管理全域網路防火牆政策

如要控管整個 Google Cloud 環境的網路流量,請管理全域網路防火牆政策及其規則。本頁說明如何列出、說明及更新政策和個別規則。您將瞭解如何在政策之間複製規則,以及管理政策與虛擬私有雲 (VPC) 網路的關聯。

閱讀本頁面之前,請務必先熟悉全域網路防火牆政策總覽中說明的概念。

防火牆政策工作

本節說明如何管理全域網路防火牆政策。

說明全域網路防火牆政策

您可以查看全域網路防火牆政策的詳細資料,包括政策規則和相關聯的規則屬性。所有這些規則屬性都會計入規則屬性配額。詳情請參閱「每個防火牆政策」表格中的「每個全域網路防火牆政策的規則屬性」。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有全域網路防火牆政策的專案。

  3. 按一下您的政策。

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

更新全域網路防火牆政策說明

唯一可更新的政策欄位是「說明」欄位。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有全域網路防火牆政策的專案。

  3. 按一下政策。

  4. 按一下 [編輯]

  5. 在「Description」(說明) 欄位中變更文字。

  6. 按一下 [儲存]

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

列出全域網路防火牆政策

您可以查看專案中可用的政策清單。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有政策的專案。

    「網路防火牆政策」部分會顯示專案中可用的政策。

gcloud

gcloud compute network-firewall-policies list --global

移除網路關聯

如要變更與虛擬私有雲網路相關聯的全球網路防火牆政策,建議您先建立新的政策並建立關聯,而不是刪除現有的關聯政策。您可以透過一個步驟建立新政策的關聯,確保全域網路防火牆政策一律與虛擬私有雲網路建立關聯。

如要刪除全域網路防火牆政策與虛擬私有雲網路之間的關聯,請按照本節所述步驟操作。刪除關聯後,全域網路防火牆政策中的規則不會套用至新連線。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取您的專案或含有政策的資料夾。

  3. 按一下政策。

  4. 按一下「關聯項目」分頁標籤。

  5. 選取要刪除的關聯。

  6. 按一下「移除關聯」。

gcloud

gcloud compute network-firewall-policies associations delete \
    --firewall-policy FIREWALL_POLICY \
    --name ASSOCIATION_NAME \
    --firewall-policy-region FIREWALL_POLICY_REGION \
    --global-firewall-policy

刪除全域網路防火牆政策

如要刪除全域網路防火牆政策,請先刪除所有關聯

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有政策的專案。

  3. 按一下要刪除的政策。

  4. 按一下「關聯項目」分頁標籤。

  5. 選取所有關聯。

  6. 按一下「移除關聯」。

  7. 移除所有關聯後,按一下「刪除」

gcloud

使用下列指令刪除政策:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

防火牆政策規則工作

本節說明如何管理全域網路防火牆政策規則。

將規則從一項政策複製到另一項政策

複製作業會將來源政策的規則複製到目標政策,並取代目標政策中的所有現有規則。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有政策的專案。

  3. 按一下要複製規則的政策。

  4. 按一下畫面頂端的「複製」

  5. 提供目標政策的名稱。

  6. 如要立即建立新政策的關聯,請依序點按「繼續」>「建立關聯」。

  7. 在「Associate policy with VPC networks」(將政策與虛擬私有雲網路建立關聯) 頁面中,選取網路並按一下「Associate」(建立關聯)

  8. 按一下「繼續」

  9. 按一下 [Clone] (複製)。

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

更改下列內容:

  • TARGET_POLICY:目標政策的名稱。
  • SOURCE_POLICY:來源政策的網址。

說明規則

您可以查看全域網路防火牆政策中特定規則的詳細資料。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有政策的專案。

  3. 按一下政策。

  4. 按一下規則的優先順序。

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

更改下列內容:

  • PRIORITY:優先順序編號,用來專屬識別規則。
  • POLICY_NAME:包含規則的政策名稱。

更新全域網路防火牆政策規則

您可以修改全域網路防火牆政策規則,變更規則屬性,例如相符時執行的動作、IP 位址範圍,或通訊協定和通訊埠。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有全域網路防火牆政策的專案。

  3. 按一下要更新規則的全域網路防火牆政策名稱。

  4. 按一下規則的優先順序。

  5. 按一下 [編輯]

  6. 修改要變更的防火牆規則欄位。如需各個欄位的說明,請參閱下列文章:

  7. 按一下 [儲存]

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

更改下列內容:

  • PRIORITY:優先順序編號,用來專屬識別規則。
  • POLICY_NAME:包含規則的政策名稱。

提供要修改的旗標。如需標記說明,請參閱下列任一文章:

查看 VM 介面的有效防火牆規則

您可以查看套用至 Compute Engine VM 網路介面的所有防火牆規則,包括所有適用的防火牆政策和虛擬私有雲防火牆規則。

控制台

  1. 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面

    前往 VM 執行個體

  2. 在專案選取器選單中,選取包含 VM 的專案。

  3. 按一下 VM。

  4. 在「網路介面」部分,點選介面名稱。

  5. 在「網路設定分析」部分中,按一下「防火牆」分頁標籤。

  6. 如要查看有效的防火牆規則,請按一下「防火牆規則檢視」分頁標籤。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

更改下列內容:

  • INSTANCE_NAME:要查看有效規則的 VM;如果未指定介面,指令會傳回主要介面 (nic0) 的規則。
  • INTERFACE:要查看有效規則的 VM 介面;預設值為 nic0
  • ZONE:VM 的區域;如果所選區域已設為預設區域,則此行可省略。

查看網路的有效防火牆規則

您可以查看適用於虛擬私有雲網路所有區域的所有階層式防火牆政策規則、虛擬私有雲防火牆規則和全域網路防火牆政策規則。

控制台

  1. 前往 Google Cloud 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。

    前往「VPC networks」(虛擬私有雲網路)

  2. 按一下要查看防火牆政策規則的網路。

  3. 在「虛擬私有雲網路詳細資料」 頁面上,按一下「防火牆」 分頁標籤。

  4. 如要查看套用至這個網路的規則,請按一下「防火牆規則檢視」分頁標籤。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

NETWORK_NAME 替換為要查看有效規則的網路。

您也可以從「防火牆」頁面查看網路的有效防火牆規則。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 防火牆政策會列在「這項專案繼承的防火牆政策」專區中。

  3. 按一下各項防火牆政策,即可查看套用至這個網路的規則。

從政策中刪除規則

從政策中刪除規則後,該規則就不會再套用至規則目標的新連線。

控制台

  1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。

    前往「Firewall policies」(防火牆政策)

  2. 在專案選取器選單中,選取含有政策的專案。

  3. 按一下您的政策。

  4. 選取要刪除的規則。

  5. 點選「刪除」。

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

更改下列內容:

  • PRIORITY:優先順序編號,用來專屬識別規則。
  • POLICY_NAME:包含規則的政策名稱。

後續步驟