Regras de firewall da VPC

As regras de firewall da nuvem virtual privada (VPC) aplicam-se a um determinado projeto e rede. Se quiser aplicar regras de firewall a várias redes VPC numa organização, consulte as políticas de firewall. O resto desta página aborda apenas as regras de firewall da VPC.

As regras de firewall da VPC permitem-lhe autorizar ou recusar ligações a ou de instâncias de máquinas virtuais (VM) na sua rede da VPC. As regras de firewall da VPC ativadas são sempre aplicadas, protegendo as suas instâncias independentemente da respetiva configuração e sistema operativo, mesmo que não tenham sido iniciadas.

Todas as redes VPC funcionam como uma firewall distribuída. Embora as regras de firewall sejam definidas ao nível da rede, as ligações são permitidas ou recusadas por instância. Pode considerar que as regras de firewall da VPC existem não só entre as suas instâncias e outras redes, mas também entre instâncias individuais na mesma rede.

Para mais informações sobre firewalls, consulte o artigo Firewall (informática).

Práticas recomendadas para regras de firewall

Ao criar e avaliar as regras da firewall, tenha em atenção as seguintes práticas recomendadas:

• Implemente princípios de menor privilégio. Bloqueie todo o tráfego por predefinição e permita apenas o tráfego específico de que precisa. Isto inclui limitar a regra apenas aos protocolos e às portas de que precisa.
• Use regras de política de firewall hierárquica para bloquear o tráfego que nunca deve ser permitido ao nível da organização ou da pasta.
• Para regras de "permitir", restrinja-as a VMs específicas, especificando a conta de serviço das VMs.
• Se precisar de criar regras com base em endereços IP, tente minimizar o número de regras. É mais fácil monitorizar uma regra que permite o tráfego para um intervalo de 16 VMs do que monitorizar 16 regras separadas.
• Use políticas de firewall para agrupar regras de firewall para uma configuração e uma implementação simplificadas. As regras de política de firewall oferecem vários componentes de regras que proporcionam um controlo detalhado do tráfego:
  • Use grupos de endereços para simplificar a utilização de vários intervalos de endereços IP nas regras da firewall.
  • Use objetos FQDN na política de firewall para filtrar o tráfego de entrada ou saída de ou para domínios específicos. Pode incorrer em cobranças de tratamento de dados padrão do firewall de nova geração do Google Cloud.
  • Use objetos de geolocalização em políticas de firewall quando precisar de filtrar o tráfego IPv4 e IPv6 externo com base em localizações ou regiões geográficas específicas. Pode incorrer em custos de processamento padrão da firewall de nova geração na nuvem.
• Ative o registo de regras de firewall e use o Firewall Insights para verificar se as regras de firewall estão a ser usadas da forma pretendida. O registo de regras de firewall pode incorrer em custos, pelo que é recomendável considerar a sua utilização de forma seletiva.

Regras de firewall em Google Cloud

Quando cria uma regra de firewall de VPC, especifica uma rede de VPC e um conjunto de componentes que definem o que a regra faz. Os componentes permitem-lhe segmentar determinados tipos de tráfego com base no protocolo, nas portas de destino, nas origens e nos destinos do tráfego. Para mais informações, consulte os componentes das regras da firewall.

Cria ou modifica regras de firewall de VPC através da Google Cloud console, da Google Cloud CLI e da API REST. Quando cria ou modifica uma regra de firewall, pode especificar as instâncias às quais se destina a aplicar usando o parâmetro de destino da regra. Para ver exemplos de regras de firewall, consulte a secção Outros exemplos de configuração.

Além das regras de firewall que cria, Google Cloud tem outras regras que podem afetar as ligações recebidas (entrada) ou enviadas (saída):

• Google Cloud bloqueia ou limita determinado tráfego. Para mais informações, consulte o artigo Tráfego bloqueado e limitado.

• Google Cloud permite sempre a comunicação entre uma instância de VM e o respetivo servidor de metadados em 169.254.169.254. Para mais informações, consulte o artigo tráfego sempre permitido.

• Todas as redes têm duas regras de firewall implícitas que permitem ligações de saída e bloqueiam ligações de entrada. As regras de firewall que criar podem substituir estas regras implícitas.

• A rede predefinida é pré-preenchida com regras de firewall que pode eliminar ou modificar.

Especificações

As regras de firewall da VPC têm as seguintes caraterísticas:

• Cada regra de firewall aplica-se a ligações de entrada (ingress) ou de saída (egress), não a ambas. Para mais informações, consulte a direção da ligação.

• As regras de firewall suportam ligações IPv4. As ligações IPv6 também são suportadas em redes VPC que têm o IPv6 ativado. Quando especifica uma origem ou um destino para uma regra de entrada ou saída por endereço, pode especificar endereços ou blocos IPv4 ou IPv6 na notação CIDR.

• Cada regra de firewall pode conter intervalos IPv4 ou IPv6, mas não ambos.

• A ação de cada regra de firewall é allow ou deny. A regra aplica-se às ligações enquanto estiver aplicada. Por exemplo, pode desativar uma regra para fins de resolução de problemas.

• Quando cria uma regra de firewall, tem de selecionar uma rede da VPC. Embora a regra seja aplicada ao nível da instância, a respetiva configuração está associada a uma rede de VPC. Isto significa que não pode partilhar regras de firewall entre redes VPC, incluindo redes ligadas por intercâmbio das redes da VPC ou através de túneis do Cloud VPN.

• As regras de firewall da VPC são com estado:

  • Quando uma ligação é permitida através da firewall em qualquer direção, o tráfego de retorno correspondente a esta ligação também é permitido. Não pode configurar uma regra de firewall para recusar o tráfego de resposta associado.
  • O tráfego de retorno tem de corresponder à tupla de 5 elementos (IP de origem, IP de destino, porta de origem, porta de destino, protocolo) do tráfego de pedidos aceite, mas com os endereços e as portas de origem e destino invertidos.
  • Google Cloud associa os pacotes recebidos aos pacotes enviados correspondentes através de uma tabela de acompanhamento de ligações. As ligações IPv4 suportam os protocolos TCP, UDP, SCTP e ICMP. As ligações IPv6 suportam os protocolos TCP, UDP, SCTP e ICMPv6.
  • Google Cloud implementa a monitorização de ligações, independentemente de o protocolo suportar ligações. Se for permitida uma ligação entre uma origem e um destino (para uma regra de entrada) ou entre um destino e uma origem (para uma regra de saída), todo o tráfego de resposta é permitido desde que o estado de monitorização de ligações da firewall esteja ativo. O estado de acompanhamento de uma regra de firewall é considerado ativo se, pelo menos, um pacote for enviado a cada 10 minutos.
  • Quando uma ligação fragmentada é permitida através da firewall, o sistemaGoogle Cloud usa o acompanhamento de ligações para permitir apenas o primeiro fragmento de tráfego de retorno. Para permitir fragmentos de retorno subsequentes, tem de adicionar uma regra de firewall.
  • O tráfego de resposta ICMP, como "ICMP TYPE 3, DESTINATION UNREACHABLE", gerado em resposta a uma ligação TCP/UDP permitida, é permitido através da firewall. Este comportamento está em conformidade com o RFC 792.

• As regras de firewall da VPC não voltam a montar pacotes TCP fragmentados. Por conseguinte, uma regra de firewall aplicável ao protocolo TCP só pode aplicar-se ao primeiro fragmento porque contém o cabeçalho TCP. As regras de firewall aplicáveis ao protocolo TCP não se aplicam aos fragmentos TCP subsequentes.

• O número máximo de ligações monitorizadas na tabela de regras da firewall depende do número de ligações com estado suportadas pelo tipo de máquina da instância. Se o número máximo de ligações monitorizadas for excedido, a monitorização é interrompida para as ligações com o intervalo de inatividade mais longo, de modo a permitir a monitorização de novas ligações.

  Tipo de máquina da instância	Número máximo de ligações com estado
  Tipos de máquinas com núcleo partilhado	130 000
  Instâncias com 1 a 8 vCPUs	130 000 ligações por vCPU
  Instâncias com mais de 8 vCPUs	1 040 000 (130 000 × 8) ligações no total

Regras implícitas

Todas as redes VPC têm duas regras de firewall IPv4 implícitas. Se o IPv6 estiver ativado numa rede VPC, a rede também tem duas regras de firewall IPv6 implícitas. Estas regras não são apresentadas na Google Cloud consola.

As regras de firewall IPv4 implícitas estão presentes em todas as redes VPC, independentemente da forma como as redes são criadas e se são redes VPC de modo automático ou modo personalizado. A rede predefinida tem as mesmas regras implícitas.

• Regra de saída de permissão IPv4 implícita. Uma regra de saída cuja ação seja allow, o destino seja 0.0.0.0/0 e a prioridade seja a mais baixa possível (65535) permite que qualquer instância envie tráfego para qualquer destino, exceto para o tráfego bloqueado por Google Cloud. Uma regra de firewall de prioridade mais elevada pode restringir o acesso de saída. O acesso à Internet é permitido se não existirem outras regras de firewall que neguem o tráfego de saída e se a instância tiver um endereço IP externo ou usar uma instância do Cloud NAT. Para mais informações, consulte os requisitos de acesso à Internet.

  Para informações sobre os requisitos de encaminhamento, consulte os requisitos de acesso à Internet.

• Regra de recusa de entrada IPv4 implícita. Uma regra de entrada cuja ação seja deny, a origem seja 0.0.0.0/0 e a prioridade seja a mais baixa possível (65535) protege todas as instâncias bloqueando as ligações recebidas às mesmas. Uma regra de prioridade mais elevada pode permitir o acesso de entrada. A rede predefinida inclui algumas regras adicionais que substituem esta, permitindo determinados tipos de ligações recebidas.

Se o IPv6 estiver ativado, a rede VPC também tem estas duas regras implícitas:

• Regra de saída de permissão IPv6 implícita. Uma regra de saída cuja ação seja allow, o destino seja ::/0 e a prioridade seja a mais baixa possível (65535) permite que qualquer instância envie tráfego para qualquer destino, exceto para o tráfego bloqueado por Google Cloud. Uma regra de firewall de prioridade mais elevada pode restringir o acesso de saída. Para informações sobre os requisitos de encaminhamento, consulte os requisitos de acesso à Internet.

• Regra de recusa de entrada IPv6 implícita. Uma regra de entrada cuja ação seja deny, a origem seja ::/0 e a prioridade seja a mais baixa possível (65535) protege todas as instâncias bloqueando as ligações recebidas às mesmas. Uma regra de prioridade mais elevada pode permitir o acesso de entrada.

Não é possível remover as regras implícitas, mas estas têm as prioridades mais baixas possíveis. Pode criar regras que as substituam, desde que as suas regras tenham prioridades mais elevadas (números de prioridade inferiores a 65535). Uma vez que as regras deny têm precedência sobre as regras allow da mesma prioridade, uma regra allow de entrada com uma prioridade de 65535 nunca entra em vigor.

Regras pré-preenchidas na rede predefinida

A rede predefinida é pré-preenchida com regras de firewall que permitem ligações de entrada a instâncias. Estas regras podem ser eliminadas ou modificadas conforme necessário:

Nome da regra	Direção	Prioridade	Intervalos de origem	Ação	Protocolos e portas	Descrição
default-allow-internal	ingress	65534	10.128.0.0/9	allow	tcp:0-65535 udp:0-65535 icmp	Permite ligações recebidas a instâncias de VM a partir de outras instâncias na mesma rede da VPC.
default-allow-ssh	ingress	65534	0.0.0.0/0	allow	tcp:22	Permite-lhe estabelecer ligação a instâncias com ferramentas como ssh, scp ou sftp.
default-allow-rdp	ingress	65534	0.0.0.0/0	allow	tcp:3389	Permite-lhe estabelecer ligação a instâncias através do protocolo de ambiente de trabalho remoto da Microsoft (RDP).
default-allow-icmp	ingress	65534	0.0.0.0/0	allow	icmp	Permite-lhe usar ferramentas como o ping.

Pode criar regras de firewall semelhantes para redes que não sejam a rede predefinida. Consulte o artigo Configure regras de firewall para exemplos de utilização comuns para mais informações.

Tráfego bloqueado e limitado

Separado das regras de firewall de VPC e das políticas de firewall hierárquicas, Google Cloud bloqueia ou limita determinado tráfego, conforme descrito na tabela seguinte.

Tipo de tráfego	Detalhes
Taxa de pacotes e largura de banda Aplica-se a: Todos os pacotes de saída Todos os pacotes de entrada	Google Cloud tem em conta a largura de banda por instância de VM, para cada interface de rede (NIC) ou endereço IP. O tipo de máquina de uma VM define a respetiva taxa de saída máxima possível. No entanto, só pode alcançar essa taxa de saída máxima possível em situações específicas. Para ver detalhes, consulte a secção Largura de banda da rede na documentação do Compute Engine.
Ofertas e confirmações de DHCP Aplica-se a: Pacotes de entrada para a porta UDP 68 (DHCPv4) Pacotes de entrada para a porta UDP 546 (DHCPv6)	Google Cloud Bloqueia as ofertas e as confirmações DHCP recebidas de todas as origens exceto os pacotes DHCP provenientes do servidor de metadados.
Protocolos suportados por Google Cloud endereços IP externos Aplica-se a: Pacotes de entrada para endereços IP externos	Os endereços IPv4 e IPv6 externos só aceitam pacotes TCP, UDP, ICMP, IPIP, AH, ESP, SCTP e GRE. Os recursos que usam endereços IP externos impõem restrições de protocolo adicionais: As regras de encaminhamento para o encaminhamento de protocolos, balanceadores de carga de aplicações externos, balanceadores de carga de rede de proxy externos, e balanceadores de carga de rede de passagem externos só processam os protocolos e portas configuradas na regra de encaminhamento. Os gateways do Cloud VPN só aceitam protocolos de VPN.
Tráfego SMTP (porta 25) Aplica-se a: Pacotes de saída para endereços IP externos na porta TCP 25	Para ajudar a evitar spam, por predefinição, Google Cloud bloqueia pacotes de saída enviados para a porta de destino TCP 25 de um endereço IP externo (incluindo um endereço IP externo de outro Google Cloud recurso). Google Cloud Remove automaticamente este bloqueio assim que determinar que um projeto tem um risco baixo de enviar grandes volumes de email através de ligações não encriptadas. Google Cloud Exclui o tráfego SMTP através de TLS na porta 465 ou 587 deste bloqueio. Para saber se o seu projeto permite este tráfego, aceda à página Redes de VPC ou à página Políticas de firewall na Google Cloud consola. Uma mensagem na faixa em ambas as páginas indica se o seu projeto permite este tráfego. Para mais informações, contacte um Google Cloud especialista de vendas. Este bloqueio não se aplica a pacotes de saída enviados para a porta de destino TCP 25 de um endereço IP interno, incluindo um endereço IP público usado de forma privada numa rede VPC ou numa rede no local. Se a saída SMTP externa na porta 25 for permitida no seu projeto e quiser enviar este tipo de tráfego, têm de ser cumpridas as seguintes condições adicionais: As regras de firewall de saída na rede da VPC e as políticas de firewall hierárquicas aplicáveis à rede da VPC têm de permitir a saída para o endereço IP externo na porta TCP 25. As regras de saída de permissão implícita cumprem este requisito porque permitem a saída para (e respostas de entrada estabelecidas de) qualquer endereço IP. A rota aplicável para o destino tem de usar o salto seguinte do gateway de Internet predefinido. As rotas predefinidas geradas pelo sistema cumprem este requisito. A instância que envia pacotes para o endereço IP externo tem de cumprir os requisitos de acesso à Internet. Pode impedir a saída SMTP externa criando regras de firewall da VPC de negação de saída ou políticas de firewall hierárquicas.

Tráfego sempre permitido

Para instâncias de VM, as regras de firewall da VPC e as políticas de firewall hierárquicas não se aplicam ao seguinte:

• Pacotes enviados para e recebidos do Google Cloud servidor de metadados

• Pacotes enviados para um endereço IP atribuído a uma das interfaces de rede (NICs) da instância, em que os pacotes permanecem na própria VM. Os endereços IP atribuídos à NIC de uma instância incluem:

  • O endereço IPv4 interno principal da NIC
  • Qualquer endereço IPv4 interno de um intervalo de IPs de alias da NIC
  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC
  • Um endereço IPv4 interno ou externo associado a uma regra de encaminhamento, para o balanceamento de carga ou o encaminhamento de protocolos, se a instância for um back-end para o balanceador de carga ou for uma instância de destino para o encaminhamento de protocolos
  • Endereços loopback
  • Endereços configurados como parte do software de sobreposição de rede que executa na própria instância

Google Cloud servidor de metadados

Google Cloud executa um servidor de metadados local juntamente com cada instância em 169.254.169.254. Este servidor é essencial para o funcionamento da instância, pelo que a instância pode aceder ao mesmo independentemente das regras de firewall que configurar. O servidor de metadados fornece os seguintes serviços básicos à instância:

• DHCP
• Resolução de DNS, seguindo a ordem de resolução de nomes de DNS para a rede VPC.
• Metadados da instância
• Network Time Protocol (NTP)

Interações com o produto

As secções seguintes descrevem como as regras de firewall e as políticas de firewall hierárquicas interagem com outros Google Cloud produtos.

Regras de firewall e balanceadores de carga de passagem

As regras de firewall da VPC e as políticas de firewall hierárquicas controlam quais dos protocolos e portas suportados da regra de encaminhamento têm permissão para aceder aos back-ends do balanceador de carga de passagem. Para obter mais detalhes, consulte as secções:

• Regras de firewall na documentação do Network Load Balancer de passagem externo
• Regras de firewall na documentação do balanceador de carga de rede de encaminhamento interno

Regras de firewall e balanceadores de carga de proxy

Para balanceadores de carga de aplicações externos, balanceadores de carga de aplicações internos, balanceadores de carga de rede de proxy internos e balanceadores de carga de rede de proxy externos, as regras de firewall da VPC e as políticas de firewall hierárquicas não controlam que protocolos e portas são aceites pelo endereço IP da regra de encaminhamento do balanceador de carga de proxy. A regra de encaminhamento determina sozinha que protocolos e portas são aceites pelo balanceador de carga de proxy.

As regras de firewall da VPC e as políticas de firewall hierárquicas controlam a forma como estes equilibradores de carga de proxy comunicam com os respetivos back-ends. Para ver detalhes, consulte:

• Regras de firewall na documentação do balanceador de carga de aplicações externo
• Regras de firewall na documentação do Application Load Balancer interno
• Regras de firewall na documentação do Network Load Balancer do proxy interno
• Regras de firewall na documentação do balanceador de carga de rede do proxy externo

Regras de firewall e Cloud VPN

As regras de firewall e as políticas de firewall hierárquicas não controlam os protocolos e as portas que são aceites pelo gateway de VPN na nuvem.

Os gateways do Cloud VPN só aceitam pacotes para os protocolos e as portas descritos nas especificações do Cloud VPN.

Regras de firewall e GKE

O Google Kubernetes Engine cria e gere regras de firewall automaticamente quando cria um cluster ou recursos no cluster (incluindo serviços e entradas). Para mais informações, consulte o artigo Regras de firewall criadas automaticamente na documentação do Google Kubernetes Engine.

Regras de firewall e IA Hypercomputer

Pode criar regras de firewall da VPC quando cria as redes da VPC necessárias para criar VMs no AI Hypercomputer. Use as regras de firewall para especificar os protocolos e as portas permitidos para as suas redes de VPC. Para mais informações, consulte o artigo Vista geral do hipercomputador de IA.

Componentes das regras de firewall

Cada regra de firewall consiste nos seguintes componentes de configuração:

• Uma direção da perspetiva do alvo. A direção pode ser de entrada ou saída.

• Uma prioridade numérica que determina se a regra é aplicada. Apenas é aplicada a regra de prioridade mais elevada (número de prioridade mais baixo) cujos outros componentes correspondam ao tráfego; as regras em conflito com prioridades mais baixas são ignoradas.

• Uma ação em caso de correspondência, allow ou deny, que determina se a regra permite ou bloqueia as ligações.

• O estado de aplicação da regra de firewall: pode ativar e desativar regras de firewall sem as eliminar.

• Um alvo, que define as instâncias (incluindo clusters do GKE e instâncias do ambiente flexível do App Engine) às quais a regra se aplica.

• Um filtro de origem ou destino para características dos pacotes.

• O protocolo (como TCP, UDP ou ICMP) e a porta de destino.

• Uma opção booleana logs que regista as ligações que correspondem à regra no Cloud Logging.

Resumo dos componentes

Regra de entrada
Prioridade	Ação	Aplicação	Parâmetro de destino	Filtros de origem e destino	Protocolos e portas
Número inteiro de 0 a 65535, inclusive; predefinição 1000	allow ou deny	enabled (predefinição) ou disabled	Especifica as instâncias que recebem pacotes.	Origens das regras de entrada Destinos para regras de entrada	Especifique um protocolo ou um protocolo e uma porta de destino. Se não estiver definida, a regra aplica-se a todos os protocolos e portas de destino. Para mais informações, consulte o artigo Protocolos e portas.
Regra de saída (enviada)
Prioridade	Ação	Aplicação	Parâmetro de destino	Filtros de origem e destino	Protocolos e portas
Número inteiro de 0 a 65535, inclusive; predefinição 1000	allow ou deny	enabled (predefinição) ou disabled	Especifica as instâncias que enviam pacotes.	Origens das regras de saída Destinos para regras de saída	Especifique um protocolo ou um protocolo e uma porta de destino. Se não estiver definida, a regra aplica-se a todos os protocolos e portas de destino. Para mais informações, consulte o artigo Protocolos e portas.

Direção do trânsito

Pode criar regras de firewall que se aplicam ao tráfego de entrada ou saída. Uma única regra não pode aplicar-se ao tráfego de entrada e saída. No entanto, pode criar várias regras para definir o tráfego de entrada e saída que permite ou nega através da firewall.

• A entrada (entrada) descreve os pacotes que entram numa interface de rede de um destino.

• A saída (saída) descreve os pacotes que saem de uma interface de rede de um alvo.

• Se não especificar uma direção, Google Cloud usa a entrada.

Prioridade

A prioridade da regra de firewall é um número inteiro de 0 a 65535, inclusive. Os números inteiros mais baixos indicam prioridades mais elevadas. Se não especificar uma prioridade quando criar uma regra, é-lhe atribuída uma prioridade de 1000.

A prioridade relativa de uma regra de firewall determina se é aplicável quando avaliada em comparação com outras. A lógica de avaliação funciona da seguinte forma:

• Prevalece a regra de prioridade mais elevada aplicável a um destino para um determinado tipo de tráfego. A especificidade do alvo não é importante. Por exemplo, uma regra de entrada de prioridade mais elevada para determinadas portas e protocolos de destino destinados a todos os destinos substitui uma regra definida de forma semelhante com prioridade mais baixa para as mesmas portas e protocolos de destino destinados a destinos específicos.

• A regra de prioridade mais alta aplicável a um determinado protocolo e definição de porta de destino tem precedência, mesmo quando a definição de protocolo e porta de destino é mais geral. Por exemplo, uma regra de entrada de prioridade mais elevada que permita tráfego para todos os protocolos e portas de destino destinados a determinados alvos substitui uma regra de entrada de prioridade mais baixa que negue o TCP 22 para os mesmos alvos.

• Uma regra com uma ação deny substitui outra com uma ação allow apenas se as duas regras tiverem a mesma prioridade. Com as prioridades relativas, é possível criar regras allow que substituam regras deny e regras deny que substituam regras allow.

• As regras com a mesma prioridade e a mesma ação têm o mesmo resultado. No entanto, a regra usada durante a avaliação é indeterminada. Normalmente, não importa que regra é usada, exceto quando ativa o registo de regras de firewall. Se quiser que os seus registos mostrem as regras de firewall a serem avaliadas numa ordem consistente e bem definida, atribua-lhes prioridades únicas.

Considere o seguinte exemplo em que existem duas regras de firewall:

• Uma regra de entrada de origens 0.0.0.0/0 (qualquer endereço IPv4) aplicável a todos os alvos, todos os protocolos e todas as portas de destino, com uma ação deny e uma prioridade de 1000.

• Uma regra de entrada de origens 0.0.0.0/0 (qualquer endereço IPv4) aplicável a alvos específicos com a etiqueta de rede webserver, para tráfego em TCP 80, com uma ação allow.

A prioridade da segunda regra determina se o tráfego TCP para a porta 80 é permitido para os destinos webserver:

• Se a prioridade da segunda regra estiver definida para um número superior a 1000, tem uma prioridade inferior, pelo que se aplica a primeira regra que nega todo o tráfego.

• Se a prioridade da segunda regra estiver definida como 1000, as duas regras têm prioridades idênticas, pelo que se aplica a primeira regra que nega todo o tráfego.

• Se a prioridade da segunda regra estiver definida para um número inferior 1000, tem uma prioridade superior, o que permite o tráfego na porta TCP 80 para os alvos webserver. Na ausência de outras regras, a primeira regra continuaria a negar outros tipos de tráfego aos destinos webserver e também negaria todo o tráfego, incluindo TCP 80, às instâncias sem a etiqueta de rede webserver.

O exemplo anterior demonstra como pode usar prioridades para criar regras seletivas allow e regras globais deny para implementar uma prática recomendada de segurança de privilégio mínimo.

Ação em correspondência

O componente de ação de uma regra de firewall determina se permite ou bloqueia o tráfego, sujeito aos outros componentes da regra:

• Uma ação allow permite ligações que correspondam aos outros componentes especificados.

• Uma ação deny bloqueia as ligações que correspondem aos outros componentes especificados.

Aplicação

Pode escolher se uma regra de firewall é aplicada definindo o respetivo estado como enabled ou disabled. Define o estado de aplicação quando cria uma regra ou quando atualiza uma regra.

Se não definir um estado de aplicação quando cria uma nova regra de firewall, a regra de firewall é automaticamente enabled.

Exemplos de utilização

A desativação e a ativação são úteis para resolver problemas e realizar manutenção. Considere alterar a aplicação de uma regra de firewall nas seguintes situações:

• Para resolução de problemas: em conjunto com o registo de regras da firewall, pode desativar temporariamente uma regra da firewall para determinar se a regra é responsável por bloquear ou permitir o tráfego. Isto é útil em situações em que se aplicam várias regras de firewall ao mesmo tráfego. Desativar e ativar regras é mais útil do que eliminar e recriar regras, porque nenhum dos outros componentes da regra é perdido.

• Para manutenção: a desativação das regras de firewall pode simplificar a manutenção periódica. Por exemplo, pode optar por ativar uma regra de firewall de entrada que permita o acesso SSH apenas quando precisar de realizar manutenção através de SSH. Quando não estiver a fazer manutenção, pode desativar a regra.

Efeitos no tráfego existente

Quando altera o estado de aplicação de uma regra de firewall ou quando cria uma nova regra que está enforced, a alteração aplica-se apenas a novas ligações. As associações existentes não são afetadas pela alteração.

Protocolos e portas

Pode restringir o âmbito de uma regra de firewall especificando protocolos ou protocolos e portas de destino. Pode especificar um protocolo ou uma combinação de protocolos e as respetivas portas de destino. Se omitir os protocolos e as portas, a regra de firewall aplica-se a todo o tráfego em qualquer protocolo e porta de destino. As regras baseadas em portas de origem não são suportadas.

Nem todos os protocolos suportam portas. Por exemplo, existem portas para TCP e UDP, mas não para ICMP. O ICMP tem diferentes tipos de ICMP, mas não são portas e não podem ser especificados numa regra de firewall.

Pode usar os seguintes nomes de protocolos nas regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, tem de usar os números de protocolo da IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e no IPv6, mas alguns protocolos, como o ICMP, não o fazem.

O protocolo IPv6 Hop-by-Hop não é suportado em regras de firewall.

A tabela seguinte resume as combinações válidas de protocolo e especificação de porta de destino para Google Cloud regras de firewall.

Especificação	Exemplo	Explicação
Sem protocolo nem porta	—	Se não especificar um protocolo, a regra de firewall aplica-se a todos os protocolos e às respetivas portas de destino aplicáveis.
Protocolo	tcp	Se especificar um protocolo sem informações de porta, a regra de firewall aplica-se a esse protocolo e a todas as respetivas portas aplicáveis.
Protocolo e porta única	tcp:80	Se especificar um protocolo e uma única porta de destino, a regra de firewall aplica-se a essa porta de destino do protocolo.
Protocolo e intervalo de portas	tcp:20-22	Se especificar um protocolo e um intervalo de portas, a regra da firewall aplica-se a esse intervalo de portas de destino para o protocolo.
Combinações	icmp,tcp:80 tcp:443 udp:67-69	Pode especificar várias combinações de protocolos e portas de destino às quais a regra de firewall se aplica. Para mais informações, consulte o artigo Crie regras de firewall.

Alvo, origem e destino

Os destinos identificam as interfaces de rede das instâncias às quais a regra de firewall se aplica.

Pode especificar parâmetros de origem e de destino que se aplicam às origens ou aos destinos de pacotes para regras de firewall de entrada e saída. A direção da regra de firewall determina os valores possíveis para os parâmetros de origem e destino.

Parâmetro de destino

O parâmetro target identifica as interfaces de rede das instâncias do Compute Engine, incluindo os nós do GKE e as instâncias do ambiente flexível do App Engine.

Pode definir os seguintes destinos para regras de entrada ou saída. Os parâmetros de destino, origem e destino funcionam em conjunto, conforme descrito em Origem, destino e destino.

• Destino predefinido: todas as instâncias na rede de VPC. Quando omite uma especificação de destino, a regra de firewall aplica-se a todas as instâncias na rede da VPC.

• Instâncias por etiquetas de rede de destino. A regra de firewall só se aplica a instâncias com interfaces de rede na rede da VPC da regra de firewall se as instâncias tiverem uma etiqueta de rede que corresponda a, pelo menos, uma das etiquetas de rede de destino da regra de firewall. Para saber o número máximo de etiquetas de rede de destino que pode especificar por regra de firewall, consulte os limites por regra de firewall.

• Instâncias por contas de serviço de destino. A regra de firewall só se aplica a instâncias com interfaces de rede na rede VPC da regra de firewall se as instâncias usarem uma conta de serviço que corresponda, pelo menos, a uma das contas de serviço de destino da regra de firewall. Para saber o número máximo de contas de serviço de destino que pode especificar por regra de firewall, consulte os limites por regra de firewall.

Para ver informações sobre as vantagens e as limitações das etiquetas de rede de destino e das contas de serviço de destino, consulte o artigo Filtrar por conta de serviço em comparação com etiqueta de rede.

Alvos e endereços IP para regras de entrada

Os pacotes encaminhados para a interface de rede de uma VM de destino são processados com base nas seguintes condições:

• Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote tem de se enquadrar num dos intervalos de endereços IP de destino definidos explicitamente.

• Se a regra da firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote tem de corresponder a um dos seguintes endereços IP:

  • O endereço IPv4 interno principal atribuído à NIC da instância.

  • Quaisquer intervalos de IPs de alias configurados na NIC da instância.

  • O endereço IPv4 externo associado à NIC da instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para o balanceamento de carga de passagem, em que a instância é um back-end para um Network Load Balancer de passagem interno ou um Network Load Balancer de passagem externo.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para o encaminhamento de protocolos, em que a instância é referenciada por uma instância de destino.

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa a instância como uma VM de próximo salto (next-hop-instance ou next-hop-address).

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa o salto seguinte de um balanceador de carga de rede de passagem interno (next-hop-ilb), se a VM for um back-end desse balanceador de carga.

Alvos e endereços IP para regras de saída

O processamento de pacotes emitidos a partir da interface de rede de um destino depende da configuração de encaminhamento de IP na VM de destino. O encaminhamento de IP está desativado por predefinição.

• Quando a VM de destino tem o encaminhamento de IP desativado, a VM pode emitir pacotes com as seguintes origens:

  • O endereço IPv4 interno principal da NIC de uma instância.

  • Qualquer intervalo de IPs de alias configurado na NIC de uma instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento, para balanceamento de carga de passagem ou encaminhamento de protocolos, se a instância for um servidor de back-end para um Network Load Balancer de passagem interno, um Network Load Balancer de passagem externo ou for referenciado por uma instância de destino.

  Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de destino continuam limitadas aos endereços IP de origem mencionados anteriormente, mas o parâmetro de origem pode ser usado para refinar esse conjunto. A utilização de um parâmetro de origem sem ativar o encaminhamento de IP não expande o conjunto de possíveis endereços de origem de pacotes.

  Se a regra da firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente são permitidos.

• Quando a VM de destino tem o encaminhamento de IP ativado, a VM pode emitir pacotes com endereços de origem arbitrários. Pode usar o parâmetro source para definir com maior precisão o conjunto de origens de pacotes permitidas.

Parâmetro de origem

Os valores dos parâmetros de origem dependem da direção da regra de firewall.

Fontes para regras de entrada

Pode usar as seguintes origens para regras de firewall de entrada:

• Intervalo de origem predefinido: quando omite uma especificação de origem numa regra de entrada, Google Cloud usa o intervalo de endereços IPv4 de origem predefinido 0.0.0.0/0 (qualquer endereço IPv4). O valor predefinido não inclui origens IPv6.

• Intervalos IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

• Intervalos IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

• Etiquetas de rede de origem: uma ou mais etiquetas de rede que identificam interfaces de rede de instâncias de VM na mesma rede de VPC que a regra de firewall. Para saber o número máximo de etiquetas de rede de origem por regra de firewall, consulte os limites por regra de firewall. Para ver detalhes sobre como os endereços de origem dos pacotes são correspondidos quando usa esta especificação de origem implícita, consulte o artigo Como as etiquetas de rede de origem e as contas de serviço de origem implicam origens de pacotes.

• Contas de serviço de origem: uma ou mais contas de serviço que identificam interfaces de rede de instâncias de VM na mesma rede de VPC que a regra de firewall. Para saber o número máximo de contas de serviço de origem por regra de firewall, consulte os limites por regra de firewall. Para ver detalhes sobre como os endereços de origem dos pacotes são correspondidos quando usa esta especificação de origem implícita, consulte o artigo Como as etiquetas de rede de origem e as contas de serviço de origem implicam origens dos pacotes.

• Uma combinação de origem válida: para todas as combinações seguintes, o conjunto de origens eficaz é a união dos endereços IPv4 ou IPv6 especificados explicitamente e os intervalos de endereços IP implícitos pela etiqueta de rede de origem ou pela conta de serviço de origem:

  • Uma combinação de intervalos IPv4 de origem e etiquetas de rede de origem.
  • Uma combinação de intervalos IPv6 de origem e etiquetas de rede de origem.
  • Uma combinação de intervalos IPv4 de origem e contas de serviço de origem.
  • Uma combinação de intervalos IPv6 de origem e contas de serviço de origem.

Como as etiquetas de rede de origem e as contas de serviço de origem implicam origens de pacotes

Quando uma regra de firewall de entrada usa uma etiqueta de rede de origem, os pacotes têm de ser emitidos a partir de uma interface de rede que cumpra os seguintes critérios:

• A interface de rede tem de estar na rede da VPC onde a regra de firewall está definida e
• A interface de rede tem de estar associada a uma VM que tenha uma etiqueta de rede que corresponda, pelo menos, a uma das etiquetas de rede de origem da regra de firewall.

Quando uma regra de firewall de entrada usa uma conta de serviço de origem, os pacotes têm de ser emitidos a partir de uma interface de rede que cumpra os seguintes critérios:

• A interface de rede tem de estar na rede da VPC onde a regra de firewall está definida e
• A interface de rede tem de estar associada a uma VM que tenha uma conta de serviço que corresponda a uma das contas de serviço de origem da regra de firewall.

Além de especificar uma interface de rede, quando uma regra de firewall de entrada usa uma etiqueta de rede de origem ou uma conta de serviço de origem, os pacotes emitidos a partir da interface de rede da VM têm de usar um dos seguintes endereços IP de origem válidos:

• O endereço IPv4 interno principal dessa interface de rede.
• Todos os endereços IPv6 atribuídos a essa interface de rede.

Se uma regra de firewall de entrada também contiver intervalos de endereços IP de destino, a interface de rede associada a uma etiqueta de rede é resolvida para a mesma versão de IP que o intervalo de IP de destino.

Não estão implícitos outros endereços IP de origem de pacotes quando usa etiquetas de rede de origem ou contas de serviço de origem. Por exemplo, os intervalos de IP de alias e o endereço IPv4 externo associado à interface de rede são excluídos. Se precisar de criar regras de firewall de entrada cujas origens incluam intervalos de endereços IP de alias ou endereços IPv4 externos, use intervalos IPv4 de origem.

Fontes para regras de saída

Pode usar as seguintes origens para regras de firewall de saída:

• Predefinição: implícita pelo destino. Se omitir o parâmetro de origem de uma regra de saída, as origens de pacotes são definidas implicitamente, conforme descrito em Alvos e endereços IP para regras de saída.

• Intervalos de IPv4 de origem. Uma lista de endereços IPv4 no formato CIDR.

• Intervalos de IPv6 de origem. Uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de origem para regras de saída:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno é usado durante a avaliação de regras.

• Se especificar parâmetros de origem e de destino numa regra de saída, use a mesma versão de IP para ambos os parâmetros. Pode usar um intervalo de endereços IPv4 ou um intervalo de endereços IPv6, mas não ambos. Para obter detalhes, consulte o artigo Destinos para regras de saída.

Parâmetro de destino

Pode especificar destinos através de intervalos de endereços IP, que são suportados pelas regras de entrada e saída. O comportamento do destino predefinido depende da direção da regra.

Destinos para regras de entrada

Pode usar os seguintes destinos para regras de firewall de entrada:

• Predefinição: implícita pelo destino. Se omitir o parâmetro de destino de uma regra de entrada, os destinos de pacotes são definidos implicitamente, conforme descrito em Alvos e endereços IP para regras de entrada.

• Intervalos de IPv4 de destino. Uma lista de endereços IPv4 no formato CIDR.

• Intervalos IPv6 de destino. Uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de destino para regras de entrada:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno é usado durante a avaliação de regras.

• Se especificar parâmetros de origem e destino numa regra de entrada, os parâmetros de origem são resolvidos na mesma versão de IP que o intervalo de endereços IP de destino. Para saber como definir origens para regras de entrada, consulte o artigo Origens para regras de entrada.

Destinos para regras de saída

Pode usar os seguintes destinos para regras de firewall de saída:

• Intervalo de destino predefinido. Quando omite uma especificação de destino numa regra de saída,o Google Cloud usa o intervalo de endereços IPv4 de destino predefinido (qualquer endereço IPv4). Google Cloud 0.0.0.0/0 O valor predefinido não inclui destinos IPv6.

• Intervalos de IPv4 de destino. Uma lista de endereços IPv4 no formato CIDR.

• Intervalos IPv6 de destino. Uma lista de endereços IPv6 no formato CIDR.

Filtragem de origem e destino por conta de serviço

Pode usar contas de serviço para criar regras de firewall de natureza mais específica:

• Para regras de entrada e saída, pode usar contas de serviço para especificar alvos.

• Para regras de entrada, pode especificar a origem dos pacotes recebidos como o endereço IP interno principal de qualquer VM na rede onde a VM usa uma conta de serviço específica.

A conta de serviço tem de ser criada no mesmo projeto que a regra de firewall antes de criar uma regra de firewall que dependa dela. Embora o sistema não impeça a criação de uma regra que use uma conta de serviço de um projeto diferente, a regra não é aplicada se a conta de serviço não existir no projeto da regra de firewall.

As regras de firewall que usam contas de serviço para identificar instâncias aplicam-se a novas instâncias criadas e associadas à conta de serviço e a instâncias existentes se alterar as respetivas contas de serviço. A alteração da conta de serviço associada a uma instância requer que a pare e a reinicie. Pode associar contas de serviço a instâncias individuais e a modelos de instâncias usados por grupos de instâncias geridos.

Filtre por conta de serviço em comparação com etiqueta de rede

Esta secção realça os pontos importantes a ter em conta ao decidir se deve usar contas de serviço ou etiquetas de rede para definir alvos e origens (para regras de entrada).

Se precisar de um controlo rigoroso sobre a forma como as regras de firewall são aplicadas às VMs, use contas de serviço de destino e contas de serviço de origem em vez de etiquetas de rede de destino e etiquetas de rede de origem:

• Uma etiqueta de rede é um atributo arbitrário. Uma ou mais etiquetas de rede podem ser associadas a uma instância por qualquer principal da gestão de identidade e de acesso (IAM) que tenha autorização para a editar. Os principais do IAM com a função Administrador de instâncias do Compute Engine num projeto têm esta autorização. Os principais do IAM que podem editar uma instância podem alterar as respetivas etiquetas de rede, o que pode alterar o conjunto de regras de firewall aplicáveis a essa instância.

• Uma conta de serviço representa uma identidade associada a uma instância. Só é possível associar uma conta de serviço a uma instância. Controla o acesso à conta de serviço controlando a concessão da função de utilizador da conta de serviço para outros principais do IAM. Para um principal do IAM iniciar uma instância através de uma conta de serviço, esse principal tem de ter a função de utilizador da conta de serviço para, pelo menos, usar essa conta de serviço e as autorizações adequadas para criar instâncias (por exemplo, ter a função de administrador da instância do Compute Engine para o projeto).

Não pode combinar contas de serviço e etiquetas de rede em nenhuma regra de firewall:

• Não pode usar contas de serviço de destino e etiquetas de rede de destino em conjunto em nenhuma regra de firewall (entrada ou saída).

• Se especificar destinos por etiqueta de rede de destino ou conta de serviço de destino, as seguintes opções são origens inválidas para regras de firewall de entrada.

  Destinos	Origens inválidas
  Segmente etiquetas de rede	Contas de serviço de origem Combinação de intervalos de IPs de origem e contas de serviço de origem
  Conta de serviço de destino	Etiquetas de rede de origem Combinação de intervalos de IP de origem e etiquetas de rede de origem

Seguem-se considerações operacionais para contas de serviço e etiquetas de rede:

• A alteração de uma conta de serviço para uma instância requer a paragem e o reinício da mesma. A adição ou a remoção de etiquetas de rede pode ser feita enquanto a instância está em execução.

• Existe um número máximo de contas de serviço de destino, contas de serviço de origem, etiquetas de rede de destino e etiquetas de rede de origem que podem ser especificadas para regras de firewall. Para mais informações, consulte os limites por regra de firewall.

• Se identificar instâncias por etiqueta de rede, a regra de firewall aplica-se ao endereço IP interno principal da instância.

• As regras de firewall da conta de serviço aplicam-se ao nó do GKE e não ao pod do GKE.

Funções e permissões

A tabela seguinte descreve as autorizações da Identity and Access Management (IAM) de que precisa para trabalhar com regras de firewall da VPC.

Tarefa	Autorização necessária	Função de exemplo
Crie uma regra de firewall	compute.firewalls.create	Administrador de segurança do Compute (roles/compute.securityAdmin)
Elimine uma regra de firewall	compute.firewalls.delete	Administrador de segurança do Compute (roles/compute.securityAdmin)
Faça alterações às regras de firewall	compute.firewalls.update	Administrador de segurança do Compute (roles/compute.securityAdmin)
Veja detalhes sobre uma regra de firewall	compute.firewalls.get	Visualizador da rede de computação (roles/compute.networkViewer)
Veja uma lista de regras de firewall	compute.firewalls.list	Visualizador da rede de computação (roles/compute.networkViewer)

Exemplos de utilização

Os exemplos de utilização seguintes demonstram como funcionam as regras de firewall. Nestes exemplos, todas as regras de firewall estão ativadas.

Registos de entrada

As regras de firewall de entrada controlam as ligações recebidas de uma origem para instâncias de destino na sua rede da VPC. A origem de uma regra de entrada pode ser definida como uma das seguintes:

• Um intervalo de endereços IPv4 ou IPv6; a predefinição é qualquer endereço IPv4 (0.0.0.0/0)
• Outras instâncias na sua rede VPC identificadas por etiquetas de rede
• Outras instâncias na sua rede VPC identificadas pela conta de serviço
• Outras instâncias na sua rede VPC identificadas por um intervalo de endereços IPv4 ou IPv6 e por uma etiqueta de rede
• Outras instâncias na sua rede VPC identificadas por um intervalo de endereços IPv4 ou IPv6 e pela conta de serviço

A origem predefinida é qualquer endereço IPv4 (0.0.0.0/0). Se quiser controlar as ligações de entrada para origens fora da sua rede VPC, incluindo outras origens na Internet, use um intervalo de endereços IP no formato CIDR.

As regras de entrada com uma ação allow permitem o tráfego de entrada com base nos outros componentes da regra. Além de especificar a origem e o destino da regra, pode limitar a aplicação da regra a protocolos e portas de destino específicos. Da mesma forma, as regras de entrada com uma ação deny podem ser usadas para proteger instâncias bloqueando o tráfego de entrada com base nos componentes da regra de firewall.

Exemplos de entrada

A Figura 1 ilustra alguns exemplos em que as regras de firewall podem controlar as ligações de entrada. Os exemplos usam o parâmetro target nas atribuições de regras para aplicar regras a instâncias específicas.

• Uma regra de entrada com prioridade 1000 é aplicável à VM 1. Esta regra permite o tráfego TCP de entrada de qualquer origem IPv4 (0.0.0.0/0). O tráfego TCP de outras instâncias na rede VPC é permitido, sujeito às regras de saída aplicáveis a essas outras instâncias. A VM 4 consegue comunicar com a VM 1 através do TCP porque a VM 4 não tem nenhuma regra de saída que bloqueie essa comunicação (apenas a regra de saída de permissão implícita é aplicável). Uma vez que a VM 1 tem um IP externo, esta regra também permite o tráfego TCP de entrada de anfitriões externos na Internet e da VM 2 através de endereços IP externos.

• A VM 2 não tem nenhuma regra de firewall de entrada especificada, pelo que a regra de entrada de negação implícita bloqueia todo o tráfego recebido. As ligações de outras instâncias na rede estão bloqueadas, independentemente das regras de saída das outras instâncias. Uma vez que a VM 2 tem um IP externo, existe um caminho para a mesma a partir de anfitriões externos na Internet, mas a regra de entrada de negação implícita também bloqueia o tráfego de entrada externo.

• Uma regra de entrada com prioridade 1000 é aplicável à VM 3. Esta regra permite o tráfego TCP de instâncias na rede com a etiqueta de rede client, como VM 4. O tráfego TCP da VM 4 para a VM 3 é permitido porque a VM 4 não tem uma regra de saída que bloqueie essa comunicação (apenas a regra de saída de permissão implícita é aplicável). Uma vez que a VM 3 não tem um endereço IP externo, não existe um caminho para a mesma a partir de anfitriões externos na Internet.

Casos de saída

As regras de firewall de saída controlam as ligações de saída das instâncias de destino na sua rede da VPC. As regras de saída com uma ação allow permitem o tráfego de instâncias com base nos outros componentes da regra. Por exemplo, pode permitir tráfego de saída para destinos específicos, como um intervalo de endereços IPv4, em protocolos e portas de destino que especificar. Da mesma forma, as regras de saída com uma ação deny bloqueiam o tráfego com base nos outros componentes da regra.

Cada regra de saída precisa de um destino. O destino predefinido é qualquer endereço IPv4 (0.0.0.0/0), mas pode criar um destino mais específico usando um intervalo de endereços IPv4 ou IPv6 no formato CIDR. Quando especifica um intervalo de endereços IP, pode controlar o tráfego para instâncias na sua rede e para destinos fora da sua rede, incluindo destinos na Internet.

Exemplos de saída

A Figura 2 ilustra alguns exemplos em que as regras de firewall podem controlar as ligações de saída. Os exemplos usam o parâmetro target nas atribuições de regras para aplicar regras a instâncias específicas.

• A VM 1 não tem nenhuma regra de firewall de saída especificada, pelo que a regra de saída de permissão implícita permite que envie tráfego para qualquer destino. As ligações a outras instâncias na rede VPC são permitidas, sujeitas às regras de entrada aplicáveis a essas outras instâncias. A VM 1 pode enviar tráfego para a VM 4 porque a VM 4 tem uma regra de entrada que permite o tráfego recebido de qualquer intervalo de endereços IP. Uma vez que a VM 1 tem um endereço IP externo, consegue enviar tráfego para anfitriões externos na Internet. As respostas recebidas ao tráfego enviado pela VM 1 são permitidas porque as regras de firewall são com estado.

• Uma regra de saída com prioridade 1000 é aplicável à VM 2. Esta regra nega todo o tráfego de saída para todos os destinos IPv4 (0.0.0.0/0). O tráfego de saída para outras instâncias na rede VPC é bloqueado, independentemente das regras de entrada aplicadas às outras instâncias. Embora a VM 2 tenha um endereço IP externo, esta regra de firewall bloqueia o respetivo tráfego de saída para anfitriões externos na Internet.

• Uma regra de saída com prioridade 1000 é aplicável à VM 3. Esta regra bloqueia o respetivo tráfego TCP de saída para qualquer destino no intervalo de 192.168.1.0/24 IPs. Embora as regras de entrada para a VM 4 permitam todo o tráfego de entrada, a VM 3 não pode enviar tráfego TCP para a VM 4. No entanto, a VM 3 pode enviar tráfego UDP para a VM 4 porque a regra de saída aplica-se apenas ao protocolo TCP.

  Além disso, a VM 3 pode enviar qualquer tráfego para outras instâncias na rede VPC fora do intervalo de IPs 192.168.1.0/24, desde que essas outras instâncias tenham regras de entrada para permitir esse tráfego. Uma vez que não tem um endereço IP externo, não tem um caminho para enviar tráfego para fora da rede VPC.

O que se segue?

• Para criar e trabalhar com regras de firewall, consulte o artigo Use regras de firewall da VPC.

Experimente

Se está a usar o Google Cloud pela primeira vez, crie uma conta para avaliar o desempenho do NGFW na nuvem em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.

Experimente o NGFW da nuvem gratuitamente