本頁假設您熟悉階層式防火牆政策總覽中說明的概念。如要查看階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
限制
- 階層式防火牆政策規則不支援來源標記或來源服務帳戶。
- 階層式防火牆政策規則不支援使用網路標記定義目標。請改用目標虛擬私有雲 (VPC) 網路或目標服務帳戶。
- 防火牆政策可套用至資料夾和機構層級,但無法套用至 VPC 網路層級。虛擬私有雲網路支援一般虛擬私有雲防火牆規則。
- 一個資源 (資料夾或組織) 只能關聯一個防火牆政策,不過資料夾中的虛擬機器 (VM) 執行個體可以從 VM 以上的整個資源階層繼承規則。
- 防火牆規則記錄功能支援
allow和deny規則,但不支援goto_next規則。 - 防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。
防火牆政策工作
建立防火牆政策
您可以在機構階層的任何資源 (機構或資料夾) 建立政策。建立政策後,您可以將政策與機構的任何資源建立關聯。建立關聯後,政策規則就會對階層中相關資源下的 VM 生效。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或機構內的資料夾。
按一下「建立防火牆政策」。
在「Name」(名稱) 欄位中,輸入政策名稱。
如要為政策建立規則,請依序點按「繼續」>「新增規則」。
詳情請參閱「建立防火牆規則」。
如要將政策與資源建立關聯,請依序點按「繼續」>「將政策與資源建立關聯」。
詳情請參閱「將政策與機構或資料夾建立關聯」。
點選「建立」。
gcloud
gcloud compute firewall-policies create \
[--organization ORG_ID] | --folder FOLDER_ID] \
--short-name SHORT_NAME
更改下列內容:
ORG_ID:貴機構的 ID如果您要在機構層級建立政策,請指定這個 ID。這個 ID 只會指出政策的位置,不會自動將政策與機構資源建立關聯。
FOLDER_ID:資料夾的 ID如要在特定資料夾中建立政策,請指定這組 ID。這個 ID 只會指出政策的位置,不會自動將政策與該資料夾建立關聯。
SHORT_NAME:政策名稱使用 Google Cloud CLI 建立的政策有兩個名稱:系統產生的名稱和您提供的簡短名稱。使用 gcloud CLI 更新現有政策時,您可以提供系統產生的名稱,或是簡稱和機構 ID。使用 API 更新政策時,必須提供系統產生的名稱。
建立防火牆規則
階層式防火牆政策規則必須在階層式防火牆政策中建立。您必須將包含規則的政策與資源建立關聯,規則才會生效。
每項階層式防火牆政策規則只能包含 IPv4 或 IPv6 範圍,不能同時包含兩者。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策名稱。
按一下 [新增規則]。
填寫規則欄位:
- 優先順序:規則的數值評估順序。系統會依優先順序由高至低評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。建議您為規則指定優先順序編號,以便日後插入規則 (例如100、200、300)。 - 將「記錄」收集功能設為「開啟」或「關閉」。
- 針對「Direction of traffic」(流量方向),指定這項規則是「Ingress」(輸入) 或「Egress」(輸出) 規則。
- 在「Action on match」(相符時執行的動作) 中選擇下列其中一個選項:
- 選用:如要將規則限制在特定網路上,請在「目標網路」欄位中指定網路。按一下「新增網路」,然後選取「專案」和「網路」。您可以在規則中新增多個目標網路。
- 選用:如要將規則限制為僅適用於可存取特定服務帳戶的 VM,請在「目標服務帳戶」欄位中指定帳戶。
針對「Ingress」(輸入) 規則,指定「Source」(來源) 篩選器:
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv4 來源,請使用
0.0.0.0/0。 - 如要依來源 IPv6 範圍篩選傳入流量,請選取「IPv6」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv6 來源,請使用
::/0。
- 如要依來源 IPv4 範圍篩選傳入流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv4 來源,請使用
針對「Egress」(輸出) 規則,指定「Destination filter」(目的地篩選器):
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
0.0.0.0/0。 - 如要依目的地 IPv6 範圍篩選傳出流量,請選取「IPv6」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用
::/0。
- 如要依目的地 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
選用:如果您要建立輸入規則,請指定此規則適用的來源 FQDN。如果您要建立輸出規則,請選取這項規則適用的目的地 FQDN。如要進一步瞭解網域名稱物件,請參閱「完整網域名稱 (FQDN) 物件」。
選用:如果您要建立輸入規則,請選取這項規則適用的來源地理位置。如要建立輸出規則,請選取這項規則適用的目的地地理位置。如要進一步瞭解地理位置物件,請參閱地理位置物件。
選用:如果您要建立連入規則,請選取這項規則適用的來源位址群組。如果您要建立輸出規則,請選取這項規則適用的目的地位址群組。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組。
選用:如要建立連入規則,請選取這項規則適用的來源「Google Cloud Threat Intelligence」清單。如要建立輸出規則,請選取此規則適用的目的地 Google Cloud Threat Intelligence 清單。如要進一步瞭解 Google Threat Intelligence,請參閱「防火牆政策規則的 Google Threat Intelligence」。
選用:針對「Ingress」(輸入) 規則,指定「Destination」(目的地) 篩選器:
- 如要依目的地 IPv4 範圍篩選傳入流量,請選取「IPv4」,並在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
0.0.0.0/0。 - 如要依目的地 IPv6 範圍篩選傳入流量,請選取「IPv6 範圍」,並在「目的地 IPv6 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用
::/0。詳情請參閱「連入規則的目的地」。
- 如要依目的地 IPv4 範圍篩選傳入流量,請選取「IPv4」,並在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用
選用:針對「Egress」(輸出) 規則,指定「Source」(來源) 篩選器:
- 如要依來源 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv4 來源,請使用
0.0.0.0/0。 - 如要依來源 IPv6 範圍篩選傳出流量,請選取「IPv6」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv6 來源,請使用
::/0。 詳情請參閱「輸出規則的來源」。
- 如要依來源 IPv4 範圍篩選傳出流量,請選取「IPv4」,然後在「IP 範圍」欄位中輸入 CIDR 區塊。如為任何 IPv4 來源,請使用
在「通訊協定和通訊埠」中,指定規則要套用至所有通訊協定和所有目的地通訊埠,或指定規則要套用至哪些通訊協定和目的地通訊埠。
如要指定 IPv4 ICMP,請使用
icmp或通訊協定編號1。如要指定 IPv6 ICMP,請使用通訊協定編號58。如要進一步瞭解通訊協定,請參閱「通訊協定和連接埠」。點選「建立」。
- 優先順序:規則的數值評估順序。系統會依優先順序由高至低評估規則,其中
按一下「新增規則」即可新增其他規則。
按一下「繼續」> 將政策與資源建立關聯,即可將政策與資源建立關聯,或按一下「建立」建立政策。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
[--organization ORG_ID] \
--firewall-policy POLICY_NAME \
[--direction DIRECTION] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
[--dest-network-type DEST_NETWORK_TYPE] \
[--src-ip-ranges IP_RANGES] \
[--dest-ip-ranges IP_RANGES ] \
[--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
[--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
[--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
[--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
[--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
[--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
--action ACTION \
[--security-profile-group SECURITY_PROFILE_GROUP] \
[--tls-inspect | --no--tls-inspect] \
[--layer4-configs PROTOCOL_PORT] \
[--target-resources NETWORKS] \
[--target-service-accounts SERVICE_ACCOUNTS] \
[--enable-logging | --no-enable-logging] \
[--disabled]
更改下列內容:
PRIORITY:規則的數值評估順序系統會從最高優先順序到最低優先順序評估規則,其中
0為最高優先順序。每項規則的優先順序不得重複。建議您為規則指定優先順序編號,以便稍後插入 (例如100、200、300)。ORG_ID:貴機構的 IDPOLICY_NAME:政策的簡短名稱或系統產生的名稱DIRECTION:指出規則是INGRESS(預設) 還是EGRESS規則- 加入
--src-ip-ranges,指定流量來源的 IP 範圍。 - 加入
--dest-ip-ranges,指定流量目的地的 IP 範圍。
- 加入
SRC_NETWORK_TYPE:指出要套用 Ingress 規則的來源網路流量類型。您可以將這個引數設為下列其中一個值:INTERNETNON_INTERNETVPC_NETWORKSINTRA_VPC
如要清除這個引數的值,請使用空字串。如果值為空白,則表示所有網路類型。詳情請參閱「網路類型」。
SRC_VPC_NETWORK:以半形逗號分隔的虛擬私有雲網路清單只有在
--src-network-type設為VPC_NETWORKS時,才能使用--src-networks。DEST_NETWORK_TYPE:指出要套用輸出規則的目的地網路流量類型。您可以將這個引數設為下列其中一個值:INTERNETNON_INTERNET
如要清除這個引數的值,請使用空字串。如果值為空白,則表示所有網路類型。詳情請參閱「網路類型」。
IP_RANGES:以半形逗號分隔的 CIDR 格式 IP 範圍清單,可以是所有 IPv4 範圍或所有 IPv6 範圍,例如:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96COUNTRY_CODE:以逗號分隔的雙字母國家/地區代碼清單- 如要設定輸入方向,請在
--src-region-code標記中指定來源國家/地區代碼。您無法將--src-region-code旗標用於輸出方向,或--src-network-type設為NON_INTERNET、VPC_NETWORK或INTRA_VPC時。 - 如要指定輸出方向,請在
--dest-region-code旗標中指定目的地國家/地區代碼;您無法將--dest-region-code旗標用於輸入方向
- 如要設定輸入方向,請在
LIST_NAMES:以半形逗號分隔的 Google Threat Intelligence 清單名稱清單- 如果是輸入方向,請在
--src-threat-intelligence標記中指定來源 Google Threat Intelligence 清單。您無法將--src-threat-intelligence旗標用於輸出方向,或--src-network-type設為NON_INTERNET、VPC_NETWORK或INTRA_VPC時。 - 如要指定輸出方向,請在
--dest-threat-intelligence旗標中指定目的地 Google 威脅情報清單;您無法使用--dest-threat-intelligence旗標指定輸入方向。
- 如果是輸入方向,請在
ADDR_GRP_URL:地址群組的專屬網址 ID- 如果是輸入方向,請在
--src-address-groups標記中指定來源位址群組;如果是輸出方向,則無法使用--src-address-groups標記 - 如為輸出方向,請在
--dest-address-groups標記中指定目的地位址群組;如為輸入方向,則無法使用--dest-address-groups標記
- 如果是輸入方向,請在
DOMAIN_NAME:以逗號分隔的網域名稱清單,格式如「網域名稱格式」一節所述- 如果是輸入方向,請在
--src-fqdns標記中指定來源網域名稱;如果是輸出方向,則無法使用--src-fqdns標記 - 如為輸出方向,請在
--dest-fqdns標記中指定目的地位址群組;如為輸入方向,則無法使用--dest-fqdns標記
- 如果是輸入方向,請在
ACTION:下列其中一項動作:allow:允許符合規則的連線deny:拒絕符合規則的連線apply_security_profile_group:將封包透明地傳送至已設定的防火牆端點,以進行第 7 層檢查goto_next:將連線評估結果傳遞至階層中的下一個層級,也就是資料夾或網路
如要進一步瞭解如何評估 VM 各個網路介面的規則和對應動作,請參閱「政策和規則評估順序」。
SECURITY_PROFILE_GROUP:用於第 7 層檢查的安全性設定檔群組名稱;只有在選取apply_security_profile_group動作時,才需要指定這個引數--tls-inspect:在規則中選取apply_security_profile_group動作時,使用 TLS 檢查政策檢查 TLS 流量;預設會停用 TLS 檢查,您也可以指定--no-tls-inspectPROTOCOL_PORT:以逗號分隔的通訊協定名稱或編號清單 (tcp,17)、通訊協定和目的地通訊埠 (tcp:80),或通訊協定和目的地通訊埠範圍 (tcp:5000-6000)您無法在沒有通訊協定的情況下指定通訊埠或通訊埠範圍。 如果是 ICMP,您無法指定通訊埠或通訊埠範圍,例如:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp。如要指定 IPv4 ICMP,請使用
icmp或通訊協定編號1。如要指定 IPv6 ICMP,請使用通訊協定編號58。詳情請參閱「通訊協定和通訊埠」。NETWORKS:以半形逗號分隔的虛擬私有雲網路資源網址清單,格式為https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。更改下列內容:
PROJECT_ID:含有 VPC 網路的專案 IDNETWORK_NAME:網路名稱;如果省略,規則會套用至資源下的所有虛擬私有雲網路
詳情請參閱階層式防火牆政策規則的目標。
SERVICE_ACCOUNTS:以半形逗號分隔的服務帳戶清單;規則只會套用至以指定服務帳戶存取權執行的 VM詳情請參閱階層式防火牆政策規則的目標。
--enable-logging和--no-enable-logging:啟用或停用指定規則的防火牆規則記錄功能--disabled:表示防火牆規則存在,但處理連線時不應考量此規則;省略此標記會啟用規則,您也可以指定--no-disabled
將政策與機構或資料夾建立關聯
將政策與資源建立關聯,即可為階層中資源下的所有 VM 啟用政策規則。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
按一下「新增關聯」。
選取機構根層級,或選取機構內的資料夾。
按一下「新增」。
gcloud
根據預設,如果您嘗試將關聯插入已有關聯的機構或資料夾,方法就會失敗。如果您指定 --replace-association-on-target 旗標,系統會在建立新關聯的同時刪除現有關聯。這樣可避免資源在轉換期間沒有政策。
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
更改下列內容:
POLICY_NAME:政策的簡短名稱或系統產生的名稱ORG_ID:貴機構的 IDFOLDER_ID:如果您要將政策與資料夾建立關聯,請在此指定資料夾;如果要將政策與機構層級建立關聯,請省略此步驟ASSOCIATION_NAME:關聯的選用名稱;如未指定,名稱會設為「機構ORG_ID」或「資料夾FOLDER_ID」
將政策從一個資源移至另一個資源
移動政策會變更政策的擁有者。如要移動政策,您必須同時具備先前和新資源的 move 權限。
移動政策不會影響任何現有的政策關聯或現有規則的評估,但可能會影響誰有權在移動後修改或關聯政策。
主控台
請使用 Google Cloud CLI 執行此程序。
gcloud
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID \
[--folder FOLDER_ID]
更改下列內容:
POLICY_NAME:要移動的政策簡稱或系統產生的名稱ORG_ID:貴機構的 ID;如果要將政策移至機構,請指定這個 ID,但不要指定資料夾FOLDER_ID:如果您要將政策與資料夾建立關聯,請在此指定資料夾;如果要將政策與機構建立關聯,請省略此步驟
更新政策說明
可更新的政策欄位只有「說明」欄位。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下 [編輯]。
修改說明。
按一下 [儲存]。
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
列出政策
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
如果是機構,則「與這個機構相關聯的防火牆政策」部分會顯示相關聯的政策。「位於這個機構的防火牆政策」部分會列出機構擁有的政策。
如果是資料夾,則「與這個資料夾相關聯或由這個資料夾沿用的防火牆政策」部分會顯示與資料夾相關聯或由資料夾沿用的政策。「位於這個資料夾的防火牆政策」部分會列出資料夾擁有的政策。
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
描述政策
您可以查看政策的所有詳細資料,包括所有防火牆規則。此外,您還可以看到政策中所有規則的許多屬性。這些屬性會計入每項政策的限制。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
刪除政策
您必須先刪除機構防火牆政策的所有關聯,才能刪除該政策。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下要刪除的政策。
按一下「關聯項目」分頁標籤。
選取所有關聯。
按一下「移除關聯項目」。
移除所有關聯後,按一下「刪除」。
gcloud
列出與防火牆政策相關聯的所有資源:
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID刪除個別關聯。如要移除關聯,您必須在相關聯的資源或該資源的祖先上,具備 Compute 機構資源管理員角色 (
roles/compute.orgSecurityResourceAdmin)。gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAME刪除政策:
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
列出資源的關聯
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
系統會顯示所選資源 (機構或資料夾) 的相關聯和繼承政策清單。
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
列出政策的關聯
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
表格中會列出關聯項目。
gcloud
gcloud compute firewall-policies describe POLICY_ID
刪除關聯
如要停止對機構或資料夾強制執行防火牆政策,請刪除關聯。
不過,如果您打算替換防火牆政策,則不需要先刪除現有關聯。刪除該關聯後,系統將有一段時間不會強制執行任何政策。而是建立新政策並建立關聯,取代現有政策。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下「關聯項目」分頁標籤。
選取要刪除的關聯。
按一下「移除關聯項目」。
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
防火牆政策規則工作
在現有防火牆政策中建立規則
請參閱「建立防火牆規則」。
列出政策中的所有規則
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下您的政策。規則會列在「防火牆規則」分頁中。
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
說明規則
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下規則的優先順序。
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
更改下列內容:
PRIORITY:要查看的規則優先順序;由於每個規則的優先順序不得重複,這項設定可做為規則的專屬 IDORG_ID:貴機構的 IDPOLICY_NAME:包含規則的政策簡短名稱或系統產生名稱
更新規則
如需欄位說明,請參閱「建立防火牆規則」。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
按一下規則的優先順序。
按一下 [編輯]。
修改要變更的欄位。
按一下 [儲存]。
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
將規則從一項政策複製到另一項政策
從目標政策中移除所有規則,並以來源政策中的規則取代。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下要複製規則的政策。
按一下畫面頂端的「複製」。
提供目標政策的名稱。
如要立即將新政策與資源建立關聯,請依序點選「繼續」>「將政策與資源建立關聯」。
按一下 [Clone] (複製)。
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
更改下列內容:
POLICY_NAME:要接收複製規則的政策ORG_ID:貴機構的 IDSOURCE_POLICY:要從中複製規則的政策;必須是資源的網址
從政策中刪除規則
從政策中刪除規則後,系統會從所有沿用該規則的 VM 中移除該規則。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或含有政策的資料夾。
按一下政策。
選取要刪除的規則。
點選「刪除」。
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
更改下列內容:
PRIORITY:要從政策中刪除的規則優先順序ORG_ID:貴機構的 IDPOLICY_NAME:包含規則的政策
取得網路的有效防火牆規則
顯示套用至指定虛擬私有雲網路的所有階層式防火牆政策規則、虛擬私有雲防火牆規則和全域網路防火牆政策規則。
主控台
在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
按一下要查看防火牆政策規則的網路。
按一下「防火牆政策」。
展開各項防火牆政策,即可查看套用至這個網路的規則。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
更改下列內容:
NETWORK_NAME:要取得有效規則的網路
您也可以從「防火牆」頁面查看網路的有效防火牆規則。
主控台
在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
防火牆政策會列在「這項專案沿用的防火牆政策」專區中。
按一下各項防火牆政策,即可查看套用至這個網路的規則。
取得 VM 介面的有效防火牆規則
顯示套用至指定 Compute Engine VM 介面的所有階層式防火牆政策規則、虛擬私有雲防火牆規則和全域網路防火牆政策規則。
主控台
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
在專案選取器選單中,選取含有 VM 的專案。
按一下 VM。
在「網路介面」部分,點選介面。
有效防火牆規則會顯示在「防火牆和路徑詳細資料」中。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
更改下列內容:
INSTANCE_NAME:要取得有效規則的 VM;如果未指定介面,則傳回主要介面 (nic0) 的規則INTERFACE:要取得有效規則的 VM 介面;預設值為nic0ZONE:VM 的區域;如果所選區域已設為預設值,則為選用項目
疑難排解
本節說明您可能會遇到的錯誤訊息。
FirewallPolicy may not specify a name. One will be provided.您無法指定政策名稱。階層式防火牆政策「名稱」是政策建立時,由 Google Cloud 產生的數值 ID。不過,您可以指定較容易記住的簡稱,在許多情況下做為別名。
FirewallPolicy may not specify associations on creation.您必須先建立階層式防火牆政策,才能建立關聯。
Can not move firewall policy to a different organization.階層式防火牆政策只能在同一個機構內移動。
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.如果資源已附加階層式防火牆政策,除非將取代現有關聯的選項設為 true,否則附加作業會失敗。
Cannot have rules with the same priorities.階層式防火牆政策中的規則優先順序不得重複。
Direction must be specified on firewall policy rule.直接傳送 REST 要求來建立階層式防火牆政策規則時,必須指定規則的方向。使用 Google Cloud CLI 時,如果未指定方向,預設值為
INGRESS。Can not specify enable_logging on a goto_next rule.含有 goto_next 動作的規則不允許防火牆記錄,因為 goto_next 動作用於表示不同防火牆政策的評估順序,並非終端動作 (例如 ALLOW 或 DENY)。
Must specify at least one destination on Firewall policy rule.防火牆政策規則中的
layer4Configs旗標必須至少指定一項通訊協定,或是通訊協定和目的地通訊埠。如要進一步瞭解如何排解防火牆政策規則問題,請參閱虛擬私有雲防火牆規則疑難排解。