階層式防火牆政策可精細控管網路流量。本頁說明如何管理階層式防火牆政策及其規則,以保護 Google Cloud 資源。
閱讀本頁面之前,請務必先熟悉「階層式防火牆政策總覽」一文所述概念。如需階層式防火牆政策的實作範例,請參閱「階層式防火牆政策範例」。
防火牆政策工作
本節說明如何管理階層式防火牆政策。
如要查看本節所列工作產生的作業進度,請確認 IAM 主體除了各項工作所需的權限或角色外,還具備下列權限或角色。
描述政策
您可以查看階層式防火牆政策的詳細資料,包括政策規則和相關聯的規則屬性。所有這些規則屬性都會計入規則屬性配額。詳情請參閱「每個防火牆政策」表格中的「每個階層式防火牆政策的規則屬性」。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下您的政策。
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
列出政策
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
如果是機構,系統會在「與這個機構相關聯的防火牆政策」部分顯示相關聯的政策。「位於這個機構的防火牆政策」部分會列出機構擁有的政策。
如果是資料夾,則「與這個資料夾相關聯或由這個資料夾沿用的防火牆政策」部分會顯示與資料夾相關聯或由資料夾沿用的政策。「位於這個資料夾的防火牆政策」部分會列出資料夾擁有的政策。
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
列出資源的關聯
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
系統會顯示所選資源 (機構或資料夾) 的相關聯和繼承政策清單。
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
將政策從一個資源移至另一個資源
移動政策只會變更政策的父項。變更政策的父項可能會影響哪些 IAM 主體可以在政策中建立及更新規則,以及哪些 IAM 主體可以建立未來的關聯。
移動政策不會變更任何現有的政策關聯,也不會影響政策中規則的評估。
控制台
請使用 Google Cloud CLI 執行此程序。
gcloud
執行下列指令,將階層式防火牆政策移至機構:
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID
執行下列指令,將階層式防火牆政策移至機構中的資料夾:
gcloud compute firewall-policies move POLICY_NAME \
--folder FOLDER_ID
更改下列內容:
POLICY_NAME:要移動的政策簡稱或系統產生的名稱ORG_ID:政策要移往的機構 IDFOLDER_ID:政策要移至的資料夾 ID
更新政策說明
唯一可更新的政策欄位是「說明」欄位。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下您的政策。
按一下 [編輯]。
修改說明。
按一下 [儲存]。
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
刪除關聯
如要變更與機構或資料夾相關聯的階層式防火牆政策,建議您改為建立新政策並建立關聯,而不是刪除現有的關聯政策。您可以在一個步驟中建立新政策的關聯,確保階層式防火牆政策一律會與機構或資料夾建立關聯。
如要刪除階層式防火牆政策與機構或資料夾之間的關聯,請按照本節所述步驟操作。刪除關聯後,階層式防火牆政策中的規則不會套用至新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下您的政策。
按一下「關聯項目」分頁標籤。
選取要刪除的關聯。
按一下「移除關聯」。
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
刪除政策
刪除階層式防火牆政策前,請務必刪除所有關聯。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下要刪除的政策。
按一下「關聯項目」分頁標籤。
選取所有關聯。
按一下「移除關聯」。
移除所有關聯後,按一下「刪除」。
gcloud
使用下列指令刪除政策:
gcloud compute firewall-policies delete POLICY_NAME \
--organization ORG_ID
防火牆政策規則工作
本節說明如何管理階層式防火牆政策規則。
將規則從一項政策複製到另一項政策
從目標政策中移除所有規則,並以來源政策中的規則取代。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下要複製規則的政策。
按一下畫面頂端的「複製」。
提供目標政策的名稱。
選用:如要立即建立新政策的關聯,請按一下「繼續」,開啟「將政策與資源建立關聯」部分。
按一下 [Clone] (複製)。
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--source-firewall-policy=SOURCE_POLICY \
--organization=ORG_ID \
更改下列內容:
POLICY_NAME:要接收複製規則的政策SOURCE_POLICY:要從中複製規則的政策,必須是資源的網址ORG_ID:包含階層式防火牆政策的機構 ID。
說明規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下您的政策。
按一下規則的優先順序。
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID
更改下列內容:
POLICY_NAME:包含新規則的階層式防火牆政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
列出政策中的所有規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下政策,規則會列在「防火牆規則」分頁中。
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization=ORG_ID
更改下列內容:
POLICY_NAME:包含規則的階層式防火牆政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
更新規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取包含階層式防火牆政策的機構或資料夾。
按一下要更新規則的階層式防火牆政策名稱。
按一下規則的優先順序。
按一下 [編輯]。
修改要變更的防火牆規則欄位。如需各個欄位的說明,請參閱下列文章:
按一下 [儲存]。
gcloud
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--organization ORG_ID \
[...other flags that you want to modify...]
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則。POLICY_NAME:包含規則的政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
提供要修改的旗標。如需標記說明,請參閱下列任一文章:
刪除規則
從政策中刪除規則後,該規則就不會再套用至規則目標的新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的機構 ID 或包含政策的資料夾。
按一下您的政策。
選取要刪除的規則。
點選「刪除」。
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID
更改下列內容:
PRIORITY:要從政策中刪除的規則優先順序。POLICY_NAME:包含規則的階層式防火牆政策名稱。ORG_ID:包含階層式防火牆政策的機構 ID。
取得網路的有效防火牆規則
您可以查看適用於虛擬私有雲網路所有區域的所有階層式防火牆政策規則、虛擬私有雲防火牆規則和全域網路防火牆政策規則。
控制台
前往 Google Cloud 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
按一下要查看防火牆政策規則的網路。
按一下「防火牆」。
展開每個防火牆政策,即可查看套用至這個網路的規則。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
將 NETWORK_NAME 替換為要查看有效規則的網路。
您也可以從「防火牆」頁面查看網路的有效防火牆規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
防火牆政策會列在「這項專案繼承的防火牆政策」專區中。
按一下各項防火牆政策,即可查看套用至這個網路的規則。
取得 VM 介面的有效防火牆規則
您可以查看套用至 Compute Engine VM 網路介面的所有防火牆規則,包括所有適用的防火牆政策和虛擬私有雲防火牆規則。
控制台
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
在專案選取器選單中,選取包含 VM 的專案。
按一下 VM。
在「網路介面」部分,點選介面。
有效防火牆規則會顯示在「網路設定分析」部分中的「防火牆」分頁。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
更改下列內容:
INSTANCE_NAME:要查看有效規則的 VM;如果未指定介面,指令會傳回主要介面 (nic0) 的規則。INTERFACE:要查看有效規則的 VM 介面;預設值為nic0。ZONE:VM 的區域;如果所選區域已設為預設區域,則此行可省略。
疑難排解
本節說明您在建立階層式防火牆政策時可能會遇到的錯誤訊息。
FirewallPolicy may not specify a name. One will be provided.您無法指定政策名稱。階層式防火牆政策「名稱」是政策建立時,由 Google Cloud 產生的數值 ID。不過,您可以指定較容易記住的簡稱,在許多情況下做為別名。
FirewallPolicy may not specify associations on creation.您必須先建立階層式防火牆政策,才能建立關聯。
Can't move firewall policy to a different organization.階層式防火牆政策只能在同一個機構內移動。
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.如果資源已附加階層式防火牆政策,除非將取代現有關聯的選項設為 true,否則附加作業會失敗。
Can't have rules with the same priorities.階層式防火牆政策中的規則優先順序不得重複。
Direction must be specified for a firewall policy rule.直接傳送 REST 要求建立階層式防火牆政策規則時,必須指定規則的方向。使用 Google Cloud CLI 時,如果未指定方向,預設值為
INGRESS。Can't specify enable_logging on a goto_next rule.含有 goto_next 動作的規則不允許防火牆記錄,因為 goto_next 動作用於表示不同防火牆政策的評估順序,並非終端動作 (例如 ALLOW 或 DENY)。
Must specify at least one destination on Firewall policy rule.防火牆政策規則中的
layer4Configs旗標必須指定至少一個通訊協定,或是通訊協定和目的地通訊埠。如要進一步瞭解如何排解防火牆政策規則問題,請參閱「虛擬私有雲防火牆規則疑難排解」。