Use regras e políticas de firewall de rede regionais

Esta página pressupõe que conhece os conceitos descritos na vista geral das políticas de firewall de rede regionais.

Tarefas da política de firewall

Crie uma política de firewall de rede regional

Pode criar uma política para qualquer rede de nuvem virtual privada (VPC) no seu Google Cloud projeto. Depois de criar uma política, pode associá-la a qualquer rede VPC no seu projeto. Depois de associada, as regras da política ficam ativas para as VMs na rede associada.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o seu projeto na sua organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome, introduza um nome para a política.

  5. Para Âmbito de implementação, selecione Regional. Selecione a região onde quer criar esta política de firewall.

  6. Se quiser criar regras para a sua política, clique em Continuar e, de seguida, em Adicionar regra.

    Para mais informações, consulte o artigo Crie regras de firewall de rede.

  7. Se quiser associar a política a uma rede, clique em Continuar e, de seguida, em Associar política a redes VPC.

    Para mais informações, consulte o artigo Associe uma política à rede.

  8. Clique em Criar.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Substitua o seguinte:

  • NETWORK_FIREWALL_POLICY_NAME: um nome para a política
  • DESCRIPTION: uma descrição da política
  • REGION_NAME: uma região à qual quer aplicar a política.

Associe uma política à rede

Associe uma política a uma rede para ativar as regras da política para todas as VMs nessa rede.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a sua política.

  3. Clique na sua política.

  4. Clique no separador Associações.

  5. Clique em Adicionar associações.

  6. Selecione as redes no projeto.

  7. Clique em Associar.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME \
    [ --replace-association-on-target true ]

Substitua o seguinte:

  • POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política
  • NETWORK_NAME: o nome da sua rede
  • ASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido como network-NETWORK_NAME.
  • REGION_NAME: uma região na qual aplicar a política

Descreva uma política de firewall de rede regional

Pode ver todos os detalhes de uma política, incluindo todas as respetivas regras de firewall. Além disso, pode ver muitos atributos que estão em todas as regras da política. Estes atributos contam para um limite por política.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.

  3. Clique na sua política.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Atualize a descrição de uma política de firewall de rede regional

O único campo de política que pode ser atualizado é o campo Description.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.

  3. Clique na sua política.

  4. Clique em Edit.

  5. No campo Descrição, modifique a descrição.

  6. Clique em Guardar.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Liste as políticas de firewall de rede regionais

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

    A secção Políticas de firewall de rede mostra as políticas disponíveis no seu projeto.

gcloud 

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Elimine uma política de firewall de rede regional

Tem de eliminar todas as associações numa política de firewall de rede antes de a poder eliminar.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política que quer eliminar.

  4. Clique no separador Associações.

  5. Selecione todas as associações.

  6. Clique em Remover associações.

  7. Depois de remover todas as associações, clique em Eliminar.

gcloud

  1. Liste todas as redes associadas a uma política de firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Elimine associações individuais. Para remover a associação, tem de ter a função de administrador de segurança do Compute (roles/compute.SecurityAdmin) na rede da nuvem virtual privada (VPC) associada.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Elimine a política:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Elimine uma associação

Para parar a aplicação de uma política de firewall numa rede, elimine a associação.

No entanto, se pretender substituir uma política de firewall por outra, não tem de eliminar primeiro a associação existente. A eliminação dessa associação deixaria um período em que nenhuma política seria aplicada. Em alternativa, substitua a política existente quando associar uma nova política.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o seu projeto ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique no separador Associações.

  5. Selecione a associação que quer eliminar.

  6. Clique em Remover associações.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tarefas de regras de políticas de firewall

Crie regras de firewall de rede

As regras de política de firewall de rede têm de ser criadas numa política de firewall de rede regional. As regras não estão ativas até associar a política que as contém a uma rede VPC.

Cada regra de política de firewall de rede pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a sua política.

  3. Clique no nome da política regional.

  4. Para Regras de firewall, clique em Criar.

  5. Preencha os campos da regra:

    1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Uma boa prática é atribuir números de prioridade às regras que permitam a inserção posterior (como 100, 200 e 300).
    2. Defina a recolha de Registos como Ativada ou Desativada.
    3. Para Direção do tráfego, escolha entrada ou saída.
    4. Para Ação na correspondência, especifique se as ligações que correspondem à regra são permitidas (Permitir), recusadas (Recusar) ou se a avaliação da ligação é transmitida para a regra de firewall inferior seguinte na hierarquia (Ir para seguinte).
    5. Especifique os alvos da regra.
      • Se quiser aplicar a regra a todas as instâncias na rede, escolha Todas as instâncias na rede.
      • Se quiser que a regra se aplique a instâncias selecionadas por Etiquetas, escolha Etiquetas seguras. Clique em SELECIONAR ÂMBITO e selecione a organização ou o projeto no qual quer criar pares chave-valor de etiquetas. Introduza os pares de chaves-valores aos quais a regra se aplica. Para adicionar mais pares de chave-valor, clique em ADICIONAR ETIQUETA.
      • Se quiser que a regra se aplique a instâncias selecionadas por uma conta de serviço associada, escolha Conta de serviço, indique se a conta de serviço está no projeto atual ou noutro em Âmbito da conta de serviço e escolha ou escreva o nome da conta de serviço no campo Conta de serviço de destino.

    6. Para uma regra de entrada, especifique o filtro de origem:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer origem IPv6.
      • Para limitar a origem por etiquetas, clique em SELECIONAR ÂMBITO na secção Etiquetas. Selecione a organização ou o projeto no qual quer criar etiquetas. Introduza os pares de chave-valor aos quais a regra se aplica. Para adicionar mais pares de chave-valor, clique em ADICIONAR ETIQUETA.

    7. Para uma regra de saída, especifique o filtro de destino:

      • Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer destino IPv6.

    8. Opcional: se estiver a criar uma regra de entrada, especifique os FQDNs de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os FQDNs de destino aos quais esta regra se aplica. Para mais informações sobre objetos de nomes de domínios, consulte o artigo Objetos de nomes de domínios.

    9. Opcional: se estiver a criar uma regra de entrada, selecione as geolocalizações de origem às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as geolocalizações de destino às quais esta regra se aplica. Para mais informações sobre objetos de geolocalização, consulte o artigo Objetos de geolocalização.

    10. Opcional: se estiver a criar uma regra de entrada, selecione os grupos de endereços de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os grupos de endereços de destino aos quais esta regra se aplica. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.

    11. Opcional: se estiver a criar uma regra de entrada, selecione as listas de inteligência contra ameaças do Google Cloud às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as listas de inteligência contra ameaças do Google Cloud às quais esta regra se aplica. Para mais informações acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.

    12. Opcional: para uma regra de entrada, especifique os filtros de destino:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e introduza os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte o artigo Destino para regras de entrada.

    13. Opcional: para uma regra de Saída, especifique o filtro Origem:

      • Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte o artigo Origem das regras de saída.

    14. Para Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a que protocolos e portas de destino se aplica.

    15. Clique em Criar.

  6. Clique em Adicionar regra para adicionar outra regra. Clique em Continuar > Associar política a redes VPC para associar a política a uma rede ou clique em Criar para criar a política.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Substitua o seguinte:

  • PRIORITY: a ordem de avaliação numérica da regra

    As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Uma boa prática é atribuir números de prioridade às regras que permitam a inserção posterior (como 100, 200 e 300).

  • ACTION: uma das seguintes ações:

    • allow: permite ligações que correspondem à regra
    • deny: nega as ligações que correspondem à regra
    • goto_next: passa a avaliação da associação para o nível seguinte na hierarquia, que pode ser uma pasta ou a rede

  • POLICY_NAME: o nome da política de firewall de rede

  • PROTOCOL_PORT: uma lista separada por vírgulas de nomes ou números de protocolos (tcp,17), protocolos e portas de destino (tcp:80) ou protocolos e intervalos de portas de destino (tcp:5000-6000)

    Não pode especificar uma porta ou um intervalo de portas sem um protocolo. Para ICMP, não pode especificar uma porta nem um intervalo de portas. Por exemplo:

    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Para mais informações, consulte os protocolos e as portas.

  • TARGET_SECURE_TAG: uma lista separada por vírgulas de etiquetas seguras para definir destinos

  • SERVICE_ACCOUNT: uma lista separada por vírgulas de contas de serviço para definir alvos

  • DIRECTION: indica se a regra é uma regra INGRESS ou EGRESS; a predefinição é INGRESS

    • Inclua --src-ip-ranges para especificar intervalos de IP para a origem do tráfego
    • Inclua --dest-ip-ranges para especificar intervalos de IP para o destino do tráfego

    Para mais informações, consulte os artigos alvos, origem e destino.

  • SRC_NETWORK_TYPE: indica o tipo de tráfego de rede de origem ao qual a regra de entrada é aplicada. Pode definir este argumento para um dos seguintes valores:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Para limpar o valor deste argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte o artigo Tipos de redes.

  • SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC

    Só pode usar o --src-networks quando o --src-network-type estiver definido como VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica o tipo de tráfego de rede de destino ao qual a regra de saída é aplicada. Pode definir este argumento para um dos seguintes valores:

    • INTERNET
    • NON_INTERNET

    Para limpar o valor deste argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte o artigo Tipos de redes.

  • IP_RANGES: uma lista separada por vírgulas de intervalos de IP formatados em CIDR, todos os intervalos IPv4 ou todos os intervalos IPv6. Exemplos:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: uma lista separada por vírgulas de etiquetas.

    Não pode usar etiquetas seguras de origem se o tipo de rede estiver definido como INTERNET.

  • COUNTRY_CODE: uma lista separada por vírgulas de códigos de países de duas letras

    • Para a direção de entrada, especifique os códigos de países de origem na flag --src-region-code. Não pode usar a flag --src-region-code para a direção de saída nem quando o --src-network-type está definido como NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Para a direção de saída, especifique os códigos dos países de destino na flag --dest-region-code. Não pode usar a flag --dest-region-code para a direção de entrada.

  • LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence

    • Para a direção de entrada, especifique as listas de inteligência contra ameaças da Google de origem na flag --src-threat-intelligence. Não pode usar a flag --src-threat-intelligence para a direção de saída nem quando o --src-network-type está definido como NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Para a direção de saída, especifique as listas de inteligência contra ameaças da Google de destino na flag --dest-threat-intelligence. Não pode usar a flag --dest-threat-intelligence para a direção de entrada.

  • ADDR_GRP_URL: um identificador de URL exclusivo para o grupo de endereços

    • Para a direção de entrada, especifique os grupos de endereços de origem na flag --src-address-groups; não pode usar a flag --src-address-groups para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-address-groups. Não pode usar o parâmetro --dest-address-groups para a direção de entrada

  • DOMAIN_NAME: uma lista de nomes de domínios separados por vírgulas no formato descrito em Formato do nome de domínio

    • Para a direção de entrada, especifique os nomes dos domínios de origem na flag --src-fqdns. Não pode usar a flag --src-fqdns para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-fqdns. Não pode usar o parâmetro --dest-fqdns para a direção de entrada

  • --enable-logging e --no-enable-logging: ativa ou desativa o registo de regras de firewall para a regra especificada

  • --disabled: indica que a regra de firewall, embora exista, não deve ser considerada ao processar ligações; omitir esta flag ativa a regra ou pode especificar --no-disabled

  • REGION_NAME: uma região na qual aplicar a política

Atualize uma regra

Para ver descrições dos campos, consulte o artigo Crie regras de firewall de rede.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

  5. Clique em Edit.

  6. Modifique os campos que quer alterar.

  7. Clique em Guardar.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Descreva uma regra

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua o seguinte:

  • PRIORITY: a prioridade da regra que quer ver. Uma vez que cada regra tem de ter uma prioridade única, esta definição identifica uma regra de forma exclusiva
  • POLICY_NAME: o nome da política que contém a regra
  • REGION_NAME: uma região na qual aplicar a política.

Elimine uma regra de uma política

A eliminação de uma regra de uma política remove a regra de todas as VMs que herdam a regra.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que quer eliminar.

  5. Clique em Eliminar.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua o seguinte:

  • PRIORITY: a prioridade da regra que quer eliminar da política
  • POLICY_NAME: a política que contém a regra
  • REGION_NAME: uma região na qual aplicar a política

Clone regras de uma política para outra

Remova todas as regras da política de destino e substitua-as pelas regras da política de origem.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política da qual quer copiar regras.

  4. Clique em Clonar na parte superior do ecrã.

  5. Indique o nome de uma política de segmentação.

  6. Clique em Continuar > Associar política de rede a recursos se quiser associar a nova política imediatamente.

  7. Clique em Clonar.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Substitua o seguinte:

  • POLICY_NAME: a política para receber as regras copiadas
  • SOURCE_POLICY: a política a partir da qual copiar as regras; tem de ser o URL do recurso
  • REGION_NAME: uma região na qual aplicar a política

Obtenha políticas de firewall de rede regionais eficazes

Pode ver todas as regras da política de firewall hierárquica, as regras de firewall da VPC e a política de firewall de rede aplicada a uma região especificada.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Substitua o seguinte:

  • REGION_NAME: a região para a qual quer ver as regras efetivas.
  • NETWORK_NAME: a rede para a qual quer ver as regras eficazes.