如需控制整个 Google Cloud 环境中的网络流量,请管理全球网络防火墙政策及其规则。本页面介绍了如何列出、描述和更新政策及其各个规则。您将学习如何在政策之间克隆规则,以及如何管理政策与虚拟私有云 (VPC) 网络的关联。
在阅读本页面之前,请确保您熟悉全球网络防火墙政策概览中所述的概念。
防火墙政策任务
本部分介绍了如何管理全球网络防火墙政策。
描述全球网络防火墙政策
您可以查看全球网络防火墙政策的详细信息,包括政策规则和关联的规则属性。所有这些规则属性都计入规则属性配额。如需了解详情,请参阅每项防火墙政策表中的“每项全球网络防火墙政策的规则属性”。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含全球网络防火墙政策的项目。
点击您的政策。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
更新全球网络防火墙政策说明
唯一可以更新的政策字段是说明字段。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含全球网络防火墙政策的项目。
点击您的政策。
点击修改。
在说明字段中,更改文本。
点击保存。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
列出全球网络防火墙政策
您可以查看项目中可用政策的列表。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
网络防火墙政策部分显示项目中可用的政策。
gcloud
gcloud compute network-firewall-policies list --global
移除网络关联
如果您需要更改与 VPC 网络关联的全球网络防火墙政策,建议您先关联新政策,而不是删除现有关联的政策。您可以在一个步骤中关联新政策,这有助于确保全球网络防火墙政策始终与 VPC 网络相关联。
如需删除全球网络防火墙政策与 VPC 网络之间的关联,请按照本部分中提到的步骤操作。删除关联后,全球网络防火墙政策中的规则不适用于新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含政策的项目或文件夹。
点击您的政策。
点击关联标签页。
选择要删除的关联。
点击移除关联。
gcloud
gcloud compute network-firewall-policies associations delete \
--firewall-policy FIREWALL_POLICY \
--name ASSOCIATION_NAME \
--firewall-policy-region FIREWALL_POLICY_REGION \
--global-firewall-policy
删除全球网络防火墙政策
在删除全球网络防火墙政策之前,您必须删除其所有关联。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您要删除的政策。
点击关联标签页。
选择所有关联。
点击移除关联。
移除所有关联后,点击删除。
gcloud
使用以下命令删除政策:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
防火墙政策规则任务
本部分介绍了如何管理全球网络防火墙政策规则。
将规则从一个政策克隆到另一个政策
克隆会将来源政策中的规则复制到目标政策,并替换目标政策中的所有现有规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击要从中复制规则的政策。
点击屏幕顶部的克隆。
提供目标政策的名称。
如果您想立即关联新政策,请点击继续 > 关联。
在将政策与 VPC 网络关联页面中,选择相应网络,然后点击关联。
点击继续。
点击克隆。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
替换以下内容:
TARGET_POLICY:目标政策的名称。SOURCE_POLICY:源政策的网址。
描述规则
您可以查看全球网络防火墙政策中特定规则的详细信息。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击规则的优先级。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。
更新全球网络防火墙政策规则
您可以修改全球网络防火墙政策规则,以更改规则属性,例如对匹配项执行的操作、IP 地址范围或协议和端口。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含全球网络防火墙政策的项目。
点击包含要更新的规则的全球网络防火墙政策的名称。
点击规则的优先级。
点击修改。
修改要更改的防火墙规则字段。如需了解各个字段的说明,请参阅以下内容之一:
点击保存。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy \
[...other flags that you want to modify...]
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。
提供要修改的标志。如需了解标志说明,请参阅以下内容之一:
查看虚拟机接口的有效防火墙规则
您可以查看适用于 Compute Engine 虚拟机的网络接口的所有防火墙规则(包括所有适用的防火墙政策和 VPC 防火墙规则)。
控制台
在 Google Cloud 控制台中,前往虚拟机实例页面。
在项目选择器菜单中,选择包含虚拟机的项目。
点击虚拟机。
对于网络接口,请点击接口的名称。
在网络配置分析部分,点击防火墙标签页。
如需查看有效防火墙规则,请点击防火墙规则视图标签页。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
替换以下内容:
INSTANCE_NAME:您要查看其有效规则的虚拟机;如果未指定接口,该命令会返回主要接口 (nic0) 的规则。INTERFACE:您要查看其有效规则的虚拟机接口;默认值为nic0。ZONE:虚拟机的可用区;如果已将所选可用区设置为默认可用区,则此行为可选。
查看网络的有效防火墙规则
您可以查看应用于 VPC 网络所有区域的所有分层防火墙政策规则、VPC 防火墙规则和全球网络防火墙政策规则。
控制台
在 Google Cloud 控制台中,前往 VPC 网络页面。
点击要查看其防火墙政策规则的网络。
在 VPC 网络详情页面上,点击防火墙标签页。
如需查看适用于此网络的规则,请点击防火墙规则视图标签页。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
将 NETWORK_NAME 替换为您要查看有效规则的网络。
您还可以在防火墙页面中查看网络的有效防火墙规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
防火墙政策列在此项目继承的防火墙政策部分中。
点击每项防火墙政策以查看适用于此网络的规则。
从政策中删除规则
从政策中删除规则会导致该规则不再适用于与该规则的目标建立的新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
选择要删除的规则。
点击删除。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。