建立階層式防火牆政策和規則 (original) (raw)

本頁面說明如何使用階層式防火牆政策和規則，控管Google Cloud 機構和資料夾的網路流量。瞭解如何在機構或資料夾層級定義政策，然後將政策與特定資源建立關聯。

閱讀本頁面之前，請務必先熟悉「階層式防火牆政策總覽」一文所述概念。如需階層式防火牆政策的實作範例，請參閱「階層式防火牆政策範例」。

限制

• 階層式防火牆政策規則不支援使用網路標記定義目標。您必須改用目標虛擬私有雲 (VPC) 網路或目標服務帳戶。
• 防火牆政策可在資料夾和機構層級套用，但無法在虛擬私有雲網路層級套用。虛擬私有雲網路支援一般虛擬私有雲防火牆規則。
• 一個資源 (資料夾或組織) 只能與一項防火牆政策建立關聯，不過資料夾中的虛擬機器 (VM) 執行個體可以從 VM 上方整個資源階層繼承規則。
• 防火牆政策規則記錄支援 allow 和 deny 規則，但不支援 goto_next 規則。
• 防火牆規則不支援 IPv6 Hop-by-Hop 通訊協定。

防火牆政策工作

本節說明如何建立及關聯階層式防火牆政策。

建立防火牆政策

建立階層式防火牆政策時，您可以將其父項設為機構或機構內的資料夾。建立政策後，您可以將政策與機構或機構中的資料夾建立關聯。

這項工作需要的權限

必須擁有下列權限「或」下列任一 IAM 角色，才能執行這項工作。

權限

• compute.firewallPolicies.create

角色

• 您要在其中建立政策的機構或資料夾的 Compute 組織防火牆政策管理員 (roles/compute.orgFirewallPolicyAdmin)
• 您要在其中建立政策的機構或資料夾，需要具備 Compute 安全管理員 (roles/compute.securityAdmin) 角色

控制台

1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
   前往「Firewall policies」(防火牆政策)
2. 在專案選取器選單中，選取您的機構 ID 或機構內的資料夾。
3. 按一下「建立防火牆政策」。
4. 在「Policy name」(政策名稱) 欄位中，輸入政策名稱。
5. 選用：如要為政策建立規則，請按一下「繼續」。
6. 在「新增規則」部分，按一下「建立防火牆規則」。如要進一步瞭解如何建立防火牆規則，請參閱下列文章：
   • 為 VM 目標建立輸入規則
   • 為 VM 目標建立輸出規則
7. 選用：如要將政策與資源建立關聯，請按一下「繼續」。
8. 在「將政策與資源建立關聯」部分中，按一下「新增」。
   詳情請參閱「將政策與機構或資料夾建立關聯」。
9. 點選「建立」。

gcloud

執行下列指令，建立以機構為上層的階層式防火牆政策：

gcloud compute firewall-policies create
--organization ORG_ID
--short-name SHORT_NAME

執行下列指令，建立父項為機構內資料夾的階層式防火牆政策：

gcloud compute firewall-policies create
--folder FOLDER_ID
--short-name SHORT_NAME

更改下列內容：

• ORG_ID：貴機構的 ID
  指定機構 ID，建立以機構為父項的政策。這項政策可以與機構或機構內的資料夾建立關聯。
• SHORT_NAME：政策名稱
  使用 Google Cloud CLI 建立的政策有兩個名稱：系統產生的名稱和您提供的簡稱。使用 gcloud CLI 更新現有政策時，您可以提供系統產生的名稱或簡稱，以及機構 ID。使用 API 更新政策時，必須提供系統產生的名稱。
• FOLDER_ID：資料夾的 ID
  指定資料夾 ID，建立以資料夾為父項的政策。 政策可與包含資料夾的機構或該機構內的任何資料夾建立關聯。

將政策與機構或資料夾建立關聯

將階層式防火牆政策與機構或機構中的資料夾建立關聯後，防火牆政策的規則 (已停用的規則除外，且須遵守各項規則的目標) 會套用至相關聯機構或資料夾專案中虛擬私有雲網路的資源。

這項工作需要的權限

必須擁有下列權限「或」下列任一 IAM 角色，才能執行這項工作。

權限

• compute.firewallPolicies.use
• compute.organizations.setFirewallPolicy

角色

• 機構或資料夾的 Compute 機構資源管理員 (roles/compute.orgSecurityResourceAdmin)，防火牆政策應套用至該機構或資料夾
• 以及下列其中一個角色：
  • 防火牆政策或包含防火牆政策的機構/資料夾的 Compute 網路管理員 (roles/compute.networkAdmin)
  • 防火牆政策或包含防火牆政策的機構/資料夾的「Compute 組織防火牆政策管理員」角色 (roles/compute.orgFirewallPolicyAdmin)
  • 防火牆政策或包含防火牆政策的機構/資料夾的 Compute 組織防火牆政策使用者 (roles/compute.orgFirewallPolicyUser )
  • 防火牆政策或包含防火牆政策的機構/資料夾的 Compute 機構安全性政策管理員 (roles/compute.orgSecurityPolicyAdmin)
  • Compute 機構安全性政策使用者 (roles/compute.orgSecurityPolicyUser) 在防火牆政策或包含防火牆政策的機構/資料夾上
  • 防火牆政策或包含防火牆政策的機構或資料夾的 Compute 安全管理員 (roles/compute.securityAdmin)

控制台

1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
   前往「Firewall policies」(防火牆政策)
2. 在專案選取器選單中，選取您的機構 ID 或含有政策的資料夾。
3. 按一下您的政策。
4. 按一下「關聯項目」分頁標籤。
5. 按一下「新增關聯」。
6. 選取機構根層級，或選取機構內的資料夾。
7. 按一下「新增」。

gcloud

根據預設，如果您嘗試將關聯插入已有關聯的機構或資料夾，方法就會失敗。如果您指定 --replace-association-on-target 旗標，系統會在建立新關聯的同時刪除現有關聯。這樣可避免資源在轉換期間沒有政策。

gcloud compute firewall-policies associations create
--firewall-policy POLICY_NAME
--organization ORG_ID
[ --folder FOLDER_ID ]
[ --name ASSOCIATION_NAME ]
[ --replace-association-on-target ]

更改下列內容：

• POLICY_NAME：政策的簡稱或系統產生的名稱
• ORG_ID：貴機構的 ID
• FOLDER_ID：如果您要將政策與資料夾建立關聯，請在此指定資料夾；如果要將政策與機構層級建立關聯，請省略此步驟
• ASSOCIATION_NAME：關聯的選用名稱；如未指定，名稱會設為「機構 ORG_ID」或「資料夾 FOLDER_ID」

防火牆政策規則工作

本節說明如何建立階層式防火牆政策規則。

為 VM 目標建立輸入規則

這項工作需要的權限

必須擁有下列權限「或」下列任一 IAM 角色，才能執行這項工作。

權限

• compute.firewallPolicies.update

角色

• 防火牆政策或包含該政策的機構/資料夾的 Compute 組織防火牆政策管理員 (roles/compute.orgFirewallPolicyAdmin)
• 防火牆政策、機構或含有政策的資料夾的 Compute 安全管理員 (roles/compute.securityAdmin)

本節說明如何建立適用於 Compute Engine 執行個體網路介面的輸入規則。

控制台

1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
   前往「Firewall policies」(防火牆政策)
2. 在專案選取器清單中，選取包含階層式防火牆政策的機構或資料夾。
3. 如有需要，請在「階層索引」部分選取子資料夾。
4. 在「防火牆政策」部分，按一下要建立規則的階層式防火牆政策名稱。
5. 在「防火牆規則」部分，按一下「建立防火牆規則」，並指定下列設定參數：
   1. 優先順序：規則的數值評估順序。
      系統會從最高優先順序到最低優先順序評估規則，其中 0 為最高優先順序。每項規則的優先順序不得重複。 建議您將規則優先順序值間隔設為大於 1 (例如 100、200、300)，這樣之後就能在現有規則之間建立新規則。
   2. 說明：提供說明 (選填)。
   3. 「Direction of traffic」(流量方向)：選取「Ingress」(輸入)。
   4. 「相符時執行的動作」：選取下列其中一項：
      • 允許：允許符合規則參數的連線。
      • 拒絕：封鎖符合規則參數的連線。
      • 前往下一個步驟：繼續進行防火牆規則評估程序。
      • 套用安全性設定檔群組：根據您選取的「用途」，將封包傳送至防火牆端點或攔截端點群組。
        * 如要將封包傳送至 Cloud NGFW 防火牆端點，請選取「Cloud NGFW Enterprise」，然後選取「安全性設定檔群組」。如要啟用封包的 TLS 檢查功能，請選取「啟用 TLS 檢查」。
        * 如要將封包傳送至頻帶內整合的網路安全整合服務攔截端點群組，請選取「NSI In-Band」，然後選取「Security profile group」。
   5. 「記錄」：選取「開啟」，啟用防火牆規則記錄功能；選取「關閉」，停用這項規則的防火牆規則記錄功能。
   6. 目標網路：如要將防火牆政策套用至特定虛擬私有雲網路中的目標，請按一下「新增網路」，然後選取「專案」和「網路」。
   7. 目標：選取下列其中一個選項：
      • 套用至所有項目：Cloud NGFW 會使用最廣泛的執行個體目標。
      • 服務帳戶：將最廣泛的執行個體目標縮小為使用您在「目標服務帳戶」中指定服務帳戶的 VM 執行個體網路介面。
      • 安全標記：將最廣泛的執行個體目標縮小為 VM 執行個體的網路介面，這些介面至少繫結至您指定的其中一個安全標記值。按一下「Select scope for tags」(選取標記範圍)，然後選取包含要比對標記值的機構或專案。如要新增更多代碼值，請按一下「新增代碼」。
   8. 來源網路情境：指定網路情境：
      • 如要略過依網路情境篩選連入流量，請選取「所有網路情境」。
      • 如要篩選特定網路情境的連入流量，請選取「特定網路情境」，然後選取網路情境：
        * 網際網路：輸入封包的輸入流量必須符合網際網路網路環境。
        * 非網際網路：傳入流量必須符合傳入封包的非網際網路網路環境。
        * 虛擬私有雲內部：傳入流量必須符合虛擬私有雲網路環境的條件。
        * 虛擬私有雲網路：連入流量必須符合虛擬私有雲網路環境的條件。您必須選取至少一個虛擬私有雲網路：
        * 選取目前專案：可從包含防火牆政策的專案中，新增一或多個虛擬私有雲網路。
        * 手動輸入網路：可手動輸入專案和虛擬私有雲網路。
        * 「選取專案」：可讓您選取專案，並從中選取虛擬私有雲網路。
   9. 來源篩選器：指定其他來源參數。部分來源參數無法同時使用，且您選擇的來源聯播網環境會限制可使用的來源參數。詳情請參閱「輸入規則的來源」和「輸入規則來源組合」。
      • 如要依來源 IPv4 範圍篩選傳入流量，請選取「IPv4」，然後在「IP 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv4 來源使用 0.0.0.0/0。
      • 如要依來源 IPv6 範圍篩選傳入流量，請選取 IPv6，然後在 IPv6 ranges 欄位中輸入 CIDR 區塊。使用「::/0」代表任何 IPv6 來源。
      • 如要依來源安全代碼值篩選連入流量，請在「安全代碼」部分選取「選取代碼的範圍」。然後提供標記鍵和標記值。如要新增更多代碼值，請按一下「新增代碼」。
      • 如要依來源 FQDN 篩選連入流量，請在「FQDNs」欄位中輸入 FQDN。詳情請參閱 FQDN 物件。
      • 如要依來源地理位置篩選輸入流量，請從「地理位置」欄位選取一或多個位置。詳情請參閱「地理位置物件」。
      • 如要依來源位址群組篩選連入流量，請從「位址群組」欄位選取一或多個位址群組。詳情請參閱防火牆政策的位址群組。
      • 如要依來源 Google 威脅情報清單篩選連入流量，請從「Google Cloud Threat Intelligence」(Google Cloud 威脅情報) 欄位選取一或多個 Google 威脅情報清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
   10. 目的地：指定選用的目的地參數。詳情請參閱「傳入規則的目的地」。
       • 如要略過依目的地 IP 位址篩選輸入流量，請選取「無」。
       • 如要依目的地 IP 位址篩選傳入流量，請選取「IPv4」或「IPv6」，然後以來源 IPv4 範圍或來源 IPv6 範圍使用的格式，輸入一或多個 CIDR。
   11. 通訊協定和通訊埠：指定通訊協定和目的地通訊埠，讓流量符合規則。詳情請參閱「通訊協定和通訊埠」。
   12. 強制執行：指定是否強制執行防火牆規則：
       • 啟用：建立規則，並開始對新連線強制執行規則。
       • 已停用：建立規則，但不對新連線強制執行規則。
6. 點選「建立」。

gcloud

gcloud compute firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--organization=ORG_ID | --folder=FOLDER_ID
--description=DESCRIPTION
--direction=INGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
[--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS]
[--layer4-configs=LAYER_4_CONFIGS]
[--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS]
[--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES]
[--dest-ip-ranges=DEST_IP_RANGES]

更改下列內容：

• PRIORITY：政策中規則的數字評估順序。系統會依優先順序 (由高到低) 評估規則，其中 0 為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值間的差異設為大於 1 (例如 100、200、300)，這樣之後就能在現有規則之間建立新規則。
• POLICY_NAME：您要在其中建立規則的階層式防火牆政策名稱。
• ORG_ID：如果父項是機構，則為包含階層式防火牆政策的機構 ID。
• FOLDER_ID：如果父項是資料夾，則為包含階層式防火牆政策的資料夾 ID。
• DESCRIPTION：新規則的選用說明。
• ACTION：指定下列其中一項動作：
  • allow：允許符合規則的連線。
  • deny：拒絕符合規則的連線。
  • goto_next：繼續防火牆規則評估程序。
  • apply_security_profile_group：將封包傳送至防火牆端點或攔截端點群組。
    * 如果動作是 apply_security_profile_group，您必須加入 --security-profile-groupSECURITY_PROFILE_GROUP，其中 SECURITY_PROFILE_GROUP 是安全性設定檔群組的名稱。
    * 安全性設定檔群組的安全性設定檔可以參照 Cloud NGFW 防火牆端點或網路安全整合服務攔截端點群組，以進行頻內整合。
    * 如果安全性設定檔群組的安全性設定檔參照 Cloud NGFW 防火牆端點，請加入 --tls-inspect 或 --no-tls-inspect，啟用或停用 TLS 檢查。
• --enable-logging 和 --no-enable-logging 旗標可啟用或停用虛擬私有雲防火牆規則記錄。
• --disabled 和 --no-disabled 旗標可控制規則是否停用 (不強制執行) 或啟用 (強制執行)。
• 指定目標：
  • 如果省略 --target-resources、--target-secure-tags 和 --target-service-accounts 旗標，Cloud NGFW 會使用最廣泛的執行個體目標。
  • TARGET_NETWORKS：以逗號分隔的虛擬私有雲網路清單，這些網路以網路資源網址指定，格式為 https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。--target-resources 旗標可單獨使用，或與另一個目標旗標搭配使用。詳情請參閱「特定目標組合」。
  • TARGET_SECURE_TAGS：以半形逗號分隔的安全標記值清單，可將最廣泛的執行個體目標縮小為繫結至至少一個安全標記值的 VM 執行個體網路介面。
  • TARGET_SERVICE_ACCOUNTS：以逗號分隔的服務帳戶清單，可將最廣泛的執行個體目標縮小至使用其中一個服務帳戶的 VM 執行個體網路介面。
• LAYER_4_CONFIGS：以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種：
  • IP 通訊協定名稱 (tcp) 或 IANA IP 通訊協定編號 (17)，不含任何目的地通訊埠。
  • 以半形冒號 (tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。
  • IP 通訊協定名稱和目的地通訊埠範圍，以冒號分隔，並以破折號分隔起始和結束目的地通訊埠 (tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
• 為輸入規則指定來源。詳情請參閱「輸入規則來源組合」：
  • SRC_NETWORK_CONTEXT：定義要與其他支援的來源參數搭配使用的來源網路環境，以產生來源組合。--target-type=INSTANCES 的有效值為：INTERNET、NON_INTERNET、VPC_NETWORKS 或 INTRA_VPC。詳情請參閱「網路環境」。
  • SRC_VPC_NETWORKS：以半形逗號分隔的虛擬私有雲網路清單，這些網路以網址 ID 指定。只有在 --src-network-context 為 VPC_NETWORKS 時，才指定這個旗標。
  • SRC_IP_RANGES：以逗號分隔的 IP 位址範圍清單，格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR，不得混用。
  • SRC_ADDRESS_GROUPS：以半形逗號分隔的地址群組清單，這些群組以專屬網址 ID 指定。清單中的位址群組必須包含所有 IPv4 位址或所有 IPv6 位址，不得同時包含兩者。
  • SRC_DOMAIN_NAMES：以逗號分隔的 FQDN 物件清單，格式為網域名稱。
  • SRC_SECURE_TAGS：以逗號分隔的標籤清單。如果 --src-network-context 為 INTERNET，則無法使用 --src-secure-tags 旗標。
  • SRC_COUNTRY_CODES：以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱「地理位置物件」。如果 --src-network-context 為 NON_INTERNET、VPC_NETWORKS 或 INTRA_VPC，您就無法使用 --src-region-codes 標記。
  • SRC_THREAT_LIST_NAMES：以半形逗號分隔的 Google Threat Intelligence 清單名稱。詳情請參閱「Google Threat Intelligence for 防火牆政策規則」。如果 --src-network-context 為 NON_INTERNET、VPC_NETWORKS 或 INTRA_VPC，您就無法使用 --src-threat-intelligence 旗標。
• (選用) 指定輸入規則的目的地：
  • DEST_IP_RANGES：以逗號分隔的 IP 位址範圍清單，格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR，不得混用。

為 VM 目標建立輸出規則

這項工作需要的權限

必須擁有下列權限「或」下列任一 IAM 角色，才能執行這項工作。

權限

• compute.firewallPolicies.update

角色

• 防火牆政策或包含該政策的機構/資料夾的 Compute 組織防火牆政策管理員 (roles/compute.orgFirewallPolicyAdmin)
• 防火牆政策、機構或含有政策的資料夾的 Compute 安全管理員 (roles/compute.securityAdmin)

以下說明如何建立輸出規則。輸出規則僅適用於 Compute Engine 執行個體的網路介面目標。

控制台

1. 前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
   前往「Firewall policies」(防火牆政策)
2. 在專案選取器清單中，選取包含階層式防火牆政策的機構或資料夾。
3. 如有需要，請在「階層索引」部分選取子資料夾。
4. 在「防火牆政策」部分，按一下要建立規則的階層式防火牆政策名稱。
5. 在「防火牆規則」部分，按一下「建立防火牆規則」，並指定下列設定參數：
   1. 優先順序：規則的數值評估順序。
      系統會從最高優先順序到最低優先順序評估規則，其中 0 為最高優先順序。每項規則的優先順序不得重複。 建議您將規則優先順序值間隔設為大於 1 (例如 100、200、300)，這樣之後就能在現有規則之間建立新規則。
   2. 說明：提供說明 (選填)。
   3. 「流量方向」：選取「輸出」。
   4. 「相符時執行的動作」：選取下列其中一項：
      • 允許：允許符合規則參數的連線。
      • 拒絕：封鎖符合規則參數的連線。
      • 前往下一個步驟：繼續進行防火牆規則評估程序。
      • 套用安全性設定檔群組：根據您選取的「用途」，將封包傳送至防火牆端點或攔截端點群組。
        * 如要將封包傳送至 Cloud NGFW 防火牆端點，請選取「Cloud NGFW Enterprise」，然後選取「安全性設定檔群組」。如要啟用封包的 TLS 檢查功能，請選取「啟用 TLS 檢查」。
        * 如要將封包傳送至頻帶內整合的網路安全整合服務攔截端點群組，請選取「NSI In-Band」，然後選取「Security profile group」。
   5. 「記錄」：選取「開啟」，啟用防火牆規則記錄功能；選取「關閉」，停用這項規則的防火牆規則記錄功能。
   6. 目標網路：如要將防火牆政策套用至特定虛擬私有雲網路中的目標，請按一下「新增網路」，然後選取「專案」和「網路」。
   7. 目標：選取下列其中一個選項：
      • 套用至所有項目：Cloud NGFW 會使用最廣泛的執行個體目標。
      • 服務帳戶：將最廣泛的執行個體目標縮小為使用您在「目標服務帳戶」中指定服務帳戶的 VM 執行個體網路介面。
      • 安全標記：將最廣泛的執行個體目標縮小為 VM 執行個體的網路介面，這些介面至少繫結至您指定的其中一個安全標記值。按一下「Select scope for tags」(選取標記範圍)，然後選取包含要比對標記值的機構或專案。如要新增更多代碼值，請按一下「新增代碼」。
   8. 目標網路情境：指定網路情境：
      • 如要略過依網路情境篩選外送流量，請選取「所有網路情境」。
      • 如要將輸出流量篩選至特定網路情境，請選取「特定網路情境」，然後選取網路情境：
        * 網際網路：輸出流量必須符合輸出封包的網際網路網路環境。
        * 非網際網路：輸出流量必須符合輸出封包的非網際網路網路環境。
   9. 目的地篩選器：指定其他目的地參數。部分到達網頁參數無法同時使用，且您選擇的到達網頁聯播網內容會限制可使用的到達網頁篩選器。詳情請參閱「輸出規則目的地」和「輸出規則目的地組合」。
      • 如要依目的地 IPv4 範圍篩選傳出流量，請選取「IPv4」，然後在「IP ranges」(IP 範圍) 欄位中輸入 CIDR 區塊。針對任何 IPv4 目的地使用 0.0.0.0/0。
      • 如要依目的地 IPv6 範圍篩選傳出流量，請選取「IPv6」，然後在「IPv6 範圍」欄位中輸入 CIDR 區塊。針對任何 IPv6 目的地使用 ::/0。
      • 如要依目的地 FQDN 篩選輸出流量，請在「FQDNs」(FQDN) 欄位中輸入 FQDN。詳情請參閱 FQDN 物件。
      • 如要依目的地地理位置篩選輸出流量，請從「地理位置」欄位選取一或多個位置。詳情請參閱「地理位置物件」。
      • 如要依目的地地址群組篩選輸出流量，請從「地址群組」欄位選取一或多個地址群組。詳情請參閱防火牆政策的位址群組。
      • 如要依目的地 Google Threat Intelligence 清單篩選輸出流量，請從「Google Cloud Threat Intelligence」欄位選取一或多個 Google Threat Intelligence 清單。詳情請參閱「Google Threat Intelligence for firewall policy rules」。
   10. 來源：指定選用來源參數。詳情請參閱「輸出規則的來源」。
       • 如要略過依來源 IP 位址篩選輸出流量，請選取「無」。
       • 如要依來源 IP 位址篩選輸出流量，請選取「IPv4」或「IPv6」，然後輸入一或多個 CIDR，格式與目的地 IPv4 範圍或目的地 IPv6 範圍相同。
   11. 通訊協定和通訊埠：指定通訊協定和目的地通訊埠，讓流量符合規則。詳情請參閱「通訊協定和通訊埠」。
   12. 強制執行：指定是否強制執行防火牆規則：
       • 啟用：建立規則，並開始對新連線強制執行規則。
       • 已停用：建立規則，但不對新連線強制執行規則。
6. 點選「建立」。

gcloud

gcloud compute firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--organization=ORG_ID | --folder=FOLDER_ID
--description=DESCRIPTION
--direction=EGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
[--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS]
[--layer4-configs=LAYER_4_CONFIGS]
[--dest-network-context=DEST_NETWORK_CONTEXT]
[--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES]
[--src-ip-ranges=SRC_IP_RANGES]

更改下列內容：

• PRIORITY：政策中規則的數字評估順序。系統會依優先順序 (由高到低) 評估規則，其中 0 為最高優先順序。每項規則的優先順序不得重複。建議您將規則優先順序值間的差異設為大於 1 (例如 100、200、300)，這樣之後就能在現有規則之間建立新規則。
• POLICY_NAME：您要在其中建立規則的階層式防火牆政策名稱。
• ORG_ID：如果父項是機構，則為包含階層式防火牆政策的機構 ID。
• FOLDER_ID：如果父項是資料夾，則為包含階層式防火牆政策的資料夾 ID。
• DESCRIPTION：新規則的選用說明。
• ACTION：指定下列其中一項動作：
  • allow：允許符合規則的連線。
  • deny：拒絕符合規則的連線。
  • goto_next：繼續防火牆規則評估程序。
  • apply_security_profile_group：將封包傳送至防火牆端點或攔截端點群組。
    * 如果動作是 apply_security_profile_group，您必須加入 --security-profile-groupSECURITY_PROFILE_GROUP，其中 SECURITY_PROFILE_GROUP 是安全性設定檔群組的名稱。
    * 安全性設定檔群組的安全性設定檔可以參照 Cloud NGFW 防火牆端點或網路安全整合服務攔截端點群組，以進行頻內整合。
    * 如果安全性設定檔群組的安全性設定檔參照 Cloud NGFW 防火牆端點，請加入 --tls-inspect 或 --no-tls-inspect，啟用或停用 TLS 檢查。
• --enable-logging 和 --no-enable-logging 旗標可啟用或停用虛擬私有雲防火牆規則記錄。
• --disabled 和 --no-disabled 旗標可控制規則是否停用 (不強制執行) 或啟用 (強制執行)。
• 指定目標：
  • 如果省略 --target-resources、--target-secure-tags 和 --target-service-accounts 旗標，Cloud NGFW 會使用最廣泛的執行個體目標。
  • TARGET_NETWORKS：以逗號分隔的虛擬私有雲網路清單，這些網路以網路資源網址指定，格式為 https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME。--target-resources 旗標可單獨使用，或與另一個目標旗標搭配使用。詳情請參閱「特定目標組合」。
  • TARGET_SECURE_TAGS：以半形逗號分隔的安全標記值清單，可將最廣泛的執行個體目標縮小為繫結至至少一個安全標記值的 VM 執行個體網路介面。
  • TARGET_SERVICE_ACCOUNTS：以逗號分隔的服務帳戶清單，可將最廣泛的執行個體目標縮小至使用其中一個服務帳戶的 VM 執行個體網路介面。
• LAYER_4_CONFIGS：以半形逗號分隔的第 4 層設定清單。每個第 4 層設定可以是下列其中一種：
  • IP 通訊協定名稱 (tcp) 或 IANA IP 通訊協定編號 (17)，不含任何目的地通訊埠。
  • 以半形冒號 (tcp:80) 分隔的 IP 通訊協定名稱和目的地通訊埠。
  • IP 通訊協定名稱和目的地通訊埠範圍，以冒號分隔，並以破折號分隔起始和結束目的地通訊埠 (tcp:5000-6000)。詳情請參閱「通訊協定和通訊埠」。
• 指定輸出規則的目的地。詳情請參閱「輸出規則目的地組合」：
  • DEST_NETWORK_CONTEXT：定義要與其他支援的目的地參數搭配使用的目的地網路環境，以產生目的地組合。有效值為 INTERNET 和 NON_INTERNET。詳情請參閱「網路環境」。
  • DEST_IP_RANGES：以逗號分隔的 IP 位址範圍清單，格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR，不得混用。
  • DEST_ADDRESS_GROUPS：以半形逗號分隔的地址群組清單，這些群組以不重複網址識別碼指定。
  • DEST_DOMAIN_NAMES：以逗號分隔的 FQDN 物件清單，格式為網域名稱。
  • DEST_COUNTRY_CODES：以半形逗號分隔的雙字母國家/地區代碼清單。詳情請參閱地理位置物件。
  • DEST_THREAT_LIST_NAMES：以半形逗號分隔的 Google Threat Intelligence 清單名稱。詳情請參閱「Google Threat Intelligence for 防火牆政策規則」。
• (選用) 指定輸出規則的來源：
  • SRC_IP_RANGES：以逗號分隔的 IP 位址範圍清單，格式為 CIDR。清單中的範圍必須全為 IPv4 CIDR 或 IPv6 CIDR，不得混用。

後續步驟

• 虛擬私有雲防火牆規則總覽
• 階層式防火牆政策範例