Nesta página, você verá exemplos de políticas de firewall de rede global e implementações de políticas de firewall de rede regional. Presumimos que você esteja familiarizado com os conceitos descritos nas políticas de firewall da rede global e políticas de firewall da rede regional.
É possível anexar uma política de firewall de rede global e várias políticas de firewall de rede regionais a uma rede de nuvem privada virtual (VPC). Uma política de firewall de rede global se aplica a todas as sub-redes em todas as regiões da rede VPC. Uma política de firewall de rede regional se aplica apenas às sub-redes da rede VPC na região de destino.
A Figura 1 descreve o escopo de uma política de firewall de rede global e uma política de firewall de rede regional em uma rede VPC.
Exemplo: negar todas as conexões externas, exceto para portas específicas
Nesse caso de uso, uma política de firewall de rede global bloqueia todas as conexões de fontes de Internet externas, exceto para conexões nas portas 80
, 443
e 22
. Uma conexão de Internet de entrada em portas diferentes de 80
, 443
ou 22
está bloqueada. A aplicação de regras é delegada à política de firewall da rede regional para qualquer conexão nas portas 80
, 443
ou 22
.
Neste exemplo, uma política de firewall de rede regional se aplica a region-a
, que permite o tráfego interno da origem 10.2.0.0/16
e o tráfego de entrada para as portas 443
e 80
de qualquer origem. A figura 2 descreve a configuração deste caso de uso.
Política efetiva aplicada em VMs
Nesta seção, descrevemos a política de firewall de rede efetiva aplicável neste exemplo depois de avaliar as regras em toda a hierarquia.
Conexões de entrada
Todas as conexões de entrada de
10.0.0.0/8
correspondem à regra de política de firewall de rede global de prioridade mais altadelegate-internal-traffic
e ignoram o restante das regras na política de firewall de rede global. Na regra da política de firewall da rede regional, as conexões de entrada de10.2.0.0/16
são permitidas, e as outras conexões são avaliadas em relação à regradeny
de entrada implícita.As conexões de entrada com um intervalo de IP de origem diferente de
10.0.0.0/8
e das portas de destino22
,80
e443
são delegadas ao nível da regra da política de firewall da rede regional. Na regra da política de firewall de rede regional, as portas80
e443
são permitidas, mas a porta22
não é.
Conexão de saída
- Não há correspondência entre as regras da política de firewall de rede global. Portanto, as regras implícitas do sistema se aplicam, o que permite conexões de saída.
Como configurar
Crie uma política de firewall de rede global que contenha a seguinte regra:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"
Associe a política à rede VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policy
Adicione uma regra para corresponder a qualquer conexão de entrada de
10.0.0.0/8
:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policy
Adicione uma regra para delegar tráfego externo de portas específicas:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policy
Adicione uma regra para bloquear todo o tráfego de entrada restante:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policy
Criar uma política de firewall de rede regional:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"
Associe a política de firewall da rede regional a uma rede VPC para ativar as regras da política para todas as VMs nessa rede em uma região específica:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-a
Adicione uma regra para permitir tráfego interno para a política de firewall da rede regional:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-a
Adicione uma regra para permitir o tráfego externo de portas específicas:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
A seguir
Para criar e modificar políticas e regras de firewall de rede global, consulte Usar políticas e regras de firewall de rede global.
Para criar e modificar políticas e regras de firewall de rede regional, consulte Usar políticas e regras de firewall de rede regional.