GCP帳號快速辦理 谷歌雲防火牆規則創建教程

別讓你的雲端資源在網路上「裸奔」

各位在 GCP（Google Cloud Platform）打滾的雲端架構師或是剛入門的新手朋友們，大家好！今天咱們不聊那些虛無飄渺的架構藍圖，直接切入最讓人頭痛、卻又不得不搞定的環節：防火牆規則（Firewall Rules）。很多人第一次進 GCP 後台，看到那一堆優先級（Priority）、來源 IP 範圍、標籤（Tags）設定，心裡第一反應絕對是：「這到底是誰設計的？為什麼預設什麼都擋不住？」

防火牆就像是你雲端堡壘的守門員。如果不設定好，你的 VM 實例就像是沒穿衣服站在繁忙的十字路口。今天這篇教程，就是要帶大家手把手拆解如何創建規則，確保你的資源既能通暢對外，又不會隨便被路過的駭客當成肉雞。準備好了嗎？我們開始吧！

理解防火牆的三大黃金守則

在動手設定之前，我們先建立幾個簡單的邏輯。Google 的防火牆不是那種會讀心術的 AI，它只認硬梆梆的規則。請記住這三點：

1. 優先級（Priority）是老大

優先級數值越小，代表優先級越高。如果你的規則衝突了，數字小的說了算。別小看這個設定，很多新手把「全部允許」的規則設了個 65535，然後在那邊抱怨為什麼防火牆沒生效，這就是典型的「優先級悲劇」。

2. 標籤（Tags）是你的好朋友

千萬不要嘗試針對單一 IP 設定規則，除非你閒得發慌。GCP 的設計哲學是利用「網路標籤」來管理。你可以給 Web Server 貼上「web-server」標籤，然後對所有擁有該標籤的 VM 一次性套用防火牆規則。這就是所謂的「懶人管理法」，也是最專業的寫法。

3. 預設規則不可怕，可怕的是你亂改

GCP 預設會有一些拒絕所有入站（Ingress）和允許所有出站（Egress）的規則。請務必保留這些基礎，你的自訂規則只是在這些基礎上做微調，不要妄想把系統底層邏輯全推翻。

手把手：創建你的第一條防火牆規則

廢話不多說，我們直接進控制台。找到 VPC 網路（VPC Network）選項，點進「防火牆」，點擊「建立防火牆規則」。

設定名稱與描述

別亂取名字！什麼「rule1」、「test」這種名字，過三個月你絕對會後悔。建議格式為：[方向]-[協議]-[目的]。例如 ingress-allow-http-webserver，這樣一眼就能看懂這條規則在幹嘛。

指定目標（Targets）

這是最關鍵的一步。如果你選「網路中的所有實例」，那你等同於開門揖盜。建議選擇「指定目標標籤」，然後輸入你之前定義好的標籤，例如 web-server。這樣只有掛載這個標籤的機器才會受到規則影響。

來源過濾器（Source Filter）

如果你要開放 HTTP，通常來源就是 0.0.0.0/0（全世界）。但如果你是在維護 SSH 連線，千萬不要給全世界連線！請乖乖設定成你公司的固定 IP 範圍，或是透過 IAP（Identity-Aware Proxy）來連線，這才是現代化的資安做法。

協議與連接埠（Protocols and Ports）

針對 Web 服務，選擇 TCP，Port 輸入 80, 443。別忘了按下「儲存」。這時候你可能會有疑問：「為什麼設定完沒反應？」別急，檢查一下你的 VM 是否有掛載對應的 Network Tag，很多時候不是防火牆沒開，而是你的 VM 根本沒貼上正確的標籤！

GCP帳號快速辦理 避坑指南：那些年我們踩過的雷

設定防火牆最怕什麼？最怕「誤觸」。這裡分享幾個我親身經歷的慘痛教訓，希望大家引以為戒。

坑位一：遺忘的 SSH 權限

很多新手為了安全性，把 Port 22 給關了，結果發現連不上自己的機器。在設定複雜規則前，永遠要給自己留一條後路（例如設定一條高優先級的規則，僅允許你的 IP 存取 SSH）。

坑位二：忽略出站規則（Egress）

大家都盯著入站流量（誰可以進來），卻忘記了出站流量（機器要出去更新套件或下載依賴）。如果你的專案有嚴格的資安要求，請記得在 Egress 設定允許通訊協定到 Google APIs 或特定的套件倉庫，否則你的機器會變成一塊動彈不得的磚頭。

坑位三：過度依賴「允許所有」

為了省事，把某個專案設成全開。這在開發環境可能沒問題，但千萬別帶進正式環境（Production）。防火牆的原則是「最小權限原則」（Least Privilege），只開必要的 Port，別開方便之門。

進階技巧：利用日誌（Logging）追蹤流量

GCP 的防火牆有一個隱藏的神器：日誌紀錄。在建立規則時，你可以勾選「開啟日誌」。這雖然會增加一些 Cloud Logging 的成本，但當你的服務突然連不上，或者你想確認是否有來自特定地區的惡意掃描時，這些日誌就是你的救命稻草。

你可以透過 Cloud Logging 的查詢語法，快速過濾出被這條規則拒絕（DENY）的流量。看到一長串來自陌生國家的連線請求被擋下，那種感覺就像是你在看著保全把鬧事份子轟出門外一樣爽快。

結語：安全，從每一條規則做起

寫防火牆規則其實是一種心境。你要把自己想像成一個嚴格的飯店經理，進出的每一個客人（流量）都要經過你的盤問。不要因為懶惰而選擇全開，也不要因為怕麻煩而忽略了標籤的管理。

GCP 的防火牆功能非常強大，只要你願意多花點心思釐清優先級與網路標籤的邏輯，它絕對是你守護雲端資源最堅固的防線。今天這篇教程只是個入門，建議大家多去官方文件翻翻關於 Hierarchical Firewall Policies（階層式防火牆政策）的內容，那才是企業級管理的大殺器。

好了，今天的分享就到這裡。去把你的規則設定好，讓你的 VM 安全上路吧！如果操作過程中有遇到什麼奇怪的錯誤訊息，別害羞，直接丟到 Google 社群問問，雲端這條路，沒人是孤單的戰鬥者！