Configure uma política de firewall de rede global para permitir o tráfego de saída para um FQDN

Saiba como criar e configurar uma política de firewall de rede global para permitir o tráfego de saída para um nome de domínio totalmente qualificado (FQDN) específico através da Google Cloud consola. A política de firewall bloqueia todo o outro tráfego de saída originário da sua rede. Este início rápido cria uma rede de nuvem virtual privada (VPC) com uma sub-rede, cria uma instância de máquina virtual (VM) na rede da VPC, configura uma política de firewall que usa regras de saída e, em seguida, testa a política de firewall a partir da VM.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Certifique-se de que tem a função de administrador de rede de computação (roles/compute.networkAdmin).
  9. Certifique-se de que conhece os conceitos das políticas de firewall e das regras das políticas de firewall.
  10. Certifique-se de que conhece os preços do Cloud NGFW. Para mais informações, consulte os preços do Cloud NGFW.

    11. Crie uma rede VPC personalizada com uma sub-rede IPv4

    Crie uma rede VPC de modo personalizado com uma sub-rede IPv4.

    1. Na Google Cloud consola, aceda à página Redes VPC.

      Aceda a redes de VPC

    2. Clique em Criar rede de VPC.

    3. Em Nome, introduza vpc-fw-policy-egress.

    4. Para o Modo de criação de sub-rede, selecione Personalizado.

    5. Na secção Nova sub-rede, especifique os seguintes parâmetros de configuração para a sub-rede:

      • Nome: introduza subnet-1.
      • Região: selecione us-central1.
      • Intervalo IPv4: introduza 10.0.0.0/24.

    6. Clique em Concluído.

    7. Clique em Criar.

    Crie uma VM

    Crie uma VM na sub-rede que configurou na secção anterior.

    1. Na Google Cloud consola, aceda à página Criar uma instância.

      Aceda a Criar uma instância

    2. No painel Configuração da máquina, faça o seguinte:

      1. Em Nome, introduza instance-1-us.
      2. Para Região, selecione us-central1 (Iowa).

    3. No menu de navegação, clique em Rede.

      1. Na secção Interfaces de rede, clique em default e especifique os seguintes parâmetros de configuração:
        • Rede: vpc-fw-policy-egress
        • Subnetwork: subnet-1 IPv4 (10.0.0.0/24)
        • Endereço IPv4 externo: Nenhum
      2. Clique em Concluído.

    4. Clique em Criar.

    Crie um Cloud Router e um gateway do Cloud NAT

    Na secção anterior, criou uma VM sem um endereço IP externo. Para permitir que a VM aceda à Internet pública, crie um Cloud Router e um gateway Cloud NAT para a mesma região e sub-rede onde criou a VM.

    1. Na Google Cloud consola, aceda à página Cloud NAT.

      Aceda ao Cloud NAT

    2. Clique em Começar ou Criar gateway de NAT da nuvem.

      Nota: se esta for a primeira gateway NAT da nuvem que está a criar, clique em Começar. Se já tiver gateways existentes, Google Cloud é apresentado o botão do gateway Criar Cloud NAT. Para criar outro gateway, clique em Criar gateway de NAT da nuvem.

    3. Em Nome da gateway, introduza fw-egress-nat-gw.

    4. Para Tipo de NAT, selecione Público.

    5. Na secção Selecionar router na nuvem, especifique os seguintes parâmetros de configuração:

      • Rede: selecione vpc-fw-policy-egress.
      • Região: selecione us-central1 (Iowa).
      • Cloud Router: clique em Criar novo router.
        1. Em Nome, introduza fw-egress-router.
        2. Clique em Criar.

    6. Clique em Criar.

    Crie uma política de firewall de rede global para permitir o túnel TCP do IAP

    Para permitir o tunneling do Identity-Aware Proxy para as VMs na sua rede, crie uma política de firewall de rede global e adicione uma regra de firewall à política. O IAP permite o acesso administrativo às VMs.

    A regra de firewall tem de ter as seguintes caraterísticas:

    • Aplica-se a todas as VMs às quais quer aceder através do encaminhamento TCP do IAP.
    • Permite o tráfego de entrada do intervalo de endereços IP 35.235.240.0/20. Este intervalo contém todos os endereços IP que o IAP usa para o encaminhamento TCP.
    • Permite ligações a todas as portas que quer que sejam acessíveis através do encaminhamento TCP do IAP, por exemplo, a porta 22 para SSH.

    Para ativar o acesso do IAP a todas as VMs na rede vpc-fw-policy-egress, siga estes passos:

    1. Na Google Cloud consola, aceda à página Políticas de firewall.

      Aceder a Políticas de firewall

    2. Clique em Criar política de firewall.

    3. Na secção Configurar política, em Nome da política, introduza fw-egress-policy.

    4. Em Âmbito de implementação, selecione Global e clique em Continuar.

    5. Para criar regras para a sua política, na secção Adicionar regras, clique em Adicionar regra.

      1. Para Prioridade, introduza 100.
      2. Para Direção do tráfego, selecione Entrada.
      3. Para Ação em caso de correspondência, selecione Permitir.
      4. Para Registos, selecione Ativar.
      5. Na secção Segmentar, para Tipo de segmentação, selecione Todas as instâncias na rede.
      6. Na secção Origem, para Intervalos IP, introduza 35.235.240.0/20.
      7. Na secção Protocolo e portas, selecione Protocolos e portas especificados.
      8. Selecione a caixa de verificação TCP e, para Portas, introduza 22.
      9. Clique em Criar.

    6. Clique em Continuar.

    7. Para associar a sua rede VPC à política, na secção Associar política a redes VPC, clique em Associar.

    8. Selecione a caixa de verificação vpc-fw-policy-egress e clique em Associar.

    9. Clique em Continuar.

    10. Clique em Criar.

    Adicione uma regra de firewall para negar o tráfego de saída para todos os destinos

    Para negar o tráfego de saída para todos os destinos, adicione uma regra de firewall para fw-egress-policy.

    1. Na Google Cloud consola, aceda à página Políticas de firewall.

      Aceder a Políticas de firewall

    2. Na secção Políticas de firewall de rede, clique em fw-egress-policy.

    3. Clique em Criar regra.

    4. Para Prioridade, introduza 700.

    5. Em Direção do trânsito, selecione Saída.

    6. Para Ação em caso de correspondência, selecione Recusar.

    7. Para Registos, selecione Ativar.

    8. Na secção Destino, para Intervalos de IPs, introduza 0.0.0.0/0.

    9. Clique em Criar.

    Adicione uma regra de firewall para permitir o tráfego de saída apenas para um FQDN específico

    Para permitir o tráfego de saída apenas para um FQDN específico, ads.google.com, adicione uma regra de firewall em fw-egress-policy.

    1. Na Google Cloud consola, aceda à página Políticas de firewall.

      Aceder a Políticas de firewall

    2. Na secção Políticas de firewall de rede, clique em fw-egress-policy.

    3. Clique em Criar regra.

    4. Para Prioridade, introduza 600.

    5. Em Direção do trânsito, selecione Saída.

    6. Para Ação em caso de correspondência, selecione Permitir.

    7. Para Registos, selecione Ativar.

    8. Na secção Destino, para FQDNs, introduza ads.google.com.

    9. Clique em Criar.

    Teste a política de firewall de rede global

    Depois de configurar a política de firewall de rede global, siga estes passos para testar a política:

    1. Na Google Cloud consola, aceda à página Instâncias de VM.

      Aceder às instâncias de VM

    2. Na coluna Ligar da VM instance-1-us, clique em SSH.

    3. Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde até que a ligação seja estabelecida.

    4. Para verificar se o tráfego de saída para https://ads.google.com é permitido, execute o seguinte comando:

        curl -I https://ads.google.com

      O comando anterior devolve as informações do cabeçalho de https://ads.google.com, o que significa que as ligações de saída são permitidas.

    5. Para verificar se o tráfego de saída está bloqueado para qualquer outro destino, especifique qualquer FQDN e execute o seguinte comando:

        curl -m 2 -I https://mail.yahoo.com

      O comando anterior devolve uma mensagem Connection timed out, o que é esperado, porque criou uma regra de firewall para negar o tráfego de saída para todos os destinos, exceto https://ads.google.com.

    Ver os registos

    Pode verificar se as regras de firewall foram aplicadas ao tráfego de saída acedendo aos registos. Para ver os detalhes do registo, siga estes passos:

    1. Na Google Cloud consola, aceda à página Políticas de firewall.

      Aceder a Políticas de firewall

    2. Na secção Políticas de firewall de rede, clique em fw-egress-policy.

    3. Na coluna Contagem de resultados, clique no número da regra que criou na secção Crie uma política de firewall de rede global. É apresentada a página Explorador de registos.

    4. Para ver a regra de firewall aplicada ao tráfego de saída, expanda o registo individual. Pode ver os detalhes da ligação, da disposição, da localização remota e da regra expandindo as secções relevantes.

    Limpar

    Para evitar incorrer em cobranças na sua Google Cloud conta pelos recursos usados neste início rápido, elimine o projeto que contém os recursos ou mantenha o projeto e elimine os recursos individuais.

    Para eliminar os recursos criados neste início rápido, conclua as seguintes tarefas.

    Elimine a política de firewall

    1. Na Google Cloud consola, aceda à página Políticas de firewall.

      Aceder a Políticas de firewall

    2. Na secção Políticas de firewall de rede, clique em fw-egress-policy.

    3. Clique no separador Associações.

    4. Selecione a caixa de verificação vpc-fw-policy-egress e clique em Remover associação.

    5. Na caixa de diálogo Remova uma associação de política de firewall, clique em Remover.

    6. Clique em Eliminar.

    7. Na caixa de diálogo Eliminar uma política de firewall, clique em Eliminar.

    Elimine a VM

    1. Na Google Cloud consola, aceda à página Instâncias de VM.

      Aceder às instâncias de VM

    2. Selecione a caixa de verificação da instance-1-us VM.

    3. Clique em Eliminar.

    4. Na caixa de diálogo Eliminar instance-1-us, clique em Eliminar.

    Elimine a gateway do Cloud NAT e o Cloud Router

    1. Na Google Cloud consola, aceda à página Routers na nuvem.

      Aceda a Cloud Routers

    2. Selecione a caixa de verificação fw-egress-router.

    3. Clique em Eliminar.

    4. Na caixa de diálogo Delete fw-egress-router, clique em Delete.

    Quando elimina um Cloud Router, o gateway Cloud NAT associado também é eliminado.

    Elimine a rede de VPC e as respetivas sub-redes

    1. Na Google Cloud consola, aceda à página Redes VPC.

      Aceda a redes de VPC

    2. Na coluna Nome, clique em vpc-fw-policy-egress.

    3. Clique em Eliminar rede de VPC.

    4. Na caixa de diálogo Eliminar uma rede, clique em Eliminar.

    Quando elimina uma rede VPC, as respetivas sub-redes também são eliminadas.

    O que se segue?