Tabelas de firewall

Uma tabela de firewall lista regras para filtrar o tráfego de rede de e para recursos de nuvem privada. As regras do firewall controlam o tráfego de rede entre uma rede de origem ou endereço IP e uma rede de destino ou endereço IP.

Depois de configurar sua tabela de firewall e regras de firewall, é possível anexar a tabela a uma sub-rede para aplicar as regras correspondentes. É possível aplicar uma tabela de firewall a várias sub-redes, mas uma sub-rede só pode ser associada a uma tabela de firewall.

As tabelas de firewall são usadas para controlar o acesso a endereços IP externos. Para todos os outros controles de acesso, gerencie as configurações de firewall no data center NSX-T. Para detalhes, consulte Firewall no modo de administrador.

Como criar uma tabela de firewall

  1. Acesse o portal do Google Cloud VMware Engine.
  2. Acesse Rede > Tabelas de firewall.
  3. Clique em Criar nova tabela de firewall.
  4. Insira um nome para a tabela.
  5. Opcionalmente, adicione regras de firewall. Cada tabela de firewall começa com um conjunto de regras de firewall padrão.
  6. Clique em Concluído para salvar a tabela de firewall.

Como anexar uma tabela de firewall a uma sub-rede

Depois de definir uma tabela de firewall, é possível especificar as sub-redes que estão sujeitas às regras na tabela.

  1. Na página Rede > Tabelas de firewall, selecione uma tabela de firewall.
  2. Selecione a guia Sub-redes anexadas.
  3. Clique em Anexar a uma sub-rede.
  4. Selecione a nuvem privada a que você quer anexar a tabela de firewall.
  5. Selecione a sub-rede NsxtEdgeUplink1 dessa nuvem privada.
  6. Clique em Enviar.
  7. Repita as etapas acima para a sub-rede NsxtEdgeUplink2 dessa nuvem privada.

Regras de firewall

As regras de firewall determinam como o firewall trata tipos específicos de tráfego. A guia Regras de uma tabela de firewall selecionada lista todas as regras associadas.

Para criar uma regra de firewall, siga estas etapas:

  1. Acesse Rede > Tabelas de firewall.
  2. Selecione a tabela de firewall.
  3. Clique em Criar nova regra.
  4. Defina as propriedades de regra de firewall desejadas.
  5. Clique em Concluído para salvar a regra e adicioná-la à lista de regras da tabela de firewall.

Regras com estado

Uma regra de firewall com estado rastreia as conexões que passam por ela. Uma regra com estado cria um registro de fluxo para conexões existentes. A comunicação é permitida ou negada com base no estado da conexão do registro de fluxo. Use esse tipo de regra para endereços IP públicos para filtrar o tráfego pela Internet.

Regras de firewall padrão

Cada tabela de firewall tem as seguintes regras de firewall padrão.

Prioridade Nome Direção Tipo de tráfego Protocolo Origem. Porta de origem Destino Porta de destino Ação
65000 allow-tcp-to-internet Saída Tráfego do IP público ou da Internet TCP Tudo Tudo Tudo Tudo Permitir
65001 allow-udp-to-internet Saída Tráfego do IP público ou da Internet UDP Tudo Tudo Tudo Tudo Permitir
65002 allow-icmp-to-internet Saída Tráfego do IP público ou da Internet ICMP Tudo Tudo Tudo Tudo Permitir
65100 deny-all-from-internet Entrada Tráfego do IP público ou da Internet Todos os protocolos Tudo Tudo Tudo Tudo Recusar
65101 allow-all-to-intranet Saída Tráfego interno ou VPN da nuvem privada Todos os protocolos Tudo Tudo Tudo Tudo Permitir
65102 allow-all-from-intranet Entrada Tráfego interno ou VPN da nuvem privada Todos os protocolos Tudo Tudo Tudo Tudo Permitir

Propriedades da regra de firewall

A tabela a seguir descreve as propriedades em uma regra de firewall.

Propriedade Descrição
Nome Um nome que identifica exclusivamente a regra de firewall e sua finalidade.
Prioridade Um número entre 100 e 4.096, com 100 sendo a prioridade mais alta. As regras são processadas em ordem de prioridade. Quando o tráfego encontra uma correspondência de regra, o processamento da regra é interrompido. As regras com prioridades mais baixas que têm os mesmos atributos que as regras com prioridades mais altas não são processadas. Tome cuidado para evitar regras conflitantes.
Protocolo Protocolo de Internet coberto pela regra.
Direção Se a regra se aplica ao tráfego de entrada ou saída. É preciso definir regras separadas para tráfego de entrada e saída.
Ação Permita ou negue para o tipo de tráfego definido na regra.
Origem Um endereço IP, bloco de roteamento entre domínios sem classe (CIDR, na sigla em inglês), 10.0.0.0/24, por exemplo, ou Qualquer um.
Intervalo de porta da origem Porta de origem do tráfego de rede. Você pode especificar uma porta individual ou um intervalo de portas, como 443 ou 8000-8080. Especificar um intervalo permite criar menos regras de segurança.
Destino Um endereço IP, um bloco CIDR (10.0.0.0/24, por exemplo) ou Qualquer um.
Intervalo de porta do destino Porta em que o tráfego de rede flui. Você pode especificar uma porta individual ou um intervalo de portas, como 443 ou 8000-8080. Especificar um intervalo permite criar menos regras de segurança.