Exemplos de políticas de firewall de rede global e regional

Nesta página, você verá exemplos de políticas de firewall de rede global e implementações de políticas de firewall de rede regional. Presumimos que você esteja familiarizado com os conceitos descritos nas políticas de firewall da rede global e políticas de firewall da rede regional.

É possível anexar uma política de firewall de rede global e várias políticas de firewall de rede regionais a uma rede de nuvem privada virtual (VPC). Uma política de firewall de rede global se aplica a todas as sub-redes em todas as regiões da rede VPC. Uma política de firewall de rede regional se aplica apenas às sub-redes da rede VPC na região de destino.

A Figura 1 descreve o escopo de uma política de firewall de rede global e uma política de firewall de rede regional em uma rede VPC.

Figura 1. Escopo das políticas de firewall da rede global e regional.
Figura 1. Escopo das políticas de firewall da rede global e regional.

Exemplo: negar todas as conexões externas, exceto para portas específicas

Nesse caso de uso, uma política de firewall de rede global bloqueia todas as conexões de fontes de Internet externas, exceto para conexões nas portas 80, 443 e 22. Uma conexão de Internet de entrada em portas diferentes de 80, 443 ou 22 está bloqueada. A aplicação de regras é delegada à política de firewall da rede regional para qualquer conexão nas portas 80, 443 ou 22.

Neste exemplo, uma política de firewall de rede regional se aplica a region-a, que permite o tráfego interno da origem 10.2.0.0/16 e o tráfego de entrada para as portas 443 e 80 de qualquer origem. A figura 2 descreve a configuração deste caso de uso.

Figura 2. Negue todas as conexões externas, exceto para portas de destino específicas.
Figura 2. Negue todas as conexões externas, exceto para portas de destino específicas.

Política efetiva aplicada em VMs

Nesta seção, descrevemos a política de firewall de rede efetiva aplicável neste exemplo depois de avaliar as regras em toda a hierarquia.

Conexões de entrada

  • Todas as conexões de entrada de 10.0.0.0/8 correspondem à regra de política de firewall de rede global de prioridade mais alta delegate-internal-traffic e ignoram o restante das regras na política de firewall de rede global. Na regra da política de firewall da rede regional, as conexões de entrada de 10.2.0.0/16 são permitidas, e as outras conexões são avaliadas em relação à regra deny de entrada implícita.

  • As conexões de entrada com um intervalo de IP de origem diferente de 10.0.0.0/8 e das portas de destino 22, 80 e 443 são delegadas ao nível da regra da política de firewall da rede regional. Na regra da política de firewall de rede regional, as portas 80 e 443 são permitidas, mas a porta 22 não é.

Conexão de saída

  • Não há correspondência entre as regras da política de firewall de rede global. Portanto, as regras implícitas do sistema se aplicam, o que permite conexões de saída.

Como configurar

  1. Crie uma política de firewall de rede global que contenha a seguinte regra:

    gcloud compute network-firewall-policies create \
        "example-firewall-policy-global" --global \
        --description "Global network firewall policy with rules that apply to all VMs in the VPC network"
    
  2. Associe a política à rede VPC:

    gcloud compute network-firewall-policies associations create \
        --firewall-policy example-firewall-policy-global \
        --network my-example-vpc \
        --global-firewall-policy
    
  3. Adicione uma regra para corresponder a qualquer conexão de entrada de 10.0.0.0/8:

    gcloud compute network-firewall-policies rules create 1000 \
        --action goto_next \
        --description "delegate-internal-traffic" \
        --layer4-configs all \
        --firewall-policy example-firewall-policy-global \
        --src-ip-ranges 10.0.0.0/8 \
        --global-firewall-policy
    
  4. Adicione uma regra para delegar tráfego externo de portas específicas:

    gcloud compute network-firewall-policies rules create 2000 \
        --action goto_next \
        --description "delegate-external-traffic-spec-ports" \
        --layer4-configs tcp:80,tcp:443,tcp:22 \
        --firewall-policy example-firewall-policy-global \
        --src-ip-ranges 0.0.0.0/0 \
        --global-firewall-policy
    
  5. Adicione uma regra para bloquear todo o tráfego de entrada restante:

    gcloud compute network-firewall-policies rules create 3000 \
        --action deny \
        --description "block-external-traffic-spec-ports" \
        --firewall-policy example-firewall-policy-global \
        --src-ip-ranges 0.0.0.0/0 \
        --layer4-configs all \
        --global-firewall-policy
    
  6. Criar uma política de firewall de rede regional:

    gcloud compute network-firewall-policies create \
        example-firewall-policy-regional --region=region-a \
        --description "Regional network firewall policy with rules that apply to all VMs in region-a"
    
  7. Associe a política de firewall da rede regional a uma rede VPC para ativar as regras da política para todas as VMs nessa rede em uma região específica:

    gcloud compute network-firewall-policies associations create \
        --firewall-policy example-firewall-policy-regional \
        --network my-example-vpc \
        --firewall-policy-region=region-a  
    
  8. Adicione uma regra para permitir tráfego interno para a política de firewall da rede regional:

    gcloud compute network-firewall-policies rules create 1000 \
        --action allow \
        --firewall-policy example-firewall-policy-regional \
        --description allow-internal-traffic \
        --direction INGRESS \
        --src-ip-ranges 10.2.0.0/16 \
        --layer4-configs all \
        --firewall-policy-region=region-a 
    
  9. Adicione uma regra para permitir o tráfego externo de portas específicas:

    gcloud compute network-firewall-policies rules create 2000 \
        --action allow \
        --firewall-policy example-firewall-policy-regional \
        --description allow-external-traffic-spec-ports \
        --direction INGRESS \
        --layer4-configs=tcp:80,tcp:443 \
        --src-ip-ranges 0.0.0.0/0 \
        --firewall-policy-region=region-a
    

A seguir