Tabelas de firewall

Uma tabela de firewall lista regras para filtrar o tráfego de rede de e para recursos de nuvem privada. As regras do firewall controlam o tráfego de rede entre uma rede de origem ou endereço IP e uma rede de destino ou endereço IP.

Depois de configurar sua tabela de firewall e regras de firewall, é possível anexar a tabela a uma sub-rede para aplicar as regras correspondentes. É possível aplicar uma tabela de firewall a várias sub-redes, mas uma sub-rede só pode ser associada a uma tabela de firewall.

As tabelas de firewall só podem ser aplicadas a sub-redes de gerenciamento. Para sub-redes que contenham VMs de carga de trabalho, gerencie as configurações de firewall no data center NSX-T. Para detalhes, consulte Firewall no modo de administrador.

Como criar uma tabela de firewall

  1. Acesse o portal do Google Cloud VMware Engine
  2. Acesse Rede > Tabelas de firewall.
  3. Clique em Criar nova tabela de firewall.
  4. Insira um nome para a tabela.
  5. Opcionalmente, adicione regras de firewall. Cada tabela de firewall começa com um conjunto de regras de firewall padrão.
  6. Clique em Concluído para salvar a tabela de firewall.

Como anexar uma tabela de firewall a uma sub-rede

Depois de definir uma tabela de firewall, é possível especificar as sub-redes que estão sujeitas às regras na tabela.

  1. Na página Rede > Tabelas de firewall, selecione uma tabela de firewall.
  2. Abra a guia Sub-redes anexadas.
  3. Clique em Anexar a uma sub-rede.
  4. Selecione a nuvem e a sub-rede privada. Se as regras criadas pelo usuário na tabela se aplicarem apenas a endereços IP públicos ou à Internet, anexe a tabela à sub-rede Gerenciamento do sistema.
  5. Clique em Enviar.

Regras de firewall

As regras de firewall determinam como o firewall trata tipos específicos de tráfego. A guia Regras de uma tabela de firewall selecionada lista todas as regras associadas.

Para criar uma regra de firewall, siga estas etapas:

  1. Acesse Rede > Tabelas de firewall.
  2. Selecione a tabela de firewall.
  3. Clique em Criar nova regra.
  4. Defina as propriedades de regra de firewall desejadas.
  5. Clique em Concluído para salvar a regra e adicioná-la à lista de regras da tabela de firewall.

Regras sem estado

Uma regra de firewall sem estado analisa apenas pacotes individuais e os filtra com base na regra. Use regras sem estado para o tráfego entre os seguintes pontos:

  • Sub-redes de nuvens privadas
  • Sub-rede local e uma sub-rede de nuvem privada
  • Tráfego da Internet das nuvens privadas

Regras com estado

Uma regra de firewall com estado rastreia as conexões que passam por ela. Uma regra com estado cria um registro de fluxo para conexões existentes. A comunicação é permitida ou negada com base no estado da conexão do registro de fluxo. Use esse tipo de regra para endereços IP públicos para filtrar o tráfego pela Internet.

Regras de firewall padrão

Cada tabela de firewall tem as seguintes regras de firewall padrão.

Prioridade Nome Rastreamento com estado Direção Tipo de tráfego Protocolo Origem Porta de origem Destino Porta de destino Ação
65000 allow-all-to-internet Com estado Saída Tráfego do IP público ou da Internet Tudo Tudo Tudo Tudo Tudo Allow
65001 deny-all-from-internet Com estado Entrada Tráfego do IP público ou da Internet Tudo Tudo Tudo Tudo Tudo Negar
65002 allow-all-to-intranet Sem estado Saída Tráfego interno ou VPN da nuvem privada Tudo Tudo Tudo Tudo Tudo Allow
65003 allow-all-from-intranet Sem estado Entrada Tráfego interno ou VPN da nuvem privada Tudo Tudo Tudo Tudo Tudo Permitir

Propriedades da regra de firewall

A tabela a seguir descreve as propriedades em uma regra de firewall.

Parâmetro Detalhes
Nome Um nome que identifica exclusivamente a regra de firewall e sua finalidade.
Prioridade Um número entre 100 e 4.096, com 100 sendo a prioridade mais alta. As regras são processadas em ordem de prioridade. Quando o tráfego encontra uma correspondência de regra, o processamento da regra é interrompido. As regras com prioridades mais baixas que têm os mesmos atributos que as regras com prioridades mais altas não são processadas. Tome cuidado para evitar regras conflitantes.
Tipo de tráfego O rastreamento pode ser sem estado (nuvem privada, Internet ou VPN) ou com estado (IP público).
Protocolo Se a regra abrange o protocolo TCP ou UDP.
Direção Se a regra se aplica ao tráfego de entrada ou saída. É preciso definir regras separadas para tráfego de entrada e saída.
Ação Permita ou negue para o tipo de tráfego definido na regra.
Origem Um endereço IP, bloco de roteamento entre domínios sem classe (CIDR, na sigla em inglês), 10.0.0.0/24, por exemplo, ou Qualquer um. Especificar um intervalo, uma tag de serviço ou um grupo de segurança do aplicativo permite criar menos regras de segurança.
Intervalo de porta da origem Porta de origem do tráfego de rede. Você pode especificar uma porta individual ou um intervalo de portas, como 443 ou 8000-8080. Especificar um intervalo permite criar menos regras de segurança.
Destino Um endereço IP, um bloco CIDR (10.0.0.0/24, por exemplo) ou Qualquer um. Especificar um intervalo, uma tag de serviço ou um grupo de segurança do aplicativo permite criar menos regras de segurança.
Intervalo de porta do destino Porta em que o tráfego de rede flui. Você pode especificar uma porta individual ou um intervalo de portas, como 443 ou 8000-8080. Especificar um intervalo permite criar menos regras de segurança.