Esta página mostra exemplos de implementações da política de firewall de rede global e da política de firewall de rede regional. Parte do princípio de que está familiarizado com os conceitos descritos nas políticas de firewall de rede global e nas políticas de firewall de rede regional.
Pode anexar uma política de firewall de rede global e várias políticas de firewall de rede regionais a uma rede de nuvem privada virtual (VPC). Uma política de firewall de rede global aplica-se a todas as sub-redes em todas as regiões da rede VPC. Uma política de firewall de rede regional aplica-se apenas às sub-redes da rede da VPC na região de destino.
A Figura 1 descreve o âmbito de uma política de firewall de rede global e uma política de firewall de rede regional numa rede VPC.
Exemplo: recusar todas as ligações externas, exceto para portas específicas
Neste exemplo de utilização, uma política de firewall de rede global bloqueia todas as ligações de origens de Internet externas, exceto as ligações nas portas de destino 80, 443 e 22. Uma ligação à Internet de entrada em portas que não sejam 80, 443 ou 22 está bloqueada. A aplicação das regras é delegada na política de firewall de rede regional para quaisquer ligações nas portas 80, 443 ou 22.
Neste exemplo, uma política de firewall de rede regional aplica-se a region-a, que
permite tráfego interno da origem 10.2.0.0/16 e tráfego de entrada para as portas
443 e 80 de qualquer origem. A Figura 2 descreve a configuração para este exemplo de utilização.
Política em vigor aplicada em VMs
Esta secção descreve a política de firewall de rede eficaz aplicável neste exemplo após a avaliação das regras na hierarquia.
Ligações de entrada
Todas as ligações de entrada de
10.0.0.0/8correspondem à regra de política de firewall de rede global de prioridade mais altadelegate-internal-traffice ignoram as restantes regras na política de firewall de rede global. Na regra da política de firewall da rede regional, as ligações de entrada de10.2.0.0/16são permitidas e as restantes ligações são avaliadas em função da regra de entrada implícitadeny.As ligações de entrada com um intervalo de IPs de origem diferente de
10.0.0.0/8e portas de destino22,80e443são delegadas ao nível da regra da política de firewall da rede regional. Na regra da política de firewall de rede regional, as portas80e443são permitidas, mas a porta22não.
Ligação de saída
- Não existe nenhuma correspondência nas regras da política de firewall de rede global. Por conseguinte, aplicam-se as regras implícitas do sistema, que permitem ligações de saída.
Como configurar
Crie uma política de firewall de rede global que contenha a seguinte regra:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Associe a política à rede VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyAdicione uma regra para corresponder a quaisquer ligações de entrada de
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyAdicione uma regra para delegar tráfego externo de portas específicas:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyAdicione uma regra para bloquear todo o tráfego de entrada restante:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyCrie uma política de firewall de rede regional:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Associe a política de firewall de rede regional a uma rede de VPC para ativar as regras da política para todas as VMs nessa rede numa região específica:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aAdicione uma regra para permitir o tráfego interno para a política de firewall de rede regional:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aAdicione uma regra para permitir tráfego externo de portas específicas:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
O que se segue?
Para criar e modificar políticas e regras de firewall de rede globais, consulte o artigo Use políticas e regras de firewall de rede globais.
Para criar e modificar políticas e regras de firewall de rede regionais, consulte o artigo Use políticas e regras de firewall de rede regionais.