牆規則,以及階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則。
相符時執行的動作
防火牆政策中的規則可採取下列其中一項動作:
| 動作參數 | 說明 |
|---|---|
allow |
允許新連線的封包。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 無論規則的方向為何,如果封包通訊協定和防火牆政策類型支援連線追蹤,允許規則會建立防火牆連線追蹤資料表項目,允許輸入和輸出封包。 |
deny |
禁止新連線的封包。停止評估含有相符規則的防火牆政策。不會評估任何其他防火牆規則。 Cloud NGFW 一律會先檢查防火牆連線追蹤資料表項目,再評估防火牆規則。因此,如果允許規則建立了連線追蹤資料表項目,該項目就會優先處理。 |
apply_security_profile_group |
攔截新連線的封包,並將封包傳送至防火牆端點或 攔截端點群組。停止評估包含相符規則的防火牆政策中的規則。不會評估任何其他防火牆規則。 無論規則的方向為何,如果封包通訊協定和防火牆政策類型支援連線追蹤,則具有 您無法在區域網路防火牆政策中,建立含有 |
goto_next |
停止評估防火牆政策中的其他規則,並評估 防火牆政策和規則評估順序的下一個步驟中的規則。 防火牆政策和規則的評估順序的下一個步驟,可能是評估其他防火牆政策中的規則,或是隱含的防火牆規則。 |
強制執行
您可以將防火牆政策規則的狀態設為啟用或停用,藉此變更是否「執行」規則。您可以在建立或更新規則時設定強制執行狀態。
如果您在建立新的防火牆規則時未設定強制執行狀態,系統會自動啟用防火牆規則。
通訊協定和通訊埠
與虛擬私有雲防火牆規則類似,建立規則時,您必須指定一或多個通訊協定和連接埠限制。在規則中指定 TCP 或 UDP 時,您可以指定通訊協定、通訊協定和目的地通訊埠,或是通訊協定和目的地通訊埠範圍;您無法只指定通訊埠或通訊埠範圍。此外,您只能指定目的地連接埠。系統不支援以來源連接埠為依據的規則。
您可以在防火牆規則中使用下列通訊協定名稱:tcp、udp、icmp (適用於 IPv4 ICMP)、esp、ah、sctp 和 ipip。如為其他通訊協定,請使用 IANA 通訊協定號碼。
許多通訊協定在 IPv4 和 IPv6 中都使用相同的名稱和編號,但 ICMP 等部分通訊協定則不然。如要指定 IPv4 ICMP,請使用 icmp 或通訊協定編號 1。如要指定 IPv6 ICMP,請使用通訊協定編號 58。
防火牆規則不支援指定 ICMP 類型和代碼,僅支援通訊協定。
防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
如未指定通訊協定和通訊埠參數,規則會套用至所有通訊協定和目的地通訊埠。
記錄
防火牆政策規則的記錄功能與虛擬私有雲 防火牆規則記錄功能相同,但有以下例外狀況:
參考欄位包含防火牆政策 ID 和一個數字,指出政策附加的資源層級。舉例來說,
0表示政策套用至機構,1則表示政策套用至機構下的頂層資料夾。防火牆政策規則的記錄包含
target_resource欄位,可識別規則適用的虛擬私有雲網路。
- 記錄功能只能針對
allow、deny和apply_security_profile_group規則啟用,無法針對goto_next規則啟用。
目標、來源、目的地
目標參數會識別防火牆規則套用的執行個體網路介面。
您可以指定來源參數和目的地參數,套用至輸入和輸出防火牆規則的封包來源或目的地。防火牆規則的方向會決定來源和目的地參數的可能值。
目標、來源和目的地參數會搭配運作。
目標
所有輸入和輸出防火牆規則都有目標。目標會識別 Compute Engine 執行個體的網路介面,包括 Google Kubernetes Engine 節點和 App Engine 彈性環境執行個體,防火牆規則會套用至這些介面。
每項防火牆規則都有「最廣泛的目標」,您可以指定「目標參數」或「目標參數組合」來縮小目標範圍。如果您未指定目標參數或目標參數組合,防火牆規則會套用至最廣泛的目標。
階層式防火牆政策中規則的適用範圍最廣:位於 Resource Manager 節點 (資料夾或機構) 下方專案中,與階層式防火牆政策相關聯的任何 VPC 網路,其任何區域的子網路中所有 VM 網路介面。
全域網路防火牆政策中規則的適用範圍最廣:與全域網路防火牆政策相關聯的虛擬私有雲網路中,任何區域的子網路內所有 VM 網路介面。
區域網路防火牆政策中規則的適用範圍最廣:區域內子網路中的所有 VM 網路介面,以及與區域網路防火牆政策相關聯的虛擬私有雲網路。
下表列出有效的目標參數和組合,可用於縮小防火牆規則的目標範圍:
| 目標參數 | 階層式防火牆政策支援 | 全域和區域網路防火牆政策支援 |
|---|---|---|
| 目標虛擬私有雲網路資源
以 |
||
| 目標服務帳戶
使用 |
||
| 目標服務帳戶與目標 VPC 網路資源的組合 在同一條規則中同時使用
|
||
| 根據含有網路用途資料的代碼鍵,指定安全代碼值
一或多個標記值的清單,這些標記值來自標記鍵,其用途資料指定單一虛擬私有雲網路。這份清單會將防火牆規則最廣泛的目標,縮小至目的資料中指定的 VPC 網路內的 VM 網路介面。詳情請參閱防火牆的安全標記。 |
||
| 根據機構用途資料,從廣告代碼鍵指定安全廣告代碼值
一或多個標記值所組成的清單,這些標記值來自用途資料為 |
輸入規則的目標和 IP 位址
系統會根據下列條件,處理轉送至目標 VM 網路介面的封包:
如果輸入防火牆規則包含目的地 IP 位址範圍,封包目的地就必須符合其中一個明確定義的目的地 IP 位址範圍。
如果輸入防火牆規則未包含目的地 IP 位址範圍,封包目的地就必須符合下列其中一個 IP 位址:
指派給執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
與執行個體 NIC 相關聯的外部 IPv4 位址。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,用於直通負載平衡,其中執行個體是內部直通網路負載平衡器或外部直通網路負載平衡器的後端。
與用於通訊協定轉送的轉送規則相關聯的內部或外部 IP 位址,其中執行個體是由目標執行個體參照。
使用執行個體 (
next-hop-instance或next-hop-address) 做為下一個躍點 VM 的自訂靜態路徑目的地範圍內的 IP 位址。如果 VM 是內部直通式網路負載平衡器 (
next-hop-ilb) 的後端,且該負載平衡器是自訂靜態路徑的下一個躍點,則為該路徑目的地範圍內的 IP 位址。
輸出規則的目標和 IP 位址
從目標的網路介面發出的封包處理方式,取決於目標 VM 的 IP 轉送設定。IP 轉送功能預設為停用。
如果目標 VM 已停用 IP 轉送功能,該 VM 可以發出具有下列來源的封包:
執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,適用於直通式負載平衡或通訊協定轉送。如果執行個體是內部直通式網路負載平衡器、外部直通式網路負載平衡器的後端,或是目標執行個體參照的執行個體,則此為有效狀態。
如果輸出防火牆規則包含來源 IP 位址範圍,目標 VM 仍會限制為先前提及的來源 IP 位址,但來源參數可用於縮小該集合。如果未使用來源參數,且未啟用 IP 轉送,不會擴展可能的封包來源位址集。
如果輸出防火牆規則「未」包含來源 IP 位址範圍,則允許所有先前提及的來源 IP 位址。
如果目標 VM 啟用 IP 轉送功能,該 VM 就能發出含有任意來源位址的封包。您可以使用來源參數,更精確地定義允許的封包來源集。
來源
來源參數值取決於下列因素:
- 包含防火牆規則的防火牆政策類型
- 防火牆規則的方向
輸入規則的來源
下表列出來源參數,這些參數可單獨使用,也可以在單一輸入防火牆政策規則中合併使用。Cloud NGFW 規定您至少要指定一個來源參數。
| 輸入規則來源參數 | 階層式防火牆政策支援 | 全域和區域網路防火牆政策支援 |
|---|---|---|
| 來源 IP 位址範圍
簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
||
| 來源位址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆規則參照集合。詳情請參閱防火牆政策的位址群組。 |
||
| 來源網域名稱
一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱 (FQDN) 物件。 |
||
| 從含有網路用途資料的廣告代碼鍵擷取安全廣告代碼值
一或多個標記值的清單,這些標記值來自標記鍵,其用途資料指定單一虛擬私有雲網路。詳情請參閱「防火牆的安全標記」和「來源安全標記如何表示封包來源」。 |
||
| 從含有機構用途資料的標記鍵取得安全標記值
一或多個標記值所組成的清單,這些標記值來自用途資料為 |
||
| 來源地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
||
| Google Threat Intelligence 來源清單
一或多個預先定義的 Google 威脅情報清單名稱。詳情請參閱「Google Threat Intelligence for firewall policy rules」。 |
||
| 來源網路類型
定義安全邊界的限制。詳情請參閱「網路類型」。 |
在單一 Ingress 規則中,您可以使用兩個以上的來源參數來產生來源組合。Cloud NGFW 會對每個傳入規則的來源組合強制執行下列限制:
- 來源 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得兩者混用。
- 含有 IPv4 CIDR 的來源位址群組,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv4 CIDR 的來源 IP 位址範圍,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv6 CIDR 的來源 IP 位址範圍,無法與含有 IPv4 CIDR 的來源位址群組搭配使用。
- 網際網路網路類型無法與來源安全標記搭配使用。
- 非網際網路類型、虛擬私有雲網路類型和虛擬私有雲間類型,無法搭配 來源 Google 威脅情報清單或 來源地理位置使用。
Cloud NGFW 會套用下列邏輯,將封包與使用來源組合的輸入規則相符:
如果來源組合不包含來源網路類型,只要封包符合來源組合中的至少一個來源參數,就會符合輸入規則。
如果來源組合包含來源網路類型,封包符合來源網路類型和來源組合中至少一個其他來源參數,就會符合輸入規則。
來源安全標記如何表示封包來源
防火牆政策中的輸入規則可使用來源安全標記 (標記值) 指定來源。安全標記值會識別網路介面,而非 IP 位址等封包特徵。
根據下列規則,從 VM 執行個體網路介面傳送的封包會比對使用來源安全標記值的輸入規則:
如果輸入規則位於區域網路政策中,VM 執行個體必須位於與區域網路防火牆政策相同的區域。否則 VM 執行個體可以位於任何區域。
VM 執行個體必須與用做輸入防火牆規則中來源安全標記的安全標記值相關聯。
與 VM 執行個體相關聯,且由輸入防火牆規則使用的安全標記值,必須來自標記鍵,而該標記鍵的
purpose-data屬性至少會識別一個包含 VM 執行個體網路介面的虛擬私有雲網路:如果標記鍵的用途資料指定單一 VPC 網路,則使用來源安全標記值的輸入防火牆規則,會套用至該 VPC 網路中 VM 執行個體的網路介面。
如果標記鍵的用途資料指定了機構,則使用來源安全標記值的輸入防火牆規則,會套用至機構任何 VPC 網路中 VM 執行個體的網路介面。
所識別的 VM 網路介面必須符合下列其中一項條件:
- VM 網路介面與防火牆政策套用的 VPC 網路位於同一個 VPC 網路。
- VM 網路介面所屬的虛擬私有雲網路,會使用虛擬私有雲網路對等互連,連線至套用防火牆政策的虛擬私有雲網路。
如要進一步瞭解防火牆的安全代碼,請參閱規格。
輸出規則的來源
在階層式防火牆政策和網路防火牆政策中,您都可以使用下列來源做為輸出規則:
預設值 - 由目標隱含:如果您從輸出規則中省略來源參數,系統會隱含定義封包來源,如「輸出規則的目標和 IP 位址」一文所述。
來源 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
來源 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為輸出規則新增來源 IP 位址範圍,請按照下列指引操作:
- 如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果輸出規則中包含來源 IP 位址範圍和目的地參數,系統會將目的地參數解析為與來源 IP 版本相同的 IP 版本。
舉例來說,在輸出規則中,來源參數含有 IPv4 位址範圍,而目的地參數含有 FQDN 物件。如果 FQDN 同時解析為 IPv4 和 IPv6 位址,系統只會在強制執行規則時使用解析出的 IPv4 位址。
目的地
您可以使用 IP 位址範圍指定目的地,階層式和網路防火牆政策的輸入和輸出規則都支援這項功能。預設目的地行為取決於規則的方向。
輸入規則的目的地
在階層式和網路防火牆政策中,您都可以使用下列輸入防火牆規則的目的地:
預設值 - 目標隱含:如果您從輸入規則中省略目的地參數,系統會隱含定義封包目的地,如「輸入規則的目標和 IP 位址」一文所述。
目的地 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
目的地 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為連入規則新增目的地 IP 位址範圍,請按照下列準則操作:
如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果入口規則中同時定義來源和目的地參數,來源參數會解析為與目的地 IP 版本相同的 IP 版本。如要進一步瞭解如何定義輸入規則的來源,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
舉例來說,在 Ingress 規則中,目的地參數含有 IPv6 位址範圍,來源參數則含有地理位置國家/地區代碼。在強制執行規則期間,系統只會使用對應的 IPv6 位址,做為指定來源國家/地區代碼。
輸出規則的目的地
下表列出可在單一輸出防火牆政策規則中單獨使用或合併使用的目的地參數。您必須指定至少一個目的地參數,才能使用 Cloud NGFW。
| 輸出規則目的地參數 | 階層式防火牆政策支援 | 全域和區域網路防火牆政策支援 |
|---|---|---|
| 目的地 IP 位址範圍
簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
||
| 目的地地址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆政策規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
||
| 到達網頁網域名稱
一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱 (FQDN) 物件。 |
||
| 目的地地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
||
| Google Threat Intelligence 目的地清單
一或多個預先定義的 Google 威脅情報清單名稱。詳情請參閱「Google Threat Intelligence for firewall policy rules」。 |
||
| 目標網路類型
定義安全邊界的限制。詳情請參閱「網路類型」。 |
在單一輸出規則中,您可以使用兩個以上的目的地參數來產生目的地組合。Cloud NGFW 會對每個輸出規則的目的地組合強制執行下列限制:
- 目的地 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
- 包含 IPv4 CIDR 的目的地位址群組,無法與包含 IPv6 CIDR 的目的地位址群組搭配使用。
- 含有 IPv4 CIDR 的目的地 IP 位址範圍,無法與含有 IPv6 CIDR 的目的地位址群組搭配使用。
- 含有 IPv6 CIDR 的目的地 IP 位址範圍,無法與含有 IPv4 CIDR 的目的地位址群組搭配使用。
- 到達網頁 Google 威脅情報清單或到達網頁 地理位置無法與到達網頁非網際網路類型搭配使用。
Cloud NGFW 會套用下列邏輯,將封包與使用目的地組合的輸出規則相符:
如果目的地組合不包含目的地網路類型,只要封包符合目的地組合中的至少一個目的地參數,就會符合輸出規則。
如果目的地組合包含目的地網路類型,封包符合目的地網路類型和目的地組合中至少一個其他目的地參數,就會符合輸出規則。
網路類型
網路類型可協助您更有效率地使用較少的防火牆政策規則,達成安全目標。Cloud NGFW 支援四種網路類型,可用於在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策的規則中,建立來源組合或目的地組合。
下表列出四種網路類型,以及網路類型是否可用於 Ingress 規則的來源組合、Egress 規則的目的地組合,或兩者皆可。
| 網路類型 | 輸入規則的來源 | 輸出規則的目的地 |
|---|---|---|
網際網路 (INTERNET) |
||
非網際網路 (NON_INTERNET) |
||
虛擬私有雲網路 (VPC_NETWORKS) |
||
虛擬私有雲內部 (INTRA_VPC) |
網際網路和非網際網路類型互斥,虛擬私有雲網路和虛擬私有雲內部網路類型是「非網際網路」網路類型的子集。
網際網路類型
網際網路網路類型 (INTERNET) 可做為輸入規則的來源組合一部分,或輸出規則的目的地組合一部分:
針對輸入規則,指定網際網路類型來源和至少一個其他來源參數,安全標記來源除外。如果封包符合至少一個其他來源參數,且符合網際網路類型來源參數,則封包符合輸入規則。
針對輸出規則,指定網際網路類型目的地和至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和網際網路類型目的地參數,就會符合輸出規則。
本節的其餘內容說明 Cloud NGFW 用來判斷封包是否屬於網際網路網路類型的條件。
傳入封包的網際網路網路類型
由 Google Maglev 轉送至 VM 網路介面的連入封包,會視為屬於網際網路網路類型。當封包目的地符合下列任一條件時,Maglev 會將封包轉送至 VM 網路介面:
- VM 網路介面的地區外部 IPv4 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- VM 網路介面的地區性外部 IPv6 位址、外部直通網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,且封包並未使用透過虛擬私有雲網路對等互連匯入的子網路路由,或來自網路連線中心中樞的虛擬私有雲網路支點路由。
如要進一步瞭解 Maglev 路由至外部直通式網路負載平衡器或外部通訊協定轉送後端 VM 的封包,請參閱「外部直通式網路負載平衡器和外部通訊協定轉送的路徑」。
外送封包的網際網路網路類型
VM 網路介面傳送的輸出封包,以及使用預設網際網路閘道下一個躍點的靜態路徑所路由傳送的輸出封包,都視為屬於網際網路網路類型。不過,如果這些輸出封包的目的地 IP 位址是 Google API 和服務,這些封包就會視為屬於非網際網路網路類型。如要進一步瞭解如何連線至 Google API 和服務,請參閱「非網際網路網路類型」。
使用預設網際網路閘道下一個躍點的靜態路徑轉送封包時,VM 網路介面傳送至下列目的地的任何封包,都會視為屬於網際網路類型:
- Google 網路以外的外部 IP 位址目的地。
- VM 網路介面的地區外部 IPv4 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 全域外部負載平衡器轉送規則的全域外部 IPv4 和 IPv6 位址目的地。
VM 網路介面傳送至 Cloud VPN 和 Cloud NAT 閘道的封包,會視為屬於網際網路類型:
- 從執行 VPN 軟體的 VM 網路介面傳送至 Cloud VPN 閘道區域外部 IPv4 位址的輸出封包,會視為屬於網際網路類型。
- 從一個 Cloud VPN 閘道傳送至另一個 Cloud VPN 閘道的輸出封包,不屬於任何網路類型,因為防火牆規則只適用於 VM。
- 如果是 Public NAT,從 VM 網路介面傳送至 Cloud NAT 閘道區域外部 IPv4 位址的回應封包,會視為屬於網際網路類型。
如果虛擬私有雲網路是透過虛擬私有雲網路對等互連功能連線,或是虛擬私有雲網路以虛擬私有雲輻射網路的形式,參與同一個網路連線中心中樞,IPv6 子網路路徑就能提供連線,連至虛擬機器網路介面的區域外部 IPv6 位址目的地、區域外部負載平衡器轉送規則,以及外部通訊協定轉送規則。如果使用子網路路徑提供這些區域外部 IPv6 位址目的地的連線,則目的地會位於非網際網路網路類型中。
非網際網路網路類型
非網際網路網路類型 (NON-INTERNET) 可做為輸入規則的來源組合一部分,或輸出規則的目的地組合一部分:
針對輸入規則,指定非網際網路類型的來源,以及至少一個其他來源參數,但威脅情資清單來源或地理位置來源除外。如果封包符合至少一個其他來源參數 和,且符合非網際網路類型的來源參數,則封包符合輸入規則。
針對輸出規則,指定非網際網路類型的目的地,以及至少一個其他目的地參數。如果封包符合至少一個其他目的地參數 且符合非網際網路類型目的地參數,就會符合輸出規則。
本節的其餘部分會說明 Cloud NGFW 用來判斷封包是否屬於非網際網路網路類型的條件。
傳入封包的非網際網路網路類型
透過虛擬私有雲網路內的下一個躍點,或從 Google API 和服務轉送至 VM 網路介面的輸入封包,會視為屬於非網際網路網路類型。
在下列情況下,封包會透過虛擬私有雲網路內的下一個躍點,或從 Google API 和服務轉送:
封包目的地符合下列其中一項條件:
- VM 網路介面的區域內部 IPv4 或 IPv6 位址、內部直通式網路負載平衡器的轉送規則,或是內部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,且封包是透過本機子網路路徑、對等互連子網路路徑或網路連線中心子網路路徑轉送。
- 靜態路徑目的地範圍內的任何位址,其中接收 VM 是下一個躍點 VM,或是下一個躍點內部直通式網路負載平衡器的後端 VM。
封包來源符合下列其中一項條件:
- 全球 Google API 和服務使用的預設網域 IP 位址。
private.googleapis.com的 IP 位址或restricted.googleapis.com。- 全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、全域外部 Proxy 網路負載平衡器或傳統版 Proxy 網路負載平衡器使用的 Google 前端 IP 位址。詳情請參閱「Google 前端與後端之間的路徑」。
- 健康狀態檢查探測器的 IP 位址。詳情請參閱健康狀態檢查的路徑。
- Identity-Aware Proxy 用於 TCP 轉送的 IP 位址。詳情請參閱「Identity-Aware Proxy (IAP) 的路徑」。
- Cloud DNS 或 Service Directory 使用的 IP 位址。詳情請參閱「Cloud DNS 和 Service Directory 的路徑」。
- 無伺服器虛擬私有雲存取使用的 IP 位址。詳情請參閱無伺服器虛擬私有雲存取路徑。
- 全球 Google API 適用的 Private Service Connect 端點 IP 位址。詳情請參閱「全球 Google API 的 Private Service Connect 端點路徑」。
輸出封包的非網際網路網路類型
VM 網路介面傳送並在虛擬私有雲網路中轉送的傳出封包,或是傳送至 Google API 和服務的封包,都屬於非網際網路網路類型。
在下列情況下,封包會透過虛擬私有雲網路內的下一個躍點,或轉送至 Google API 和服務:
- 封包會使用子網路路徑轉送,包括下列目的地:
- VM 網路介面的地區性內部 IPv4 或 IPv6 位址目的地、內部負載平衡器的轉送規則,或內部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 封包會透過動態路徑轉送。
- 封包會透過靜態路徑轉送,這些路徑使用下一個躍點,但不是預設網際網路閘道。
- 封包會轉送至透過靜態路徑存取的全域 Google API 和服務,下一個躍點為預設網際網路閘道。全域 Google API 和服務目的地包括預設網域的 IP 位址,以及
private.googleapis.com和restricted.googleapis.com的 IP 位址。 - 透過下列任一路徑存取 Google 服務時的目的地:
虛擬私有雲網路類型
虛擬私有雲網路類型 (VPC_NETWORKS) 只能做為輸入規則的來源組合。您無法將虛擬私有雲網路類型做為輸出規則目的地組合的一部分。
如要將虛擬私有雲網路類型做為 Ingress 規則來源組合的一部分,請執行下列步驟:
您必須指定來源虛擬私有雲網路清單:
- 來源網路清單必須包含至少一個虛擬私有雲網路。 您最多可以在來源網路清單中新增 250 個虛擬私有雲網路。
- 您必須先建立虛擬私有雲網路,才能將其新增至來源網路清單。
- 你可以使用部分或完整網址 ID 新增電視網。
- 您新增至來源網路清單的 VPC 網路不必相互連線。每個虛擬私有雲網路都可以位於任何專案中。
- 如果虛擬私有雲網路在新增至來源網路清單後遭到刪除,清單中仍會保留對已刪除網路的參照。強制執行輸入規則時,Cloud NGFW 會忽略已刪除的 VPC 網路。如果來源網路清單中的所有 VPC 網路都已刪除,依據該清單的輸入規則就會失效,因為這些規則與任何封包都不相符。
您必須指定至少一個其他來源參數,但 威脅情報清單來源或 地理位置來源除外。
如果符合下列所有條件,封包就會與來源組合中使用 VPC 網路類型的輸入規則相符:
封包符合至少一個其他來源參數。
封包是由其中一個來源虛擬私有雲網路中的資源傳送。
來源 VPC 網路和包含連入規則的防火牆政策所套用的 VPC 網路是同一個 VPC 網路,或是透過 VPC 網路對等互連方式連線,或做為 Network Connectivity Center 中樞的 VPC 節點。
下列資源位於 VPC 網路中:
- VM 網路介面
- Cloud VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備
- 僅限 Proxy 的子網路中的 Envoy Proxy
- Private Service Connect 端點
- 無伺服器虛擬私人雲端存取連接器
虛擬私有雲網路內部類型
VPC 內部網路類型 (INTRA_VPC) 只能做為輸入規則的來源組合。您無法在輸出規則的目的地組合中使用 VPC 內網路類型。
如要使用虛擬私有雲內類型做為連入規則來源組合的一部分,您必須指定至少一個其他來源參數,但 威脅情資清單來源或 地理位置來源除外。
如果符合下列所有條件,封包就會符合在來源組合中使用 VPC 內類型傳輸規則:
封包符合至少一個其他來源參數。
封包是由虛擬私有雲網路中的資源傳送,而該網路套用了包含輸入規則的防火牆政策。
下列資源位於 VPC 網路中:
- VM 網路介面
- Cloud VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備
- 僅限 Proxy 的子網路中的 Envoy Proxy
- Private Service Connect 端點
- 無伺服器虛擬私人雲端存取連接器
地理位置物件
在防火牆政策規則中使用地理位置物件,根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量。
您可以對傳入和傳出流量套用含有地理位置物件的規則。系統會根據流量方向,比對與國家/地區代碼相關聯的 IP 位址與流量來源或目的地。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策設定地理位置物件。
如要將地理位置新增至防火牆政策規則,請使用 ISO 3166 alpha-2 國家/地區代碼中定義的兩個字母國家/地區代碼。
舉例來說,如要只允許來自美國的傳入流量進入網路,請建立傳入防火牆政策規則,並將來源國家/地區代碼設為
US,動作設為allow。同樣地,如要只允許前往美國的外送流量,請設定外送防火牆政策規則,並將目的地國家/地區代碼設為US,動作設為allow。Cloud NGFW 可讓您為下列受美國全面制裁的地區設定防火牆規則:
地域 指派的代碼 克里米亞 XC 所謂的頓內次克人民共和國及盧甘斯克人民共和國 XD 如果單一防火牆規則中包含任何重複的國家/地區代碼,系統只會保留該國家/地區代碼的一個項目。系統已移除重複的項目。舉例來說,在國家/地區代碼清單
ca,us,us中,只會保留ca,us。Google 會維護含有 IP 位址和國家/地區代碼對應項目的資料庫。Google Cloud 防火牆會使用這個資料庫,將來源和目的地流量的 IP 位址對應至國家/地區代碼,然後套用含有地理位置物件的相符防火牆政策規則。
在下列情況下,IP 位址指派和國家/地區代碼有時會變更:
- IP 位址在不同地理位置間的移動
- ISO 3166 alpha-2 國家/地區代碼標準更新
由於 Google 資料庫需要一段時間才能反映這些變更,因此您可能會發現某些流量中斷,或特定流量的行為有所改變 (遭封鎖或允許)。
將地理位置物件與其他防火牆政策規則篩選器搭配使用
您可以搭配其他來源或目的地篩選器使用地理位置物件。 視規則方向而定,防火牆政策規則會套用至符合所有指定篩選條件聯集的連入或連出流量。
如要瞭解地理位置物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源和網路防火牆政策中輸入規則的來源。
如要瞭解地理位置物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。
防火牆政策規則適用的 Google Threat Intelligence
防火牆政策規則可讓您根據 Google 威脅情報資料允許或封鎖流量,確保網路安全。Google Threat Intelligence 資料包括下列類別的 IP 位址清單:
- Tor 結束節點:Tor 是開放原始碼軟體,可進行匿名通訊。如要排除隱藏身分的使用者,請封鎖 Tor 結束節點的 IP 位址 (流量離開 Tor 網路的端點)。
- 已知的惡意 IP 位址:已知是網頁應用程式攻擊來源的 IP 位址。如要提升應用程式的安全性,請封鎖這些 IP 位址。
- 搜尋引擎:您可以允許這些 IP 位址,讓網站編入索引。
- 公有雲 IP 位址範圍:您可以封鎖這個類別,避免惡意自動化工具瀏覽網路應用程式;如果您的服務使用其他公有雲,則可以允許這個類別。這個類別進一步細分為以下子類別:
- Amazon Web Services 使用的 IP 位址範圍
- Microsoft Azure 使用的 IP 位址範圍
- Google Cloud使用的 IP 位址範圍
- Google 服務使用的 IP 位址範圍
Google 威脅情報資料清單可包含 IPv4 位址、IPv6 位址或兩者。如要在防火牆政策規則中設定 Google Threat Intelligence,請根據要允許或封鎖的類別,使用預先定義的 Google Threat Intelligence 清單名稱。這些清單會持續更新,保護服務免於新威脅侵擾,且無須額外設定。有效清單名稱如下。
| 名單名稱 | 說明 |
|---|---|
iplist-tor-exit-nodes |
比對 TOR 結束節點的 IP 位址 |
iplist-known-malicious-ips |
比對已知會攻擊網頁應用程式的 IP 位址 |
iplist-search-engines-crawlers |
與搜尋引擎檢索器的 IP 位址相符 |
iplist-vpn-providers |
比對信譽不佳的 VPN 供應商所屬 IP 位址 |
iplist-anon-proxies |
比對屬於開放式匿名 Proxy 的 IP 位址 |
iplist-crypto-miners |
與加密貨幣挖礦網站的 IP 位址相符 |
iplist-public-clouds
|
比對屬於公有雲的 IP 位址
|
搭配其他防火牆政策規則篩選器使用 Google Threat Intelligence
如要使用 Google 威脅情報定義防火牆政策規則,請按照下列指南操作:
針對輸出規則,請使用一或多個目的地 Google 威脅情報清單指定目的地。
針對輸入規則,使用一或多個來源 Google Threat Intelligence 清單指定來源。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策,設定 Google 威脅情報清單。
您可以將這些清單與其他來源或目的地規則篩選器元件搭配使用。
如要瞭解 Google 威脅情報清單如何與傳入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中傳入規則的來源和網路防火牆政策中傳入規則的來源。
如要瞭解 Google 威脅情報清單如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。
防火牆記錄是在規則層級進行,為方便您偵錯及分析防火牆規則的影響,請勿在單一防火牆規則中加入多個 Google Threat Intelligence 清單。
您可以在防火牆政策規則中新增多個 Google 威脅情報清單。 無論清單中包含多少 IP 位址或 IP 位址範圍,規則中包含的每個清單名稱都會計為一項屬性。舉例來說,如果您在防火牆政策規則中加入
iplist-tor-exit-nodes、iplist-known-malicious-ips和iplist-search-engines-crawlers清單名稱,每個防火牆政策的規則屬性數量就會增加三個。如要進一步瞭解規則屬性計數,請參閱配額與限制。
為 Google Threat Intelligence 清單建立例外狀況
如果您的規則適用於 Google 威脅情報清單,可以使用下列技術建立例外規則,適用於 Google 威脅情報清單中的特定 IP 位址:
選擇性允許防火牆規則:假設您有輸入或輸出防火牆規則,會拒絕來自或傳送至 Google 威脅情報清單的封包。如要允許來自或傳送至 Google 威脅情報清單中特定 IP 位址的封包,請建立優先順序較高的個別輸入或輸出允許防火牆規則,並將例外 IP 位址指定為來源或目的地。
選擇性拒絕防火牆規則:假設您有輸入或輸出防火牆規則,允許來自或傳送至 Google 威脅情報清單的封包。如要拒絕來自或傳送至 Google 威脅情報清單中特定 IP 位址的封包,請建立優先順序較高的輸入或輸出拒絕防火牆規則,並將例外 IP 位址指定為來源或目的地。
防火牆政策的位址群組
位址群組是 IPv4 位址範圍或 IPv6 位址範圍的邏輯集合,格式為 CIDR。您可以使用位址群組,定義許多防火牆規則參照的一致來源或目的地。更新位址群組時,不必修改使用這些群組的防火牆規則。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組。
您可以分別為輸入和輸出防火牆規則定義來源和目的地位址群組。
如要瞭解來源位址群組如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源和網路防火牆政策中輸入規則的來源。
如要瞭解目的地地址群組如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。
FQDN 物件
完整網域名稱 (FQDN) 物件包含您以網域名稱格式指定的網域名稱。您可以在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策中,使用 FQDN 物件做為輸入規則的來源,或輸出規則的目的地。
您可以將 FQDN 與其他參數合併使用。如要進一步瞭解輸入規則中的來源參數組合,請參閱「輸入規則的來源」。如要進一步瞭解輸出規則中的目的地參數組合,請參閱「輸出規則目的地」。
FQDN 物件支援 Cloud DNS 回應政策、VPC 網路範圍的代管不公開區域、Compute Engine 內部 DNS 名稱和公開 DNS 區域。只要虛擬私有雲網路沒有指定「替代名稱伺服器」的傳出伺服器政策,就適用這項支援。詳情請參閱「虛擬私有雲網路解析順序」。
將 FQDN 物件對應至 IP 位址
Cloud NGFW 會定期將 FQDN 物件解析為 IP 位址。Cloud NGFW 會遵循包含防火牆規則目標的虛擬私有雲網路中,Cloud DNS 的 VPC 名稱解析順序。
Cloud NGFW 會使用下列行為解析 IP 位址:
支援 CNAME 追蹤。如果 FQDN 物件查詢的答案是 CNAME 記錄,Cloud NGFW 會使用 Cloud DNS CNAME 追蹤。
節目 IP 位址。Cloud NGFW 會在程式設計使用 FQDN 物件的防火牆規則時,使用已解析的 IP 位址。每個 FQDN 物件最多可對應 32 個 IPv4 位址和 32 個 IPv6 位址。
如果 FQDN 物件查詢的 DNS 回應解析為超過 32 個 IPv4 位址或超過 32 個 IPv6 位址,Cloud NGFW 會將防火牆規則中程式設計的 IP 位址限制為前 32 個 IPv4 位址和前 32 個 IPv6 位址。
忽略 FQDN 物件。如果 Cloud NGFW 無法將 FQDN 物件解析為 IP 位址,系統會忽略該 FQDN 物件。在下列情況中,Cloud NGFW 會忽略 FQDN 物件:
收到
NXDOMAIN則回覆時。NXDOMAIN回答是來自名稱伺服器的明確回答,表示 FQDN 物件查詢沒有 DNS 記錄。答案中沒有 IP 位址。在這種情況下,FQDN 物件查詢不會產生 IP 位址,因此 Cloud NGFW 無法用來設定防火牆規則。
無法連線至 Cloud DNS 伺服器。如果提供答案的 DNS 伺服器無法連線,Cloud NGFW 會忽略 FQDN 物件。
如果系統忽略 FQDN 物件,Cloud NGFW 會盡可能規劃防火牆規則的其餘部分。
FQDN 物件的注意事項
網域名稱 (FQDN) 物件的注意事項:
由於 FQDN 物件會對應至 IP 位址並以 IP 位址的形式進行程式設計,因此當兩個以上的 FQDN 物件對應至相同 IP 位址時,Cloud NGFW 會採用下列行為。假設您有下列兩個防火牆規則,且適用於相同目標:
- 規則 1:優先順序
100,允許來自來源 FQDNexample1.com的連入流量 - 規則 2:優先順序
200,允許從來源 FQDNexample2.com傳入流量
如果
example1.com和example2.com都解析為相同的 IP 位址,則來自example1.com和example2.com的連入封包會比對第一個防火牆規則,因為這個規則的優先順序較高。- 規則 1:優先順序
使用 FQDN 物件時,請注意下列事項:
DNS 查詢可根據提出要求的用戶端位置,提供獨一無二的答案。
如果涉及 DNS 型負載平衡系統,DNS 答案可能會大幅變動。
DNS 答案可能包含超過 32 個 IPv4 位址。
DNS 答案可能包含超過 32 個 IPv6 位址。
在上述情況中,由於 Cloud NGFW 會在包含防火牆規則適用 VM 網路介面的每個區域中執行 DNS 查詢,因此防火牆規則中程式設計的 IP 位址不會包含與 FQDN 相關聯的所有可能 IP 位址。
大多數 Google 網域名稱 (例如
googleapis.com) 都會受到其中一或多種情況影響。請改用 IP 位址或位址群組。請勿將 FQDN 物件與 Cloud DNS DNS64 搭配使用。 Cloud NGFW 不會為 DNS64 使用的知名前置字串 (WKP) IPv6 位址進行程式設計。
DNS64 和 NAT64 應搭配使用,以便僅限 IPv6 的 VM 用戶端連線至僅限 IPv4 的伺服器。為提供這項連線能力,DNS64 供應商會針對沒有
AAAA記錄的 DNS 查詢,合成AAAA回應。合成的AAAA回覆會在 WKP IPv6 位址 (64:ff9b::/96) 的最後四個位元組中,編碼伺服器的 IPv4 位址。當僅限 IPv6 的用戶端將封包傳送至 WKP IPv6 位址時,NAT64 供應商會從 WKP IPv6 位址擷取 IPv4 伺服器位址,並開啟與僅限 IPv4 伺服器的 IPv4 連線。如果涉及 DNS64,建議您在防火牆規則中使用 IP 位址或位址群組。請務必同時加入伺服器的 IPv4 位址和 WKP IPv6 表示法。
請避免使用 DNS
A記錄的 FQDN 物件,這些記錄的存留時間 (TTL) 不得少於 90 秒。
網域名稱格式
FQDN 物件必須採用標準 FQDN 格式。此格式定義於 RFC 1035、RFC 1123 和 RFC 4343。如果網域名稱不符合下列所有格式規則,Cloud NGFW 會拒絕包含該網域名稱的 FQDN 物件:
每個 FQDN 物件都必須是網域名稱,且至少要有兩個標籤:
- 每個標籤都必須符合規則運算式,且只能包含以下字元:
[a-z]([-a-z0-9][a-z0-9])?.。 - 每個標籤的長度必須介於 1 到 63 個字元之間。
- 標籤必須以半形句號 (.) 串連。
因此,FQDN 物件不支援萬用字元 (
*) 或頂層 (或根) 網域名稱,例如*.example.com.和.org,因為這些只包含單一標籤。- 每個標籤都必須符合規則運算式,且只能包含以下字元:
FQDN 物件支援國際化網域名稱 (IDN)。您可以提供 Unicode 或 Punycode 格式的 IDN。請考量下列事項:
如果您以 Unicode 格式指定 IDN,Cloud NGFW 會先將其轉換為 Punycode 格式,再進行處理。
您可以使用 IDN 轉換工具,建立 IDN 的 Punycode 表示法。
每個標籤的字元限制為 1 至 63 個,適用於轉換為 Punycode 格式後的 IDN。
完整網域名稱 (FQDN) 的編碼長度不得超過 255 個位元組 (八位元)。
Cloud NGFW 不支援在同一個防火牆規則中使用等效網域名稱。舉例來說,如果兩個網域名稱 (或 IDN 的 Punycode 表示法) 最多只差一個結尾點 (.),Cloud NGFW 會將兩者視為相同。