全域網路防火牆政策可將所有防火牆規則分組為單一政策物件,方便您批次更新。您可以將網路防火牆政策指派給虛擬私有雲 (VPC) 網路,這類政策包含可明確拒絕或允許連線的規則。
規格
- 全域網路防火牆政策是防火牆規則的容器資源。
每個全域網路防火牆政策資源都是在專案中定義。
- 建立全域網路防火牆政策後,您可以在政策中新增、更新及刪除防火牆規則。
- 如要瞭解全域網路防火牆政策中規則的規格資訊,請參閱「防火牆政策規則」。
- 如要將全域網路防火牆政策規則套用至虛擬私有雲網路,您必須將防火牆政策與該虛擬私有雲網路建立關聯。
- 您可以將全域網路防火牆政策與多個虛擬私有雲網路建立關聯。確認防火牆政策和相關聯的網路屬於同一個專案。
- 每個 VPC 網路只能與一項全域網路防火牆政策建立關聯。
- 如果防火牆政策未與任何虛擬私有雲網路建立關聯,該政策中的規則就不會生效。如果防火牆政策未與任何網路建立關聯,就是未建立關聯的全域網路防火牆政策。
- 全域網路防火牆政策與一或多個虛擬私有雲網路建立關聯後,系統會透過下列方式強制執行防火牆政策規則:
- 系統會針對相關聯虛擬私有雲網路中的適用資源,強制執行現有規則。
- 系統會對相關聯 VPC 網路中的適用資源強制執行規則變更。
- 全域網路防火牆政策中的規則會與其他防火牆規則一併強制執行,詳情請參閱「政策和規則評估順序」。
全域網路防火牆政策規則詳細資料
如要進一步瞭解全域網路防火牆政策中規則的元件和參數,請參閱「防火牆政策規則」。
下表摘要列出全域網路防火牆政策規則與虛擬私有雲防火牆規則之間的主要差異:
| 全域網路防火牆政策規則 | 虛擬私有雲防火牆規則 | |
|---|---|---|
| 優先號碼 | 政策中的名稱不得重複 | 允許重複的優先順序 |
| 以服務帳戶做為目標 | 是 | 是 |
| 服務帳戶做為來源 (僅限輸入規則) |
否 | 是 |
| 代碼類型 | 安全代碼 | 聯播網代碼 |
| 名稱與說明 | 政策名稱、政策和規則說明 | 規則名稱和說明 |
| 批次更新 | 是 - 適用於政策複製、編輯和取代功能 | 否 |
| 重複使用 | 是 | 否 |
| 配額 | 屬性計數:根據政策中每項規則的複雜度總和 | 規則數量:複雜和簡單的防火牆規則對配額的影響相同 |
預先定義的規則
建立全域網路防火牆政策時,Cloud Next Generation Firewall 會將優先順序最低的預先定義規則新增至政策。這些規則會套用至政策中未明確定義規則的任何連線,導致這類連線傳遞至較低層級的政策或網路規則。
如要瞭解各種預先定義的規則類型及其特性,請參閱「預先定義的規則」。
Identity and Access Management (IAM) 角色
IAM 角色可控管下列與全域網路防火牆政策相關的動作:
- 建立全域網路防火牆政策
- 將政策連結至網路
- 修改現有政策
- 查看特定網路或 VM 的有效防火牆規則
下表說明各項動作所需的角色:
| 動作 | 必要角色 |
|---|---|
| 建立新的全域網路防火牆政策 | 專案的Compute 安全管理員角色 (roles/compute.securityAdmin),政策屬於該專案 |
| 將政策與網路建立關聯 | 政策所在專案的Compute 網路管理員角色 (roles/compute.networkAdmin) |
| 新增、更新或刪除政策防火牆規則,藉此修改政策 | 專案的Compute 安全性管理員角色 (roles/compute.securityAdmin),政策將位於該專案中 |
| 刪除政策 | 政策所在專案的Compute 網路管理員角色 (roles/compute.networkAdmin) |
| 查看虛擬私有雲網路的有效防火牆規則 | 網路的下列任一角色: Compute 網路管理員角色 ( roles/compute.networkAdmin)Compute 網路檢視者角色 ( roles/compute.networkViewer)Compute 安全管理員角色 ( roles/compute.securityAdmin)Compute 檢視者角色 ( roles/compute.viewer)
|
| 查看網路中 VM 的有效防火牆規則 | 虛擬機的下列任一角色: Compute 執行個體管理員 (v1) 角色 ( roles/compute.instanceAdmin)Compute 安全管理員角色 ( roles/compute.securityAdmin)Compute 檢視者角色 ( roles/compute.viewer)
|
下列角色與全域網路防火牆政策相關。
| 角色名稱 | 說明 |
|---|---|
Compute 安全管理員角色 (roles/compute.securityAdmin)
|
可以在專案或政策層級授予。如果是在專案層級授予,使用者就能建立、更新及刪除全域網路防火牆政策和相關規則。在政策層級,使用者可以更新政策規則,但無法建立或刪除政策。使用者也可以透過這個角色,將政策與網路建立關聯。 |
Compute 網路管理員角色 (roles/compute.networkAdmin)
|
在專案層級或網路層級授予。如果授予網路權限,使用者就能查看全域網路防火牆政策清單。 |
運算檢視者角色 (roles/compute.viewer)運算網路使用者角色 ( roles/compute.networkUser)運算網路檢視者角色 ( roles/compute.networkViewer) |
允許使用者查看套用至網路或執行個體的防火牆規則。 包括網路的 compute.networks.getEffectiveFirewalls 權限和執行個體的 compute.instances.getEffectiveFirewalls 權限。 |