本頁面中的部分或全部資訊可能不適用於 Trusted Cloud by S3NS。

本頁面由 Cloud Translation API 翻譯而成。

防火牆政策

防火牆政策可讓您將多項防火牆規則組成群組，然後一次更新所有規則，並透過 Identity and Access Management (IAM) 角色有效地控管。這些政策包含可明確拒絕或允許連線的規則，與虛擬私有雲 (VPC) 防火牆規則相同。

階層式防火牆政策

階層式防火牆政策可讓您將規則分組到政策物件中，並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。

如要瞭解階層式防火牆政策的規格和詳細資料，請參閱「階層式防火牆政策」。

全域網路防火牆政策

全域網路防火牆政策可讓您將規則分組到適用於所有區域 (全域) 的政策物件中。將全域網路防火牆政策與虛擬私有雲網路建立關聯後，政策中的規則即可套用至虛擬私有雲網路中的資源。

如要瞭解全域網路防火牆政策的規格和詳細資料，請參閱全域網路防火牆政策。

區域性防火牆政策

區域網路防火牆政策可讓您將規則編成政策物件群組，並套用至特定區域。將區域網路防火牆政策與虛擬私有雲網路建立關聯後，政策中的規則即可套用至虛擬私有雲網路該區域內的資源。

如要瞭解區域防火牆政策的規格和詳細資料，請參閱區域網路防火牆政策。

政策和規則評估順序

階層式防火牆政策、全域網路防火牆政策、區域網路防火牆政策和虛擬私有雲防火牆規則中的規則，會實作為 Andromeda 網路虛擬化堆疊的 VM 封包處理程序。系統會評估 VM 的每個網路介面 (NIC) 規則。

規則的適用性與通訊協定和通訊埠設定的具體程度無關。舉例來說，如果允許所有通訊協定的規則優先順序較高，則會優先於專門拒絕 TCP 通訊埠 22 流量的規則。

此外，規則的適用性與目標參數的明確程度無關。舉例來說，即使存在優先順序較低的拒絕規則，且該規則具有更明確的目標參數 (例如特定服務帳戶或標記)，優先順序較高的允許規則仍會優先套用至所有 VM (所有目標)。

決定政策和規則的評估順序

防火牆政策規則和虛擬私有雲防火牆規則的評估順序，取決於附加至 VM NIC 的虛擬私有雲網路的 networkFirewallPolicyEnforcementOrder 旗標。

networkFirewallPolicyEnforcementOrder 旗標可有下列兩個值：

BEFORE_CLASSIC_FIREWALL：如果將標記設為 BEFORE_CLASSIC_FIREWALL，系統會在規則評估順序中，先評估全域網路防火牆政策和區域網路防火牆政策，再評估虛擬私有雲防火牆規則。
AFTER_CLASSIC_FIREWALL：如果將標記設為 AFTER_CLASSIC_FIREWALL，系統會在規則評估順序中，於虛擬私有雲防火牆規則之後，評估全域網路防火牆政策和區域網路防火牆政策。AFTER_CLASSIC_FIREWALL 是 networkFirewallPolicyEnforcementOrder 標記的預設值。

如要變更規則評估順序，請參閱「變更政策和規則評估順序」。

預設政策和規則評估順序

根據預設，當附加至 VM NIC 的 VPC 網路為 AFTER_CLASSIC_FIREWALL 時，Trusted Cloud by S3NS 會依下列順序評估適用於 VM NIC 的規則：networkFirewallPolicyEnforcementOrder

如果階層式防火牆政策與包含 VM 專案的機構相關聯， Trusted Cloud 會評估階層式防火牆政策中的所有適用規則。由於階層式防火牆政策中的規則不得重複，因此系統會根據與流量方向和第 4 層特徵相符的最高優先順序規則，決定流量的處理方式：
- 這項規則可以允許流量。評估程序會停止。
- 規則可以拒絕流量。評估程序會停止。
- 如果符合下列任一條件，規則可允許處理後續步驟中定義的規則：
  - 動作為 goto_next 的規則符合流量。
  - 沒有任何規則符合流量。在此情況下，系統會套用隱含的 goto_next 規則。
如果階層式防火牆政策與 VM 專案最遠的 (頂端) 資料夾上層祖先相關聯， Trusted Cloud 會評估該資料夾中階層式防火牆政策的所有適用規則。由於階層式防火牆政策中的規則必須是唯一的，因此系統會根據流量方向和第 4 層特徵，判斷要套用哪個優先順序最高的規則來處理流量 (allow、deny、或 goto_next)，如第一個步驟所述。
Trusted Cloud 針對與 VM 專案較接近的下一個資料夾 (位於資源階層中)，重複執行上一個步驟的動作。Trusted Cloud 首先，系統會評估與最遠的資料夾上層 (最接近機構) 相關聯的階層式防火牆政策中的規則，然後評估與 VM 專案較接近的下一個 (子項) 資料夾相關聯的階層式防火牆政策中的規則。
如果 VM 的 NIC 所用 VPC 網路中存在 VPC 防火牆規則， Trusted Cloud 會評估所有適用的 VPC 防火牆規則。

與防火牆政策中的規則不同：
- 虛擬私有雲防火牆規則沒有明確的 goto_next 動作。虛擬私有雲防火牆規則只能設定為允許或拒絕流量。
- 虛擬私有雲網路中的兩個以上虛擬私有雲防火牆規則可以共用相同的優先順序編號。在這種情況下，拒絕規則的優先順序高於允許規則。如要進一步瞭解 VPC 防火牆規則優先順序，請參閱 VPC 防火牆規則說明文件中的「優先順序」一節。
如果沒有任何虛擬私有雲防火牆規則適用於該流量，Trusted Cloud 會繼續執行下一個步驟，也就是隱含的 goto_next。
如果全域網路防火牆政策與 VM NIC 的虛擬私有雲網路相關聯， Trusted Cloud 會評估防火牆政策中的所有適用規則。由於防火牆政策中的規則必須是唯一的，因此系統會根據符合流量方向和第 4 層特徵的最高優先順序規則，決定如何處理流量 (allow、deny、或 goto_next)，如第一個步驟所述。
如果區域網路防火牆政策與 VM NIC 的 VPC 網路和 VM 區域相關聯，Trusted Cloud 會評估防火牆政策中的所有適用規則。由於防火牆政策中的規則不得重複，因此系統會根據流量方向和第 4 層特徵，判斷優先順序最高的規則，並據此決定流量的處理方式 (allow、deny 或 goto_next)，如第一個步驟所述。
在評估的最後一個步驟中， Trusted Cloud 會強制執行隱含允許輸出和隱含拒絕輸入的虛擬私有雲防火牆規則。

下圖顯示防火牆規則的解析流程。

防火牆規則解決流程。 — **圖 1.** 防火牆規則解析流程 (按一下可放大)。

變更政策和規則評估順序

Trusted Cloud 可讓您調換虛擬私有雲防火牆規則和網路防火牆政策 (包括全域和區域) 的順序，變更預設規則評估程序。進行這項交換時，系統會先評估規則評估順序中的全域網路防火牆政策 (步驟 5) 和區域網路防火牆政策 (步驟 6)，再評估虛擬私有雲防火牆規則 (步驟 4)。

如要變更規則評估順序，請執行下列指令，將 VPC 網路的 networkFirewallPolicyEnforcementOrder 屬性設為 BEFORE_CLASSIC_FIREWALL：

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

詳情請參閱 networks.patch 方法。

有效的防火牆規則

階層式防火牆政策規則、虛擬私有雲防火牆規則，以及全域和區域網路防火牆政策規則，都會控管連線。查看影響個別網路或 VM 介面的所有防火牆規則，或許能派上用場。

網路有效防火牆規則

您可以查看套用至虛擬私有雲網路的所有防火牆規則。清單包含下列所有類型的規則：

從階層式防火牆政策繼承的規則
虛擬私有雲防火牆規則
從全域和區域網路防火牆政策套用的規則

執行個體有效的防火牆規則

您可以查看套用至 VM 網路介面的所有防火牆規則。清單包含下列所有類型的規則：

從階層式防火牆政策繼承的規則
透過介面的虛擬私有雲防火牆套用的規則
從全域和區域網路防火牆政策套用的規則

規則的排序方式是從機構層級到虛擬私有雲網路。系統只會顯示套用至 VM 介面的規則。不會顯示其他政策中的規則。

如要查看區域內的有效防火牆政策規則，請參閱「取得網路的有效防火牆政策」。

預先定義的規則

建立階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策時，Cloud NGFW 會在政策中新增預先定義的規則。Cloud NGFW 新增至政策的預先定義規則，取決於您建立政策的方式。

如果您使用 Trusted Cloud 控制台建立防火牆政策，Cloud NGFW 會將下列規則新增至新政策：

私人 IPv4 範圍的 Goto-next 規則
預先定義的地理位置拒絕規則
優先順序最低的 goto-next 規則

如果您使用 Google Cloud CLI 或 API 建立防火牆政策，Cloud NGFW 只會將優先順序最低的 goto-next 規則新增至政策。

新防火牆政策中的所有預先定義規則，都會刻意使用低優先順序 (優先順序編號較大)，因此您可以建立優先順序較高的規則來覆寫這些規則。除了優先順序最低的 goto-next 規則，您也可以自訂預先定義的規則。

私人 IPv4 範圍的 goto-next 規則

輸出規則，目的地 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16，優先順序為 1000，動作為 goto_next。
輸入規則，來源 IPv4 範圍為 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16，優先順序為 1001，動作為 goto_next。

預先定義的地理位置拒絕規則

一項來源比對地理位置為 CU、IR、KP、SY、XC 和 XD 的連入規則，優先順序為 1005，且動作為 deny。

如要進一步瞭解地理位置，請參閱「地理位置物件」。

優先順序最低的 goto-next 規則

您無法修改或刪除下列規則：

目的地 IPv6 範圍為 ::/0、優先順序為 2147483644 且動作為 goto_next 的輸出規則。
輸入規則，來源 IPv6 範圍為 ::/0，優先順序為 2147483645，且動作為 goto_next。
目的地 IPv4 範圍為 0.0.0.0/0、優先順序為 2147483646 且動作為 goto_next 的輸出規則。
來源 IPv4 範圍為 0.0.0.0/0、優先順序為 2147483647，且動作為 goto_next 的輸入規則。

後續步驟

如要建立及修改階層式防火牆政策和規則，請參閱「使用階層式防火牆政策」。
如要查看階層式防火牆政策的實作範例，請參閱「階層式防火牆政策範例」。
如要建立及修改全域網路防火牆政策和規則，請參閱「使用全域網路防火牆政策」。
如要建立及修改區域網路防火牆政策和規則，請參閱「使用區域網路防火牆政策」。