全域網路防火牆政策

全域網路防火牆政策可將所有防火牆規則分組為單一政策物件,以便批次更新。您可以將網路防火牆政策指派給虛擬私有雲 (VPC) 網路,這類政策包含可明確拒絕或允許連線的規則。

規格

  • 全域網路防火牆政策是防火牆規則的容器資源。 每個全域網路防火牆政策資源都是在專案中定義。
    • 建立全域網路防火牆政策後,您可以在政策中新增、更新及刪除防火牆規則。
    • 如要瞭解全域網路防火牆政策中的規則規格資訊,請參閱「防火牆政策規則」。
  • 如要將全域網路防火牆政策規則套用至虛擬私有雲網路,您必須連結防火牆政策與該虛擬私有雲網路。
    • 您可以將全球網路防火牆政策連結至多個虛擬私有雲網路。確認防火牆政策和相關聯的網路屬於同一個專案。
    • 每個 VPC 網路只能與一項全域網路防火牆政策建立關聯。
    • 如果防火牆政策未與任何 VPC 網路建立關聯,該政策中的規則就不會生效。如果防火牆政策未與任何網路建立關聯,就是未建立關聯的全域網路防火牆政策。
  • 將全域網路防火牆政策與一或多個虛擬私有雲網路建立關聯後,系統會透過下列方式強制執行防火牆政策規則:
    • 系統會針對相關聯虛擬私有雲網路中的適用資源,強制執行現有規則。
    • 系統會對相關聯的 VPC 網路中適用的資源強制執行規則變更。
  • 全域網路防火牆政策中的規則會與其他防火牆規則一併強制執行,詳情請參閱「政策和規則評估順序」。

全域網路防火牆政策規則詳細資料

如要進一步瞭解全域網路防火牆政策中的規則元件和參數,請參閱「防火牆政策規則」。

下表摘要列出全域網路防火牆政策規則與虛擬私有雲防火牆規則的主要差異:

全域網路防火牆政策規則 虛擬私有雲防火牆規則
優先號碼 政策中的名稱均不得重複 允許重複的優先順序
以服務帳戶做為目標
服務帳戶做為來源
(僅限輸入規則)
代碼類型 安全代碼 聯播網代碼
名稱與說明 政策名稱、政策和規則說明 規則名稱和說明
批次更新 是 - 適用於政策複製、編輯和取代功能
重複使用
配額 屬性計數:根據政策中每項規則的複雜度總和 規則數量:複雜和簡單的防火牆規則對配額的影響相同

預先定義的規則

建立全域網路防火牆政策時,Cloud Next Generation Firewall 會將優先順序最低的預先定義規則新增至政策。這些規則會套用至政策中未明確定義規則的任何連線,導致這類連線傳遞至較低層級的政策或網路規則。

如要瞭解各種預先定義的規則類型及其特性,請參閱「預先定義的規則」。

Identity and Access Management (IAM) 角色

IAM 角色會控管下列與全域網路防火牆政策相關的動作:

  • 建立全域網路防火牆政策
  • 將政策連結至網路
  • 修改現有政策
  • 查看特定網路或 VM 的有效防火牆規則

下表說明各項動作所需的角色:

動作 必要角色
建立新的全域網路防火牆政策 政策所屬專案的 compute.securityAdmin 角色
將政策連結至網路 政策所在專案的 compute.networkAdmin 角色
新增、更新或刪除政策防火牆規則,藉此修改政策 政策所在專案的 compute.securityAdmin 角色
刪除政策 政策所在專案的 compute.networkAdmin 角色
查看虛擬私有雲網路的有效防火牆規則 網路的下列任一角色:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
查看網路中 VM 的有效防火牆規則 虛擬機的下列任一角色:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

下列角色與全域網路防火牆政策相關。

角色名稱 說明
compute.securityAdmin 可以在專案或政策層級授予。如果是在專案層級授予,使用者就能建立、更新及刪除全域網路防火牆政策和相關規則。在政策層級,使用者可以更新政策規則,但無法建立或刪除政策。使用者也可以透過這個角色,將政策與網路建立關聯。
compute.networkAdmin 在專案層級或網路層級授予。如果授予網路權限,使用者就能查看全域網路防火牆政策清單。
compute.viewer
compute.networkUser
compute.networkViewer
 允許使用者查看套用至網路或執行個體的防火牆規則。
包括網路的 compute.networks.getEffectiveFirewalls 權限和執行個體的 compute.instances.getEffectiveFirewalls 權限。