Regras de política de firewall

Quando cria uma regra de política de firewall, especifica um conjunto de componentes que definem o que a regra faz. Estes componentes especificam a direção do tráfego, a origem, o destino e as caraterísticas da camada 4, como o protocolo e a porta de destino (se o protocolo usar portas).

Cada regra de política de firewall aplica-se a ligações de entrada (ingress) ou de saída (egress), não a ambas.

Regras de entrada

A direção de entrada refere-se às ligações recebidas enviadas de origens específicas para Google Cloud alvos. As regras de entrada aplicam-se a pacotes de entrada, em que o destino dos pacotes é o alvo.

Uma regra de entrada com uma ação deny protege todas as instâncias bloqueando as ligações recebidas às mesmas. Uma regra de prioridade mais elevada pode permitir o acesso de entrada. Uma rede predefinida criada automaticamente inclui algumas regras de firewall da VPC pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.

Regras de saída

A direção de saída refere-se ao tráfego de saída enviado de um destino para um destino. As regras de saída aplicam-se a pacotes para novas ligações em que a origem do pacote é o destino.

Uma regra de saída com uma ação allow permite que uma instância envie tráfego para os destinos especificados na regra. A saída pode ser recusada por regras de firewall de deny prioridade mais elevada. Google Cloud também bloqueia ou limita determinados tipos de tráfego.

Componentes da regra de política de firewall

As regras nas políticas de firewall hierárquicas, nas políticas de firewall de rede global e nas políticas de firewall de rede regional usam os componentes descritos nesta secção. O termo política de firewall refere-se a qualquer um destes três tipos de políticas. Para mais informações sobre os tipos de políticas de firewall, consulte Políticas de firewall.

Geralmente, as regras da política de firewall funcionam da mesma forma que as regras de firewall de VPC, mas existem algumas diferenças, conforme descrito nas secções seguintes.

Prioridade

A prioridade de uma regra numa política de firewall é um número inteiro de 0 a 2 147 483 647, inclusive. Os números inteiros mais baixos indicam prioridades mais elevadas. A prioridade de uma regra numa política de firewall é semelhante à prioridade de uma regra de firewall de VPC, com as seguintes diferenças:

• Cada regra numa política de firewall tem de ter uma prioridade única.
• A prioridade de uma regra numa política de firewall serve como identificador único da regra. As regras nas políticas de firewall não usam nomes para identificação.
• A prioridade de uma regra numa política de firewall define a ordem de avaliação na própria política de firewall. As regras de firewall da VPC e as regras nas políticas de firewall hierárquicas, nas políticas de firewall de rede global e nas políticas de firewall de rede regional são avaliadas conforme descrito na secção Ordem de avaliação de políticas e regras.

Ação em correspondência

Uma regra numa política de firewall pode ter uma das seguintes ações:

Parâmetro de ação	Descrição
allow	Permite pacotes para uma nova ligação. Interrompe a avaliação das regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. Independentemente da direção da regra, se o protocolo de pacotes e o tipo de política de firewall suportarem a monitorização de ligações, uma regra de permissão cria uma entrada na tabela de monitorização de ligações da firewall que permite pacotes de entrada e saída.
deny	Não permite pacotes para uma nova ligação. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. O NGFW da nuvem verifica sempre se existe uma entrada na tabela de acompanhamento da ligação da firewall antes de avaliar as regras da firewall. Consequentemente, se uma regra de permissão criar uma entrada na tabela de acompanhamento de ligações, essa entrada na tabela de acompanhamento de ligações tem precedência.
apply_security_profile_group	Interceta pacotes para uma nova ligação, enviando-os para um ponto final de firewall ou grupo de pontos finais de interceção. Interrompe a avaliação das regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. Independentemente da direção da regra, se o protocolo de pacotes e o tipo de política de firewall suportarem a monitorização de ligações, uma regra com a ação apply_security_profile_group cria uma entrada na tabela de monitorização de ligações da firewall para que os pacotes de entrada e saída sejam intercetados pelo ponto final da firewall ou pelo grupo de pontos finais de interceção. Não pode criar regras com a ação apply_security_profile_group em políticas de firewall de rede regionais.
goto_next	Interrompe a avaliação de outras regras na política de firewall e avalia as regras no passo seguinte da política de firewall e da ordem de avaliação de regras. O passo seguinte da política de firewall e da ordem de avaliação das regras pode ser a avaliação das regras noutra política de firewall ou nas regras de firewall implícitas.

Aplicação

Pode escolher se uma regra de política de firewall é aplicada definindo o respetivo estado como ativado ou desativado. Define o estado de aplicação quando cria uma regra ou quando atualiza uma regra.

Se não definir um estado de aplicação quando cria uma nova regra de firewall, a regra de firewall é ativada automaticamente.

Protocolos e portas

Semelhante às regras de firewall da VPC, tem de especificar uma ou mais restrições de protocolo e porta quando cria uma regra. Quando especifica TCP ou UDP numa regra, pode especificar o protocolo, o protocolo e uma porta de destino, ou o protocolo e um intervalo de portas de destino. Não pode especificar apenas uma porta ou um intervalo de portas. Além disso, só pode especificar portas de destino. As regras baseadas em portas de origem não são suportadas.

Pode usar os seguintes nomes de protocolos nas regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números de protocolo da IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e no IPv6, mas alguns protocolos, como o ICMP, não o fazem. Para especificar o ICMP IPv4, use icmp ou o número do protocolo 1. Para especificar o ICMP IPv6, use o número do protocolo 58.

As regras de firewall não suportam a especificação de tipos e códigos ICMP, apenas o protocolo.

O protocolo IPv6 Hop-by-Hop não é suportado nas regras da firewall.

Se não especificar parâmetros de protocolo e porta, a regra aplica-se a todos os protocolos e portas de destino.

Registo

O registo de regras de políticas de firewall funciona da mesma forma que o registo de regras de firewall da VPC, exceto no seguinte:

• O campo de referência inclui o ID da política de firewall e um número que indica o nível do recurso ao qual a política está anexada. Por exemplo, 0 significa que a política é aplicada a uma organização e 1 significa que a política é aplicada a uma pasta de nível superior na organização.

• Os registos das regras da política de firewall incluem um campo target_resource que identifica as redes VPC às quais a regra se aplica.

• O registo só pode ser ativado para regras allow, deny e apply_security_profile_group. Não é possível ativar o registo para regras goto_next.

Alvo, origem e destino

Os parâmetros de destino identificam as interfaces de rede das instâncias às quais se aplica uma regra de firewall.

Pode especificar parâmetros de origem e parâmetros de destino que se aplicam às origens ou aos destinos de pacotes para regras de firewall de entrada e saída. A direção da regra de firewall determina os valores possíveis para os parâmetros de origem e destino.

Os parâmetros de destino, origem e destino funcionam em conjunto.

Destinos

Todas as regras de firewall de entrada e saída têm um alvo. O destino identifica as interfaces de rede das instâncias do Compute Engine, incluindo os nós do Google Kubernetes Engine e as instâncias do ambiente flexível do App Engine, às quais a regra de firewall se aplica.

Cada regra de firewall tem um alvo mais amplo, que pode restringir se especificar um parâmetro de destino ou uma combinação de parâmetros de destino. Se não especificar um parâmetro de destino nem uma combinação de parâmetros de destino, a regra de firewall aplica-se ao destino mais amplo.

• Alvo mais amplo para regras em políticas de firewall hierárquicas: todas as interfaces de rede de VMs numa sub-rede em qualquer região de qualquer rede de VPC localizada num projeto no nó do Resource Manager (pasta ou organização) associado à política de firewall hierárquica.

• Alvo mais amplo para regras em políticas de firewall de rede global: todas as interfaces de rede de VMs numa sub-rede em qualquer região da rede VPC associada à política de firewall de rede global.

• Alvo mais amplo para regras em políticas de firewall de rede regionais: todas as interfaces de rede de VMs numa sub-rede na região e na rede VPC associada à política de firewall de rede regional.

A tabela seguinte apresenta os parâmetros de destino válidos e as combinações que pode usar para restringir o destino de uma regra de firewall:

Parâmetro de destino	Suporte em políticas de firewall hierárquicas	Suporte nas políticas de firewall de rede globais e regionais
Recursos de rede VPC de destino Uma lista de uma ou mais redes VPC especificadas por através do parâmetro target-resources. Esta lista restringe o destino mais amplo da regra de firewall às interfaces de rede da VM que estão em, pelo menos, uma das redes VPC especificadas.
Contas de serviço de destino Uma lista de uma ou mais contas de serviço especificadas através do parâmetro target-service-accounts. Esta lista restringe o destino mais amplo da regra de firewall às interfaces de rede da VM que pertencem a instâncias de VM associadas a, pelo menos, uma das contas de serviço especificadas.
Combinação de contas de serviço de destino e recursos de rede VPC de destino Uma combinação que usa os parâmetros target-service-accounts e target-resources na mesma regra. Esta combinação restringe o destino mais amplo da regra de firewall às interfaces de rede da VM que cumprem ambos os seguintes critérios: Interfaces que estão em, pelo menos, uma das redes de VPC especificadas Interfaces pertencentes a instâncias de VM associadas a, pelo menos, uma das contas de serviço especificadas
Segmente valores de etiquetas seguros a partir de uma chave de etiqueta com dados de finalidade da rede Uma lista de um ou mais valores de etiquetas de uma chave de etiqueta cujos dados de finalidade especificam uma única rede de VPC. Esta lista restringe o destino mais amplo da regra de firewall às interfaces de rede da VM que estão na rede da VPC especificada nos dados de finalidade. Para mais informações, consulte o artigo Etiquetas seguras para firewalls.
Segmente valores de etiquetas seguras a partir de uma chave de etiqueta com dados de finalidade da organização Uma lista de um ou mais valores de etiquetas de uma chave de etiqueta cujos dados de finalidade são organization=auto. Isto restringe o destino mais amplo da regra de firewall às interfaces de rede da VM que estão em qualquer rede de VPC da organização. Para mais informações, consulte o artigo Etiquetas seguras para firewalls.

Alvos e endereços IP para regras de entrada

Os pacotes encaminhados para a interface de rede de uma VM de destino são processados com base nas seguintes condições:

• Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote tem de se enquadrar num dos intervalos de endereços IP de destino definidos explicitamente.

• Se a regra de firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote tem de corresponder a um dos seguintes endereços IP:

  • O endereço IPv4 interno principal atribuído à NIC da instância.

  • Quaisquer intervalos de endereços IP de alias configurados na NIC da instância.

  • O endereço IPv4 externo associado à NIC da instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para o balanceamento de carga de passagem, em que a instância é um back-end para um Network Load Balancer de passagem interno ou um Network Load Balancer de passagem externo.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para o encaminhamento de protocolos, em que a instância é referenciada por uma instância de destino.

  • Um endereço IP dentro do intervalo de destino de uma rota estática personalizada que usa a instância (next-hop-instance ou next-hop-address) como uma VM de próximo salto.

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa um balanceador de carga de rede de passagem interna (next-hop-ilb) como um salto seguinte se a VM for um back-end para esse balanceador de carga.

Alvos e endereços IP para regras de saída

O processamento de pacotes emitidos a partir da interface de rede de um alvo depende da configuração de encaminhamento de IP na VM alvo. O encaminhamento de IP está desativado por predefinição.

• Quando o encaminhamento de IP está desativado na VM de destino, a VM pode emitir pacotes com as seguintes origens:

  • O endereço IPv4 interno principal da NIC de uma instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC de uma instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento para o balanceamento de carga de passagem ou o encaminhamento de protocolos. Isto é válido se a instância for um back-end para um Network Load Balancer de passagem interno, um Network Load Balancer de passagem externo ou for referenciada por uma instância de destino.

  Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de destino continuam limitadas aos endereços IP de origem mencionados anteriormente, mas o parâmetro de origem pode ser usado para refinar esse conjunto. A utilização de um parâmetro de origem sem ativar o encaminhamento de IP não expande o conjunto de possíveis endereços de origem de pacotes.

  Se a regra da firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente são permitidos.

• Quando a VM de destino tem o encaminhamento de IP ativado, a VM pode emitir pacotes com endereços de origem arbitrários. Pode usar o parâmetro source para definir com maior precisão o conjunto de origens de pacotes permitidas.

Fontes

Os valores dos parâmetros de origem dependem do seguinte:

• O tipo de política de firewall que contém a regra de firewall
• A direção da regra de firewall

Fontes para regras de entrada

A tabela seguinte apresenta os parâmetros de origem que podem ser usados individualmente ou em combinação numa única regra da política de firewall de entrada. O Cloud NGFW requer que especifique, pelo menos, um parâmetro de origem.

Parâmetro de origem da regra de entrada	Suporte em políticas de firewall hierárquicas	Suporte nas políticas de firewall de rede globais e regionais
Intervalos de endereços IP de origem Uma lista simples composta por endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A lista é armazenada na própria regra da política de firewall.
Grupos de endereços de origem Coleções reutilizáveis de endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A regra de firewall faz referência à coleção. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
Nomes de domínios de origem Uma lista de um ou mais nomes de domínios de origem. Para mais informações, incluindo como os nomes de domínios são convertidos em endereços IP, consulte Objetos FQDN.
Obtenha valores de etiquetas seguros a partir de uma chave de etiqueta com dados de finalidade de rede Uma lista de um ou mais valores de etiquetas de uma chave de etiqueta cujos dados de finalidade especificam uma única rede de VPC. Para mais informações, consulte Etiquetas seguras para firewalls e Como as etiquetas seguras de origem implicam origens de pacotes.
Obtenha valores de etiquetas seguros a partir de uma chave de etiqueta com dados de finalidade da organização Uma lista de um ou mais valores de etiquetas de uma chave de etiqueta cujos dados de finalidade são organization=auto. Para mais informações, consulte Etiquetas seguras para firewalls e Como as etiquetas seguras de origem implicam origens de pacotes.
Geolocalizações de origem Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de países ou regiões de duas letras. Para mais informações, consulte os objetos de geolocalização.
Obtenha listas do Google Threat Intelligence Uma lista de um ou mais nomes de listas de informações sobre ameaças da Google predefinidos. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
Tipo de rede de origem Uma restrição que define um limite de segurança. Para mais informações, consulte Tipos de redes.

Numa única regra de entrada, pode usar dois ou mais parâmetros de origem para produzir uma combinação de origens. O NGFW da nuvem aplica as seguintes restrições às combinações de origens de cada regra de entrada:

• Os intervalos de endereços IP de origem têm de conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Não é possível usar um grupo de endereços de origem que contenha CIDRs IPv4 com um grupo de endereços de origem que contenha CIDRs IPv6.
• Não é possível usar um intervalo de endereços IP de origem que contenha CIDRs IPv4 com um grupo de endereços de origem que contenha CIDRs IPv6.
• Não é possível usar um intervalo de endereços IP de origem que contenha CIDRs IPv6 com um grupo de endereços de origem que contenha CIDRs IPv4.
• Não é possível usar o tipo de rede de Internet com as etiquetas seguras de origem.
• Não é possível usar o tipo não Internet, o tipo de redes VPC e o tipo inter-VPC com listas de informações sobre ameaças da Google de origem ou geolocalizações de origem.

O NGFW da nuvem aplica a seguinte lógica para fazer corresponder os pacotes a uma regra de entrada que usa uma combinação de origem:

• Se a combinação de origem não incluir um tipo de rede de origem, os pacotes correspondem à regra de entrada se corresponderem, pelo menos, a um parâmetro de origem na combinação de origem.

• Se a combinação de origem incluir um tipo de rede de origem, os pacotes correspondem à regra de entrada se corresponderem ao tipo de rede de origem e, pelo menos, a um dos outros parâmetros de origem na combinação de origem.

Como as etiquetas seguras de origem implicam origens de pacotes

As regras de entrada nas políticas de firewall podem especificar origens através da utilização de etiquetas seguras de origem (valores de etiquetas). Os valores das etiquetas seguras identificam interfaces de rede e não características dos pacotes, como endereços IP.

Os pacotes enviados a partir de uma interface de rede de uma instância de VM correspondem a uma regra de entrada que usa um valor de etiqueta segura de origem de acordo com as seguintes regras:

• Se a regra de entrada estiver numa política de rede regional, a instância de VM tem de estar localizada numa zona da mesma região que a política de firewall de rede regional. Caso contrário, a instância de VM pode estar localizada em qualquer zona.

• A instância de VM tem de estar associada ao mesmo valor de etiqueta segura que é usado como etiqueta segura de origem numa regra de firewall de entrada.

• O valor da etiqueta segura associado à instância de VM e usado pela regra de firewall de entrada tem de vir de uma chave de etiqueta cujo atributo purpose-data identifique, pelo menos, uma rede VPC que contenha uma interface de rede da instância de VM:

  • Se os dados de finalidade da chave da etiqueta especificarem uma única rede VPC, as regras de firewall de entrada que usam o valor da etiqueta segura de origem aplicam-se às interfaces de rede da instância de VM que estão nessa rede VPC.

  • Se os dados de finalidade da chave da etiqueta especificarem a organização, as regras de firewall de entrada que usam o valor da etiqueta segura de origem aplicam-se às interfaces de rede da instância de VM que estão em qualquer rede de VPC da organização.

• A interface de rede da VM identificada tem de cumprir um dos seguintes critérios:

  • A interface de rede da VM está na mesma rede VPC que a rede VPC à qual a política de firewall se aplica.
  • A interface de rede da VM está numa rede VPC que está ligada, através do peering de redes VPC, à rede VPC à qual a política de firewall se aplica.

Para mais informações sobre etiquetas seguras para firewalls, consulte as especificações.

Fontes para regras de saída

Pode usar as seguintes origens para regras de saída em políticas de firewall hierárquicas e políticas de firewall de rede:

• Predefinição: implícito pelo destino: se omitir o parâmetro de origem de uma regra de saída, as origens dos pacotes são definidas implicitamente, conforme descrito em Destinos e endereços IP para regras de saída.

• Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de origem para regras de saída:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno é usado durante a avaliação de regras.

• Se tiver um intervalo de endereços IP de origem e parâmetros de destino na regra de saída, os parâmetros de destino são resolvidos na mesma versão de IP que a versão de IP de origem.

  Por exemplo, numa regra de saída, tem um intervalo de endereços IPv4 no parâmetro de origem e um objeto FQDN no parâmetro de destino. Se o FQDN for resolvido em endereços IPv4 e IPv6, apenas o endereço IPv4 resolvido é usado durante a aplicação das regras.

Destinos

Os destinos podem ser especificados através de intervalos de endereços IP, que são suportados pelas regras de entrada e saída nas políticas de firewall hierárquicas e de rede. O comportamento de destino predefinido depende da direção da regra.

Destinos para regras de entrada

Pode usar os seguintes destinos para regras de firewall de entrada nas políticas de firewall hierárquicas e de rede:

• Predefinição: implícita pelo destino: se omitir o parâmetro de destino de uma regra de entrada, os destinos de pacotes são definidos implicitamente, conforme descrito em Destinos e endereços IP para regras de entrada.

• Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de destino para regras de entrada:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno é usado durante a avaliação de regras.

• Se tiver parâmetros de origem e de destino definidos numa regra de entrada, os parâmetros de origem são resolvidos na mesma versão de IP que a versão de IP de destino. Para saber como definir uma origem para regras de entrada, consulte os artigos Origens para regras de entrada em políticas de firewall hierárquicas e Origens para regras de entrada em políticas de firewall de rede.

  Por exemplo, numa regra de entrada, tem um intervalo de endereços IPv6 no parâmetro de destino e um código do país de geolocalização no parâmetro de origem. Durante a aplicação de regras, apenas o endereço IPv6 mapeado é usado para o código do país de origem especificado.

Destinos para regras de saída

A tabela seguinte apresenta os parâmetros de destino que podem ser usados individualmente ou em combinação numa única regra da política de firewall de saída. A NGFW da nuvem requer que especifique, pelo menos, um parâmetro de destino.

Parâmetro de destino da regra de saída	Suporte em políticas de firewall hierárquicas	Suporte nas políticas de firewall de rede globais e regionais
Intervalos de endereços IP de destino Uma lista simples composta por endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A lista é armazenada na própria regra da política de firewall.
Grupos de endereços de destino Coleções reutilizáveis de endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A regra de política de firewall faz referência à coleção. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
Nomes de domínios de destino Uma lista de um ou mais nomes de domínios de origem. Para mais informações, incluindo como os nomes de domínios são convertidos em endereços IP, consulte Objetos FQDN.
Geolocalizações de destino Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de países ou regiões de duas letras. Para mais informações, consulte os Objetos de geolocalização.
Listas de destino do Google Threat Intelligence Uma lista de um ou mais nomes de listas de informações sobre ameaças da Google predefinidos. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
Tipo de rede de destino Uma restrição que define um limite de segurança. Para mais informações, consulte Tipos de redes.

Numa única regra de saída, pode usar dois ou mais parâmetros de destino para produzir uma combinação de destinos. O Cloud NGFW aplica as seguintes restrições às combinações de destinos de cada regra de saída:

• Os intervalos de endereços IP de destino têm de conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Não é possível usar um grupo de endereços de destino que contenha CIDRs IPv4 com um grupo de endereços de destino que contenha CIDRs IPv6.
• Não é possível usar um intervalo de endereços IP de destino que contenha CIDRs IPv4 com um grupo de endereços de destino que contenha CIDRs IPv6.
• Não é possível usar um intervalo de endereços IP de destino que contenha CIDRs IPv6 com um grupo de endereços de destino que contenha CIDRs IPv4.
• Não é possível usar listas de informações sobre ameaças da Google nem geolocalizações de destino com o tipo de rede de destino não Internet.

O NGFW da nuvem aplica a seguinte lógica para fazer corresponder os pacotes a uma regra de saída que usa uma combinação de destino:

• Se a combinação de destinos não incluir um tipo de rede de destino, os pacotes correspondem à regra de saída se corresponderem, pelo menos, a um parâmetro de destino na combinação de destinos.

• Se a combinação de destino incluir um tipo de rede de destino, os pacotes correspondem à regra de saída se corresponderem ao tipo de rede de destino e, pelo menos, a um dos outros parâmetros de destino na combinação de destino.

Tipos de rede

Os tipos de rede ajudam a atingir os seus objetivos de segurança usando menos regras de políticas de firewall de forma mais eficiente. O NGFW da nuvem suporta quatro tipos de rede que podem ser usados para criar uma combinação de origem ou uma combinação de destino numa regra de uma política de firewall hierárquica, de uma política de firewall de rede global ou de uma política de firewall de rede regional.

A tabela seguinte lista os quatro tipos de rede e se um tipo de rede pode ser usado numa combinação de origem de uma regra de entrada, numa combinação de destino de uma regra de saída ou em ambas.

Tipo de rede	Fontes para regras de entrada	Destinos para regras de saída
Internet (INTERNET)
Sem Internet (NON_INTERNET)
Redes da VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Os tipos de rede de Internet e não Internet são mutuamente exclusivos. As redes VPC e os tipos de redes intra-VPC são subconjuntos do tipo de rede não pertencente à Internet.

Tipo de rede de Internet

O tipo de rede internet (INTERNET) pode ser usado como parte de uma combinação de origens de uma regra de entrada ou como parte de uma combinação de destinos de uma regra de saída:

• Para uma regra de entrada, especifique a origem do tipo de Internet e, pelo menos, outro parâmetro de origem, exceto para uma origem de etiqueta segura. Os pacotes correspondem à regra de entrada se corresponderem, pelo menos, a um dos outros parâmetros de origem e corresponderem ao parâmetro de origem do tipo de Internet.

• Para uma regra de saída, especifique o destino do tipo de Internet e, pelo menos, outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a, pelo menos, um dos outros parâmetros de destino e corresponderem ao parâmetro de destino do tipo de Internet.

O resto desta secção descreve os critérios que a RFC usa para determinar se um pacote pertence ao tipo de rede da Internet.

Tipo de rede de Internet para pacotes de entrada

Os pacotes de entrada encaminhados para uma interface de rede de VM por um Google Maglev são considerados pertencentes ao tipo de rede de Internet. Os pacotes são encaminhados por um Maglev para uma interface de rede de VM quando o destino do pacote corresponde a um dos seguintes:

• Um endereço IPv4 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externo ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Um endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externo ou uma regra de encaminhamento para encaminhamento de protocolos externos e o pacote não foi encaminhado através de uma rota de sub-rede importada pelo peering de redes VPC ou de um raio de VPC num hub do Network Connectivity Center.

Para mais informações sobre pacotes encaminhados pelo Maglev para VMs de back-end para um balanceador de carga de rede de passagem externo ou um encaminhamento de protocolos externo, consulte Caminhos para balanceadores de carga de rede de passagem externos e encaminhamento de protocolos externo.

Tipo de rede de Internet para pacotes de saída

Os pacotes de saída enviados pelas interfaces de rede da VM e encaminhados através de rotas estáticas que usam o próximo salto do gateway de Internet predefinido são considerados pertencentes ao tipo de rede de Internet. No entanto, se o endereço IP de destino destes pacotes de saída for para APIs e serviços Google, estes pacotes são considerados pertencentes ao tipo de rede não pertencente à Internet. Para mais informações sobre a conetividade às APIs e aos serviços Google, consulte o artigo Tipo de rede sem Internet.

Quando os pacotes são encaminhados através de uma rota estática que usa o salto seguinte do gateway de Internet predefinido, todos os pacotes enviados pelas interfaces de rede da VM para os seguintes destinos são considerados pertencentes ao tipo de Internet:

• Um destino de endereço IP externo fora da rede da Google.
• Um destino de endereço IPv4 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Um destino de endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Um destino de endereço IPv4 e IPv6 externo global de uma regra de encaminhamento de um balanceador de carga externo global.

Os pacotes enviados pelas interfaces de rede da VM para gateways do Cloud VPN e do Cloud NAT são considerados pertencentes ao tipo de Internet:

• Os pacotes de saída enviados a partir de uma interface de rede de uma VM que executa software de VPN para um endereço IPv4 externo regional de um gateway da Cloud VPN são considerados pertencentes ao tipo de Internet.
• Os pacotes de saída enviados de um gateway de VPN na nuvem para outro gateway de VPN na nuvem não são considerados pertencentes a nenhum tipo de rede, porque as regras de firewall aplicam-se apenas às VMs.
• Para o NAT público, os pacotes de resposta enviados de uma interface de rede de VM para um endereço IPv4 externo regional de um gateway NAT da nuvem são considerados pertencentes ao tipo de Internet.

Se as redes VPC estiverem ligadas através do peering de redes VPC ou se as redes VPC participarem como raios VPC no mesmo hub do Network Connectivity Center, as rotas de sub-rede IPv6 podem fornecer conetividade a destinos de endereços IPv6 externos regionais de interfaces de rede de VMs, regras de encaminhamento de balanceadores de carga externos regionais e regras de encaminhamento de protocolos externos. Quando a conetividade a esses destinos de endereços IPv6 externos regionais é fornecida através de uma rota de sub-rede, os destinos estão no tipo de rede não Internet.

Tipo de rede sem Internet

O tipo de rede non-internet (NON-INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do tipo não Internet e, pelo menos, outro parâmetro de origem, exceto uma origem de lista de informações sobre ameaças ou uma origem de geolocalização. Os pacotes correspondem à regra de entrada se corresponderem, pelo menos, a um dos outros parâmetros de origem e corresponderem ao parâmetro de origem do tipo não Internet.

• Para uma regra de saída, especifique o destino do tipo não Internet e, pelo menos, outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a, pelo menos, um dos outros parâmetros de destino e corresponderem ao parâmetro de destino do tipo não Internet.

O resto desta secção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao tipo de rede não Internet.

Tipo de rede não pertencente à Internet para pacotes de entrada

Os pacotes de entrada encaminhados para uma interface de rede de VM através de saltos seguintes numa rede VPC ou a partir de APIs e serviços Google são considerados pertencentes ao tipo de rede não Internet.

Os pacotes são encaminhados através de saltos seguintes numa rede VPC ou a partir de APIs e serviços Google nos seguintes cenários:

• O destino do pacote corresponde a um dos seguintes:

  • Um endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem interna ou uma regra de encaminhamento para encaminhamento de protocolos interno.
  • Um endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um Network Load Balancer de passagem externo ou uma regra de encaminhamento para o encaminhamento de protocolos externos e o pacote foi encaminhado através de uma rota de sub-rede local, uma rota de sub-rede de intercâmbio ou uma rota de sub-rede do Network Connectivity Center.
  • Qualquer endereço dentro do intervalo de destino de uma rota estática em que a VM de receção é uma VM de salto seguinte ou uma VM de back-end de um Network Load Balancer de encaminhamento interno de salto seguinte.

• A origem do pacote corresponde a uma das seguintes opções:

  • Um endereço IP para os domínios predefinidos usados pelas APIs e serviços Google globais.
  • Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
  • Um endereço IP de um front-end da Google usado por um Application Load Balancer externo global, um Application Load Balancer clássico, um Network Load Balancer de proxy externo global ou um Network Load Balancer de proxy clássico. Para mais informações, consulte o artigo Caminhos entre as interfaces da Google e os servidores de back-end.
  • Um endereço IP de um verificador de testes de integridade. Para mais informações, consulte o artigo Caminhos para verificações de estado.
  • Um endereço IP usado pelo Identity-Aware Proxy para encaminhamento TCP. Para mais informações, consulte o artigo Caminhos para o Identity-Aware Proxy (IAP).
  • Um endereço IP usado pelo Cloud DNS ou pelo Service Directory. Para mais informações, consulte Caminhos para o Cloud DNS e o Service Directory.
  • Um endereço IP usado pelo Acesso a VPC sem servidor. Para mais informações, consulte Caminhos para o acesso a VPC sem servidor.
  • Um endereço IP de um ponto final do Private Service Connect para APIs Google globais. Para mais informações, consulte o artigo Caminhos para pontos finais do Private Service Connect para APIs Google globais.

Tipo de rede não pertencente à Internet para pacotes de saída

Os pacotes de saída enviados pelas interfaces de rede da VM e encaminhados numa rede VPC ou enviados para APIs e serviços Google são considerados pertencentes ao tipo de rede não pertencente à Internet.

Os pacotes são encaminhados através de saltos seguintes numa rede VPC ou para APIs e serviços Google nos seguintes cenários:

• Os pacotes são encaminhados através de encaminhamentos de sub-rede, que incluem os seguintes destinos:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
  • Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para o encaminhamento de protocolos externos.
• Os pacotes são encaminhados através de trajetos dinâmicos.
• Os pacotes são encaminhados através de rotas estáticas que usam um salto seguinte que não é o gateway de Internet predefinido.
• Os pacotes são encaminhados para APIs e serviços Google globais acedidos através de um encaminhamento estático com um salto seguinte do gateway de Internet predefinido. Os destinos globais das APIs Google e dos serviços incluem os endereços IP dos domínios predefinidos e os endereços IP de private.googleapis.com e restricted.googleapis.com.
• Destinos dos serviços Google acedidos através de um dos seguintes caminhos:
  • Caminhos entre as interfaces da Google e os servidores de back-end
  • Caminhos para verificações de saúde
  • Caminhos para o Identity-Aware Proxy (IAP)
  • Caminhos para o Cloud DNS e o Service Directory
  • Caminhos para o Acesso a VPC sem servidor
  • Caminhos para pontos finais do Private Service Connect para APIs Google globais

Tipo de redes da VPC

O tipo de redes VPC (VPC_NETWORKS) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Não pode usar o tipo de redes VPC como parte de uma combinação de destino de uma regra de saída.

Para usar o tipo de redes VPC como parte de uma combinação de origem de uma regra de entrada, faça o seguinte:

1. Tem de especificar uma lista de redes de VPC de origem:

   • A lista de redes de origem tem de conter, pelo menos, uma rede VPC. Pode adicionar um máximo de 250 redes de VPC à lista de redes de origem.
   • Tem de existir uma rede VPC antes de a poder adicionar à lista de redes de origem.
   • Pode adicionar a rede através do identificador de URL parcial ou completo.
   • As redes VPC que adiciona à lista de redes de origem não têm de estar ligadas entre si. Cada rede VPC pode estar localizada em qualquer projeto.
   • Se uma rede VPC for eliminada depois de ser adicionada à lista de redes de origem, a referência à rede eliminada permanece na lista. O NGFW da nuvem ignora as redes VPC eliminadas quando aplica uma regra de entrada. Se todas as redes de VPC na lista de redes de origem forem eliminadas, as regras de entrada que dependem da lista são ineficazes porque não correspondem a nenhum pacote.

2. Tem de especificar, pelo menos, outro parâmetro de origem, exceto uma origem de lista de informações sobre ameaças ou origem de geolocalização.

Um pacote corresponde a uma regra de entrada que usa o tipo de redes VPC na respetiva combinação de origem se todas as seguintes condições forem verdadeiras:

• O pacote corresponde a, pelo menos, um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado numa das redes VPC de origem.

• A rede VPC de origem e a rede VPC à qual a política de firewall que contém a regra de entrada se aplica são a mesma rede VPC ou estão ligadas através do intercâmbio da rede VPC ou como spokes da VPC num hub do Network Connectivity Center.

Os seguintes recursos estão localizados numa rede VPC:

• Interfaces de rede de VMs
• Túneis do Cloud VPN
• Associações VLAN do Cloud Interconnect
• Routers
• Proxies Envoy numa sub-rede só de proxy
• Pontos finais do Private Service Connect
• Conetores do Acesso a VPC sem servidor

Tipo de rede intra-VPC

O tipo de rede intra-VPC (INTRA_VPC) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Não pode usar o tipo de rede intra-VPC como parte de uma combinação de destino de uma regra de saída.

Para usar o tipo intra-VPC como parte de uma combinação de origens de uma regra de entrada, tem de especificar, pelo menos, outro parâmetro de origem, exceto para uma origem de lista de informações sobre ameaças ou uma origem de geolocalização.

Um pacote corresponde a uma regra de entrada que usa o tipo intra-VPC na respetiva combinação de origem se todas as seguintes condições forem verdadeiras:

• O pacote corresponde a, pelo menos, um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado na rede VPC à qual a política de firewall que contém a regra de entrada se aplica.

Os seguintes recursos estão localizados numa rede VPC:

• Interfaces de rede de VMs
• Túneis do Cloud VPN
• Associações VLAN do Cloud Interconnect
• Routers
• Proxies Envoy numa sub-rede só de proxy
• Pontos finais do Private Service Connect
• Conetores do Acesso a VPC sem servidor

Objetos de geolocalização

Use objetos de geolocalização em regras de políticas de firewall para filtrar o tráfego IPv4 externo e IPv6 externo com base em localizações geográficas ou regiões específicas.

Pode aplicar regras com objetos de geolocalização ao tráfego de entrada e saída. Com base na direção do tráfego, os endereços IP associados aos códigos de países são comparados com a origem ou o destino do tráfego.

• Pode configurar objetos de geolocalização para políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais.

• Para adicionar geolocalizações às regras da política de firewall, use os códigos de duas letras dos países ou das regiões, conforme definido nos códigos de países da norma ISO 3166 alfa-2.

  Por exemplo, se quiser permitir tráfego de entrada apenas dos EUA para a rede, crie uma regra de política de firewall de entrada com o código do país de origem definido como US e a ação definida como allow. Da mesma forma, se quiser permitir o tráfego de saída apenas para os EUA, configure uma regra de política de firewall de saída com o código do país de destino definido como US e a ação definida como allow.

• O NGFW da Google Cloud permite-lhe configurar regras de firewall para os seguintes territórios sujeitos a sanções abrangentes dos EUA:

  Territórios	Código atribuído
  Crimeia	XC
  As chamadas Repúblicas Populares de Donetsk e de Luhansk	XD

• Se existirem códigos do país duplicados incluídos numa única regra de firewall, apenas é mantida uma entrada para esse código do país. A entrada duplicada é removida. Por exemplo, na lista de códigos de países ca,us,us, apenas ca,us é mantido.

• A Google mantém uma base de dados com endereços IP e mapeamentos de códigos de países. As firewalls usam esta base de dados para mapear os endereços IP do tráfego de origem e destino para o código do país e, em seguida, aplicam a regra de política de firewall correspondente com objetos de geolocalização.Google Cloud

• Por vezes, as atribuições de endereços IP e os códigos de países mudam devido às seguintes condições:

  • Movimento de endereços IP entre localizações geográficas
  • Atualizações à norma ISO 3166 alfa-2 dos códigos de países

  Uma vez que estas alterações demoram algum tempo a ser refletidas na base de dados da Google, pode verificar algumas interrupções de tráfego e alterações no comportamento de determinado tráfego que está a ser bloqueado ou permitido.

Use objetos de geolocalização com outros filtros de regras de políticas de firewall

Pode usar objetos de geolocalização juntamente com outros filtros de origem ou destino. Consoante a direção da regra, a regra da política de firewall é aplicada ao tráfego de entrada ou de saída que corresponda à união de todos os filtros especificados.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de origem nas regras de entrada, consulte os artigos Origens para regras de entrada em políticas de firewall hierárquicas e Origens para regras de entrada em políticas de firewall de rede.

Para obter informações sobre como os objetos de geolocalização funcionam com outros filtros de destino nas regras de saída, consulte o artigo Destinos para regras de saída.

Inteligência sobre ameaças da Google para regras de políticas de firewall

As regras da política de firewall permitem-lhe proteger a sua rede, permitindo ou bloqueando o tráfego com base nos dados de inteligência contra ameaças da Google. Os dados de inteligência contra ameaças da Google incluem listas de endereços IP com base nas seguintes categorias:

• Nós de saída do Tor: O Tor é um software de código aberto que permite a comunicação anónima. Para excluir utilizadores que ocultam a respetiva identidade, bloqueie os endereços IP dos nós de saída do Tor (pontos finais nos quais o tráfego sai da rede Tor).
• Endereços IP maliciosos conhecidos: endereços IP que se sabe serem a origem de ataques a aplicações Web. Para melhorar a postura de segurança da sua aplicação, bloqueie estes endereços IP.
• Motores de pesquisa: endereços IP que pode permitir para ativar a indexação de sites.
• Intervalos de endereços IP da nuvem pública: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas naveguem em aplicações Web ou permitida se o seu serviço usar outras nuvens públicas. Esta categoria está ainda dividida nas seguintes subcategorias:
  • Intervalos de endereços IP usados pelo Amazon Web Services
  • Intervalos de endereços IP usados pelo Microsoft Azure
  • Intervalos de endereços IP usados por Google Cloud
  • Intervalos de endereços IP usados pelos serviços Google

As listas de dados de informações sobre ameaças da Google podem incluir endereços IPv4, endereços IPv6 ou ambos. Para configurar a Google Threat Intelligence nas regras da política de firewall, use os nomes das listas da Google Threat Intelligence predefinidos com base na categoria que quer permitir ou bloquear. Estas listas são atualizadas continuamente, protegendo os serviços contra novas ameaças sem passos de configuração adicionais. Seguem-se os nomes das listas válidos.

Nome da lista	Descrição
iplist-tor-exit-nodes	Corresponde a endereços IP de nós de saída do TOR
iplist-known-malicious-ips	Corresponde a endereços IP conhecidos por atacar aplicações Web
iplist-search-engines-crawlers	Corresponde aos endereços IP dos motores de rastreio de motores de pesquisa
iplist-vpn-providers	Corresponde a endereços IP pertencentes a fornecedores de VPN com má reputação
iplist-anon-proxies	Corresponde a endereços IP pertencentes a proxies anónimos abertos
iplist-crypto-miners	Corresponde a endereços IP pertencentes a sites de mineração de criptomoedas
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	Corresponde a endereços IP pertencentes a nuvens públicas Corresponde a intervalos de endereços IP usados pelo Amazon Web Services Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure Corresponde aos intervalos de endereços IP usados por Google Cloud Corresponde aos intervalos de endereços IP usados pelos serviços Google

Use a Google Threat Intelligence com outros filtros de regras de políticas de firewall

Para definir uma regra de política de firewall com a inteligência contra ameaças da Google, siga estas diretrizes:

• Para regras de saída, especifique o destino através de uma ou mais listas de inteligência contra ameaças da Google.

• Para regras de entrada, especifique a origem através de uma ou mais listas de inteligência contra ameaças da Google.

• Pode configurar listas de inteligência contra ameaças da Google para políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais.

• Pode usar estas listas juntamente com outros componentes de filtro de regras de origem ou destino.

  Para informações sobre como as listas de informações sobre ameaças da Google funcionam com outros filtros de origem nas regras de entrada, consulte os artigos Origens para regras de entrada em políticas de firewall hierárquicas e Origens para regras de entrada em políticas de firewall de rede.

  Para informações sobre como as listas de informações sobre ameaças da Google funcionam com outros filtros de destino nas regras de saída, consulte o artigo Destinos para regras de saída.

• O registo de firewall é feito ao nível da regra. Para facilitar a depuração e a análise do efeito das suas regras de firewall, não inclua várias listas de informações sobre ameaças da Google numa única regra de firewall.

• Pode adicionar várias listas de informações sobre ameaças da Google a uma regra de política de firewall. Cada nome de lista incluído na regra é contabilizado como um atributo, independentemente do número de endereços IP ou intervalos de endereços IP incluídos nessa lista. Por exemplo, se tiver incluído os nomes das listas iplist-tor-exit-nodes, iplist-known-malicious-ips e iplist-search-engines-crawlers na regra da política de firewall, a contagem de atributos da regra por política de firewall é aumentada em três. Para mais informações sobre a quantidade de atributos de regras, consulte o artigo Quotas e limites.

Criar exceções às listas de informações sobre ameaças da Google

Se tiver regras que se aplicam a listas de inteligência contra ameaças da Google, pode usar as técnicas seguintes para criar regras de exceção aplicáveis a determinados endereços IP numa lista de inteligência contra ameaças da Google:

• Regra de firewall de permissão seletiva: suponhamos que tem uma regra de firewall de entrada ou saída que nega pacotes de ou para uma lista de informações sobre ameaças da Google. Para permitir pacotes de ou para um endereço IP selecionado nessa lista de inteligência contra ameaças da Google, crie uma regra de firewall de entrada ou saída separada de prioridade mais elevada que especifique o endereço IP de exceção como origem ou destino.

• Regra de firewall de recusa seletiva: suponhamos que tem uma regra de firewall de entrada ou saída que permite pacotes de ou para uma lista de informações sobre ameaças da Google. Para recusar pacotes de ou para um endereço IP selecionado nessa lista de informações sobre ameaças da Google, crie uma regra de firewall de recusa de entrada ou saída de prioridade superior que especifique o endereço IP de exceção como origem ou destino.

Grupos de endereços para políticas de firewall

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. Pode usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Os grupos de endereços podem ser atualizados sem modificar as regras de firewall que os usam. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.

Pode definir grupos de endereços de origem e de destino para regras de firewall de entrada e saída, respetivamente.

Para informações sobre como os grupos de endereços de origem funcionam com outros filtros de origem nas regras de entrada, consulte os artigos Origens para regras de entrada em políticas de firewall hierárquicas e Origens para regras de entrada em políticas de firewall de rede.

Para obter informações sobre como os grupos de endereços de destino funcionam com outros filtros de destino nas regras de saída, consulte o artigo Destinos para regras de saída.

Objetos FQDN

Os objetos de nome do domínio totalmente qualificado (FQDN) contêm nomes de domínios que especifica no formato de nome do domínio. Pode usar objetos FQDN como origens para regras de entrada ou como destinos para regras de saída numa política de firewall hierárquica, numa política de firewall de rede global ou numa política de firewall de rede regional.

Pode combinar FQDNs com outros parâmetros. Para ver detalhes sobre as combinações de parâmetros de origem nas regras de entrada, consulte o artigo Origens para regras de entrada. Para ver detalhes sobre as combinações de parâmetros de destino nas regras de saída, consulte o artigo Destinos para regras de saída.

Os objetos FQDN suportam: políticas de resposta do Cloud DNS, zonas privadas geridas ao nível da rede VPC, nomes DNS internos do Compute Engine e zonas DNS públicas. Este suporte aplica-se desde que a rede VPC não tenha uma política de servidor de saída que especifique um servidor de nomes alternativo. Para mais informações, consulte o artigo Ordem de resolução da rede VPC.

Mapeie objetos FQDN para endereços IP

O NGFW na nuvem resolve periodicamente objetos FQDN para endereços IP. O NGFW da nuvem segue a ordem de resolução de nomes da VPC do DNS da nuvem na rede VPC que contém os destinos da regra de firewall.

O Cloud NGFW usa o seguinte comportamento para a resolução de endereços IP:

• Suporte de CNAME chasing. O NGFW da nuvem usa a perseguição de CNAME do Cloud DNS se a resposta a uma consulta de objeto FQDN for um registo CNAME.

• Endereços IP do programa. O NGFW da nuvem usa os endereços IP resolvidos quando programa as regras de firewall que usam objetos FQDN. Cada objeto FQDN pode ser mapeado para um máximo de 32 endereços IPv4 e 32 endereços IPv6.

  Se a resposta DNS para uma consulta de objeto FQDN for resolvida para mais de 32 endereços IPv4 ou mais de 32 endereços IPv6, a Cloud NGFW limita os endereços IP programados nas regras de firewall aos primeiros 32 endereços IPv4 e aos primeiros 32 endereços IPv6.

• Ignorar objetos FQDN. Se o Cloud NGFW não conseguir resolver um objeto FQDN para um endereço IP, ignora o objeto FQDN. Nas seguintes situações, o Cloud NGFW ignora um objeto FQDN:

  • Quando são recebidas NXDOMAIN respostas. As respostas NXDOMAIN são respostas explícitas de um servidor de nomes que indicam que não existe nenhum registo DNS para a consulta de objeto FQDN.

  • Quando não existe nenhum endereço IP numa resposta. Nesta situação, uma consulta de objeto FQDN não resulta numa resposta com um endereço IP que o Cloud NGFW possa usar para programar uma regra de firewall.

  • Quando o servidor DNS do Google Cloud está inacessível. O NGFW da nuvem ignora objetos FQDN se um servidor DNS que forneça a resposta for inacessível.

  Quando um objeto FQDN é ignorado, o NGFW da nuvem programa as partes restantes de uma regra de firewall, se possível.

Considerações para objetos FQDN

Considere o seguinte para objetos FQDN:

1. Uma vez que os objetos FQDN são mapeados e programados como endereços IP, o Cloud NGFW usa o seguinte comportamento quando dois ou mais objetos FQDN são mapeados para o mesmo endereço IP. Suponhamos que tem as seguintes duas regras de firewall que se aplicam ao mesmo destino:

   • Regra 1: prioridade 100, entrada permitida a partir do FQDN de origem example1.com
   • Regra 2: prioridade 200, entrada permitida a partir do FQDN de origem example2.com

   Se example1.com e example2.com forem resolvidos para o mesmo endereço IP, os pacotes de entrada de example1.com e example2.com correspondem à primeira regra de firewall porque esta regra tem uma prioridade mais elevada.

2. As considerações para usar objetos FQDN incluem o seguinte:

   • Uma consulta de DNS pode ter respostas únicas com base na localização do cliente que faz o pedido.

   • As respostas de DNS podem ser altamente variáveis quando está envolvido um sistema de equilíbrio de carga baseado em DNS.

   • Uma resposta DNS pode conter mais de 32 endereços IPv4.

   • Uma resposta DNS pode conter mais de 32 endereços IPv6.

   Nas situações anteriores, uma vez que o Cloud NGFW executa consultas DNS em cada região que contém a interface de rede da VM à qual a regra de firewall se aplica, os endereços IP programados nas regras de firewall não contêm todos os endereços IP possíveis associados ao FQDN.

   A maioria dos nomes de domínios da Google, como googleapis.com, está sujeita a uma ou mais destas situações. Em alternativa, use endereços IP ou grupos de endereços.

3. Não use objetos FQDN com o DNS64 do Cloud DNS. O NGFW da nuvem não programa endereços IPv6 de prefixo conhecido (WKP) usados pelo DNS64.

   O DNS64 e o NAT64 destinam-se a ser usados em conjunto para fornecer conetividade a servidores apenas IPv4 a partir de clientes de VMs apenas IPv6. Para fornecer esta conetividade, um fornecedor de DNS64 sintetiza uma resposta AAAA a uma consulta DNS para a qual não existe nenhum registo AAAA. A resposta AAAAsintetizada codifica o endereço IPv4 do servidor nos últimos quatro bytes de um endereço IPv6 de WKP (64:ff9b::/96). Quando o cliente apenas IPv6 envia pacotes para o endereço IPv6 de WKP, um fornecedor de NAT64 extrai o endereço do servidor IPv4 do endereço IPv6 de WKP e abre uma ligação IPv4 ao servidor apenas IPv4.

   Quando o DNS64 está envolvido, recomendamos que use endereços IP ou grupos de endereços nas regras da firewall. Certifique-se de que inclui o endereço IPv4 do servidor e a respetiva representação IPv6 de WKP.

4. Evite usar objetos FQDN com registos DNS A que tenham um tempo de vida (TTL) inferior a 90 segundos.

Formate nomes de domínio

Os objetos FQDN têm de seguir o formato FQDN padrão.Este formato é definido na RFC 1035, RFC 1123 e RFC 4343. O NGFW da nuvem rejeita objetos FQDN que incluem um nome de domínio que não cumpre todas as seguintes regras de formatação:

• Cada objeto FQDN tem de ser um nome de domínio com, pelo menos, duas etiquetas:

  • Cada etiqueta tem de corresponder a uma expressão regular que inclua apenas estes carateres: [a-z]([-a-z0-9][a-z0-9])?..
  • Cada etiqueta tem de ter um comprimento de 1 a 63 carateres.
  • As etiquetas têm de ser concatenadas com um ponto (.).

  Consequentemente, os objetos FQDN não suportam carateres universais (*) nem nomes de domínio de nível superior (ou raiz), como *.example.com. e .org, porque estes incluem apenas uma única etiqueta.

• Os objetos FQDN suportam nomes de domínio internacionalizados (IDNs). Pode fornecer um IDN no formato Unicode ou Punycode. Considere o seguinte:

  • Se especificar um IDN no formato Unicode, o Cloud NGFW converte-o para o formato Punycode antes do processamento.

  • Pode usar o conversor de IDNs para criar a representação em Punycode de um IDN.

  • O limite de carateres de 1 a 63 por etiqueta aplica-se aos IDNs após a conversão para o formato Punycode.

• O comprimento codificado de um nome de domínio totalmente qualificado (FQDN) não pode exceder 255 bytes (octetos).

O NGFW da nuvem não suporta nomes de domínios equivalentes na mesma regra de firewall. Por exemplo, se os dois nomes de domínio (ou representações Punycode de IDNs) diferirem, no máximo, por um ponto final (.), o Cloud NGFW considera-os equivalentes.

O que se segue?

• Políticas de firewall hierárquicas
• Políticas de firewall de rede global
• Políticas de firewall de rede regionais