如需控制特定区域内的网络流量,请使用区域级网络防火墙政策及其规则。本页面介绍了如何克隆、列出、描述、查看、更新和删除区域级网络防火墙政策关联和规则。
在阅读本页面之前,请确保您熟悉区域级网络防火墙政策中所述的概念。
防火墙政策任务
本部分介绍了如何管理区域级网络防火墙政策。
描述区域级网络防火墙政策
您可以查看区域级网络防火墙政策的详细信息,包括政策规则和关联的规则属性。所有这些规则属性都计入规则属性配额。如需了解详情,请参阅每项防火墙政策表中的“每项区域级网络防火墙政策的规则属性”。此外,您还可以查看现有 VPC 网络关联的优先级。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。
点击您的政策。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
更新区域级网络防火墙政策说明
唯一可以更新的政策字段是说明字段。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。
点击您的政策。
点击修改。
在说明字段中,修改说明。
点击保存。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
列出区域级网络防火墙政策
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
网络防火墙政策部分显示项目中可用的政策。
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
将 LIST_OF_REGIONS 替换为要列出政策的区域的逗号分隔列表。
删除网络关联
如需停止对网络强制执行防火墙政策,请删除关联。
但是,如果您打算将一项防火墙政策替换为另一项安全政策,则无需先删除现有关联。删除此关联后,系统会在一段时间内不强制执行任何政策。请改为在关联新政策时替换现有政策。
如需删除区域级网络防火墙政策与 VPC 网络区域之间的关联,请按照本部分中提到的步骤操作。删除区域级网络防火墙政策的关联后,该政策中的规则不再适用于新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含政策的项目或文件夹。
点击您的政策。
点击关联标签页。
选择要删除的关联。
点击移除关联。
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION
删除区域级网络防火墙政策
您必须先删除区域级网络防火墙政策的所有关联,然后才能删除该政策。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您要删除的政策。
点击关联标签页。
选择所有关联。
点击移除关联。
移除所有关联后,点击删除。
gcloud
使用以下命令删除政策:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
替换以下内容:
POLICY_NAME:地区级网络防火墙政策的名称。REGION_NAME:区域级网络防火墙政策的区域。
防火墙政策规则任务
本部分介绍了如何管理区域级网络防火墙政策规则。
将规则从一个政策克隆到另一个政策
克隆操作会将来源政策中的规则复制到目标政策,并替换目标政策中的所有现有规则。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击要从中复制规则的政策。
点击屏幕顶部的克隆。
提供目标政策的名称。
如果您想立即关联新政策,请点击继续 > 关联。
在将政策与 VPC 网络关联页面中,选择相应网络,然后点击关联。
点击继续。
点击克隆。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy=SOURCE_POLICY
替换以下内容:
TARGET_POLICY:目标政策的名称。TARGET_POLICY_REGION:目标政策的区域。SOURCE_POLICY:源政策的网址。
描述规则
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
点击规则的优先级。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。POLICY_REGION:包含相应规则的政策的区域。
更新规则
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含区域级网络防火墙政策的项目。
点击包含要更新的规则的区域级网络防火墙政策的名称。
点击规则的优先级。
点击修改。
修改要更改的防火墙规则字段。如需了解各个字段的说明,请参阅以下内容之一:
点击保存。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
[...other flags that you want to modify...]
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。POLICY_REGION:包含相应规则的政策的区域。
提供要修改的标志。如需了解标志说明,请参阅以下内容之一:
删除规则
从政策中删除规则会导致该规则不再适用于与该规则的目标建立的新连接。
控制台
在 Google Cloud 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含该政策的项目。
点击您的政策。
选择要删除的规则。
点击删除。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
替换以下内容:
PRIORITY:唯一标识规则的优先级编号。POLICY_NAME:包含规则的政策的名称。POLICY_REGION:包含相应规则的政策的区域。
获取网络中某个区域的有效防火墙规则
您可以查看应用于 VPC 网络特定区域的所有分层防火墙政策规则、VPC 防火墙规则、全球网络防火墙政策规则和区域级网络防火墙政策规则。
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
替换以下内容:
REGION_NAME:您要查看其有效规则的区域。NETWORK_NAME:您要查看其有效规则的网络。