如要控管特定區域內的網路流量,請使用區域網路防火牆政策及其規則。本頁面提供操作說明,說明如何複製、列出、說明、查看、更新及刪除區域網路防火牆政策關聯和規則。
閱讀本頁面之前,請務必先熟悉「區域網路防火牆政策」中說明的概念。
防火牆政策工作
本節說明如何管理區域網路防火牆政策。
說明區域網路防火牆政策
您可以查看區域網路防火牆政策的詳細資料,包括政策規則和相關聯的規則屬性。所有這些規則屬性都會計入規則屬性配額。詳情請參閱「每個防火牆政策」表格中的「每個區域網路防火牆政策的規則屬性」。此外,您也可以查看現有虛擬私有雲網路關聯的優先順序。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有區域網路防火牆政策的專案。
按一下政策。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
更新區域網路防火牆政策說明
唯一可更新的政策欄位是「說明」欄位。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有區域網路防火牆政策的專案。
按一下您的政策。
按一下 [編輯]。
在「Description」(說明) 欄位中修改說明。
按一下 [儲存]。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
列出區域網路防火牆政策
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
「網路防火牆政策」部分會顯示專案中可用的政策。
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
將 LIST_OF_REGIONS 替換為以半形逗號分隔的區域清單,列出這些區域的政策。
刪除網路關聯
如要停止在網路上強制執行防火牆政策,請刪除關聯。
不過,如果您打算替換防火牆政策,則不需要先刪除現有的關聯。刪除關聯後,系統會有一段時間不強制執行任何政策。而是建立新政策並建立關聯時,取代現有政策。
如要刪除區域網路防火牆政策與虛擬私有雲網路區域之間的關聯,請按照本節所述步驟操作。刪除關聯後,區域網路防火牆政策中的規則不會套用至新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取您的專案或含有政策的資料夾。
按一下您的政策。
按一下「關聯項目」分頁標籤。
選取要刪除的關聯。
按一下「移除關聯」。
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION
刪除區域網路防火牆政策
如要刪除區域網路防火牆政策,請先刪除所有關聯。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下要刪除的政策。
按一下「關聯項目」分頁標籤。
選取所有關聯。
按一下「移除關聯」。
移除所有關聯後,按一下「刪除」。
gcloud
使用下列指令刪除政策:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
更改下列內容:
POLICY_NAME:區域網路防火牆政策的名稱。REGION_NAME:區域網路防火牆政策的區域。
防火牆政策規則工作
本節說明如何管理區域網路防火牆政策規則。
將規則從一項政策複製到另一項政策
複製作業會將來源政策的規則複製到目標政策,並取代目標政策中的所有現有規則。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下要複製規則的政策。
按一下畫面頂端的「複製」。
提供目標政策的名稱。
如要立即建立新政策的關聯,請依序點按「繼續」>「建立關聯」。
在「Associate policy with VPC networks」(將政策與虛擬私有雲網路建立關聯) 頁面中,選取網路並按一下「Associate」(建立關聯)。
按一下「繼續」。
按一下 [Clone] (複製)。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy=SOURCE_POLICY
更改下列內容:
TARGET_POLICY:目標政策的名稱。TARGET_POLICY_REGION:目標政策的區域。SOURCE_POLICY:來源政策的網址。
說明規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下您的政策。
按一下規則的優先順序。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則。POLICY_NAME:包含規則的政策名稱。POLICY_REGION:包含規則的政策區域。
更新規則
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有區域網路防火牆政策的專案。
按一下要更新規則的區域網路防火牆政策名稱。
按一下規則的優先順序。
按一下 [編輯]。
修改要變更的防火牆規則欄位。如需各個欄位的說明,請參閱下列文章:
按一下 [儲存]。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
[...other flags that you want to modify...]
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則。POLICY_NAME:包含規則的政策名稱。POLICY_REGION:包含規則的政策區域。
提供要修改的旗標。如需標記說明,請參閱下列任一文章:
刪除規則
從政策中刪除規則後,該規則就不會再套用至規則目標的新連線。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取含有政策的專案。
按一下您的政策。
選取要刪除的規則。
點選「刪除」。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
更改下列內容:
PRIORITY:優先順序編號,用來專屬識別規則。POLICY_NAME:包含規則的政策名稱。POLICY_REGION:包含規則的政策區域。
取得網路區域的有效防火牆規則
您可以查看套用至虛擬私有雲網路特定區域的所有階層式防火牆政策規則、虛擬私有雲防火牆規則、全域網路防火牆政策規則和區域網路防火牆政策規則。
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
更改下列內容:
REGION_NAME:要查看有效規則的區域。NETWORK_NAME:您要查看有效規則的網路。