Políticas de firewall

As políticas de firewall permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas de uma só vez, controladas eficazmente pelas funções de gestão de identidade e de acesso (IAM). Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, tal como as regras de firewall da nuvem virtual privada (VPC).

Políticas de firewall hierárquicas

As políticas de firewall hierárquicas permitem agrupar regras num objeto de política que pode ser aplicado a muitas redes VPC num ou mais projetos. Pode associar políticas de firewall hierárquicas a uma organização inteira ou a pastas individuais.

Para ver as especificações e os detalhes da política de firewall hierárquica, consulte o artigo Políticas de firewall hierárquicas.

Políticas de firewall de rede globais

As políticas de firewall de rede global permitem-lhe agrupar regras num objeto de política aplicável a todas as regiões (global). Uma política de firewall não entra em vigor até ser associada a uma rede da VPC. Para associar uma política de firewall de rede global a uma rede, consulte o artigo Associe uma política à rede. Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem aplicar-se a recursos na rede VPC. Só pode associar uma política de firewall de rede a uma rede VPC.

Para ver as especificações e os detalhes da política de firewall de rede global, consulte o artigo Políticas de firewall de rede global.

Políticas de firewall de rede regionais

As políticas de firewall de rede regionais permitem-lhe agrupar regras num objeto de política aplicável a uma região específica. Uma política de firewall de rede regional não entra em vigor até ser associada a uma rede da VPC na mesma região. Para associar uma política de firewall de rede regional a uma rede, consulte o artigo Associe uma política à rede. Depois de associar uma política de firewall de rede regional a uma rede de VPC, as regras na política podem aplicar-se a recursos nessa região da rede de VPC.

Para ver as especificações e os detalhes da política de firewall regional, consulte o artigo Políticas de firewall de rede regionais.

Ordem de avaliação de políticas e regras

As regras nas políticas de firewall hierárquicas, nas políticas de firewall de rede global, nas políticas de firewall de rede regional e nas regras de firewall de VPC são implementadas como parte do processamento de pacotes de VMs da pilha de virtualização da rede Andromeda. As regras são avaliadas para cada interface de rede (NIC) da VM.

A aplicabilidade de uma regra não depende da especificidade da respetiva configuração de protocolos e portas. Por exemplo, uma regra de permissão de prioridade mais elevada para todos os protocolos tem precedência sobre uma regra de recusa de prioridade mais baixa específica para a porta 22.TCP

Além disso, a aplicabilidade de uma regra não depende da especificidade do parâmetro de destino. Por exemplo, uma regra de permissão de prioridade mais elevada para todas as VMs (todos os alvos) tem precedência, mesmo que exista uma regra de recusa de prioridade mais baixa com um parâmetro de alvo mais específico, por exemplo, uma conta de serviço ou uma etiqueta específica.

Determine a ordem de avaliação de políticas e regras

A ordem pela qual as regras da política de firewall e as regras de firewall da VPC são avaliadas é determinada pela flag networkFirewallPolicyEnforcementOrder da rede VPC associada à NIC da VM.

A flag networkFirewallPolicyEnforcementOrder pode ter os seguintes dois valores:

  • BEFORE_CLASSIC_FIREWALL: se definir a flag como BEFORE_CLASSIC_FIREWALL, a política de firewall de rede global e a política de firewall de rede regional são avaliadas antes das regras de firewall da VPC na ordem de avaliação das regras.

  • AFTER_CLASSIC_FIREWALL : se definir a flag como AFTER_CLASSIC_FIREWALL, a política de firewall de rede global e a política de firewall de rede regional são avaliadas após as regras de firewall da VPC na ordem de avaliação de regras. AFTER_CLASSIC_FIREWALL é o valor predefinido do sinalizador networkFirewallPolicyEnforcementOrder.

Para alterar a ordem de avaliação das regras, consulte o artigo Altere a ordem de avaliação das políticas e regras.

Ordem de avaliação de regras e políticas predefinida

Por predefinição e quando o networkFirewallPolicyEnforcementOrder da rede VPC associada à NIC da VM é AFTER_CLASSIC_FIREWALL, oGoogle Cloud avalia as regras aplicáveis à NIC da VM pela seguinte ordem:

  1. Se uma política de firewall hierárquica estiver associada à organização que contém o projeto da VM, Google Cloud avalia todas as regras aplicáveis na política de firewall hierárquica. Uma vez que as regras nas políticas de firewall hierárquicas têm de ser únicas, a regra de prioridade mais elevada que corresponda à direção do tráfego e às caraterísticas da camada 4 determina como o tráfego é processado:

    • A regra pode permitir o tráfego. O processo de avaliação é interrompido.

    • A regra pode recusar o tráfego. O processo de avaliação é interrompido.

    • A regra pode enviar o tráfego para inspeção da camada 7 (apply_security_profile_group) para o ponto final da firewall. A decisão de permitir ou rejeitar o pacote depende do ponto final da firewall e do perfil de segurança configurado. Em ambos os casos, o processo de avaliação de regras é interrompido.

    • A regra pode permitir o processamento de regras definidas conforme descrito nos passos seguintes se qualquer uma das seguintes condições for verdadeira:

      • Uma regra com uma ação goto_next corresponde ao tráfego.
      • Nenhuma regra corresponde ao tráfego. Neste caso, aplica-se uma regra goto_next implícita.

  2. Se uma política de firewall hierárquica estiver associada ao antepassado da pasta mais distante (superior) do projeto da VM, Google Cloud avalia todas as regras aplicáveis na política de firewall hierárquica para essa pasta. Uma vez que as regras nas políticas de firewall hierárquicas têm de ser únicas, a regra de prioridade mais elevada que corresponda à direção do tráfego e às caraterísticas da camada 4 determina como o tráfego é processado: allow, deny,, apply_security_profile_group, ou goto_next, conforme descrito no primeiro passo.

  3. Google Cloud repete as ações do passo anterior para uma política de firewall hierárquica associada à pasta seguinte mais próxima do projeto da VM na hierarquia de recursos. Google Cloud avalia primeiro as regras nas políticas de firewall hierárquicas associadas ao antepassado da pasta mais distante (mais próximo da organização) e, em seguida, avalia as regras nas políticas de firewall hierárquicas associadas à pasta seguinte (secundária) mais próxima do projeto da VM.

  4. Se existirem regras de firewall da VPC na rede VPC usada pela NIC da VM, Google Cloud avalia todas as regras de firewall da VPC aplicáveis.

    Ao contrário das regras nas políticas de firewall:

    • As regras de firewall da VPC não têm uma ação explícita goto_next nem apply_security_profile_group ação. Uma regra de firewall da VPC só pode ser configurada para permitir ou negar tráfego.

    • Duas ou mais regras de firewall da VPC numa rede da VPC podem partilhar o mesmo número de prioridade. Nessa situação, as regras de recusa têm precedência sobre as regras de permissão. Para mais detalhes sobre a prioridade das regras de firewall da VPC, consulte a secção Prioridade na documentação das regras de firewall da VPC.

    Se nenhuma regra de firewall da VPC se aplicar ao tráfego, Google Cloud continua para o passo seguinte: goto_nextimplícito.

  5. Se uma política de firewall de rede global estiver associada à NIC da rede VPC da VM, Google Cloud avalia todas as regras aplicáveis na política de firewall. Uma vez que as regras nas políticas de firewall têm de ser únicas, a regra de prioridade mais elevada que corresponda à direção do tráfego e às caraterísticas da camada 4 determina como o tráfego é processado: allow, deny,, apply_security_profile_group, ou goto_next, conforme descrito no primeiro passo.

  6. Se uma política de firewall de rede regional estiver associada à rede VPC da NIC da VM e à região da VM, Google Cloud avalia todas as regras aplicáveis na política de firewall. Uma vez que as regras nas políticas de firewall têm de ser únicas, a regra de prioridade mais elevada que corresponda à direção do tráfego e às caraterísticas da camada 4 determina como o tráfego é processado: allow, deny ou goto_next, conforme descrito no primeiro passo.

  7. Como passo final na avaliação,o serviço Google Cloud aplica as regras de firewall de VPC de permissão de saída implícita e negação de entrada implícita.

O diagrama seguinte mostra o fluxo de resolução das regras de firewall.

Fluxo de resolução de regras de firewall.
Figura 1. Fluxo de resolução de regras de firewall (clique para ampliar).

Altere a ordem de avaliação das políticas e das regras

Google Cloud oferece-lhe a opção de alterar o processo de avaliação de regras predefinido trocando a ordem das regras de firewall da VPC e das políticas de firewall de rede (globais e regionais). Quando faz esta troca, a política de firewall de rede global (passo 5) e a política de firewall de rede regional (passo 6) são avaliadas antes das regras de firewall da VPC (passo 4) na ordem de avaliação de regras.

Para alterar a ordem de avaliação das regras, execute o seguinte comando para definir o atributo networkFirewallPolicyEnforcementOrder da rede VPC como BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Para mais informações, consulte o método networks.patch.

Regras de firewall em vigor

As regras de políticas de firewall hierárquicas, as regras de firewall da VPC e as regras de políticas de firewall de rede globais e regionais controlam as ligações. Pode ser útil ver todas as regras de firewall que afetam uma rede individual ou uma interface de VM.

Regras de firewall eficazes da rede

Pode ver todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os seguintes tipos de regras:

  • Regras herdadas de políticas de firewall hierárquicas
  • Regras de firewall da VPC
  • Regras aplicadas a partir das políticas de firewall de rede globais e regionais

Regras de firewall eficazes da instância

Pode ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os seguintes tipos de regras:

  • Regras herdadas de políticas de firewall hierárquicas
  • Regras aplicadas a partir do firewall da VPC da interface
  • Regras aplicadas a partir das políticas de firewall de rede globais e regionais

As regras são ordenadas do nível da organização para baixo até à rede de VPC. Apenas são apresentadas as regras aplicáveis à interface da VM. As regras noutras políticas não são apresentadas.

Para ver as regras de política de firewall em vigor numa região, consulte o artigo Obtenha políticas de firewall em vigor para uma rede.

Regras predefinidas

Quando cria uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem da forma como cria a política.

Se criar uma política de firewall através da Google Cloud consola, o Cloud NGFW adiciona as seguintes regras à nova política:

  1. Regras de encaminhamento para intervalos IPv4 privados
  2. Regras de recusa predefinidas do Google Threat Intelligence
  3. Regras de recusa de geolocalização predefinidas
  4. Regras de transição para o passo seguinte com a prioridade mais baixa possível

Se criar uma política de firewall através da CLI Google Cloud ou da API, o Cloud NGFW adiciona apenas as regras goto-next com a prioridade mais baixa possível à política.

Todas as regras predefinidas numa nova política de firewall usam intencionalmente prioridades baixas (números de prioridade elevados) para que as possa substituir criando regras com prioridades mais elevadas. Exceto para as regras de encaminhamento para o passo seguinte com a prioridade mais baixa possível, também pode personalizar as regras predefinidas.

Regras de encaminhamento para intervalos de IPv4 privados

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de recusa predefinidas do Google Threat Intelligence

  • Uma regra de entrada com a lista de origens do Google Threat Intelligence iplist-tor-exit-nodes, a prioridade 1002 e a ação deny.

  • Uma regra de entrada com a lista de origens do Google Threat Intelligence iplist-known-malicious-ips, a prioridade 1003 e a ação deny.

  • Uma regra de saída com a lista de Google Threat Intelligence de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.

Regras de recusa de geolocalização predefinidas

  • Uma regra de entrada com geolocalizações de correspondência de origem CU,IR, KP, SY, XC, e XD, prioridade 1005 e ação deny.

Para saber mais acerca das geolocalizações, consulte o artigo Objetos de geolocalização.

Regras de encaminhamento para a seguinte com a prioridade mais baixa possível

Não pode modificar nem eliminar as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, a prioridade 2147483644 e a ação goto_next.

  • Uma regra de entrada com o intervalo IPv6 de origem ::/0, a prioridade 2147483645 e a goto_next ação.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, a prioridade 2147483646 e a ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, a prioridade 2147483647 e a goto_next ação.

O que se segue?