Configurar uma política de firewall de rede global para permitir o tráfego de saída para um FQDN

Saiba como criar e configurar uma política de firewall de rede global para permitir o tráfego de saída para um nome de domínio totalmente qualificado (FQDN, na sigla em inglês) específico usando o console do Google Cloud. A política de firewall bloqueia todo o outro tráfego de saída proveniente da sua rede. Este guia de início rápido cria uma rede de nuvem privada virtual (VPC) com uma sub-rede, cria uma instância de máquina virtual (VM) na rede VPC, configura uma política de firewall que usa regras de saída e testa a política de firewall da VM.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  8. Verifique se você tem o papel de administrador de rede do Compute (roles/compute.networkAdmin).

Criar uma rede VPC personalizada com uma sub-rede IPv4

Criar uma rede VPC de modo personalizado com uma sub-rede IPv4.

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique em Criar rede VPC.

  3. Em Nome, insira vpc-fw-policy-egress.

  4. Em Modo de criação da sub-rede, selecione Personalizado.

  5. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

    • Nome: insira subnet-1.
    • Região: selecione us-central1.
    • Intervalo IPv4:insira 10.0.0.0/24.
  6. Clique em Concluído.

  7. Clique em Criar.

criar uma VM

Crie uma VM na sub-rede que você configurou na seção anterior.

  1. No Console do Google Cloud, acesse a página Criar uma instância.

    Acesse "Criar uma instância"

  2. Em Nome, insira instance-1-us.

  3. Em Região, selecione us-central1 (Iowa).

  4. Expanda Opções avançadas e depois Rede.

  5. Na seção Interfaces de rede, expanda a interface de rede atual e especifique os seguintes parâmetros de configuração:

    • Rede: selecione vpc-fw-policy-egress.
    • Sub-rede: selecione subnet-1 IPv4 (10.0.0.0/24).
    • Endereço IPv4 externo: selecione Nenhum.
  6. Clique em Concluído.

  7. Clique em Criar.

Criar um Cloud Router e um gateway NAT do Cloud

Na seção anterior, você criou uma VM sem nenhum endereço IP externo. Para permitir que a VM acesse a Internet pública, crie um Cloud Router e um gateway do Cloud NAT para a mesma região e sub-rede em que você criou a VM.

  1. No Console do Google Cloud, acesse a página do Cloud NAT.

    Acesse o Cloud NAT

  2. Clique em Primeiros passos ou Criar gateway Cloud NAT.

    Observação: se este for o primeiro gateway do Cloud NAT que você está criando, clique em Primeiros passos. Se você já tiver gateways, o Google Cloud exibirá o botão Criar gateway do Cloud NAT. Para criar outro gateway, clique em Criar gateway do Cloud NAT.

  3. Em Nome do gateway, digite fw-egress-nat-gw.

  4. Em Tipo de NAT, selecione Public.

  5. Na seção Selecionar o Cloud Router, especifique os seguintes parâmetros de configuração:

    • Rede: selecione vpc-fw-policy-egress.
    • Região: selecione us-central1 (Iowa).
    • Cloud Router: clique em Criar novo roteador.
      1. Em Nome, insira fw-egress-router.
      2. Clique em Criar.
  6. Clique em Criar.

Criar uma política de firewall de rede global para ativar o IAP

Para ativar o Identity-Aware Proxy para as VMs em sua rede, crie uma política de firewall de rede global e adicione uma regra de firewall à política. O IAP permite acesso administrativo às VMs.

A regra de firewall precisa ter as seguintes propriedades:

  • Aplica-se a todas as VMs que você quer acessar usando o encaminhamento de TCP do IAP.
  • permite o tráfego de entrada do intervalo de IP 35.235.240.0/20. Esse intervalo contém todos os endereços IP que o IAP usa para o encaminhamento de TCP.
  • Uma conexão com todas as portas que você quer que estejam acessíveis usando o encaminhamento de TCP do IAP. Por exemplo, a porta 22 para SSH.

Para ativar o acesso do IAP a todas as VMs na rede vpc-fw-policy-egress, siga estas etapas:

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Clique em Criar política de firewall.

  3. Na seção Configurar política, em Nome da política, digite fw-egress-policy.

  4. Em Escopo da implantação, selecione Global e clique em Continuar.

  5. Para criar regras para sua política, na seção Adicionar regras, clique em Adicionar regra.

    1. Em Prioridade, digite 100.
    2. Em Direção de tráfego, selecione Entrada.
    3. Em Ação se houver correspondência, selecione Permitir.
    4. Em Registros, selecione Ativado.
    5. Na seção Destino, em Tipo de destino, selecione Todas as instâncias na rede.
    6. Na seção Origem, em Intervalos de IP, insira 35.235.240.0/20.
    7. Na seção Protocolo e portas, selecione Portas e protocolos especificados.
    8. Marque a caixa de seleção TCP e, em Portas, insira 22.
    9. Clique em Criar.
  6. Clique em Continuar.

  7. Para associar uma rede VPC à política, na seção Associar política a redes VPC, clique em Associar.

  8. Marque a caixa de seleção vpc-fw-policy-egress e clique em vpc-fw-policy-egress.

  9. Clique em Continuar.

  10. Clique em Criar.

Adicione uma regra de firewall para negar o tráfego de saída a todos os destinos

Para negar o tráfego de saída a todos os destinos, adicione uma regra de firewall a fw-egress-policy.

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

  3. Clique em Criar regra.

  4. Em Prioridade, digite 700.

  5. Em Direção do tráfego, selecione Saída.

  6. Em Ação se houver correspondência, selecione Negar.

  7. Em Registros, selecione Ativado.

  8. Na seção Destino, em Intervalos de IP, digite 0.0.0.0/0.

  9. Clique em Criar.

Adicione uma regra de firewall para permitir o tráfego de saída apenas para um FQDN específico

Para permitir o tráfego de saída para apenas um FQDN específico, ads.google.com, adicione uma regra de firewall em fw-egress-policy.

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

  3. Clique em Criar regra.

  4. Em Prioridade, digite 600.

  5. Em Direção do tráfego, selecione Saída.

  6. Em Ação se houver correspondência, selecione Permitir.

  7. Em Registros, selecione Ativado.

  8. Na seção Destino, em FQDNs, digite ads.google.com.

  9. Clique em Criar.

Testar a política de firewall de rede global

Depois de configurar a política de firewall da rede global, siga estas etapas para testá-la:

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Na coluna Conectar da VM instance-1-us, clique em SSH.

  3. Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde a conexão ser estabelecida.

  4. Para verificar se o tráfego de saída para https://ads.google.com é permitido, execute o seguinte comando:

      curl -I https://ads.google.com
    

    O comando anterior retorna as informações de cabeçalho de https://ads.google.com, o que significa que as conexões de saída são permitidas.

  5. Para verificar se o tráfego de saída está bloqueado para qualquer outro destino, especifique um FQDN e execute o seguinte comando:

      curl -m 2 -I https://mail.yahoo.com
    

    O comando acima retorna uma mensagem Connection timed out, o que é esperado porque você criou uma regra de firewall para negar o tráfego de saída a todos os destinos, exceto https://ads.google.com. ,

Visualize os registros

Para verificar se as regras de firewall foram aplicadas ao tráfego de saída, acesse os registros. Para ver o registro, siga estas etapas:

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

  3. Na coluna Contagem de hits, clique no número da regra que você criou na seção Criar uma política de firewall da rede global. A página Análise de registros abre.

  4. Para ver a regra de firewall aplicada ao tráfego de saída, expanda o registro individual. Expanda as seções relevantes para visualizar os detalhes de conexão, disposição, local remoto e regra.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que contém eles ou mantenha o projeto e exclua os recursos individuais.

Para excluir os recursos criados neste guia de início rápido, conclua as tarefas a seguir.

Excluir a política de firewall

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

  3. Clique na guia Associações.

  4. Marque a caixa de seleção de vpc-fw-policy-egress e clique em Remover associação.

  5. Na caixa de diálogo Remover uma associação de política de firewall, clique em Remover.

  6. Clique em Excluir.

  7. Na caixa de diálogo Excluir uma política de firewall, clique em Excluir.

Excluir a VM

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Marque a caixa de seleção da VM instance-1-us.

  3. Clique em Excluir.

  4. Na caixa de diálogo Excluir instance-1-us, clique em Excluir.

Excluir o gateway do Cloud NAT e o Cloud Router

  1. No Console do Google Cloud, acesse a página do Cloud Routers.

    Acesse o Cloud Routers

  2. Marque a caixa de seleção de fw-egress-router.

  3. Clique em Excluir.

  4. Na caixa de diálogo Excluir fw-egress-router, clique em Excluir.

Quando você exclui um Cloud Router, o gateway do Cloud NAT associado também é excluído.

Excluir a rede VPC e as sub-redes dela

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Na coluna Nome, clique em vpc-fw-policy-egress.

  3. Clique em Excluir rede VPC.

  4. Na caixa de diálogo Excluir uma rede, clique em Excluir.

Quando você exclui uma VPC, as sub-redes dela também são excluídas.

A seguir