建立防火牆政策規則時,您必須指定一組用來定義規則作用的組成部分。這些元件會指定流量方向、來源、目的地,以及第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。
每項防火牆政策規則都會分別套用到傳入 (ingress) 或傳出 (egress) 連線。
輸入規則
Ingress 方向是指從特定來源傳送到 Trusted Cloud by S3NS 目標的傳入連線。輸入規則會套用到傳入封包,其中封包的目的地為目標。
動作為 deny 的輸入規則可封鎖所有傳入執行個體的連線,藉此保護這些執行個體。優先順序較高的規則可能會允許傳入權限。自動建立的預設網路會包含一些預先填入的虛擬私有雲防火牆規則,允許特定類型的流量進入。
輸出規則
Egress 方向是指從目標傳送到目的地的輸出流量。輸出規則會套用到新連線的封包,其中封包的來源為目標。
動作為 allow 的輸出規則可讓執行個體將流量傳送到規則中指定的目的地。優先順序較高的deny防火牆規則 Trusted Cloud 可能會拒絕輸出流量,也會封鎖或限制特定類型的流量。
防火牆政策規則元件
階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則,都會使用本節所述的元件。「防火牆政策」一詞是指這三種政策的任一類型。如要進一步瞭解防火牆政策類型,請參閱「防火牆政策」。
防火牆政策規則的運作方式大致與 VPC 防火牆規則相同,但仍有幾處差異,詳情請參閱下列章節。
優先順序
防火牆政策中規則的優先順序是 0 到 2,147,483,647 之間的整數 (包含首尾)。整數值越小代表優先順序越高。防火牆政策中規則的優先順序與VPC 防火牆規則的優先順序類似,但有以下差異:
- 防火牆政策中的每項規則都必須有不重複的優先順序。
- 防火牆政策中規則的優先順序是規則的專屬 ID。防火牆政策中的規則不會使用名稱進行識別。
- 防火牆政策中規則的優先順序,決定了防火牆政策本身的評估順序。系統會按照「政策和規則評估順序」一文所述,評估虛擬私有雲防火牆規則,以及階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策中的規則。
相符時執行的動作
防火牆政策中的規則可以採取下列其中一項動作:
allow允許流量並停止進一步評估規則。deny會禁止流量,並停止進一步評估規則。
goto_next會繼續進行規則評估程序。
強制執行
您可以將防火牆政策規則的狀態設為啟用或停用,藉此變更是否「執行」規則。您可以在建立或更新規則時設定強制執行狀態。
如果您在建立新的防火牆規則時未設定強制執行狀態,系統會自動啟用防火牆規則。
通訊協定和通訊埠
與虛擬私有雲防火牆規則類似,建立規則時,您必須指定一或多個通訊協定和連接埠限制。在規則中指定 TCP 或 UDP 時,您可以指定通訊協定、通訊協定和目的地通訊埠,或是通訊協定和目的地通訊埠範圍;您無法只指定通訊埠或通訊埠範圍。此外,您只能指定目的地連接埠。系統不支援以來源連接埠為依據的規則。
您可以在防火牆規則中使用下列通訊協定名稱:tcp、udp、icmp (適用於 IPv4 ICMP)、esp、ah、sctp 和 ipip。如為其他通訊協定,請使用 IANA 通訊協定號碼。
許多通訊協定在 IPv4 和 IPv6 中都使用相同的名稱和編號,但 ICMP 等部分通訊協定則不然。如要指定 IPv4 ICMP,請使用 icmp 或通訊協定編號 1。如要指定 IPv6 ICMP,請使用通訊協定編號 58。
防火牆規則不支援指定 ICMP 類型和代碼,僅支援通訊協定。
防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
如未指定通訊協定和通訊埠參數,規則會套用至所有通訊協定和目的地通訊埠。
記錄
防火牆政策規則的記錄功能與虛擬私有雲 防火牆規則記錄功能相同,但有以下例外狀況:
參考欄位包含防火牆政策 ID 和一個數字,指出政策附加的資源層級。舉例來說,
0表示政策套用至機構,1則表示政策套用至機構下的頂層資料夾。防火牆政策規則的記錄包含
target_resource欄位,可識別規則適用的虛擬私有雲網路。
- 記錄功能只能針對
allow和deny規則啟用,無法針對goto_next規則啟用。
目標、來源、目的地
目標參數會識別防火牆規則套用的執行個體網路介面。
您可以指定來源參數和目的地參數,套用至輸入和輸出防火牆規則的封包來源或目的地。防火牆規則的方向會決定來源和目的地參數的可能值。
目標、來源和目的地參數會搭配運作。
目標
所有輸入和輸出防火牆規則都有目標。目標會識別 Compute Engine 執行個體的網路介面,包括 Google Kubernetes Engine 節點和 App Engine 彈性環境執行個體,防火牆規則會套用至這些介面。
每項防火牆規則都有「最廣泛的目標」,您可以指定「目標參數」或「目標參數組合」來縮小目標範圍。如果您未指定目標參數或目標參數組合,防火牆規則會套用至最廣泛的目標。
階層式防火牆政策中規則的適用範圍最廣:位於 Resource Manager 節點 (資料夾或機構) 下方專案中,與階層式防火牆政策相關聯的任何 VPC 網路,其任何區域的子網路中所有 VM 網路介面。
全域網路防火牆政策中規則的適用範圍最廣:與全域網路防火牆政策相關聯的虛擬私有雲網路中,任何區域的子網路內所有 VM 網路介面。
區域網路防火牆政策中規則的適用範圍最廣:區域內子網路中的所有 VM 網路介面,以及與區域網路防火牆政策相關聯的虛擬私有雲網路。
下表列出有效的目標參數和組合,可用於縮小防火牆規則的目標範圍:
| 目標參數 | 階層式防火牆政策支援 | 全域和區域網路防火牆政策支援 |
|---|---|---|
| 目標虛擬私有雲網路資源
以 |
||
| 目標服務帳戶
使用 |
||
| 目標服務帳戶與目標 VPC 網路資源的組合 在同一條規則中同時使用
|
||
| 根據含有網路用途資料的代碼鍵,指定安全代碼值
標記鍵的一或多個標記值清單,其用途資料指定單一虛擬私有雲網路。這份清單會將防火牆規則最廣泛的目標,縮小至目的資料中指定的 VPC 網路內的 VM 網路介面。詳情請參閱防火牆的安全標記。 |
||
| 根據機構用途資料,從廣告代碼鍵指定安全廣告代碼值
一或多個標記值所組成的清單,這些標記值來自用途資料為 |
輸入規則的目標和 IP 位址
系統會根據下列條件,處理轉送至目標 VM 網路介面的封包:
如果輸入防火牆規則包含目的地 IP 位址範圍,封包的目的地必須符合其中一個明確定義的目的地 IP 位址範圍。
如果輸入防火牆規則未包含目的地 IP 位址範圍,封包目的地就必須符合下列其中一個 IP 位址:
指派給執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
與執行個體 NIC 相關聯的外部 IPv4 位址。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,用於直通負載平衡,其中執行個體是內部直通網路負載平衡器或外部直通網路負載平衡器的後端。
與用於通訊協定轉送的轉送規則相關聯的內部或外部 IP 位址,其中執行個體是由目標執行個體參照。
使用執行個體 (
next-hop-instance或next-hop-address) 做為下一個躍點 VM 的自訂靜態路徑目的地範圍內的 IP 位址。如果 VM 是內部直通式網路負載平衡器 (
next-hop-ilb) 的後端,且該負載平衡器是自訂靜態路徑的下一個躍點,則為該路徑目的地範圍內的 IP 位址。
輸出規則的目標和 IP 位址
從目標的網路介面發出的封包處理方式,取決於目標 VM 的 IP 轉送設定。IP 轉送功能預設為停用。
如果目標 VM 已停用 IP 轉送功能,該 VM 可以發出具有下列來源的封包:
執行個體 NIC 的主要內部 IPv4 位址。
執行個體 NIC 上設定的任何別名 IP 位址範圍。
如果子網路上已設定 IPv6,則為指派給 NIC 的任何 IPv6 位址。
與轉送規則相關聯的內部或外部 IP 位址,適用於直通式負載平衡或通訊協定轉送。如果執行個體是內部直通式網路負載平衡器、外部直通式網路負載平衡器的後端,或是目標執行個體參照的執行個體,則此為有效狀態。
如果輸出防火牆規則包含來源 IP 位址範圍,目標 VM 仍會限制為先前提及的來源 IP 位址,但來源參數可用於縮小該集合。如果未使用來源參數,且未啟用 IP 轉送,不會擴展可能的封包來源位址集。
如果輸出防火牆規則「未」包含來源 IP 位址範圍,則允許所有先前提及的來源 IP 位址。
如果目標 VM 啟用 IP 轉送功能,該 VM 就能發出含有任意來源位址的封包。您可以使用來源參數,更精確地定義允許的封包來源集。
來源
來源參數值取決於下列因素:
- 包含防火牆規則的防火牆政策類型
- 防火牆規則的方向
輸入規則的來源
下表列出來源參數,這些參數可單獨使用,也可以在單一輸入防火牆政策規則中合併使用。您必須至少指定一個來源參數,才能使用 Cloud NGFW。
| 輸入規則來源參數 | 階層式防火牆政策支援 | 全域和區域網路防火牆政策支援 |
|---|---|---|
| 來源 IP 位址範圍
簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
||
| 來源位址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
||
| 來源網域名稱
一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱 (FQDN) 物件。 |
||
| 從含有網路用途資料的廣告代碼鍵擷取安全廣告代碼值
標記鍵的一或多個標記值清單,其用途資料指定單一虛擬私有雲網路。詳情請參閱「防火牆的安全標記」和「來源安全標記如何表示封包來源」。 |
||
| 從含有機構用途資料的標記鍵取得安全標記值
一或多個標記值所組成的清單,這些標記值來自用途資料為 |
||
| 來源地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
||
| 來源網路類型
定義安全邊界的限制。詳情請參閱「網路類型」。 |
在單一 Ingress 規則中,您可以使用兩個以上的來源參數來產生來源組合。Cloud NGFW 會對每個傳入規則的來源組合強制執行下列限制:
- 來源 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得兩者混用。
- 含有 IPv4 CIDR 的來源位址群組,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv4 CIDR 的來源 IP 位址範圍,無法與含有 IPv6 CIDR 的來源位址群組搭配使用。
- 含有 IPv6 CIDR 的來源 IP 位址範圍,無法與含有 IPv4 CIDR 的來源位址群組搭配使用。
- 網際網路網路類型無法與來源安全標記搭配使用。
- 非網際網路類型、虛擬私有雲網路類型和虛擬私有雲間類型,無法搭配 來源地理位置使用。
Cloud NGFW 會套用下列邏輯,將封包與使用來源組合的輸入規則相符:
如果來源組合未包含來源網路類型,只要封包符合來源組合中的至少一個來源參數,就會符合輸入規則。
如果來源組合包含來源網路類型,封包符合來源網路類型和來源組合中至少一個其他來源參數,就會符合輸入規則。
來源安全標記如何表示封包來源
防火牆政策中的輸入規則可使用來源安全標記 (標記值) 指定來源。安全標記值會識別網路介面,而非 IP 位址等封包特徵。
根據下列規則,從 VM 執行個體網路介面傳送的封包會比對使用來源安全標記值的輸入規則:
如果輸入規則位於區域網路政策中,VM 執行個體必須位於與區域網路防火牆政策相同的區域。否則,VM 執行個體可以位於任何區域。
VM 執行個體必須與用做輸入防火牆規則中來源安全標記的安全標記值相關聯。
與 VM 執行個體相關聯,且由輸入防火牆規則使用的安全標記值,必須來自標記鍵,而該標記鍵的
purpose-data屬性至少會識別一個包含 VM 執行個體網路介面的虛擬私有雲網路:如果標記鍵的用途資料指定單一 VPC 網路,則使用來源安全標記值的輸入防火牆規則,會套用至該 VPC 網路中 VM 執行個體的網路介面。
如果標記鍵的用途資料指定了機構,則使用來源安全標記值的輸入防火牆規則,會套用至機構任何 VPC 網路中 VM 執行個體的網路介面。
所識別的 VM 網路介面必須符合下列其中一項條件:
- VM 網路介面與防火牆政策套用的 VPC 網路位於同一個 VPC 網路。
- VM 網路介面所屬的虛擬私有雲網路,會使用虛擬私有雲網路對等互連,連線至套用防火牆政策的虛擬私有雲網路。
如要進一步瞭解防火牆的安全代碼,請參閱規格。
輸出規則的來源
在階層式防火牆政策和網路防火牆政策中,您都可以使用下列來源做為輸出規則:
預設值 - 由目標隱含:如果您從輸出規則中省略來源參數,系統會隱含定義封包來源,如「輸出規則的目標和 IP 位址」一文所述。
來源 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
來源 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為輸出規則新增來源 IP 位址範圍,請按照下列指引操作:
- 如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果輸出規則中包含來源 IP 位址範圍和目的地參數,系統會將目的地參數解析為與來源 IP 版本相同的 IP 版本。
舉例來說,在輸出規則中,來源參數含有 IPv4 位址範圍,目的地參數則含有 FQDN 物件。如果 FQDN 同時解析為 IPv4 和 IPv6 位址,系統只會在強制執行規則時使用解析出的 IPv4 位址。
目的地
您可以使用 IP 位址範圍指定目的地,階層式和網路防火牆政策的輸入和輸出規則都支援這項功能。預設目的地行為取決於規則的方向。
輸入規則的目的地
在階層式和網路防火牆政策中,您都可以使用下列輸入防火牆規則的目的地:
預設值 - 由目標隱含:如果您從輸入規則中省略目的地參數,系統會隱含定義封包目的地,如「輸入規則的目標和 IP 位址」一文所述。
目的地 IPv4 位址範圍:採用 CIDR 格式的 IPv4 位址清單。
目的地 IPv6 位址範圍:採用 CIDR 格式的 IPv6 位址清單。
如要為連入規則新增目的地 IP 位址範圍,請按照下列準則操作:
如果 VM 介面同時指派了內部和外部 IPv4 位址,系統只會在規則評估期間使用內部 IPv4 位址。
如果入口規則中同時定義來源和目的地參數,來源參數會解析為與目的地 IP 版本相同的 IP 版本。如要進一步瞭解如何定義輸入規則的來源,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
舉例來說,在 Ingress 規則中,目的地參數含有 IPv6 位址範圍,來源參數則含有地理位置國家/地區代碼。在強制執行規則期間,系統只會使用對應的 IPv6 位址,做為指定來源國家/地區代碼。
輸出規則的目的地
下表列出可在單一輸出防火牆政策規則中單獨使用或搭配使用的目的地參數。您必須指定至少一個目的地參數,才能使用 Cloud NGFW。
| 輸出規則目的地參數 | 階層式防火牆政策支援 | 全域和區域網路防火牆政策支援 |
|---|---|---|
| 目的地 IP 位址範圍
簡單的清單,包含 CIDR 格式的 IPv4 位址或 CIDR 格式的 IPv6 位址。這份清單會儲存在防火牆政策規則本身。 |
||
| 目的地地址群組
可重複使用的 IPv4 位址集合 (CIDR 格式) 或 IPv6 位址集合 (CIDR 格式)。防火牆政策規則會參照集合。詳情請參閱防火牆政策的位址群組。 |
||
| 到達網域名稱
一或多個來源網域名稱的清單。如要進一步瞭解網域名稱如何轉換為 IP 位址,請參閱完整網域名稱 (FQDN) 物件。 |
||
| 目的地地理位置
一或多個來源地理位置的清單,以雙字母國家/地區代碼指定。詳情請參閱地理位置物件。 |
||
| 目標網路類型
定義安全邊界的限制。詳情請參閱「網路類型」。 |
在單一輸出規則中,您可以使用兩個以上的目的地參數來產生目的地組合。Cloud NGFW 會對每個輸出規則的目的地組合強制執行下列限制:
- 目的地 IP 位址範圍必須包含 IPv4 或 IPv6 CIDR,不得同時包含兩者。
- 包含 IPv4 CIDR 的目的地位址群組,無法與包含 IPv6 CIDR 的目的地位址群組搭配使用。
- 含有 IPv4 CIDR 的目的地 IP 位址範圍,無法與含有 IPv6 CIDR 的目的地位址群組搭配使用。
- 含有 IPv6 CIDR 的目的地 IP 位址範圍,無法與含有 IPv4 CIDR 的目的地位址群組搭配使用。
- 到達網頁 地理位置無法與到達網頁非網際網路類型搭配使用。
Cloud NGFW 會套用下列邏輯,將封包與使用目的地組合的輸出規則相符:
如果目的地組合不包含目的地網路類型,只要封包符合目的地組合中的至少一個目的地參數,就會符合輸出規則。
如果目的地組合包含目的地網路類型,封包符合目的地網路類型和目的地組合中至少一個其他目的地參數,就會符合輸出規則。
網路類型
網路類型可協助您更有效率地使用較少的防火牆政策規則,達成安全目標。Cloud NGFW 支援四種網路類型,可用於在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策的規則中,建立來源組合或目的地組合。
下表列出四種網路類型,以及網路類型是否可用於 Ingress 規則的來源組合、Egress 規則的目的地組合,或兩者皆可。
| 網路類型 | 輸入規則的來源 | 輸出規則的目的地 |
|---|---|---|
網際網路 (INTERNET) |
||
非網際網路 (NON_INTERNET) |
||
虛擬私有雲網路 (VPC_NETWORKS) |
||
虛擬私有雲內部 (INTRA_VPC) |
網際網路和非網際網路類型互斥,虛擬私有雲網路和虛擬私有雲內部網路類型是「非網際網路」網路類型的子集。
網際網路類型
網際網路網路類型 (INTERNET) 可做為輸入規則的來源組合一部分,或輸出規則的目的地組合一部分:
針對輸入規則,指定網際網路類型來源和至少一個其他來源參數,安全標記來源除外。如果封包符合至少一個其他來源參數,且符合網際網路類型來源參數,則封包符合輸入規則。
針對輸出規則,指定網際網路類型目的地和至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和網際網路類型目的地參數,就會符合輸出規則。
本節的其餘內容說明 Cloud NGFW 用來判斷封包是否屬於網際網路網路類型的條件。
傳入封包的網際網路網路類型
由 Google Maglev 轉送至 VM 網路介面的連入封包,會視為屬於網際網路網路類型。當封包目的地符合下列任一條件時,Maglev 會將封包轉送至 VM 網路介面:
- VM 網路介面的地區外部 IPv4 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- VM 網路介面的地區性外部 IPv6 位址、外部直通網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,且封包並未使用透過虛擬私有雲網路對等互連匯入的子網路路由,或來自網路連線中心中樞的虛擬私有雲網路支點。
如要進一步瞭解 Maglev 路由至外部直通式網路負載平衡器或外部通訊協定轉送後端 VM 的封包,請參閱「外部直通式網路負載平衡器和外部通訊協定轉送的路徑」。
外送封包的網際網路類型
VM 網路介面傳送的輸出封包,以及使用預設網際網路閘道下一個躍點的靜態路徑所路由傳送的輸出封包,都視為屬於網際網路網路類型。不過,如果這些輸出封包的目的地 IP 位址是 Google API 和服務,這些封包就會視為屬於非網際網路網路類型。如要進一步瞭解如何連線至 Google API 和服務,請參閱「非網際網路網路類型」。
使用預設網際網路閘道下一個躍點的靜態路徑轉送封包時,VM 網路介面傳送至下列目的地的任何封包,都會視為屬於網際網路類型:
- Google 網路以外的外部 IP 位址目的地。
- VM 網路介面的地區外部 IPv4 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 全域外部負載平衡器轉送規則的全域外部 IPv4 和 IPv6 位址目的地。
VM 網路介面傳送至 Cloud VPN 和 Cloud NAT 閘道的封包,會視為屬於網際網路類型:
- 從執行 VPN 軟體的 VM 網路介面傳送至 Cloud VPN 閘道區域外部 IPv4 位址的輸出封包,會視為屬於網際網路類型。
- 從一個 Cloud VPN 閘道傳送至另一個 Cloud VPN 閘道的輸出封包,不屬於任何網路類型,因為防火牆規則只適用於 VM。
- 如果是 Public NAT,從 VM 網路介面傳送至 Cloud NAT 閘道區域外部 IPv4 位址的回應封包,會視為屬於網際網路類型。
如果虛擬私有雲網路是透過虛擬私有雲網路對等互連功能連線,或是虛擬私有雲網路以虛擬私有雲輻射網路的形式,參與同一個網路連線中心中樞,IPv6 子網路路徑就能提供連線,連至虛擬機器網路介面的區域外部 IPv6 位址目的地、區域外部負載平衡器轉送規則,以及外部通訊協定轉送規則。如果使用子網路路徑提供這些區域外部 IPv6 位址目的地的連線,則目的地會位於非網際網路網路類型中。
非網際網路網路類型
非網際網路網路類型 (NON-INTERNET) 可做為輸入規則的來源組合,或輸出規則的目的地組合:
針對輸入規則,指定非網際網路類型的來源,以及至少一個其他來源參數,但威脅情資清單來源或地理位置來源除外。如果封包符合至少一個其他來源參數 和非網際網路類型的來源參數,就會符合輸入規則。
針對輸出規則,指定非網際網路類型的目的地,以及至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和符合非網際網路類型目的地參數,就會符合輸出規則。
本節的其餘部分會說明 Cloud NGFW 用來判斷封包是否屬於非網際網路網路類型的條件。
傳入封包的非網際網路網路類型
透過虛擬私有雲網路內的下一個躍點,或從 Google API 和服務轉送至 VM 網路介面的輸入封包,會視為屬於非網際網路網路類型。
在下列情況下,封包會透過虛擬私有雲網路內的下一個躍點,或從 Google API 和服務轉送:
封包目的地符合下列其中一項條件:
- VM 網路介面的區域內部 IPv4 或 IPv6 位址、內部直通式網路負載平衡器的轉送規則,或是內部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,且封包是透過本機子網路路徑、對等互連子網路路徑或 Network Connectivity Center 子網路路徑轉送。
- 靜態路徑目的地範圍內的任何位址,其中接收 VM 是下一個躍點 VM,或是下一個躍點內部直通式網路負載平衡器的後端 VM。
封包來源符合下列其中一項條件:
- 全球 Google API 和服務使用的預設網域 IP 位址。
private.googleapis.com的 IP 位址或restricted.googleapis.com。- 全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、全域外部 Proxy 網路負載平衡器或傳統版 Proxy 網路負載平衡器所用的 Google 前端 IP 位址。詳情請參閱「Google 前端與後端之間的路徑」。
- 健康狀態檢查探測器的 IP 位址。詳情請參閱健康狀態檢查路徑。
- Identity-Aware Proxy 用於 TCP 轉送的 IP 位址。詳情請參閱「Identity-Aware Proxy (IAP) 的路徑」。
- Cloud DNS 或 Service Directory 使用的 IP 位址。詳情請參閱「Cloud DNS 和 Service Directory 的路徑」。
- 無伺服器虛擬私有雲存取使用的 IP 位址。詳情請參閱無伺服器虛擬私有雲存取路徑。
- 全球 Google API 適用的 Private Service Connect 端點 IP 位址。詳情請參閱「全球 Google API 的 Private Service Connect 端點路徑」。
輸出封包的非網際網路網路類型
VM 網路介面傳送並在虛擬私有雲網路中轉送的傳出封包,或是傳送至 Google API 和服務的封包,都屬於非網際網路網路類型。
在下列情況下,封包會透過虛擬私有雲網路內的下一個躍點,或轉送至 Google API 和服務:
- 封包會使用子網路路徑轉送,包括下列目的地:
- VM 網路介面的地區性內部 IPv4 或 IPv6 位址目的地、內部負載平衡器的轉送規則,或內部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 封包會透過動態路徑轉送。
- 封包會透過靜態路徑轉送,這些路徑使用下一個躍點,但不是預設網際網路閘道。
- 封包會轉送至透過靜態路徑存取的全域 Google API 和服務,且下一個躍點為預設網際網路閘道。全域 Google API 和服務目的地包括預設網域的 IP 位址,以及
private.googleapis.com和restricted.googleapis.com的 IP 位址。 - 透過下列任一路徑存取 Google 服務時的目的地:
虛擬私有雲網路類型
虛擬私有雲網路類型 (VPC_NETWORKS) 只能做為輸入規則的來源組合。您無法將虛擬私有雲網路類型做為輸出規則目的地組合的一部分。
如要將虛擬私有雲網路類型做為 Ingress 規則來源組合的一部分,請執行下列操作:
您必須指定來源虛擬私有雲網路清單:
- 來源網路清單必須包含至少一個虛擬私有雲網路。 您最多可以在來源網路清單中新增 250 個虛擬私有雲網路。
- 您必須先建立虛擬私有雲網路,才能將其新增至來源網路清單。
- 你可以使用部分或完整網址 ID 新增電視網。
- 您新增至來源網路清單的 VPC 網路不必相互連線。每個虛擬私有雲網路都可以位於任何專案中。
- 如果虛擬私有雲網路在新增至來源網路清單後遭到刪除,清單中仍會保留對已刪除網路的參照。強制執行輸入規則時,Cloud NGFW 會忽略已刪除的 VPC 網路。如果來源網路清單中的所有 VPC 網路都已刪除,依據該清單的輸入規則就會失效,因為這些規則與任何封包都不相符。
您必須指定至少一個其他來源參數,但 地理位置來源除外。
如果符合下列所有條件,封包就會與來源組合中使用 VPC 網路類型的輸入規則相符:
封包符合至少一個其他來源參數。
封包是由其中一個來源虛擬私有雲網路中的資源傳送。
來源 VPC 網路和包含連入規則的防火牆政策所套用的 VPC 網路是同一個 VPC 網路,或是透過 VPC 網路對等互連方式連線,或做為 Network Connectivity Center 中樞的 VPC 支點。
下列資源位於 VPC 網路中:
- VM 網路介面
- Cloud VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備
- 僅限 Proxy 的子網路中的 Envoy Proxy
- Private Service Connect 端點
- 無伺服器虛擬私人雲端存取連接器
虛擬私有雲網路內部類型
VPC 內部網路類型 (INTRA_VPC) 只能做為輸入規則的來源組合。您無法在輸出規則的目的地組合中使用 VPC 內網路類型。
如要使用虛擬私有雲內類型做為連入規則來源組合的一部分,您必須指定至少一個其他來源參數,但 地理位置來源除外。
如果符合下列所有條件,封包就會符合在來源組合中使用 VPC 內類型傳輸規則:
封包符合至少一個其他來源參數。
封包是由虛擬私有雲網路中的資源傳送,而該網路套用了包含輸入規則的防火牆政策。
下列資源位於 VPC 網路中:
- VM 網路介面
- Cloud VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備
- 僅限 Proxy 的子網路中的 Envoy Proxy
- Private Service Connect 端點
- 無伺服器虛擬私人雲端存取連接器
地理位置物件
在防火牆政策規則中使用地理位置物件,根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量。
您可以對傳入和傳出流量套用含有地理位置物件的規則。系統會根據流量方向,比對與國家/地區代碼相關聯的 IP 位址與流量來源或目的地。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策設定地理位置物件。
如要將地理位置新增至防火牆政策規則,請使用 ISO 3166 alpha-2 國家/地區代碼中定義的兩個字母國家/地區代碼。
舉例來說,如要只允許來自美國的傳入流量進入網路,請建立傳入防火牆政策規則,並將來源國家/地區代碼設為
US,動作設為allow。同樣地,如要只允許前往美國的外送流量,請設定外送防火牆政策規則,並將目的地國家/地區代碼設為US,動作設為allow。Cloud NGFW 可讓您為下列受美國全面制裁的地區設定防火牆規則:
地域 指派的代碼 克里米亞 XC 所謂的頓內次克人民共和國及盧甘斯克人民共和國 XD 如果單一防火牆規則中包含任何重複的國家/地區代碼,系統只會保留該國家/地區代碼的一個項目。系統已移除重複的項目。舉例來說,在國家/地區代碼清單
ca,us,us中,只會保留ca,us。Google 會維護含有 IP 位址和國家/地區代碼對應項目的資料庫。Trusted Cloud 防火牆會使用這個資料庫,將來源和目的地流量的 IP 位址對應至國家/地區代碼,然後套用與地理位置物件相符的防火牆政策規則。
在下列情況下,IP 位址指派和國家/地區代碼有時會變更:
- IP 位址在不同地理位置間移動
- ISO 3166 alpha-2 國家/地區代碼標準更新
由於 Google 資料庫需要一段時間才能反映這些變更,因此您可能會發現某些流量中斷,或特定流量的行為有所改變 (遭封鎖或允許)。
將地理位置物件與其他防火牆政策規則篩選器搭配使用
您可以搭配其他來源或目的地篩選器使用地理位置物件。 視規則方向而定,防火牆政策規則會套用至符合所有指定篩選條件聯集的連入或連出流量。
如要瞭解地理位置物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源和網路防火牆政策中輸入規則的來源。
如要瞭解地理位置物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。
防火牆政策的位址群組
位址群組是 IPv4 位址範圍或 IPv6 位址範圍的邏輯集合,格式為 CIDR。您可以使用位址群組,定義許多防火牆規則參照的一致來源或目的地。更新位址群組時,不需要修改使用這些群組的防火牆規則。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組。
您可以分別為輸入和輸出防火牆規則定義來源和目的地位址群組。
如要瞭解來源位址群組如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源和網路防火牆政策中輸入規則的來源。
如要瞭解目的地地址群組如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則的目的地」。
FQDN 物件
在防火牆政策規則中使用完整網域名稱 (FQDN) 物件,篩選來自或傳送至特定網域的輸入或輸出流量。
您可以使用 FQDN 物件,將防火牆政策規則套用至輸入和輸出流量。根據流量方向,系統會比對與網域名稱相關聯的 IP 位址與流量來源或目的地。
您可以在防火牆政策規則中設定 FQDN 物件,適用於階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策。
您必須以標準 FQDN 語法指定 FQDN 物件。
如要進一步瞭解網域名稱格式,請參閱網域名稱格式。
Cloud NGFW 會定期更新含有 FQDN 物件的防火牆政策規則,並納入最新的網域名稱解析結果。
系統會根據 Cloud DNS 的虛擬私有雲名稱解析順序,將防火牆政策規則中指定的網域名稱解析為 IP 位址。如果網域名稱解析結果 (又稱網域名稱系統 (DNS) 記錄) 有任何變更,Cloud DNS 會通知 Cloud NGFW。
如果兩個網域名稱解析為同一個 IP 位址,防火牆政策規則會套用至該 IP 位址,而非僅套用至一個網域。換句話說,FQDN 物件是第 3 層實體。
如果輸出防火牆政策規則中的 FQDN 物件包含 DNS 記錄中具有 CNAME 的網域,您必須使用 VM 可查詢的所有網域名稱 (包括所有可能的別名) 設定輸出防火牆政策規則,確保防火牆規則行為可靠。如果 VM 查詢的 CNAME 未在輸出防火牆政策規則中設定,政策可能無法在 DNS 記錄變更期間運作。
您也可以在網路防火牆政策規則中使用 Compute Engine 內部 DNS 名稱。不過,請確保您的網路未設定在傳出伺服器政策中使用替代名稱伺服器。
如要在網路防火牆政策規則中新增自訂網域名稱,可以使用 Cloud DNS 管理區域解析網域名稱。不過,請確保網路未設定為在傳出伺服器政策中使用替代名稱伺服器。如要進一步瞭解區域管理,請參閱「建立、修改及刪除區域」。
限制
下列限制適用於使用 FQDN 物件的輸入和輸出防火牆規則:
FQDN 物件不支援萬用字元 (*) 和頂層 (根) 網域名稱。 例如,系統不支援
*.example.com.和.org。FQDN 物件與 Cloud DNS DNS64 不相容。如果啟用 DNS64 時使用 FQDN,VM 將不會收到 NAT 轉換的 IPv6 位址。
您可以在輸入防火牆政策規則中使用 FQDN 物件。為輸入規則定義 FQDN 物件時,請務必考量下列限制:
網域名稱最多可解析為 32 個 IPv4 位址和 32 個 IPv6 位址。如果 DNS 查詢解析出的 IPv4 和 IPv6 位址超過 32 個,系統會截斷查詢結果,只保留解析出的 32 個 IPv4 或 IPv6 位址。因此,請勿在輸入防火牆政策規則中加入指向超過 32 個 IPv4 和 IPv6 位址的網域名稱。
部分網域名稱查詢會根據提出要求的用戶端位置,提供專屬答案。防火牆政策規則的 DNS 解析作業執行位置,是包含防火牆政策規則適用 VM 的 Trusted Cloud 區域。
如果網域名稱解析結果差異很大,或網域名稱解析使用 DNS 型負載平衡形式,請勿使用採用 FQDN 物件的 Ingress 規則。舉例來說,許多 Google 網域名稱都使用以 DNS 為基礎的負載平衡機制。
您可以在輸出防火牆政策規則中使用 FQDN 物件,但不建議搭配 TTL (存留時間) 不到 90 秒的 DNS A 記錄使用 FQDN 物件。
將 FQDN 物件與其他防火牆政策規則篩選條件搭配使用
在防火牆政策規則中,您可以定義 FQDN 物件,以及其他來源或目的地篩選條件。
如要瞭解 FQDN 物件如何與輸入規則中的其他來源篩選器搭配運作,請參閱階層式防火牆政策中輸入規則的來源和網路防火牆政策中輸入規則的來源。
如要瞭解 FQDN 物件如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。
網域名稱格式
虛擬私有雲防火牆支援 RFC 1035、RFC 1123 和 RFC 4343 中定義的網域名稱格式。
如要將網域名稱新增至防火牆政策規則,請遵循下列格式規範:
網域名稱至少須包含兩個標籤,說明如下:
- 每個標籤都符合規則運算式,且只包含以下字元:
[a-z]([-a-z0-9][a-z0-9])?.。 - 每個標籤的長度介於 1 到 63 個字元之間。
- 標籤會以半形句號 (.) 串連。
- 每個標籤都符合規則運算式,且只包含以下字元:
網域名稱的編碼長度上限不得超過 255 個位元組 (八位元)。
您也可以將國際化網域名稱 (IDN) 新增至防火牆政策規則。
網域名稱必須採用 Unicode 或 Punycode 格式。
如果您以 Unicode 格式指定 IDN, Trusted Cloud 防火牆會先將其轉換為 Punycode 格式,再進行處理。或者,您可以使用國際化網域名稱轉換工具取得國際化網域名稱的 Punycode 表示法。
防火牆不支援在同一項防火牆政策規則中使用等效網域名稱。 Trusted Cloud 將網域名稱轉換為 Punycode 後,如果兩個網域名稱的差異最多只有結尾的點,就會視為等效。
FQDN 例外狀況
在防火牆政策規則中使用 FQDN 物件時,您可能會在 DNS 名稱解析期間遇到下列例外狀況:
網域名稱格式錯誤:建立防火牆政策規則時,如果指定一或多個格式無效的網域名稱,系統會顯示錯誤訊息。除非所有網域名稱格式正確,否則無法建立防火牆政策規則。
網域名稱不存在 (
NXDOMAIN):如果網域名稱不存在, Trusted Cloud 會忽略防火牆政策規則中的 FQDN 物件。無法解析 IP 位址:如果網域名稱無法解析為任何 IP 位址,系統會忽略 FQDN 物件。
無法連線至 Cloud DNS 伺服器:如果無法連線至 DNS 伺服器,只有在先前快取的 DNS 解析結果可用時,系統才會套用使用 FQDN 物件的防火牆政策規則。如果沒有快取的 DNS 解析結果,或快取的 DNS 結果已過期,系統會忽略規則的 FQDN 物件。