Regras da política de firewall

Ao criar uma regra de política de firewall, você especifica um conjunto de componentes que define o que a regra faz. Esses componentes especificam as características de direção do tráfego, origem, destino e Camada 4, como protocolo e porta de destino (se o protocolo usar portas).

Cada regra de política de firewall se aplica a conexões de entrada (entrada) ou de saída (saída), não a ambas.

Regras de entrada

A direção de entrada se refere às conexões de entrada enviadas de origens específicas para os destinos do Google Cloud. As regras de entrada se aplicam a pacotes de entrada, em que o destino deles é o destino.

Uma regra de entrada com a ação deny protege todas as instâncias ao bloquear as conexões recebidas. Uma regra de prioridade mais alta pode permitir o acesso de entrada. Uma rede padrão criada automaticamente inclui algumas regras de firewall da VPC pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.

Regras de saída

A direção de saída refere-se ao tráfego de saída enviado de um destino para um destino. Regras de saída se aplicam a pacotes de novas sessões em que a origem do pacote é o destino.

Uma regra de saída com a ação allow permite que uma instância envie tráfego para os destinos especificados na regra. A saída pode ser negada por regras de firewall deny de prioridade mais alta. O Google Cloud também bloqueia ou limita determinados tipos de tráfego.

Componentes da regra de política de firewall

As regras das políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional usam os componentes descritos nesta seção. O termo política de firewall refere-se a qualquer um desses três tipos de políticas. Para mais informações sobre os tipos de políticas de firewall, consulte Políticas de firewall.

As regras das políticas de firewall geralmente funcionam da mesma forma que as regras de firewall da VPC, mas há algumas diferenças, conforme descrito nas seções a seguir.

Prioridade

A prioridade de uma regra em uma política de firewall é um número inteiro de 0 a 2.147.483.647, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. A prioridade de uma regra em uma política de firewall é semelhante à prioridade de uma regra de firewall da VPC, com as seguintes diferenças:

• Cada regra de uma política de firewall precisa ter uma prioridade exclusiva.
• A prioridade de uma regra em uma política de firewall serve como identificador exclusivo da regra. As regras das políticas de firewall não usam nomes para identificação.
• A prioridade de uma regra em uma política de firewall define a ordem de avaliação na própria política de firewall. As regras de firewall da VPC e as regras em políticas hierárquicas de firewall, políticas de firewall de rede global e de rede regional são avaliadas conforme descrito em Ordem de avaliação de regras e políticas.

Ação se houver correspondência

Uma regra em uma política de firewall pode ter uma das ações a seguir:

• O allow permite o tráfego e interrompe outras avaliações de regra.
• deny não permite tráfego e interrompe a avaliação de regras.

• apply_security_profile_group intercepta o tráfego de maneira transparente e o envia para o endpoint de firewall configurado para a inspeção da camada 7.

• goto_next continua o processo de avaliação de regras.

Aplicação

Para escolher se uma regra de política de firewall é aplicada, defina o estado dela como ativado ou desativado. Você define o estado de aplicação ao criar uma regra ou atualizar uma regra.

Se você não definir um estado de aplicação obrigatória ao criar uma nova regra de firewall, ela será ativada automaticamente.

Protocolos e portas

Assim como nas regras de firewall da VPC, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra. Ao especificar o TCP ou o UDP em uma regra, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.

Você pode usar os seguintes nomes de protocolo em regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números do protocolo IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e IPv6, mas alguns protocolos, como o ICMP, não. Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para o ICMP IPv6, use o número de protocolo 58.

As regras de firewall não aceitam a especificação de tipos e códigos de ICMP, apenas o protocolo.

O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Se você não especificar parâmetros de protocolo e porta, a regra será aplicada a todos os protocolos e portas.

Geração de registros

A geração de registros de regras da política de firewall funciona da mesma forma que a geração de registros de regras de firewall para VPC, com as seguintes exceções:

• O campo de referência inclui o ID da política de firewall e um número que indica o nível do recurso a que a política está anexada. Por exemplo, 0 significa que a política é aplicada a uma organização, e 1 significa que a política é aplicada a uma pasta de nível superior na organização.

• Os registros das regras da política hierárquica de firewall incluem um campo target_resource que identifica as redes VPC às quais a regra se aplica.

• A geração de registros pode ser ativada somente para as regras allow, deny e apply_security_profile_group. Não é possível ativá-la para regras goto_next.

Destino, origem, destino

Os parâmetros de meta identificam as interfaces de rede das instâncias a que a regra de firewall se aplica.

É possível especificar os parâmetros de origem e os parâmetros de destino que se aplicam às origens ou aos destinos do pacote para as regras de firewall de entrada e saída. A direção da regra de firewall determina os valores possíveis para os parâmetros de origem e destino.

Os parâmetros meta, origem e destino funcionam juntos.

Destinos

O parâmetro de destino identifica as interfaces de rede das instâncias do Compute Engine, incluindo nós do GKE e instâncias do ambiente flexível do App Engine.

É possível definir metas para regras de entrada ou saída. As opções de destino válidas dependem do tipo de política de firewall.

Destinos para regras de política de firewall hierárquicas

As regras da política hierárquica de firewall são compatíveis com as seguintes metas:

• Destino padrão mais amplo: quando você omite a especificação de destino em uma regra da política hierárquica de firewall, a regra de firewall se aplica a todas as instâncias em todas as redes VPC em todos os projetos no nó do Resource Manager (pasta ou organização) associado à política de firewall. Esse é o conjunto mais amplo de destinos.

• Redes específicas: se você especificar uma ou mais redes VPC usando o parâmetro target-resources, o conjunto mais amplo de destinos será restrito a VMs com uma interface de rede em pelo menos uma das redes VPC especificadas.

• Instâncias identificadas por conta de serviço: se você especificar uma ou mais contas de serviço usando o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito a VMs que usam uma das contas de serviço especificadas.

• Redes e instâncias específicas identificadas pela conta de serviço: se você especificar os parâmetros target-resources e target-service-accounts, o conjunto mais amplo de destinos será restrito às VMs que atendam aos dois critérios a seguir:

  • As VMs têm uma interface de rede em uma das redes VPC especificadas.
  • As VMs usam uma das contas de serviço especificadas.

Destinos para regras de política de firewall de rede global

As regras de política de firewall de rede global oferecem suporte às seguintes metas:

• Destino padrão - Todas as instâncias na rede VPC: quando você omitir a especificação de destino em uma regra da política de firewall de rede global, a regra de firewall se aplicará a instâncias que tenham uma interface de rede na rede VPC associada à política. As instâncias podem estar localizadas em qualquer região. Esse é o conjunto mais amplo de destinos.

• Instâncias por tags seguras de destino: se você especificar tags de destino com o parâmetro target-secure-tags, o conjunto mais amplo de destinos será restrito para incluir apenas aqueles VMs vinculadas às tags.

• Instâncias por contas de serviço de destino: se você especificar contas de serviço com o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito para incluir apenas as VMs que usam uma das contas de serviço especificadas.

Destinos para regras de política de firewall de rede regional

As regras da política de firewall da rede regional têm suporte às seguintes metas:

• Destino padrão - Todas as instâncias na região e rede VPC: quando você omite a especificação de destino em uma regra da política de firewall de rede regional, a regra de firewall se aplica a instâncias que têm uma interface de rede na rede VPC associada à política. As instâncias precisam estar localizadas na mesma região da política. Esse é o conjunto mais amplo de destinos.

• Instâncias por tags seguras de destino: se você especificar tags de destino com o parâmetro target-secure-tags, o conjunto mais amplo de destinos será restrito para incluir apenas aqueles VMs vinculadas às tags.

• Instâncias por contas de serviço de destino: se você especificar contas de serviço com o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito para incluir apenas as VMs que usam uma das contas de serviço especificadas.

Metas e endereços IP para regras de entrada

Os pacotes roteados para a interface de rede de uma VM de meta são processados com base nas seguintes condições:

• Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote precisará caber em um dos intervalos de endereços IP de destino explicitamente definidos.

• Se a regra de firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote precisará corresponder a um dos seguintes endereços IP:

  • O endereço IPv4 interno principal atribuído à NIC da instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC da instância.

  • O endereço IPv4 externo associado à NIC da instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para balanceamento de carga de passagem, em que a instância é um back-end para um balanceador de carga de rede de passagem interna ou um balanceador de carga de rede de passagem externa.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para encaminhamento de protocolos, em que a instância é referenciada por uma instância de destino.

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa a instância como uma VM de próximo salto (next-hop-instance ou next-hop-address).

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usará um balanceador de carga de rede de passagem interna (next-hop-ilb) como próximo salto se a VM for um back-end para esse balanceador de carga.

Metas e endereços IP para regras de saída

O processamento de pacotes emitidos pela interface de rede de uma meta depende da configuração de encaminhamento de IP na VM de meta. O encaminhamento de IP é desativado por padrão.

• Quando a VM de destino tem o encaminhamento de IP desativado, a VM pode emitir pacotes com as seguintes origens:

  • O endereço IPv4 interno principal da NIC de uma instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC de uma instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento, para balanceamento de carga de passagem ou encaminhamento de protocolo. Isso será válido se a instância for um back-end para um balanceador de carga de rede de passagem interna, um balanceador de carga de rede de passagem externa ou for referenciada por uma instância de destino.

  Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de destino ainda estarão limitadas aos endereços IP de origem mencionados anteriormente, mas o parâmetro de origem poderá ser usado para refinar esse conjunto. O uso de um parâmetro de origem sem ativar o encaminhamento de IP não expande o conjunto de possíveis endereços de origem do pacote.

  Se a regra de firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente serão permitidos.

• Quando a VM de meta tem o encaminhamento de IP ativado, a VM pode emitir pacotes com endereços de origem arbitrários. Você pode usar o parâmetro de origem para definir com mais precisão o conjunto de origens de pacotes permitidas.

Fontes

Os valores dos parâmetros de origem dependem dos seguintes fatores:

• Tipo de política de firewall que contém a regra de firewall
• Direção da regra de firewall

Origens das regras de entrada

A tabela a seguir lista os parâmetros de origem que podem ser usados individualmente ou em combinação em uma única regra de política de firewall de entrada. O Cloud NGFW exige que você especifique pelo menos um parâmetro de origem.

Parâmetro de origem da regra de entrada	Suporte em políticas de firewall hierárquicas	Suporte em políticas de firewall de rede global e regional
Intervalos de endereços IP de origem Uma lista simples de endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A lista é armazenada na própria regra de política de firewall.
Grupos de endereços de origem Coleções reutilizáveis de endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A regra de firewall faz referência à coleção. Para mais informações, consulte Grupos de endereços para políticas de firewall.
Nomes de domínio de origem Uma lista com um ou mais nomes de domínio de origem. Para mais informações, incluindo como os nomes de domínio são convertidos em endereços IP, consulte Objetos FQDN.
Tags de origem seguras Uma lista de uma ou mais tags seguras de origem. Para mais informações, consulte Como as tags seguras de origem implicam origens de pacotes.
Geolocalizações de origem Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de país ou região de duas letras. Para mais informações, consulte Objetos de geolocalização.
Listas de origem da Inteligência do Google contra ameaças Uma lista com um ou mais nomes de listas predefinidas do Google Threat Intelligence. Para mais informações, consulte Threat Intelligence do Google para regras de política de firewall.
Escopo da rede de origem Uma restrição que define um limite de segurança. Para mais informações, consulte Escopos de rede.

Em uma única regra de entrada, é possível usar dois ou mais parâmetros de origem para produzir uma combinação de origem. O Cloud NGFW aplica as seguintes restrições às combinações de origem de cada regra de entrada:

• Os intervalos de endereços IP de origem precisam conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Um grupo de endereços de origem que contenha CIDRs IPv4 não pode ser usado com um grupo de endereços de origem que contenha CIDRs IPv6.
• Um intervalo de endereços IP de origem que contenha CIDRs IPv4 não pode ser usado com um grupo de endereços de origem que contenha CIDRs IPv6.
• Um intervalo de endereços IP de origem que contenha CIDRs IPv6 não pode ser usado com um grupo de endereços de origem que contenha CIDRs IPv4.
• O escopo da rede de Internet não pode ser usado com as tags de origem seguras.
• O escopo não da Internet, o escopo de redes VPC e o escopo inter-VPC não podem ser usados com listas de origem da Google Threat Intelligence ou geolocalizações de origem.

O Cloud NGFW aplica a seguinte lógica para corresponder os pacotes a uma regra de entrada que usa uma combinação de origem:

• Se a combinação de origem não incluir um escopo de rede de origem, os pacotes vão corresponder à regra de entrada se corresponderem a pelo menos um parâmetro de origem na combinação de origem.

• Se a combinação de origem incluir um escopo de rede de origem, os pacotes vão corresponder à regra de entrada se corresponderem ao escopo de rede de origem e pelo menos um dos outros parâmetros de origem na combinação de origem.

Como as tags de origem seguras implicam origens de pacotes

As regras de entrada nas políticas de firewall de rede global e regional podem especificar origens usando tags seguras. Cada tag segura é associada a uma única rede VPC, e só pode ser vinculada a uma VM que tenha uma interface de rede na rede VPC a que a tag segura está associada.

Os pacotes enviados de uma interface de rede de uma VM correspondem a uma regra de entrada que usa uma origem de tag segura quando as seguintes condições são verdadeiras:

• Se a regra de entrada estiver em uma política de rede regional, a VM precisará estar localizada em uma zona da região da política de firewall de rede. Se a regra de entrada estiver em uma política de firewall de rede global, a VM poderá estar localizada em qualquer zona.

• A interface de rede da VM que envia os pacotes atende a um dos seguintes critérios:

  • A interface de rede da VM está na mesma rede VPC que a rede VPC à qual a política de firewall de rede global ou regional se aplica.
  • A interface de rede da VM está em uma rede VPC conectada, usando o peering de rede VPC, à rede VPC à qual a política de firewall de rede global ou regional é aplicada.
  • A rede VPC usada pela interface de rede da VM e a rede VPC à qual a política de firewall de rede global ou regional se aplica são spokes VPC no mesmo hub do Network Connectivity Center.

• O endereço IP de origem do pacote é um dos seguintes:

  • O endereço IPv4 interno principal da interface de rede.
  • Qualquer endereço IPv6 (interno ou externo) atribuído à interface de rede.

Nenhum outro endereço IP de origem do pacote é resolvido ao usar tags de origem seguras. Por exemplo, intervalos de endereços IP do alias e endereços IPv4 externos associados à interface de rede são excluídos. Se você precisar criar regras de firewall de entrada com origens que incluam intervalos de endereços IP de alias ou endereços IPv4 externos, use um intervalo de endereços de origem ou um grupo de endereços de origem.

Origens para regras de saída

É possível usar as origens a seguir para regras de saída em políticas hierárquicas de firewall e políticas de firewall de rede:

• Padrão - implícito pelo destino: se você omitir o parâmetro de origem de uma regra de saída, as origens de pacotes serão definidas implicitamente, conforme descrito em Destinos e endereços IP para regras de saída.

• Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de origem às regras de saída:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.

• Se você tiver um intervalo de endereços IP de origem e parâmetros de destino na regra de saída, eles serão resolvidos na mesma versão do IP que a versão do IP de origem.

  Por exemplo, em uma regra de saída, você tem um intervalo de endereços IPv4 no parâmetro de origem e um objeto FQDN no parâmetro de destino. Se o FQDN for resolvido em endereços IPv4 e IPv6, apenas o endereço IPv4 resolvido será usado durante a aplicação da regra.

Destinos

Os destinos podem ser especificados usando intervalos de endereços IP, que são compatíveis com regras de entrada e saída em políticas hierárquicas e de firewall de rede. O comportamento de destino padrão depende da direção da regra.

Destinos para regras de entrada

É possível usar os seguintes destinos para regras de firewall de entrada em políticas hierárquicas de firewall e de rede:

• Padrão - implícito pelo destino: se você omitir o parâmetro de destino de uma regra de entrada, os destinos de pacote serão definidos implicitamente, conforme descrito em Destinos e endereços IP para regras de entrada.

• Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de destino às regras de entrada:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.

• Se você tiver os parâmetros de origem e de destino definidos em uma regra de entrada, eles serão resolvidos na mesma versão do IP que a versão do IP de destino. Para saber mais sobre como definir uma origem para regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

  Por exemplo, em uma regra de entrada, você tem um intervalo de endereços IPv6 no parâmetro de destino e um código do país de geolocalização no parâmetro de origem. Durante a aplicação da regra, apenas o endereço IPv6 mapeado é usado para o código do país de origem especificado.

Destinos para regras de saída

A tabela a seguir lista os parâmetros de destino que podem ser usados individualmente ou em combinação em uma única regra de política de firewall de saída. O Cloud NGFW exige que você especifique pelo menos um parâmetro de destino.

Parâmetro de destino da regra de saída	Suporte em políticas de firewall hierárquicas	Suporte em políticas de firewall de rede global e regional
Intervalos de endereços IP de destino Uma lista simples de endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A lista é armazenada na própria regra de política de firewall.
Grupos de endereços de destino Coleções reutilizáveis de endereços IPv4 no formato CIDR ou endereços IPv6 no formato CIDR. A regra da política de firewall faz referência à coleção. Para mais informações, consulte Grupos de endereços para políticas de firewall.
Nomes de domínio de destino Uma lista com um ou mais nomes de domínio de origem. Para mais informações, incluindo como os nomes de domínio são convertidos em endereços IP, consulte Objetos FQDN.
Geolocalizações de destino Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de país ou região de duas letras. Para mais informações, consulte Objetos de geolocalização.
Listas de destino da Inteligência do Google contra ameaças Uma lista com um ou mais nomes de listas predefinidas do Google Threat Intelligence. Para mais informações, consulte Threat Intelligence do Google para regras de política de firewall.
Escopo da rede de destino Uma restrição que define um limite de segurança. Para mais informações, consulte Escopos de rede.

Em uma única regra de saída, é possível usar dois ou mais parâmetros de destino para produzir uma combinação de destino. O Cloud NGFW aplica as seguintes restrições às combinações de destino de cada regra de saída:

• Os intervalos de endereços IP de destino precisam conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Um grupo de endereços de destino que contenha CIDRs IPv4 não pode ser usado com um grupo de endereços de destino que contenha CIDRs IPv6.
• Um intervalo de endereços IP de destino que contenha CIDRs IPv4 não pode ser usado com um grupo de endereços de destino que contenha CIDRs IPv6.
• Um intervalo de endereços IP de destino que contenha CIDRs IPv6 não pode ser usado com um grupo de endereços de destino que contenha CIDRs IPv4.
• As listas de destino do Google Threat Intelligence ou as geolocalizações de destino não podem ser usadas com o escopo de rede de destino que não é da Internet.

O Cloud NGFW aplica a seguinte lógica para corresponder os pacotes a uma regra de saída que usa uma combinação de destino:

• Se a combinação de destino não incluir um escopo de rede de destino, os pacotes vão corresponder à regra de saída se corresponderem a pelo menos um parâmetro de destino na combinação de destino.

• Se a combinação de destino incluir um escopo de rede de destino, os pacotes vão corresponder à regra de saída se corresponderem ao escopo de rede de destino e pelo menos um dos outros parâmetros de destino na combinação de destino.

Escopos de rede

Os escopos de rede ajudam a atingir seus objetivos de segurança usando menos regras de política de firewall de maneira mais eficiente. O Cloud NGFW oferece suporte a quatro tipos de escopos de rede que podem ser usados para criar uma combinação de origem ou de destino em uma regra de uma política de firewall hierárquica, de rede global ou de rede regional.

Tipos de escopo da rede

A tabela a seguir lista os quatro tipos de escopos de rede e se um tipo de escopo pode ser usado em uma combinação de origem de uma regra de entrada, em uma combinação de destino de uma regra de saída ou em ambos.

Tipo de escopo da rede	Origens das regras de entrada	Destinos para regras de saída
Internet (INTERNET)
Sem Internet (NON_INTERNET)
Redes VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Os escopos da Internet e não da Internet são mutuamente exclusivos. As redes VPC e os escopos intra-VPC são subconjuntos do escopo não relacionado à Internet.

Escopo da Internet

O escopo da Internet (INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do escopo da Internet e pelo menos um outro parâmetro de origem, exceto uma origem de tag segura. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e corresponderem ao parâmetro de origem do escopo da Internet.

• Para uma regra de saída, especifique o destino do escopo da Internet e pelo menos um outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e corresponderem ao parâmetro de destino do escopo da Internet.

O restante desta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao escopo da Internet.

Escopo da Internet para pacotes de entrada

Os pacotes de entrada roteados para uma interface de rede de VM por um Maglev do Google são considerados no escopo da Internet. Os pacotes são roteados por um Maglev para uma interface de rede de VM quando o destino do pacote corresponde a um dos seguintes:

• Um endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga de rede de passagem externa ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga de rede de passagem externa ou regra de encaminhamento para encaminhamento de protocolo externo, e o pacote não foi roteado usando uma rota de sub-rede importada pelo VPC Network Peering ou de um spoke da VPC em um hub do Network Connectivity Center.

Para mais informações sobre pacotes roteados pelo Maglev para VMs de back-end de um balanceador de carga de rede de passagem externa ou encaminhamento de protocolo externo, consulte Caminhos para balanceadores de carga de rede de passagem externa e encaminhamento de protocolo externo.

Escopo da Internet para pacotes de saída

Os pacotes de saída enviados pelas interfaces de rede da VM e roteados usando rotas estáticas que usam o próximo salto do gateway de Internet padrão são considerados no escopo da Internet. No entanto, se o endereço IP de destino desses pacotes de saída for para APIs e serviços do Google, eles serão considerados no escopo não relacionado à Internet. Para mais informações sobre a conectividade com APIs e serviços do Google, consulte Escopo não relacionado à Internet.

Quando os pacotes são roteados usando uma rota estática que usa o próximo salto do gateway de Internet padrão, todos os pacotes enviados pelas interfaces de rede da VM para os seguintes destinos são considerados no escopo da Internet:

• Um destino de endereço IP externo fora da rede do Google.
• Um destino de endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um destino de endereço IPv4 e IPv6 externo global de uma regra de encaminhamento de um balanceador de carga externo global.

Os pacotes enviados pelas interfaces de rede da VM para os gateways do Cloud VPN e do Cloud NAT são considerados no escopo da Internet:

• Os pacotes de saída enviados de uma interface de rede de uma VM que executa um software de VPN para o endereço IPv4 externo regional de um gateway da Cloud VPN são considerados no escopo da Internet.
• Os pacotes de saída enviados de um gateway do Cloud VPN para outro não são considerados em nenhum escopo de rede porque as regras de firewall se aplicam apenas a VMs.
• No Public NAT, os pacotes de resposta enviados de uma interface de rede de VM para um endereço IPv4 externo regional do gateway do Cloud NAT são considerados no escopo da Internet.

Se as redes VPC estiverem conectadas usando o peering de rede VPC ou se as redes VPC participarem como raios da VPC no mesmo hub do Network Connectivity Center, as rotas de sub-rede IPv6 poderão fornecer conectividade aos destinos de endereço IPv6 externos regionais das interfaces de rede da VM, regras de encaminhamento de balanceador de carga externo regional e regras de encaminhamento de protocolo externo. Quando a conectividade a esses destinos de endereços IPv6 externos regionais é fornecida usando uma rota de sub-rede, os destinos estão no escopo não da Internet.

Escopo fora da Internet

O escopo não da Internet (NON-INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do escopo que não é da Internet e pelo menos um outro parâmetro de origem, exceto uma origem da lista de informações sobre ameaças ou uma origem de geolocalização. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e corresponderem ao parâmetro de origem de escopo não da Internet.

• Para uma regra de saída, especifique o destino do escopo que não é da Internet e pelo menos um outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e corresponderem ao parâmetro de destino de escopo fora da Internet.

O restante desta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao escopo não da Internet.

Escopo não da Internet para pacotes de entrada

Os pacotes de entrada roteados para uma interface de rede de VM usando próximos saltos em uma rede VPC ou de APIs e serviços do Google são considerados no escopo não relacionado à Internet.

Os pacotes são roteados usando os próximos saltos em uma rede VPC ou de APIs e serviços do Google nos seguintes cenários:

• O destino do pacote corresponde a uma das seguintes opções:

  • Um endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem interna ou uma regra de encaminhamento para encaminhamento de protocolo interno.
  • Um endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externa ou uma regra de encaminhamento para encaminhamento de protocolo externo, e o pacote foi roteado usando uma rota de sub-rede local, uma rota de sub-rede de peering ou uma rota de sub-rede do Network Connectivity Center.
  • Qualquer endereço no intervalo de destino de uma rota estática em que a VM de recebimento seja uma VM de próximo salto ou uma VM de back-end de um próximo salto de balanceador de carga de rede de passagem interna.

• A origem do pacote corresponde a uma das seguintes opções:

  • Um endereço IP para os domínios padrão usados por APIs e serviços globais do Google.
  • Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
  • Um endereço IP de um Google Front End usado por um balanceador de carga de aplicativo externo global, um balanceador de carga de aplicativo clássico, um balanceador de carga de rede de proxy externo global ou um balanceador de carga de rede de proxy clássico. Para mais informações, consulte Caminhos entre o Google Front Ends e os back-ends.
  • Um endereço IP de um verificador de verificação de integridade. Para mais informações, consulte Caminhos para verificações de integridade.
  • Um endereço IP usado pelo Identity-Aware Proxy para encaminhamento de TCP. Para mais informações, consulte Caminhos para o Identity-Aware Proxy (IAP).
  • Um endereço IP usado pelo Cloud DNS ou pelo diretório de serviços. Para mais informações, consulte Caminhos para o Cloud DNS e o Diretório de serviços.
  • Um endereço IP usado pelo acesso VPC sem servidor. Para mais informações, consulte Caminhos para acesso VPC sem servidor.
  • Um endereço IP de um endpoint do Private Service Connect para APIs globais do Google. Para mais informações, consulte Caminhos para endpoints do Private Service Connect para APIs globais do Google.

Escopo não da Internet para pacotes de saída

Os pacotes de saída enviados pelas interfaces de rede da VM e roteados em uma rede VPC ou enviados para APIs e serviços do Google são considerados no escopo fora da Internet.

Os pacotes são roteados usando os próximos saltos em uma rede VPC ou para APIs e serviços do Google nos seguintes cenários:

• Os pacotes são roteados usando rotas de sub-rede, que incluem os seguintes destinos:
  • Um destino de endereço IPv4 ou IPv6 regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
  • Um destino de endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para encaminhamento de protocolo externo.
• Os pacotes são roteados usando rotas dinâmicas.
• Os pacotes são roteados usando rotas estáticas que usam um próximo salto que não é o gateway de Internet padrão.
• Os pacotes são roteados para APIs e serviços globais do Google acessados usando uma rota estática com um próximo salto do gateway de Internet padrão. Os destinos globais de APIs e serviços do Google incluem os endereços IP dos domínios padrão e os endereços IP de private.googleapis.com e restricted.googleapis.com.
• Destinos dos serviços do Google acessados usando um dos seguintes caminhos:
  • Caminhos entre o Google Front Ends e os back-ends
  • Caminhos para verificações de integridade
  • Caminhos para o Identity-Aware Proxy (IAP)
  • Caminhos para o Cloud DNS e o Diretório de serviços
  • Caminhos para acesso VPC sem servidor
  • Caminhos para endpoints do Private Service Connect para APIs globais do Google

Escopo das redes VPC

O escopo de redes VPC (VPC_NETWORKS) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Não é possível usar o escopo de redes VPC como parte de uma combinação de destino de uma regra de saída.

Para usar o escopo das redes VPC como parte de uma combinação de origem de uma regra de entrada, faça o seguinte:

1. É necessário especificar uma lista de redes VPC de origem:

   • A lista de redes de origem precisa conter pelo menos uma rede VPC. É possível adicionar até 250 redes VPC à lista de rede de origem.
   • Uma rede VPC precisa existir antes de ser adicionada à lista de redes de origem.
   • É possível adicionar a rede usando o identificador de URL parcial ou completo.
   • As redes VPC adicionadas à lista de redes de origem não precisam estar conectadas entre si. Cada rede VPC pode ser localizada em qualquer projeto.
   • Se uma rede VPC for excluída depois de ser adicionada à lista de redes de origem, a referência à rede excluída vai permanecer na lista. O Cloud NGFW ignora redes VPC excluídas ao aplicar uma regra de entrada. Se todas as redes VPC na lista de rede de origem forem excluídas, as regras de entrada que dependem da lista serão ineficazes, porque não correspondem a nenhum pacote.

2. É necessário especificar pelo menos um outro parâmetro de origem, exceto uma origem de lista de informações de ameaças ou de geolocalização.

Um pacote corresponde a uma regra de entrada que usa o escopo das redes VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

• O pacote corresponde a pelo menos um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado em uma das redes VPC de origem.

• A rede VPC de origem e a rede VPC a que a política de firewall com a regra de entrada se aplica são a mesma rede VPC ou estão conectadas usando o peering de rede VPC ou como spokes VPC em um hub do Network Connectivity Center.

Os recursos a seguir estão localizados em uma rede VPC:

• Interfaces de rede da VM
• Túneis do Cloud VPN
• Anexos da VLAN do Cloud Interconnect
• Dispositivos de roteador
• Proxies do Envoy em uma sub-rede somente proxy
• Endpoints do Private Service Connect
• Conectores de acesso VPC sem servidor

Escopo intra-VPC

O escopo de rede intra-VPC (INTRA_VPC) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Não é possível usar o escopo intra-VPC como parte de uma combinação de destino de uma regra de saída.

Para usar o escopo intra-VPC como parte de uma combinação de origem de uma regra de entrada, especifique pelo menos um outro parâmetro de origem, exceto para uma origem de lista do Threat Intelligence ou de geolocalização.

Um pacote corresponde a uma regra de entrada que usa o escopo intra-VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

• O pacote corresponde a pelo menos um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado na rede VPC em que a política de firewall que contém a regra de entrada se aplica.

Os recursos a seguir estão localizados em uma rede VPC:

• Interfaces de rede da VM
• Túneis do Cloud VPN
• Anexos da VLAN do Cloud Interconnect
• Dispositivos de roteador
• Proxies do Envoy em uma sub-rede somente proxy
• Endpoints do Private Service Connect
• Conectores de acesso VPC sem servidor

Objetos de geolocalização

Use objetos de geolocalização em regras de política de firewall para filtrar o tráfego IPv4 e IPv6 externo com base em regiões ou localizações geográficas específicas.

É possível aplicar regras com objetos de geolocalização ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos códigos dos países fazem a correspondência com a origem ou o destino do tráfego.

• É possível configurar objetos de geolocalização para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

• Para adicionar geolocalizações às regras da política de firewall, use os códigos regionais ou dos países com duas letras, conforme definido nos códigos dos países ISO 3166 Alfa-2.

  Por exemplo, se você quiser permitir o tráfego de entrada apenas dos EUA na rede, crie uma regra da política de firewall de entrada com o código do país de origem definido como US e a ação definida como allow. Da mesma forma, se você quiser permitir o tráfego de saída somente para os EUA, configure uma regra da política de firewall de saída com o código do país de destino definido como US e a ação definida como allow.

• O Cloud NGFW permite que você configure regras de firewall para os seguintes territórios sujeitos a sanções abrangentes dos EUA:

  Territórios	Código atribuído
  Crimeia	XC
  As chamadas República Popular de Donetsk e República Popular de Lugansk	XD

• Se houver códigos de país duplicados incluídos em uma única regra de firewall, apenas uma entrada será mantida. A entrada duplicada será removida. Por exemplo, na lista de código de país ca,us,us, apenas ca,us será mantido.

• O Google mantém um banco de dados com endereços IP e mapeamentos de código de país. Os firewalls do Google Cloud usam esse banco de dados para mapear os endereços IP do tráfego de origem e destino com o código do país e aplicar a regra da política de firewall correspondente com objetos de geolocalização.

• Às vezes, as atribuições de endereços IP e os códigos dos países mudam devido às seguintes condições:

  • Movimentação de endereços IP entre localizações geográficas
  • Atualizações no padrão de códigos dos países ISO 3166 Alfa-2

  Pode levar algum tempo para que essas mudanças sejam aplicadas ao banco de dados do Google. Por isso, talvez você veja algumas interrupções de tráfego e alterações no comportamento de determinado tráfego, sendo bloqueado ou permitido.

Usar objetos de geolocalização com outros filtros de regra da política de firewall

É possível usar objetos de geolocalização com outros filtros de origem ou destino. Dependendo da direção da regra, a regra da política de firewall é aplicada ao tráfego de entrada ou saída que corresponde à união de todos os filtros especificados.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Threat Intelligence do Google para regras de política de firewall

As regras de política de firewall permitem proteger a rede permitindo ou bloqueando o tráfego com base nos dados do Threat Intelligence do Google. Os dados da Inteligência contra ameaças do Google incluem listas de endereços IP com base nas seguintes categorias:

• Nós de saída do Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a própria identidade, bloqueie os endereços IP dos nós de saída do Tor (endpoints em que o tráfego sai da rede do Tor).
• Endereços IP maliciosos conhecidos: endereços IP conhecidos como origem de ataques de aplicativos da Web. Para melhorar a postura de segurança do seu aplicativo, bloqueie esses endereços IP.
• Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
• Intervalos de endereços IP de nuvem pública: essa categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem web apps ou pode ser permitida se o serviço usar outras nuvens públicas. Essa categoria é dividida nas seguintes subcategorias:
  • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Corresponde aos intervalos de endereços IP usados pelo Google Cloud
  • Corresponde aos intervalos de endereços IP usados pelo Serviços do Google

As listas de dados do Google Threat Intelligence podem incluir endereços IPv4, endereços IPv6 ou ambos. Para configurar o Google Threat Intelligence nas regras da política de firewall, use os nomes predefinidos da lista do Google Threat Intelligence com base na categoria que você quer permitir ou bloquear. Essas listas são atualizadas continuamente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os nomes de listas válidos são definidos conforme a seguir.

Nome da lista	Descrição
iplist-tor-exit-nodes	Corresponde aos endereços IP dos nós de saída do TOR
iplist-known-malicious-ips	Correspondem a endereços IP conhecidos por atacar apps da Web
iplist-search-engines-crawlers	Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa
iplist-vpn-providers	Corresponde a endereços IP que pertencem a provedores de VPN de baixa reputação.
iplist-anon-proxies	Corresponde a endereços IP que pertencem a proxies anônimos abertos.
iplist-crypto-miners	Corresponde a endereços IP que pertencem a sites de mineração de criptomoedas
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	Correspondem a endereços IP que pertencem às nuvens públicas Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure Corresponde aos intervalos de endereços IP usados pelo Google Cloud Corresponde aos intervalos de endereços IP usados pelo Serviços do Google

Usar o Threat Intelligence do Google com outros filtros de regra de política de firewall

Para definir uma regra de política de firewall com o Google Threat Intelligence, siga estas diretrizes:

• Para regras de saída, especifique o destino usando uma ou mais listas do Google Threat Intelligence de destino.

• Para regras de entrada, especifique a origem usando uma ou mais listas do Threat Intelligence do Google.

• É possível configurar as listas da Inteligência contra ameaças do Google para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

• É possível usar essas listas com outros componentes de filtro da regra de origem ou destino.

  Para informações sobre como as listas da Google Threat Intelligence funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

  Para informações sobre como as listas da Inteligência contra ameaças do Google funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

• A geração de registros de firewall é feita no nível da regra. Para facilitar a depuração e a análise do efeito das regras de firewall, não inclua várias listas da Inteligência contra ameaças do Google em uma única regra.

• É possível adicionar várias listas do Google Threat Intelligence a uma regra da política de firewall. Cada nome de lista incluído na regra é contado como um atributo, independentemente do número de endereços IP ou intervalos de endereços IP incluídos nessa lista. Por exemplo, se você incluiu os nomes das listas iplist-tor-exit-nodes, iplist-known-malicious-ips e iplist-search-engines-crawlers na regra da política de firewall, a contagem de atributos de regra por política de firewall será aumentada em três. Para mais informações sobre a contagem de atributos de regras, consulte Cotas e limites.

Como criar exceções para listas da Google Threat Intelligence

Se você tiver regras que se aplicam a listas da Google Threat Intelligence, use as seguintes técnicas para criar regras de exceção aplicáveis a determinados endereços IP em uma lista da Google Threat Intelligence:

• Lista de permissões seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que negue pacotes de ou para uma lista da Inteligência contra ameaças do Google. Para permitir pacotes de ou para um endereço IP selecionado nessa lista da Google Threat Intelligence, crie uma regra de firewall de permissão de entrada ou saída de prioridade mais alta separada que especifique o endereço IP de exceção como uma origem ou um destino.

• Lista de negações seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que permita pacotes de ou para uma lista da Inteligência contra ameaças do Google. Para negar pacotes de ou para um endereço IP selecionado nessa lista da Google Threat Intelligence, crie uma regra de firewall de negação de entrada ou saída de prioridade mais alta que especifique o endereço IP de exceção como uma origem ou um destino.

Grupos de endereços para políticas de firewall

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. É possível usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Os grupos de endereços podem ser atualizados sem modificar as regras de firewall que os utilizam. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

É possível definir grupos de endereços de origem e destino para as regras de firewall de entrada e saída respectivamente.

Para informações sobre como os grupos de endereços de origem funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada nas políticas de firewall de rede.

Para informações sobre como os grupos de endereços de destino funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Objetos FQDN

Use objetos de nome de domínio totalmente qualificado (FQDN, na sigla em inglês) em regras de política de firewall para filtrar o tráfego de entrada ou saída de ou para domínios específicos.

É possível aplicar regras das políticas de firewall que usam objetos FQDN ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos nomes de domínio fazem a correspondência com a origem ou o destino do tráfego.

• É possível configurar objetos FQDN em regras das políticas de firewall para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

• É preciso especificar objetos FQDN na sintaxe padrão de FQDN.

  Para mais informações sobre formatos de nome de domínio, consulte este link.

• Em intervalos periódicos, o Cloud NGFW atualiza as regras das política de firewall que contêm objetos FQDN com os resultados mais recentes da resolução de nome de domínio.

• Os nomes de domínio especificados nas regras das políticas de firewall são resolvidos em endereços IP com base na ordem de resolução de nome VPC do Cloud DNS. O Cloud DNS notificará o Cloud NGFW se houver alguma alteração nos resultados da resolução de nome de domínio, também conhecidos como registros do Sistema de Nomes de Domínio (DNS).

• Se dois nomes de domínio forem resolvidos para o mesmo endereço IP, a regra da política de firewall será aplicada a esse endereço IP, não apenas a um domínio. Em outras palavras, os objetos FQDN são entidades da Camada 3.

• Se o objeto FQDN na regra da política de firewall de saída incluir um domínio que tenha CNAMEs no registro DNS, será preciso configurar a regra da política de firewall de saída com todos os nomes de domínio que suas VMs podem consultar, incluindo todos os possíveis aliases, para garantir um comportamento confiável da regra de firewall. Se as VMs consultarem CNAMEs que não estão configurados na regra da política de firewall de saída, talvez a política não funcione durante a alteração dos registros DNS.

• Também é possível usar os nomes do DNS internos do Compute Engine nas regras da política de firewall de rede. No entanto, verifique se a rede não está configurada para usar um servidor de nomes alternativo na política do servidor de saída.

• Se você quiser adicionar nomes de domínio personalizados às regras da políticas de firewall de rede, use as zonas gerenciadas do Cloud DNS para resolução de nomes de domínio. No entanto, verifique se a rede não está configurada para usar um servidor de nomes alternativo na política do servidor de saída. Para mais informações sobre gerenciamento de zonas, consulte Criar, modificar e excluir zonas.

Limitações

As limitações a seguir são aplicáveis às regras de firewall de entrada e saída que usam objetos FQDN:

• Os objetos FQDN não são compatíveis com caracteres curinga (*) e nomes de domínio de nível superior (raiz). Por exemplo, *.example.com. e .org não são compatíveis.

É possível usar objetos FQDN em regras de política de firewall de entrada. É preciso considerar as seguintes limitações ao definir objetos FQDN para regras de entrada:

• Um nome de domínio pode resolver para um máximo de 32 endereços IPv4 e 32 endereços IPv6. As consultas DNS que são resolvidas em mais de 32 endereços IPv4 e 32 endereços IPv6 são truncadas para incluir apenas 32 endereços IPv4 ou IPv6 desses endereços IP resolvidos. Portanto, não inclua nomes de domínio resolvidos em mais de 32 endereços IPv4 e IPv6 nas regras das políticas de firewall de entrada.

• Algumas consultas de nome de domínio têm respostas únicas com base no local do cliente solicitante. O local em que a resolução de DNS da regra da política de firewall é executada é a região do Google Cloud que contém a VM a que a regra da política de firewall se aplica.

• Não use regras de entrada que usem objetos FQDN se os resultados de resolução do nome de domínio forem altamente variáveis ou se a resolução do nome de domínio usar uma forma de balanceamento de carga baseado em DNS. Por exemplo, muitos nomes de domínio do Google usam um esquema de balanceamento de carga baseado em DNS.

É possível usar objetos FQDN em regras de política de firewall de saída, mas não recomendamos usar objetos FQDN com registros A do DNS que tenham um TTL (tempo de vida) de menos de 90 segundos.

Usar objetos FQDN com outros filtros de regra de política de firewall

Em uma regra da política de firewall, é possível definir objetos FQDN com outros filtros de origem ou destino.

Para informações sobre como os objetos FQDN funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos FQDN funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Formato de nome de domínio

Os firewalls de VPC são compatíveis com o formato de nome de domínio, conforme definido na RFC 1035, RFC 1123 e RFC 4343.

Para adicionar nomes de domínio a regras das políticas de firewall, siga estas diretrizes de formatação:

• O nome de domínio precisa conter pelo menos dois rótulos descritos desta forma:

  • Cada rótulo corresponde a expressões regulares que incluem apenas estes caracteres: [a-z]([-a-z0-9][a-z0-9])?..
  • Cada rótulo tem de 1 a 63 caracteres.
  • Os rótulos são concatenados com um ponto (.).

• O tamanho máximo do nome de domínio codificado não pode exceder 255 bytes (octetos).

• Também é possível adicionar um Nome de domínio internacional (IDN, na sigla em inglês) às regras da política de firewall.

• Os nomes de domínio precisam estar nos formatos Unicode ou Punycode.

• Se você especificar um IDN no formato Unicode, o firewall do Google Cloud o converterá para o formato Punycode antes do processamento. Outra possibilidade é usar a ferramenta de conversão de IDN para acessar a representação de IDN em Punycode.

• O firewall do Google Cloud não permite nomes de domínio equivalentes na mesma regra da política de firewall. Depois de converter o nome de domínio em Punycode, se os dois nomes de domínio forem diferentes por um ponto final, eles serão considerados equivalentes.

Cenários de exceção de FQDN

Ao usar objetos FQDN nas regras das políticas de firewall, talvez você encontre as seguintes exceções durante a resolução de nome do DNS:

• Nome de domínio inválido: um erro será exibido se você especificar um ou mais nomes de domínio que usam um formato inválido ao criar uma regra de política de firewall. Não é possível criar a regra da política de firewall a menos que todos os nomes de domínio estejam formatados corretamente.

• O nome de domínio não existe (NXDOMAIN): quando o nome de domínio não existe, o Google Cloud ignora o objeto FQDN da regra da política de firewall.

• Nenhuma resolução de endereço IP: se o nome de domínio não for resolvido em nenhum endereço IP, o objeto FQDN será ignorado.

• O servidor do Cloud DNS não está acessível: se um servidor DNS não estiver acessível, as regras da política de firewall que usam objetos FQDN serão aplicadas somente se os resultados da resolução de DNS armazenados em cache anteriormente estiverem disponíveis. Os objetos FQDN da regra serão ignorados se não houver resultados da resolução de DNS em cache ou se os resultados de DNS em cache tiverem expirado.

A seguir

• Políticas de firewall hierárquicas
• Políticas globais de firewall de rede
• Políticas de firewall da rede regional