全球网络防火墙政策

全球网络防火墙政策可让您通过将所有防火墙规则分组到单个政策对象中来批量更新防火墙规则。您可以将网络防火墙政策分配给 Virtual Private Cloud (VPC) 网络。这些政策包含可以明确拒绝或允许连接的规则。

规格

全球网络防火墙政策是防火墙规则的容器资源。每个全球网络防火墙政策资源都在项目中定义。
- 创建全球网络防火墙政策后，您便可以在该政策中添加、更新和删除防火墙规则。
- 如需了解全球网络防火墙政策中的规则的规范信息，请参阅防火墙政策规则。
如需将全球网络防火墙政策规则应用于 VPC 网络，您必须将防火墙政策与该 VPC 网络相关联。
- 您可以将一个全球网络防火墙政策与多个 VPC 网络相关联。不过，您必须确保防火墙政策与关联的网络属于同一项目。
- 每个 VPC 网络只能与一个全球网络防火墙政策相关联。
- 如果防火墙政策未与任何 VPC 网络相关联，则该政策中的规则不起作用。未与任何网络相关联的防火墙政策是未关联的全球网络防火墙政策。
如果全球网络防火墙政策与一个或多个 VPC 网络相关联，该防火墙政策中的规则将通过以下方式强制执行：
- 现有规则会针对所关联 VPC 网络中的适用资源强制执行。
- 对规则所做的任何更改也都会针对所关联 VPC 网络中的适用资源强制执行。
全球网络防火墙政策中的规则会与其他防火墙规则一起强制执行，详情请参阅政策和规则评估顺序。

全球网络防火墙政策规则用于配置匹配流量的第 7 层检查，例如在使用入侵防御服务时。

您可以使用 apply_security_profile_group 操作和安全配置文件组的名称来创建防火墙政策规则。与防火墙政策规则匹配的流量会透明地转发到防火墙端点，以进行第 7 层检查。如需了解如何创建防火墙政策规则，请参阅创建全球网络防火墙规则。

如需详细了解全球网络防火墙政策中的规则的组件和参数，请参阅防火墙政策规则。

下表总结了全球网络防火墙政策规则与 VPC 防火墙规则之间的主要区别：

创建全球网络防火墙政策时，Cloud 新一代防火墙会将优先级最低的预定义规则添加到政策。这些规则适用于任何与政策中明确定义的规则不匹配的连接，导致此类连接传递到较低级层的政策或网络规则。

如需了解各种类型的预定义规则及其特性，请参阅预定义规则。

IAM 角色用于控制与全球网络防火墙政策相关的以下操作：

下表介绍了每个操作所需的角色：

操作	必要角色
创建新的全球网络防火墙政策	针对政策所属项目的 compute.securityAdmin 角色
将政策与网络相关联	针对政策所在项目的 compute.networkAdmin 角色
通过添加、更新或删除政策防火墙规则来修改政策	针对政策所在项目的 compute.securityAdmin 角色
删除政策	针对政策所在项目的 compute.networkAdmin 角色
查看 VPC 网络的有效防火墙规则	网络的以下角色之一： compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer
查看网络中虚拟机的有效防火墙规则	虚拟机的以下角色之一： compute.instanceAdmin compute.securityAdmin compute.viewer

以下角色与全球网络防火墙政策相关。

角色名称	说明
compute.securityAdmin	可以在项目级层或资源级层授予。如果针对项目授予此角色，则用户可以创建、更新和删除全球网络防火墙政策及其规则。在政策级层，此角色允许用户更新政策规则，但不允许创建或删除政策。此角色还允许用户将政策与网络关联。
compute.networkAdmin	在项目级层或网络级层授予。如果在网络级层授予，则允许用户查看全球网络防火墙政策列表。
compute.viewer compute.networkUser compute.networkViewer	允许用户查看应用于网络或实例的防火墙规则。包括网络的 `compute.networks.getEffectiveFirewalls` 权限和实例的 `compute.instances.getEffectiveFirewalls` 权限。