Nesta página, presumimos que você conheça os conceitos descritos na Visão geral das políticas de firewall de rede regional.
Tarefas de política de firewall
Criar uma política de firewall de rede regional
É possível criar uma política para qualquer rede VPC no seu projeto. Depois de criar uma política, é possível associá-la a qualquer rede VPC no projeto. Depois de associada, as regras da política ficam ativas para as VMs na rede associada.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione seu projeto na organização.
Clique em Criar política de firewall.
Dê um Nome à política.
Em Escopo da implantação, selecione Regional. Selecione a região em que você quer criar essa política de firewall.
Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra.
Para mais detalhes, consulte Como criar regras de firewall.
Para associar a política a uma rede, clique em Continuar e em Associar a política a redes VPC.
Para mais detalhes, consulte Como associar uma política a uma rede VPC.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Substitua:
NETWORK_FIREWALL_POLICY_NAME
: um nome para a política.DESCRIPTION
: uma descrição da política.REGION_NAME
: uma região que você quer aplicar à política.
Associar uma política à rede
Associe uma política a uma rede para ativar as regras da política para qualquer VM nessa rede.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associações.
Selecione as redes no projeto.
Clique em Associar.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ --name ASSOCIATION_NAME \ --firewall-policy-region=REGION_NAME \ [ --replace-association-on-target true ]
Substitua:
POLICY_NAME
: o nome curto ou o nome da política gerado pelo sistemaNETWORK_NAME
: o nome da redeASSOCIATION_NAME
: um nome opcional para a associação. Se não for especificado, o nome será definido comonetwork-NETWORK_NAME
.REGION_NAME
: uma região para aplicar a política.
Descrever uma política de firewall de rede regional
É possível ver todos os detalhes de uma política, incluindo todas as regras de firewall. Além disso, é possível ver muitos atributos que estão em todas as regras da política. Esses atributos contam para um limite por política.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique na sua política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Atualizar uma descrição de política de firewall de rede regional
O único campo de política que pode ser atualizado é Descrição.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique na sua política.
Clique em Editar.
Modifique a Descrição.
Clique em Salvar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Listar políticas de firewall de rede regional
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
A seção Políticas de firewall de rede mostra as políticas disponíveis no projeto.
gcloud
gcloud compute network-firewall-policies list \ --regions=LIST_OF_REGIONS
Excluir uma política de firewall da rede regional
Você precisa excluir todas as associações em uma política de firewall de rede antes de excluí-la.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associações.
Depois que todas as associações forem removidas, clique em Excluir.
gcloud
Liste todas as redes associadas a uma política de firewall:
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Exclua associações individuais. Para remover a associação, você precisa ter o papel
compute.SecurityAdmin
na rede VPC associada.gcloud compute network-firewall-policies associations delete \ --network-firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Exclua a política:
gcloud compute network-firewall-policies delete POLICY_NAME \ --region=REGION_NAME
Excluir uma associação
Para interromper a aplicação de uma política de firewall em uma rede, exclua a associação.
No entanto, se você pretende trocar uma política de firewall por outra, não é necessário excluir a associação existente primeiro. Isso deixaria um período em que nenhuma política é aplicada. Em vez disso, substitua a política existente ao associar uma nova política.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione seu projeto ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associações.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --firewall-policy-region REGION_NAME
Tarefas de regras de política de firewall
Criar regras de firewall de rede
As regras da política de firewall de rede precisam ser criadas em uma política de firewall de rede regional. As regras não estarão ativas até que você associe a política que contém a uma rede VPC.
Cada regra de política de firewall de rede pode incluir intervalos IPv4 ou IPv6, mas não ambos.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique no nome da política regional.
Em Regras de firewall, clique em Criar.
Preencha os campos da regra:
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0
é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como100
,200
,300
). - Defina a coleção Registros como Ativado ou Desativado.
- Em Direção do tráfego, escolha entrada ou saída.
- Em Ação se houver correspondência, especifique se as conexões que correspondem à regra são permitidas (Permitir), negadas (Negar) ou se a avaliação da conexão é transmitida para a próxima regra de firewall inferior na hierarquia (Ir para a próxima).
- Especifique os Destinos da regra.
- Se você quiser que a regra se aplique a todas as instâncias na rede, escolha Todas as instâncias na rede.
- Para que a regra se aplique a determinadas instâncias por tags, escolha Tags seguras. Clique em SELECIONAR ESCOPO e escolha a organização ou o projeto em que você quer criar pares de chave-valor de tag. Insira os pares de chave-valor aos quais a regra será aplicada. Para adicionar mais pares de chave-valor, clique em ADICIONAR TAG.
- Para que a regra se aplique a determinadas instâncias por uma conta de serviço associada, escolha Conta de serviço, indique se a conta está no projeto atual ou em outro em Escopo da conta de serviço e escolha ou digite o nome dessa conta no campo Conta de serviço de destino.
- Para uma regra de entrada, especifique o filtro de origem:
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use
0.0.0.0/0
para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6
e insira os blocos CIDR no campo
Intervalo de IP. Use
::/0
para qualquer origem IPv6. - Para limitar a origem por tags, clique em SELECIONAR ESCOPO na seção Tags. Selecione a organização ou o projeto em que você quer criar tags. Insira os pares de chave-valor a que a regra se aplicará. Para adicionar mais pares de chave-valor, clique em ADICIONAR TAG.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use
- Para uma regra de saída, especifique o filtro de destino:
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
0.0.0.0/0
para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6
e insira os blocos CIDR no campo
Intervalo de IP. Use
::/0
para qualquer destino IPv6.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
- Opcional: se você estiver criando uma regra de Entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos de nome de domínio.
- Opcional: se você estiver criando uma Regra de entrada, selecione a Geolocalização de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione as Geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte este link.
- Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.
- Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para mais informações sobre o Threat Intelligence do Google, consulte Threat Intelligence do Google para regras de política de firewall.
Opcional: para uma regra de entrada, especifique os filtros de destino:
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
0.0.0.0/0
para qualquer destino IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione
Intervalos IPv6 e insira os blocos CIDR no campo
Intervalos IPv6 de destino. Use
::/0
para qualquer destino IPv6. Para mais informações, consulte Destino das regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
Opcional: para uma regra de saída, especifique o filtro de origem:
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
0.0.0.0/0
para qualquer origem IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6
e insira os blocos CIDR no campo
Intervalo de IP. Use
::/0
para qualquer origem IPv6. Para mais informações, consulte Origem das regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino ela se aplica.
Clique em Criar.
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que
Clique em Adicionar regra para adicionar outra regra. Clique em Continuar > Associar política a redes VPC para associar a política a uma rede ou clique em Criar para criar a política.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--description DESCRIPTION ] \ [--layer4-configs PROTOCOL_PORT] \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--enable-logging | --no-enable-logging] \ [--disabled | --no-disabled] \ --firewall-policy-region=REGION_NAME
Substitua:
PRIORITY
: a ordem de avaliação numérica da regra.As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0
é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como100
,200
,300
).ACTION
: uma das seguintes ações:allow
: permite conexões que correspondem à regradeny
: nega conexões que correspondem à regragoto_next
: transmite a avaliação da conexão para o próximo nível da hierarquia, seja uma pasta ou a rede
POLICY_NAME
: o nome da política de firewall de redePROTOCOL_PORT
: uma lista separada por vírgulas de nomes ou números de protocolo (tcp,17
), protocolos e portas de destino (tcp:80
) ou protocolos e intervalos de portas de destino (tcp:5000-6000
)Não é possível especificar uma porta ou um intervalo de portas sem um protocolo. Para ICMP, não é possível especificar uma porta ou intervalo de portas. Exemplo:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Para mais informações, consulte Protocolos e portas.
TARGET_SECURE_TAG
: uma lista separada por vírgulas de tags seguras para definir destinosSERVICE_ACCOUNT
: uma lista separada por vírgulas de contas de serviço para definir metasDIRECTION
: indica se a regra éingress
ouegress
. O padrão éingress
- Inclua
--src-ip-ranges
para especificar intervalos de IP para a origem do tráfego - Inclua
--dest-ip-ranges
para especificar intervalos de IP para o destino do tráfego
- Inclua
SRC_NETWORK_SCOPE
: indica o escopo do tráfego de rede de origem a que a regra de entrada é aplicada. É possível definir esse argumento como um dos seguintes valores:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Para limpar o valor desse argumento, use uma string vazia. Um valor vazio indica todos os escopos de rede. Para mais informações, consulte Entender os tipos de escopo de rede.
SRC_VPC_NETWORK
: uma lista de redes VPC separada por vírgulasSó é possível usar
--src-networks
quando--src-network-scope
está definido comoVPC_NETWORKS
.DEST_NETWORK_SCOPE
: indica o escopo do tráfego de rede de destino a que a regra de saída é aplicada. É possível definir esse argumento como um dos seguintes valores:INTERNET
NON_INTERNET
Para limpar o valor desse argumento, use uma string vazia. Um valor vazio indica todos os escopos de rede. Para mais informações, consulte Entender os tipos de escopo de rede.
IP_RANGES
: uma lista separada por vírgulas de intervalos de IP em formato CIDR, todos os intervalos IPv4 ou todos os intervalos IPv6. Exemplos:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: uma lista separada por vírgulas de tags.Não é possível usar tags de origem seguras se o escopo da rede estiver definido como
INTERNET
.COUNTRY_CODE
: uma lista separada por vírgulas de códigos de países com duas letras.- Para a direção de entrada, especifique os códigos de países de origem na
flag
--src-region-code
. Não é possível usar a flag--src-region-code
para a direção de saída ou quando o--src-network-scope
é definido comoNON_INTERNET
,VPC_NETWORK
ouINTRA_VPC
. - Para a direção de saída, especifique os códigos de país de destino na
flag
--dest-region-code
. Não é possível usar a flag--dest-region-code
para a direção de entrada ou quando o--dest-network-scope
é definido comoNON_INTERNET
.
- Para a direção de entrada, especifique os códigos de países de origem na
flag
LIST_NAMES
: um nome separado por vírgulas das listas do Google Threat Intelligence- Para a direção de entrada, especifique as listas de origem do Google Threat Intelligence
na flag
--src-threat-intelligence
. Não é possível usar a flag--src-threat-intelligence
para a direção de saída ou quando o--src-network-scope
está definido comoNON_INTERNET
,VPC_NETWORK
ouINTRA_VPC
. - Para a direção de saída, especifique as listas de destino do Google Threat Intelligence
na flag
--dest-threat-intelligence
. Não é possível usar a flag--dest-threat-intelligence
para a direção de entrada ou quando o--dest-network-scope
é definido comoNON_INTERNET
.
- Para a direção de entrada, especifique as listas de origem do Google Threat Intelligence
na flag
ADDR_GRP_URL
: um identificador exclusivo de URL para o grupo de endereços- Para a direção de entrada, especifique os grupos de endereços de origem na
flag
--src-address-groups
. Não é possível usar a flag--src-address-groups
para a direção de saída - Para a direção de saída, especifique os grupos de endereços de destino
na flag
--dest-address-groups
. Não é possível usar a flag--dest-address-groups
na direção de entrada
- Para a direção de entrada, especifique os grupos de endereços de origem na
flag
DOMAIN_NAME
: uma lista separada por vírgulas de nomes de domínio no formato descrito em Formato do nome de domínio.- Para a direção de entrada, especifique os nomes de domínio de origem na
flag
--src-fqdns
. Não é possível usar a flag--src-fqdns
para a direção de saída - Para a direção de saída, especifique os grupos de endereços de destino
na flag
--dest-fqdns
. Não é possível usar a flag--dest-fqdns
na direção de entrada
- Para a direção de entrada, especifique os nomes de domínio de origem na
flag
--enable-logging
e--no-enable-logging
: ativam ou desativam a geração de registros de regras de firewall para a regra especificada--disabled
: indica que a regra de firewall, embora ela exista, não deve ser considerada ao processar conexões. Remover essa sinalização ativa a regra. Também é possível especificar--no-disabled
.REGION_NAME
: uma região para aplicar a política.
Atualizar uma regra
Para descrições de campos, consulte Como criar regras de firewall.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Editar.
Modifique os campos que você quer alterar.
Clique em Salvar.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME \ [...fields you want to modify...]
Descrever uma regra
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Substitua:
PRIORITY
: a prioridade da regra que você quer visualizar. Como cada regra precisa ter uma prioridade única, essa configuração identifica exclusivamente uma regraPOLICY_NAME
: o nome da política que contém a regraREGION_NAME
: uma região para aplicar a política.
Excluir uma regra de uma política
A exclusão de uma regra de uma política remove a regra de todas as VMs que herdam a regra.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Substitua:
PRIORITY
: a prioridade da regra que você quer excluir da políticaPOLICY_NAME
: a política que contém a regraREGION_NAME
: uma região para aplicar a política.
Clonar regras de uma política para outra
Remova todas as regras da política de destino e as substitua pelas regras da política de origem.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o projeto que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Clique em Continuar > Associar política de rede a recursos para associar a nova política imediatamente.
Clique em Clone.
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --region=REGION_NAME
Substitua:
POLICY_NAME
: a política que deve receber as regras copiadasSOURCE_POLICY
: a política da qual copiar as regras. Precisa ser o URL do recursoREGION_NAME
: uma região para aplicar a política.
Obter políticas de firewall de rede regional efetivas
Veja todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma região especificada.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \ --region=REGION_NAME \ --network=NETWORK_NAME
Substitua:
REGION_NAME
: a região para a qual você quer visualizar as regras vigentes.NETWORK_NAME
: a rede para a qual você quer visualizar as regras vigentes.