使用分层防火墙政策和规则

本页面假定您熟悉分层防火墙政策中介绍的概念。如需查看分层防火墙政策实施的示例,请参阅分层防火墙政策示例

限制

  • 分层防火墙政策规则不支持来源标记或来源服务账号。
  • 分层防火墙政策规则不支持使用网络标记来定义目标。您必须改用目标 VPC 网络或目标服务账号。
  • 防火墙规则可以在文件夹级层和组织级层应用,但不能在 VPC 网络级层应用。VPC 网络支持常规 VPC 防火墙规则。
  • 只有一个防火墙政策可以与资源(文件夹或组织)关联,但文件夹中的虚拟机 (VM) 实例可以从虚拟机上方的整个资源层次结构中继承规则。
  • 防火墙规则日志记录支持 allowdeny 规则,但不支持 goto_next 规则。
  • 防火墙规则不支持 IPv6 逐跳协议。

防火墙政策任务

创建防火墙政策

您可以在组织层次结构的任何资源(组织或文件夹)中创建政策。创建政策后,您可以将其与组织的任何资源相关联。关联政策后,政策的规则将对层次结构中关联资源下的虚拟机有效。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或组织内的文件夹。

  3. 点击创建防火墙政策

  4. 为政策指定名称

  5. 如果您要为政策创建规则,请点击继续 > 添加规则

    如需了解详情,请参阅创建防火墙规则

  6. 如果您要将政策与资源关联,请点击继续 > 将政策与资源相关联

    如需了解详情,请参阅将政策与组织或文件夹相关联

  7. 点击创建

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

替换以下内容:

  • ORG_ID:您的组织的 ID
    如果您要在组织级创建政策,请指定此 ID。此 ID 仅指明政策的适用范围;它不会自动将政策与组织资源相关联。
  • FOLDER_ID:文件夹的 ID
    如果要在给定文件夹中创建政策,请指定此 ID。此 ID 仅指明政策的适用范围;它不会自动将政策与该文件夹相关联。
  • SHORT_NAME:政策的名称
    使用 Google Cloud CLI 创建的政策有两个名称:系统生成的名称和您提供的简称。使用 Google Cloud CLI 更新现有政策时,您可以提供系统生成的名称或简称以及组织 ID。使用 API 更新政策时,您必须提供系统生成的名称。

创建防火墙规则

必须在分层防火墙政策中创建分层防火墙政策规则。在将包含政策与资源相关联之前,这些规则处于无效状态。

每条分层防火墙政策规则可以包含 IPv4 或 IPv6 范围,但不能同时包含这两者。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策名称。

  4. 点击添加规则

  5. 填充规则字段:

    1. 优先级:规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。最好向规则提供允许稍后插入的优先级编号(如 100200300)。
    2. 日志集合设置为开启关闭
    3. 对于流量方向,指定此规则是入站流量规则还是出站流量规则。
    4. 对匹配项执行的操作部分中,选择以下选项之一:

      1. 允许:允许与规则匹配的连接。
      2. 拒绝:拒绝与规则匹配的连接。
      3. 转到下一层:将连接的评估传递到层次结构中的下一层防火墙规则。
      4. 转到 L7 检查:将数据包发送到已配置的防火墙端点以进行第 7 层检查。
        • 安全配置文件组列表中,选择一个安全配置文件组的名称。
        • 如需启用数据包的 TLS 检查,请选择启用 TLS 检查

      如需详细了解如何为虚拟机的每个网络接口评估规则及对应操作,请参阅政策和规则评估顺序

    5. 可选:您可以将规则仅限制为某些网络,方法是在目标网络字段中指定。点击添加网络,然后选择项目网络。您可以向规则添加多个目标网络。

    6. 可选:您可以通过在目标服务账号字段中指定账号,将规则限制为运行对某些服务账号具有访问权限的虚拟机

    7. 对于入站流量规则,请指定来源过滤条件:

      • 如需按来源 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用 0.0.0.0/0
      • 如需按来源 IPv6 范围过滤传入的流量,请选择 IPv6,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用 ::/0
    8. 对于出站流量规则,请指定目标过滤条件

      • 如需按目标 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用 0.0.0.0/0
      • 如需按目标 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用 ::/0
    9. 可选:如果您要创建入站流量规则,请指定此规则适用的来源 FQDN。如果要创建出站流量规则,请选择此规则适用的目标 FQDN。如需详细了解域名对象,请参阅域名对象

    10. 可选:如果您要创建入站流量规则,请选择此规则适用的来源地理位置。如果要创建出站流量规则,请选择此规则适用的目标地理位置。如需详细了解地理位置对象,请参阅地理位置对象

    11. 可选:如果您要创建入站流量规则,请选择此规则适用的来源地址组。如果要创建出站流量规则,请选择此规则适用的目标地址组。如需详细了解地址组,请参阅防火墙政策的地址组

    12. 可选:如果您要创建入站流量规则,请选择此规则适用的 Google Cloud 威胁情报来源列表。 如果要创建出站流量规则,请选择此规则适用的目标 Google Cloud 威胁情报列表。如需详细了解 Google 威胁情报,请参阅防火墙政策规则的 Google 威胁情报

    13. 可选:对于入站流量规则,请指定目标过滤条件:

      • 如需按目标 IPv4 范围过滤传入的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。对于任何 IPv4 目标,请使用 0.0.0.0/0
      • 如需按目标 IPv6 范围过滤传入的流量,请选择 IPv6 范围,然后在目标 IPv6 范围字段中输入 CIDR 地址块。对于任何 IPv6 目标,请使用 ::/0。 如需了解详情,请参阅入站流量规则的目的地
    14. 可选:对于出站流量规则,请指定来源过滤条件:

      • 如需按来源 IPv4 范围过滤传出的流量,请选择 IPv4,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv4 来源,请使用 0.0.0.0/0
      • 如需按来源 IPv6 范围过滤传出的流量,请选择 IPv6,然后在 IP 范围字段中输入 CIDR 地址块。如需选择所有 IPv6 来源,请使用 ::/0。 如需了解详情,请参阅出站流量规则的来源
    15. 对于协议和端口,指定规则适用于所有协议和所有目标端口,或指定应用哪些协议和端口。

      如需指定 IPv4 ICMP,请使用 icmp 或协议编号 1。如需指定 IPv6 ICMP,请使用协议编号 58。如需详细了解协议,请参阅协议和端口

    16. 点击创建

  6. 点击添加规则以添加其他规则。

  7. 点击继续 > 将政策与资源相关联,以将政策与资源相关联,或点击创建以创建政策。

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

请替换以下内容:

  • PRIORITY:规则的数字评估顺序

    这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。每条规则的优先级都必须唯一。最好向规则提供允许稍后插入的优先级编号(如 100200300)。

  • ORG_ID:您的组织的 ID

  • POLICY_NAME:政策的简称或系统生成的名称

  • DIRECTION:指明规则是 INGRESS 规则(默认)还是 EGRESS 规则

    • 添加 --src-ip-ranges 以指定流量来源的 IP 地址范围。
    • 添加 --dest-ip-ranges 以指定流量目的地的 IP 地址范围。

    如需了解详情,请参阅目标来源目的地

  • SRC_NETWORK_SCOPE:表示要应用入站规则的来源网络流量的范围。您可以将此参数设置为以下某个值:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    如需清除此参数的值,请使用空字符串。空值表示所有网络范围。如需了解详情,请参阅了解网络范围类型

  • SRC_VPC_NETWORK:VPC 网络的逗号分隔列表

    只有在 --src-network-scope 设置为 VPC_NETWORKS 时才能使用 --src-networks

  • DEST_NETWORK_SCOPE:表示要应用出站规则的目标网络流量的范围。您可以将此参数设置为以下某个值:

    • INTERNET
    • NON_INTERNET

    如需清除此参数的值,请使用空字符串。空值表示所有网络范围。

    如需了解详情,请参阅了解网络范围类型

  • IP_RANGES:CIDR 格式的 IP 地址范围(所有 IPv4 范围或所有 IPv6 范围)的英文逗号分隔列表 - 示例:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE:以英文逗号分隔的双字母国家/地区代码列表

    • 对于入站流量方向,请在 --src-region-code 标志中指定来源国家/地区代码。您不能对出站方向使用 --src-region-code 标志,也不能在 --src-network-scope 设置为 NON_INTERNETVPC_NETWORKINTRA_VPC 时使用 --src-region-code 标志。
    • 对于出站流量方向,请在 --dest-region-code 标志中指定目标国家/地区代码。您不能对入站方向使用 --dest-region-code 标志,也不能在 --dest-network-scope 设置为 NON_INTERNET 时使用该标志。
  • LIST_NAMES:Google 威胁情报列表名称的逗号分隔列表

    • 对于入站流量方向,请在 --src-threat-intelligence 标志中指定来源 Google 威胁情报列表。您不能对出站方向使用 --src-threat-intelligence 标志,也不能在 --src-network-scope 设置为 NON_INTERNETVPC_NETWORKINTRA_VPC 时使用此标志。
    • 对于出站流量方向,请在 --dest-threat-intelligence 标志中指定目标 Google 威胁情报列表。您不能对入站方向使用 --dest-threat-intelligence 标志,也不能在 --dest-network-scope 设置为 NON_INTERNET 时使用该标志。
  • ADDR_GRP_URL:地址组的唯一网址标识符

    • 对于入站流量方向,请在 --src-address-groups 标志中指定来源地址组;不能将 --src-address-groups 标志用于出站流量方向
    • 对于出站流量方向,请在 --dest-address-groups 标志中指定目标地址组;不能将 --dest-address-groups 标志用于入站流量方向
  • DOMAIN_NAME:以英文逗号分隔的域名列表,格式如域名格式中所述

    • 对于入站流量方向,请在 --src-fqdns 标志中指定来源域名;不能将 --src-fqdns 标志用于出站流量方向
    • 对于出站流量方向,请在 --dest-fqdns 标志中指定目标地址组;不能将 --dest-fqdns 标志用于入站流量方向
  • ACTION:以下操作之一:

    • allow:允许与规则匹配的连接
    • deny:拒绝与规则匹配的连接
    • apply_security_profile_group:以透明方式将数据包发送到已配置的防火墙端点,以进行第 7 层检查
    • goto_next:将连接评估传递到层次结构中的下一个级别(文件夹或网络)

    如需详细了解如何为虚拟机的每个网络接口评估规则及对应操作,请参阅政策和规则评估顺序

  • SECURITY_PROFILE_GROUP:用于第 7 层检查的安全配置文件组的名称;仅在选择了 apply_security_profile_group 操作时才指定此参数

  • --tls-inspect:在规则中选择 apply_security_profile_group 操作时,使用 TLS 检查政策检查 TLS 流量。默认情况下,TLS 检查处于停用状态,您也可以指定 --no-tls-inspect

  • PROTOCOL_PORT:协议名称或数字 (tcp,17)、协议和目的地端口 (tcp:80) 或者协议和目的地端口范围 (tcp:5000-6000) 的英文逗号分隔列表

    您不能指定不含协议的端口或端口范围。 对于 ICMP,您无法指定端口或端口范围 - 例如:--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    如需指定 IPv4 ICMP,请使用 icmp 或协议编号 1。如需指定 IPv6 ICMP,请使用协议编号 58。如需了解详情,请参阅协议和端口

  • NETWORKS:格式为 https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 的 VPC 网络资源网址的逗号分隔列表,其中 PROJECT_ID 是包含 VPC 网络的项目的 ID,NETWORK_NAME 是网络名称。如果省略,规则将应用于资源下的所有 VPC 网络。

    如需了解详情,请参阅分层防火墙政策规则的目标

  • SERVICE_ACCOUNTS:服务账号的逗号分隔列表;规则仅应用于有权访问指定的服务账号的运行中的虚拟机

    如需了解详情,请参阅分层防火墙政策规则的目标

  • --enable-logging--no-enable-logging:为给定规则启用或停用防火墙规则日志记录

  • --disabled:指明在处理连接时不予考虑防火墙规则(如果存在);忽略此标志将启用规则,也可以指定 --no-disabled

将政策与组织或文件夹相关联

将政策与资源关联,以便对层次结构中该资源下方的任何虚拟机激活政策规则。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 点击添加关联

  6. 选择组织根目录或组织内的文件夹。

  7. 点击添加

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

请替换以下内容:

  • POLICY_NAME:政策的简称或系统生成的名称
  • ORG_ID:您的组织的 ID
  • FOLDER_ID:如果要将政策与文件夹相关联,请在此处指定;如果要将政策关联到组织级层,请省略
  • ASSOCIATION_NAME:关联的可选名称;如果未指定,则将名称设置为“组织 ORG_ID”或“文件夹 FOLDER_ID
  • --replace-association-on-target
    默认情况下,如果您尝试将关联插入到已有关联的组织或文件夹,则该方法将失败。如果指定此标志,则在创建新关联的同时删除现有关联。这可防止资源在转换期间没有政策。

将政策从一个资源移动到另一个资源

移动政策会更改拥有该政策的资源。如需移动政策,您必须同时拥有旧资源和新资源的 move 权限。

移动政策不会影响任何现有政策关联或现有规则的评估,但可能会影响谁有权在移动后修改或关联政策。

控制台

使用 Google Cloud CLI 执行此过程。

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

请替换以下内容:

  • POLICY_NAME:您要迁移的政策的简称或系统生成的名称
  • ORG_ID:您的组织的 ID;如果您要将政策移动到组织,请指定此 ID,而不是指定文件夹
  • FOLDER_ID:如果要将政策与文件夹相关联,请在此处指定;如果要将政策关联到组织,请省略

更新政策说明

唯一可以更新的政策字段是说明字段。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 点击修改

  5. 修改说明

  6. 点击保存

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

列出政策

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

    对于组织,与该组织关联的防火墙政策部分会显示关联政策。位于该组织的防火墙政策部分会列出该组织拥有的政策。

    对于文件夹,与该文件夹关联或由该文件夹继承的防火墙政策部分会显示与该文件夹关联或由该文件夹继承的政策。位于该文件夹的防火墙政策部分会列出该文件夹拥有的政策。

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

描述政策

您可以查看政策的所有详细信息,包括其所有防火墙规则。此外,您还可以查看政策中的所有规则中的特性。这些特性会计入每项政策的限制

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

删除政策

您必须先删除组织防火墙政策的所有关联,然后才能将其删除。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您要删除的政策。

  4. 点击关联标签页。

  5. 选择所有关联。

  6. 点击 Remove Associations(移除关联)。

  7. 移除所有关联后,点击删除

gcloud

  1. 列出与防火墙政策关联的所有资源:

    gcloud compute firewall-policies describe POLICY_NAME \
        --organization ORG_ID
    
  2. 删除各个关联。如需移除关联,您必须具有针对关联资源或该资源的祖先的 compute.orgSecurityResourceAdmin 角色。

    gcloud compute firewall-policies associations delete RESOURCE_NAME \
        --organization ORG_ID \
        --firewall-policy POLICY_NAME
    
  3. 删除政策:

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

列出资源的关联

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 对于所选资源(组织或文件夹),系统会显示关联和继承的政策的列表。

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

列出政策的关联项

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 该表中列出了关联。

gcloud

gcloud compute firewall-policies describe POLICY_ID

删除关联

如需停止对组织或文件夹强制执行防火墙政策,请删除关联。

但是,如果您打算将一项防火墙政策替换为另一项安全政策,则无需先删除现有关联。否则,系统会在一段时间内没有强制执行任何政策。请改为在关联新政策时替换现有政策。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 点击关联标签页。

  5. 选择要删除的关联。

  6. 点击 Remove Associations(移除关联)。

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

防火墙政策规则任务

在现有防火墙政策中创建规则

请参阅创建防火墙规则

列出政策中的所有规则

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。规则列在防火墙规则标签页中。

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

描述规则

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 点击规则的优先级。

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

替换以下内容:

  • PRIORITY:要查看的规则的优先级;因为每条规则必须具有唯一的优先级,所以此设置唯一标识规则
  • ORG_ID:您的组织的 ID
  • POLICY_NAME:包含规则的政策的简称或系统生成的名称

更新规则

如需了解字段说明,请参阅创建防火墙规则

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 点击规则的优先级。

  5. 点击修改

  6. 修改要更改的字段。

  7. 点击保存

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

将规则从一个政策克隆到另一个政策

从目标政策中移除所有规则,并将其替换为来源政策中的规则。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击要从中复制规则的政策。

  4. 点击屏幕顶部的克隆

  5. 提供目标政策的名称。

  6. 如果您想立即关联新政策,请点击继续 > 将政策与资源关联

  7. 点击克隆

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

替换以下内容:

  • POLICY_NAME:接收所复制规则的政策
  • ORG_ID:您的组织的 ID
  • SOURCE_POLICY:从中复制规则的政策;必须是资源的网址

从政策中删除规则

从政策中删除规则会从所有继承该规则的虚拟机中移除该规则。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 在项目选择器下拉菜单中,选择您的组织 ID 或包含政策的文件夹。

  3. 点击您的政策。

  4. 选择要删除的规则。

  5. 点击删除

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

替换以下内容:

  • PRIORITY:您要从政策中删除的规则的优先级
  • ORG_ID:您的组织的 ID
  • POLICY_NAME:包含规则的政策

获取网络的有效防火墙规则

显示应用于指定 VPC 网络的所有分层防火墙政策规则、VPC 防火墙规则和全球网络防火墙政策规则。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击要查看其防火墙政策规则的网络。

  3. 点击防火墙政策

  4. 展开每个防火墙政策以查看适用于此网络的规则。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

替换以下内容:

  • NETWORK_NAME:要获取有效规则的网络

您还可以在防火墙页面中查看网络的有效防火墙规则。

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 防火墙政策列在此项目继承的防火墙政策部分中。

  3. 点击每项防火墙政策以查看适用于此网络的规则。

获取虚拟机接口的有效防火墙规则

显示应用于指定 Compute Engine 虚拟机接口的所有分层防火墙政策规则、VPC 防火墙规则和全球网络防火墙政策规则。

控制台

  1. 在 Google Cloud 控制台中,转到虚拟机实例页面。

    转到虚拟机实例

  2. 在项目选择器下拉菜单中,选择包含虚拟机的项目。

  3. 点击虚拟机。

  4. 对于网络接口,请点击接口。

  5. 有效防火墙规则会显示在防火墙和路由详情中。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

替换以下内容:

  • INSTANCE_NAME:要获取有效规则的虚拟机;如果未指定接口,则返回主接口 (nic0) 的规则
  • INTERFACE:要获取有效规则的虚拟机接口;默认值为 nic0
  • ZONE:虚拟机的可用区;如果已将所选可用区设置为默认可用区,则为可选

问题排查

本部分包含您可能遇到的错误消息的说明。

  • FirewallPolicy may not specify a name. One will be provided.

    您不能指定政策名称。分层防火墙政策“名称”是创建政策时 Google Cloud 生成的数字 ID。但是,您可以在多种上下文中指定好友的简称

  • FirewallPolicy may not specify associations on creation.

    只有在创建分层防火墙政策后才能创建关联。

  • Can not move firewall policy to a different organization.

    分层防火墙政策移动必须位于同一个组织内。

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    如果资源已附加分层防火墙政策,则附加操作将失败,除非替换现有关联的选项设置为 true。

  • Cannot have rules with the same priorities.

    在分层防火墙政策中,规则的优先级必须是唯一的。

  • Direction must be specified on firewall policy rule.

    通过直接发送 REST 请求创建分层防火墙政策规则时,必须指定规则的方向。如果使用 Google Cloud CLI 且未指定方向,则默认为 INGRESS

  • Can not specify enable_logging on a goto_next rule.

    具有 goto_next 操作的规则不允许使用防火墙日志记录,因为 goto_next 操作用于表示不同防火墙政策的评估顺序,并且不是终端操作(例如 ALLOW 或 DENY)。

  • Must specify at least one destination on Firewall policy rule.

    防火墙政策规则中的 layer4Configs 标志必须至少指定一个协议或协议和目标端口。

    如需详细了解如何对防火墙政策规则进行问题排查,请参阅 VPC 防火墙规则问题排查

后续步骤