As políticas de firewall de rede permitem atualizar em lote todas as regras de firewall agrupando-as em um único objeto de política. É possível atribuir políticas de firewall a uma rede de nuvem privada virtual (VPC). Elas contêm regras que podem negar ou permitir conexões explicitamente.
Especificações
- As políticas globais de firewall de rede são recursos de contêiner para regras de firewall.
Cada recurso de política global de firewall de rede é definido em um projeto.
- Depois de criar uma política global de firewall de rede, você pode adicionar, atualizar e excluir regras de firewall da política.
- Confira as especificações das regras das políticas globais de firewall de rede em Regras de política de firewall.
- Para aplicar regras de política global de firewall de rede a uma
rede VPC, é necessário associar a política de firewall a essa
rede VPC.
- É possível associar uma política global de firewall de rede a várias redes VPC. Verifique se a política de firewall e as redes associadas pertencem ao mesmo projeto.
- Cada rede VPC pode ser associada a apenas uma política global de firewall de rede.
- Se a política de firewall não estiver associada a nenhuma rede VPC, as regras dessa política não terão efeito. Uma política de firewall que não está associada a nenhuma rede é uma política global de firewall de rede não associada.
- Quando uma política global de firewall de rede é associada a uma ou mais
redes VPC, as regras são aplicadas
das seguintes maneiras:
- As regras existentes são aplicadas aos recursos aplicáveis nas redes VPC associadas.
- Todas as alterações feitas nas regras são aplicadas aos recursos aplicáveis nas redes VPC associadas.
- As regras das políticas globais de firewall de rede são aplicadas com outras regras de firewall, conforme descrito em Ordem de avaliação de regras e políticas.
As regras da política de firewall de rede global são usadas para configurar a inspeção da camada 7 do tráfego correspondente, como ao usar o serviço de prevenção de intrusões.
Crie uma regra de política de firewall com a ação
apply_security_profile_groupe o nome do grupo de perfis de segurança. O tráfego correspondente à regra da política de firewall é encaminhado de modo transparente para o endpoint do firewall para inspeção da camada 7. Para saber como criar uma regra de política de firewall, consulte Criar regras de firewall de rede global.
Detalhes da regra de política de firewall de rede global
Saiba mais sobre os componentes e parâmetros de regras em uma política global de firewall de rede em Regras da política de firewall.
A tabela a seguir resume as principais diferenças entre as regras da política global de firewall de rede e as regras de firewall da VPC:
| Regras da política de firewall de rede global | Regras de firewall da VPC | |
|---|---|---|
| Número da prioridade | Precisa ser exclusivo em uma política | Prioridades duplicadas são permitidas |
| Contas de serviço como destinos | Yes | Yes |
| Contas de serviço como origens (somente regras de entrada) |
Não | Yes |
| Tipo de tag | Tag segura | Tag de rede |
| Nome e descrição | Descrição do nome da política, da política e da regra | Nome e descrição da regra |
| Atualização em lote | Sim (para clone de política, editar e substituir funções) | Não |
| Reutilização | Yes | Não |
| Cota | Contagem de atributos: baseada em uma complexidade total de cada regra da política | Contagem de regras: regras de firewall complexas e simples têm o mesmo impacto de cota |
Regras predefinidas
Quando você cria uma política de firewall de rede global, o Cloud Firewall adiciona à política regras predefinidas com a menor prioridade. Essas regras são aplicadas a todas as conexões que não correspondem a uma regra definida explicitamente na política, fazendo com que essas conexões sejam transmitidas para políticas de nível inferior ou regras de rede.
Para saber mais sobre os vários tipos de regras predefinidas e as características delas, consulte Regras predefinidas.
papéis do Identity and Access Management (IAM)
Os papéis do IAM regem as seguintes ações em relação a políticas de firewall de rede:
- Como criar uma política de firewall de rede global
- Como associar uma política a uma rede
- Como modificar uma política atual
- Como visualizar as regras de firewall efetivas para uma rede ou VM específica
A tabela a seguir descreve quais papéis são necessários para cada ação:
| Ação | Papel necessário |
|---|---|
| Criar uma nova política de firewall de rede | Papel compute.securityAdmin no projeto a que a política pertence |
| Associar uma política a uma rede | Papel compute.networkAdmin no projeto em que a política será executada |
| Modifique a política adicionando, atualizando ou excluindo regras de firewall. | Papel compute.securityAdmin no projeto em que a política será executada |
| Exclua a política: | Papel compute.networkAdmin no projeto em que a política será executada |
| Veja as regras de firewall efetivas de uma rede VPC | Qualquer um dos seguintes papéis para a rede: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Veja as regras de firewall efetivas de uma VM em uma rede | Qualquer um dos seguintes papéis para a VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Os papéis a seguir são relevantes para políticas de firewall de rede.
| Nome do papel | Descrição |
|---|---|
| compute.securityAdmin | Pode ser concedido no nível do projeto ou da política. Se concedido a um projeto, os usuários poderão criar, atualizar e excluir políticas de firewall de rede e as regras delas. No nível da política, permite que os usuários atualizem as regras da política, mas não criem nem excluam a política. Esse papel também permite que os usuários associem uma política a uma rede. |
| compute.networkAdmin | Concedido no nível do projeto ou da rede. Se concedido a uma rede, os usuários poderão ver a lista de políticas de firewall da rede. |
|
compute.viewer compute.networkUser compute.networkViewer |
Permite que os usuários visualizem as regras de firewall aplicadas à rede ou à instância. Inclui a permissão compute.networks.getEffectiveFirewalls para redes e compute.instances.getEffectiveFirewalls para instâncias. |