Nesta página, explicamos como configurar e gerenciar um endpoint de firewall e associá-lo a uma rede de nuvem privada virtual (VPC) usando o Console do Google Cloud e CLI do Google Cloud.
Você cria um endpoint de firewall no nível zonal e o associa a uma ou mais redes VPC na mesma zona. Se você ativou a inspeção da camada 7 na política de firewall associada à rede VPC, o tráfego correspondente é interceptado e encaminhado de maneira transparente para o endpoint do firewall.
Antes de começar
Você precisa ativar a API Compute Engine no projeto.
É necessário ativar a API Network Security no projeto.
É necessário ativar a API Certificate Authority Service no projeto.
Instale a CLI gcloud se você quiser executar os exemplos de linhas de comando
gcloudneste guia.Você precisa de um grupo de perfis de segurança.
Papéis
Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de grupos de perfis de segurança, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Criar um endpoint de firewall
Crie um endpoint de firewall em uma zona específica.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu suspenso do seletor de projetos, selecione sua organização.
Clique em Criar.
Na lista Região, selecione a região em que você quer criar o endpoint de firewall.
Na lista Zona, selecione a zona em que você quer criar o endpoint do firewall.
Digite um nome no campo Nome.
Clique em Criar.
gcloud
gcloud beta network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID \ --no-async --max-wait MAX_WAIT
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.BILLING_PROJECT_ID: um ID do projeto a ser usado para faturamento do endpoint de firewall.--no-async: uma sinalização opcional para determinar se o comando precisa aguardar a conclusão da operação por até--max-waitvez antes de retornar o ID da operação. O tempo de espera padrão é de 60 minutos (60m).MAX_WAIT: um argumento opcional para definir o tempo máximo de espera para a conclusão da operação.
Visualizar um endpoint de firewall
É possível visualizar os detalhes de um endpoint de firewall específico.
gcloud
gcloud beta network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Listar endpoints de firewall
É possível listar todos os endpoints de firewall de uma organização.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.
gcloud
gcloud beta network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Substitua:
ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.BILLING_PROJECT_ID: um ID de projeto opcional no qual a cota será cobrada pela operação.
Excluir um endpoint de firewall
É possível excluir um endpoint de firewall especificando o nome, a zona e a organização dele.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
Selecione o endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
gcloud beta network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE \ --no-async --max-wait MAX_WAIT
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.--no-async: uma sinalização opcional para determinar se o comando precisa aguardar a conclusão da operação por até--max-waitvez antes de retornar o ID da operação. O tempo de espera padrão é de 60 minutos (60m).MAX_WAIT: um argumento opcional para definir o tempo máximo de espera para a conclusão da operação.
Criar uma associação de endpoint de firewall
Crie uma associação de endpoint de firewall para associar uma rede VPC a um endpoint de firewall.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoint do firewall.
Clique em Adicionar associação de endpoints.
Na lista Região, selecione a região em que você quer criar a associação de endpoint do firewall.
Na lista Zona, selecione a zona em que você quer criar a associação de endpoint do firewall.
Na lista Endpoint de firewall, selecione o endpoint de firewall que você quer associar à rede VPC.
Na lista Política de inspeção da TLS, selecione a política que você quer adicionar a essa rede VPC.
Clique em Criar.
gcloud
gcloud beta network-security firewall-endpoint-associations \ create NAME \ --endpoint FIREWALL_ENDPOINT_NAME \ --network NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy TLS_POLICY_NAME \ --no-async --max-wait MAX_WAIT
Substitua:
NAME: o nome da associação do endpoint de firewall.FIREWALL_ENDPOINT_NAME: um identificador de URL totalmente qualificado do endpoint de firewall no seguinte formato:organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAMENETWORK_NAME: um identificador de URL totalmente qualificado da rede no seguinte formato:projects/PROJECT_NAME/global/networks/NETWORK_NAMEZONE: a zona em que o endpoint da rede e o firewall serão associados.PROJECT_ID: um ID do projeto opcional em que a associação é criada.TLS_POLICY_NAME: um identificador de URL totalmente qualificado da política de inspeção de TLS no seguinte formato:projects/PROJECT_NAME/locations/LOCATION/tlsInspectionPolicies/TLS_POLICY_NAMEEsta política é usada para a inspeção da TLS do tráfego criptografado na rede especificada. Esse é um argumento opcional.
--no-async: uma sinalização opcional para determinar se o comando precisa aguardar a conclusão da operação por até--max-waitvez antes de retornar o ID da operação. O tempo de espera padrão é de 60 minutos (60m).MAX_WAIT: um argumento opcional para definir o tempo máximo de espera para a conclusão da operação.
Visualizar uma associação de endpoint de firewall
É possível visualizar os detalhes de uma associação de endpoint de firewall específica em uma zona.
gcloud
gcloud beta network-security firewall-endpoint-association \ describe NAME \ --zone ZONE
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.
Listar associações de endpoints de firewall
É possível listar todas as associações de endpoints de firewall em uma zona.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoint do firewall. A guia mostra uma lista de associações de endpoints de firewall configurados.
gcloud
gcloud beta network-security firewall-endpoint-association list \ --zone ZONE
Substitua:
ZONE: a zona da associação do endpoint de firewall.
Excluir uma associação de endpoint de firewall
É possível excluir uma associação de endpoint de firewall especificando o nome e a zona dela.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoint do firewall. A guia mostra uma lista de associações de endpoints de firewall configurados.
Selecione uma associação de endpoint e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
gcloud beta network-security firewall-endpoint-association \ delete NAME \ --zone ZONE
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.
A seguir
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede