Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Regras da política de firewall

Ao criar uma regra de política de firewall, você especifica um conjunto de componentes que define o que a regra faz. Esses componentes especificam as características da direção do tráfego, origem, destino e Camada 4, como protocolo e porta de destino (se o protocolo usa portas).

Cada regra de política de firewall se aplica a conexões de entrada (entrada) ou de saída (saída), não a ambas.

Regras de entrada

A direção de entrada se refere às conexões de entrada enviadas de origens específicas para os destinos do Google Cloud. As regras de entrada se aplicam a pacotes de entrada, em que o destino deles é o destino.

Uma regra de entrada com a ação deny protege todas as instâncias ao bloquear as conexões recebidas. Uma regra de prioridade mais alta pode permitir o acesso de entrada. Uma rede padrão criada automaticamente inclui algumas regras de firewall da VPC pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.

Regras de saída

A direção de saída refere-se ao tráfego de saída enviado de um destino para um destino. Regras de saída se aplicam a pacotes de novas sessões em que a origem do pacote é a meta.

Uma regra de saída com a ação allow permite que uma instância envie tráfego para os destinos especificados na regra. A saída pode ser negada por regras de firewall deny de prioridade mais alta. O Google Cloud também bloqueia ou limita determinados tipos de tráfego.

Componentes da regra de política de firewall

As regras das políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional usam os componentes descritos nesta seção. O termo política de firewall refere-se a qualquer um desses três tipos de políticas. Para mais informações sobre os tipos de políticas de firewall, consulte Políticas de firewall.

As regras de política de firewall geralmente funcionam da mesma forma que as regras de firewall da VPC, mas há algumas diferenças, conforme descrito nas seções a seguir.

Prioridade

A prioridade de uma regra em uma política de firewall é um número inteiro de 0 a 2.147.483.647, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. A prioridade de uma regra em uma política de firewall é semelhante à prioridade de uma regra de firewall da VPC, com as seguintes diferenças:

  • Cada regra de uma política de firewall precisa ter uma prioridade exclusiva.
  • A prioridade de uma regra em uma política de firewall serve como identificador exclusivo da regra. As regras das políticas de firewall não usam nomes para identificação.
  • A prioridade de uma regra em uma política de firewall define a ordem de avaliação na própria política de firewall. As regras de firewall da VPC e as regras em políticas hierárquicas de firewall, políticas de firewall de rede global e de rede regional são avaliadas, conforme descrito em Ordem de avaliação de regras e políticas.

Ação se houver correspondência

Uma regra em uma política de firewall pode ter uma das três ações a seguir:

  • O allow permite o tráfego e interrompe outras avaliações de regra.
  • deny não permite tráfego e interrompe a avaliação de regras.
  • goto_next continua o processo de avaliação de regras.

Aplicação

Para escolher se uma regra de política de firewall é aplicada, defina o estado dela como ativado ou desativado. Você define o estado de aplicação ao criar uma regra ou atualizar uma regra.

Se você não definir um estado de aplicação ao criar uma nova regra de firewall, ela será automaticamente.

Origem, destino e meta

É possível especificar parâmetros de origem e parâmetros de destino que se aplicam às origens ou aos destinos de pacotes para regras de firewall de entrada e saída. A direção da regra de firewall determina os valores possíveis para os parâmetros de origem e destino.

Os parâmetros de meta identificam as interfaces de rede das instâncias a que a regra de firewall se aplica.

Os parâmetros meta, origem e destino funcionam juntos.

Metas

O parâmetro de meta identifica as interfaces de rede das instâncias do Compute Engine, incluindo nós do GKE e instâncias do ambiente flexível do App Engine.

É possível definir metas para as regras de entrada ou saída. As opções de destino válidas dependem do tipo de política de firewall.

Destinos para regras de política de firewall hierárquicas

As regras da política hierárquica de firewall são compatíveis com as seguintes metas:

  • Meta padrão mais ampla: Quando você omite a especificação de destino em uma regra de política de firewall hierárquica, a regra de firewall se aplica a todas as instâncias em todas as redes VPC em todos os projetos no nó do Resource Manager (pasta ou organização) associado à política de firewall. Esse é o conjunto mais amplo de metas.

  • Redes específicas:se você especificar uma ou mais redes VPC usando o parâmetro target-resources, o conjunto mais amplo de metas será restrito a VMs com uma interface de rede em pelo menos uma das redes VPC especificadas.

  • Instâncias identificadas por conta de serviço: se você especificar uma ou mais contas de serviço usando o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito a VMs que usam uma das contas de serviço especificadas.

  • Redes e instâncias específicas identificadas pela conta de serviço: se você especificar os parâmetros target-resources e target-service-accounts, o conjunto mais amplo de destinos será restrito às VMs que atendam aos dois critérios a seguir:

    • As VMs têm uma interface de rede em uma das redes VPC especificadas.
    • As VMs usam uma das contas de serviço especificadas.

Destinos para regras de política de firewall de rede global

As regras de política de firewall de rede global oferecem suporte às seguintes metas:

  • Meta padrão: todas as instâncias na rede VPC: quando você omitir a especificação de meta em uma regra da política de firewall de rede global, a regra de firewall se aplicará a instâncias que tenham uma interface de rede na Rede VPC associada à política. As instâncias podem estar localizadas em qualquer região. Esse é o conjunto mais amplo de destinos.

  • Instâncias por tags seguras de meta: se você especificar tags de meta com o parâmetro target-secure-tags, o conjunto mais amplo de destinos será restrito para incluir apenas aqueles VMs vinculadas às tags.

  • Instâncias por contas de serviço de meta: se você especificar contas de serviço com o parâmetro target-service-accounts, o conjunto de metas mais amplo será restrito para incluir apenas as VMs que usam uma das contas de serviço especificadas.

Destinos para regras de política de firewall de rede regional

As regras da política de firewall da rede regional têm suporte às seguintes metas:

  • Meta padrão: todas as instâncias na rede VPC: quando você omitir a especificação de meta em uma regra da política de firewall de rede global, a regra de firewall se aplicará a instâncias que tenham uma interface de rede na Rede VPC associada à política. As instâncias precisam estar na mesma região da política. Esse é o conjunto mais amplo de metas.

  • Instâncias por tags seguras de meta: se você especificar tags de meta com o parâmetro target-secure-tags, o conjunto mais amplo de destinos será restrito para incluir apenas aqueles VMs vinculadas às tags.

  • Instâncias por contas de serviço de meta: se você especificar contas de serviço com o parâmetro target-service-accounts, o conjunto de metas mais amplo será restrito para incluir apenas as VMs que usam uma das contas de serviço especificadas.

Metas e endereços IP para regras de entrada

Os pacotes roteados para a interface de rede de uma VM de meta são processados com base nas seguintes condições:

  • Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote precisará caber em um dos intervalos de endereços IP de destino explicitamente definidos (recurso de visualização).

  • Se a regra de firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote precisará corresponder a um dos seguintes endereços IP:

    • O endereço IPv4 interno principal atribuído à NIC da instância.

    • Qualquer intervalo de endereços IP de alias configurado na NIC da instância.

    • O endereço IPv4 externo associado à NIC da instância.

    • Se IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC.

    • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para balanceamento de carga de passagem, em que a instância é um back-end para um balanceador de carga TCP/UDP interno ou um balanceador de carga de rede.

    • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para encaminhamento de protocolos, em que a instância é referenciada por uma instância de meta.

    • Um endereço IP dentro do intervalo de destino de uma rota estática personalizada usando a instância como uma VM de próximo salto (next-hop-instance ou next-hop-address).

    • Um endereço IP no intervalo de destino de uma rota estática personalizada usando um próximo salto de balanceador de carga TCP/UDP interno (next-hop-ilb), se a VM for um back-end para esse balanceador de carga.

Metas e endereços IP para regras de saída

O processamento de pacotes emitidos pela interface de rede de uma meta depende da configuração de encaminhamento de IP na VM de meta. O encaminhamento de IP é desativado por padrão.

  • Quando a VM de meta tem o encaminhamento de IP desativado, a VM pode emitir pacotes com as seguintes fontes:

    • O endereço IPv4 interno principal da NIC de uma instância.

    • Qualquer intervalo de endereços IP de alias configurado na NIC de uma instância.

    • Se IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à NIC.

    • Um endereço IP interno ou externo associado a uma regra de encaminhamento, para balanceamento de carga de passagem ou encaminhamento de protocolo, se a instância for um back-end de um balanceador de carga TCP/UDP interno, de um balanceador de carga de rede ou for referenciada por uma instância de meta.

    Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de meta ainda estarão limitadas aos endereços IP de origem mencionados anteriormente, mas o parâmetro de origem poderá ser usado para refinar esse conjunto (recurso de visualização). O uso de um parâmetro de origem sem ativar o encaminhamento de IP não expande o conjunto de endereços de origem do pacote possíveis.

    Se a regra de firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente serão permitidos.

  • Quando a VM de meta tem o encaminhamento de IP ativado, a VM pode emitir pacotes com endereços de origem arbitrários. Você pode usar o parâmetro de origem para definir com mais precisão o conjunto de origens de pacotes permitidas.

Origens

Os valores dos parâmetros de origem dependem dos seguintes fatores:

  • Tipo de política de firewall que contém a regra de firewall
  • Direção da regra de firewall

Origens para regras de entrada em políticas hierárquicas de firewall

É possível usar os seguintes recursos para regras de entrada em políticas hierárquicas de firewall:

  • Intervalo de origem padrão: quando você omite uma especificação de origem em uma regra de entrada, o Google Cloud usa o intervalo de endereços IPv4 de origem padrão 0.0.0.0/0 (qualquer endereço IPv4). O valor padrão não inclui origens IPv6.

  • Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

  • Geolocalizações: uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de país ou região de duas letras para filtrar o tráfego de entrada. Para mais informações, consulte Objetos de geolocalização.

  • Listas do Threat Intelligence: uma lista com um ou mais nomes de listas do Threat Intelligence predefinidas. Para mais informações, consulte Threat Intelligence para regras de política de firewall.

  • Grupos de endereços de origem: uma lista de um ou mais grupos de endereços de origem que consistem em CIDRs de IPv4 ou CIDRs de IPv6. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

  • Nomes de domínio de origem: uma lista com um ou mais nomes de domínio de origem. Para mais informações sobre nomes de domínio, consulte Nome de domínio para políticas de firewall.

  • Uma combinação de origem válida: é possível especificar várias combinações das origens anteriores nas regras de entrada. O conjunto de origem efetivo é uma união dessas combinações.

    Quando você especifica uma combinação de origens em uma regra de entrada, a regra é aplicada a um pacote que corresponde a pelo menos um dos critérios de parâmetro de origem.

    Siga estas diretrizes ao definir as combinações de origem para uma regra:

    • Não use intervalos de endereços IPv4 e IPv6 de origem na mesma regra.
    • Não use um grupo de endereços de origem que contenha CIDRs IPv4 com outro grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv4 de origem e um grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv6 de origem e um grupo de endereços de origem que contenha CIDRs IPv4 na mesma regra.

Origens para regras de entrada nas políticas de firewall da rede

É possível usar as origens a seguir para regras de entrada em políticas de firewall de rede globais e regionais:

  • Intervalo de origem padrão: quando você omite uma especificação de origem em uma regra de entrada, o Google Cloud usa o intervalo de endereços IPv4 de origem padrão 0.0.0.0/0 (qualquer endereço IPv4). O valor padrão não inclui origens IPv6.

  • Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

  • Geolocalizações: uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de país ou região de duas letras para filtrar o tráfego de entrada. Para mais informações, consulte Objetos de geolocalização.

  • Listas do Threat Intelligence: uma lista com um ou mais nomes de listas do Threat Intelligence predefinidas. Para mais informações, consulte Threat Intelligence para regras de política de firewall.

  • Grupos de endereços de origem: uma lista de um ou mais grupos de endereços de origem que consistem em CIDRs IPv4 ou CIDRs IPv6. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

  • Nomes de domínio de origem: uma lista com um ou mais nomes de domínio de origem. Para mais informações sobre nomes de domínio, consulte Nome de domínio para políticas de firewall.

  • Tags seguras de origem: uma ou mais tags seguras que identificam interfaces de rede de instâncias de VM na mesma rede VPC a que a política de firewall de rede se aplica ou em uma rede VPC conectada à rede da política de firewall usando peering de rede VPC. Além disso, se for uma política de firewall de rede regional, as instâncias de VM precisarão estar na mesma região que a política.

  • Uma combinação de origem válida: é possível especificar várias combinações das origens anteriores nas regras de entrada. O conjunto de origem efetivo é uma união dessas combinações.

    Quando você especifica uma combinação de origens em uma regra de entrada, a regra é aplicada a um pacote que corresponde a pelo menos um dos critérios de parâmetro de origem.

    Siga estas diretrizes ao definir as combinações de origem para uma regra:

    • Não use intervalos de endereços IPv4 e IPv6 de origem na mesma regra.
    • Não use um grupo de endereços de origem que contenha CIDRs IPv4 com outro grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv4 de origem e um grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv6 de origem e um grupo de endereços de origem que contenha CIDRs IPv4 na mesma regra.

Como as tags de origem seguras implicam origens de pacotes

As regras de entrada nas políticas de firewall de rede global e regional podem especificar origens usando tags seguras. Cada tag segura está associada a uma única rede VPC. A tag segura só poderá ser vinculada a uma VM se esta tiver uma interface de rede na mesma rede VPC a que a tag segura está associada.

As regras da política de firewall com tags seguras são aplicadas da seguinte maneira:

  • As regras de entrada em uma política de rede global se aplicam aos pacotes emitidos pela interface de rede de uma VM vinculada à tag, em que a VM atende a um dos seguintes critérios:

    • A interface de rede da VM usa a mesma rede VPC que a política de firewall.
    • A interface de rede da VM usa uma rede VPC conectada à rede VPC da política de firewall usando o peering de rede VPC.
  • As regras de entrada em uma política de rede regional se aplicam aos pacotes emitidos pela interface de rede de uma VM vinculada à tag, em que a VM na mesma região da política de firewall atende a um dos seguintes critérios:

    • A interface de rede da VM usa a mesma rede VPC que a política de firewall.
    • A interface de rede da VM usa uma rede VPC conectada à rede VPC da política de firewall usando peering de rede VPC.

Além de especificar uma interface de rede, os seguintes endereços IP de origem são resolvidos:

  • O endereço IPv4 interno principal dessa interface de rede
  • Todos os endereços IPv6 atribuídos a essa interface de rede

Nenhum outro endereço IP de origem do pacote é resolvido ao usar tags de origem seguras. Por exemplo, intervalos de endereços IP do alias e endereços IPv4 externos associados à interface de rede são excluídos. Se você precisar criar regras de firewall de entrada com origens que incluam intervalos de endereços IP de alias ou endereços IPv4 externos, use intervalos de endereços IPv4 de origem.

Origens para regras de saída

É possível usar as origens a seguir para regras de saída nas políticas de firewall hierárquicas e de rede:

Destinos

Os destinos podem ser especificados usando intervalos de endereços IP, que são compatíveis com as regras de entrada e saída nas políticas hierárquicas e de rede de firewall. O comportamento de destino padrão depende da direção da regra.

Destinos para regras de entrada

É possível usar os destinos a seguir para regras de firewall de entrada nas políticas de firewall hierárquicos e de rede:

Destinos para regras de saída

É possível usar os destinos a seguir para regras de firewall de saída em políticas de firewall hierárquica e de rede:

  • Intervalo de destino padrão: quando você omite uma especificação de destino em uma regra de saída, o Google Cloud usa o intervalo de endereços IPv4 de destino padrão 0.0.0.0/0 (qualquer endereço IPv4). O valor padrão não inclui destinos IPv6.

  • Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

  • Geolocalizações: uma lista de uma ou mais localizações geográficas de destino especificadas como códigos de país ou região de duas letras para filtrar o tráfego de entrada. Para mais informações, consulte Objetos de geolocalização.

  • Listas do Threat Intelligence: uma lista de um ou mais nomes de listas do Threat Intelligence predefinidos. Para mais informações, consulte Threat Intelligence para regras de política de firewall.

  • Grupos de endereços de destino: uma lista de um ou mais grupos de endereços de destino que consistem em CIDRs IPv4 ou CIDRs IPv6. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

  • Nomes de domínio de destino: uma lista de um ou mais nomes de domínio de destino. Para mais informações sobre nomes de domínio, consulte Nome de domínio para políticas de firewall.

  • Uma combinação de destino válida: é possível especificar várias combinações dos destinos anteriores nas regras de entrada. O conjunto de destino efetivo é uma união dessas combinações.

    Quando você especifica uma combinação de destinos em uma regra de saída, a regra é aplicada a um pacote que corresponde a pelo menos um dos critérios de parâmetro de destino.

    Siga estas diretrizes ao definir as combinações de destino para uma regra:

    • Não use intervalos de endereços IPv4 e IPv6 de destino na mesma regra.
    • Não use um grupo de endereços de destino que contenha CIDRs IPv4 com outro grupo de endereços de destino que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv4 de destino e um grupo de endereços de destino que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv6 de destino e um grupo de endereços de destino que contenha CIDRs IPv4 na mesma regra.

Protocolos e portas

Assim como nas regras de firewall da VPC, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra. Ao especificar o TCP ou o UDP em uma regra, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.

Você pode usar os seguintes nomes de protocolo em regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números do protocolo IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e no IPv6, mas alguns protocolos, como o ICMP, não. Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para o ICMP IPv6, use o número de protocolo 58.

As regras de firewall não aceitam a especificação de tipos e códigos de ICMP, apenas o protocolo.

O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Se você não especificar parâmetros de porta e protocolo, a regra será aplicada a todos os protocolos e portas.

Geração de registros

A geração de registros para regras da política hierárquica de firewall funciona da mesma forma que a geração de registros de regras de firewall da VPC, exceto:

  • O campo de referência inclui o ID da política de firewall e um número que indica o nível hierárquico do nó a que a política está anexada. Por exemplo, 0 significa que a política é aplicada a uma organização, e 1 significa que a política é aplicada a uma pasta de nível superior na organização.

  • Os registros das regras da política hierárquica de firewall incluem um campo target_resource que identifica as redes VPC às quais a regra se aplica.

  • A geração de registros pode ser ativada somente para as regras allow e deny. Não é possível ativá-la para regras goto_next.

Objetos de geolocalização

Use objetos de geolocalização em regras de política de firewall para filtrar o tráfego IPv4 e IPv6 externo com base em regiões ou localizações geográficas específicas.

É possível aplicar regras com objetos de geolocalização ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos códigos de países têm correspondência com a origem ou o destino do tráfego.

  • É possível configurar objetos de geolocalização para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

  • Para adicionar geolocalizações às regras da política de firewall, use os códigos de país ou região de duas letras, conforme definido nos códigos de país ISO 3166 alfa-2.

    Por exemplo, se você quiser permitir o tráfego de entrada apenas dos EUA na rede, crie uma regra de política de firewall de entrada com o código do país de origem definido como US e a ação definida como allow. Da mesma forma, se você quiser permitir o tráfego de saída somente para os EUA, configure uma regra da política de firewall de saída com o código do país de destino definido como US e a ação definida como allow.

  • Se houver códigos de país duplicados incluídos em uma única regra de firewall, apenas uma entrada será mantida. A entrada duplicada será removida. Por exemplo, na lista de código de país ca,us,us, apenas ca,us será mantido.

  • O Google mantém um banco de dados com endereços IP e mapeamentos de código de país. Os firewalls do Google Cloud usam esse banco de dados para mapear os endereços IP do tráfego de origem e destino para o código de país e aplicar a regra de política de firewall correspondente com objetos de geolocalização.

  • Às vezes, as atribuições de endereço IP e os códigos de país mudam devido às seguintes condições:

    Pode levar algum tempo para que essas mudanças sejam aplicadas ao banco de dados do Google. Por isso, talvez você veja algumas interrupções e alterações de tráfego no comportamento para que um tráfego seja bloqueado ou permitido.

Usar objetos de geolocalização com outros filtros de regra de política de firewall

É possível usar objetos de geolocalização com outros filtros de origem ou destino. Dependendo da direção da regra, a regra da política de firewall é aplicada ao tráfego de entrada ou saída que corresponde à união de todos os filtros especificados.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de origem nas regras de entrada, consulte Origens de regras de entrada em políticas hierárquicas de firewall e Origens de regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Threat Intelligence para regras de política de firewall

As regras de política de firewall permitem proteger a rede, permitindo ou bloqueando o tráfego com base nos dados do Threat Intelligence. Os dados do Threat Intelligence incluem listas de endereços IP com base nas seguintes categorias:

  • Nós de saída do Tor: Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a própria identidade, bloqueie os endereços IP dos nós de saída do Tor (endpoints em que o tráfego sai da rede do Tor).
  • Endereços IP maliciosos conhecidos: endereços IP conhecidos como origem de ataques de aplicativos da Web. Para melhorar a postura de segurança do seu aplicativo, bloqueie esses endereços IP.
  • Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
  • Intervalos de endereços IP de nuvem pública: esta categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem aplicativos da Web ou pode ser permitida se o serviço usar outras nuvens públicas. Essa categoria é dividida nas seguintes subcategorias:
    • Intervalo de endereços IP usado pelo Amazon Web Services
    • Intervalo de endereços IP usado pelo Microsoft Azure
    • Intervalo de endereços IP usado pelo Google Cloud

As listas de dados do Threat Intelligence podem incluir endereços IPv4, endereços IPv6 ou ambos. Para configurar o Threat Intelligence nas regras da política de firewall, use os nomes predefinidos da lista do Threat Intelligence com base na categoria que você quer permitir ou bloquear. Essas listas são atualizadas continuamente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os nomes de listas válidos são os seguintes.

Nome da lista Descrição
iplist-tor-exit-nodes Corresponde aos endereços IP dos nós de saída do TOR
iplist-known-malicious-ips Correspondem a endereços IP conhecidos por atacar apps da Web
iplist-search-engines-crawlers Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
Correspondem a endereços IP que pertencem às nuvens públicas
  • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Corresponde aos intervalos de endereços IP usados pelo Google Cloud

Usar o Threat Intelligence com outros filtros da regra de política de firewall

Para definir uma regra de política de firewall com o Threat Intelligence, siga estas diretrizes:

  • Para regras de saída, especifique a origem usando uma ou mais listas do Threat Intelligence de origem.

  • Para regras de entrada, especifique o destino usando uma ou mais listas do Threat Intelligence de destino.

  • É possível configurar as listas do Threat Intelligence para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

  • É possível usar essas listas com outros componentes de filtro da regra de origem ou destino.

    Para informações sobre como as listas do Threat Intelligence funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

    Para informações sobre como as listas do Threat Intelligence funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

  • A geração de registros de firewall é feita no nível da regra. Para facilitar a depuração e a análise do efeito das regras de firewall, não inclua várias listas do Threat Intelligence em uma única regra de firewall.

Como criar exceções para listas do Threat Intelligence

Se você tiver regras que se aplicam a listas do Threat Intelligence, use as seguintes técnicas para criar regras de exceção aplicáveis a determinados endereços IP em uma lista do Threat Intelligence:

  • Lista de permissões seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que negue pacotes de ou para uma lista do Threat Intelligence. Para permitir pacotes de ou para um endereço IP selecionado nessa lista do Threat Intelligence, crie uma regra de firewall de permissão de entrada ou saída de prioridade mais alta separada que especifique o endereço IP de exceção como uma origem ou um destino.

  • Lista de negações seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que permita pacotes de ou para uma lista do Threat Intelligence. Para negar pacotes de ou para um endereço IP selecionado nessa lista do Threat Intelligence, crie uma regra de firewall de negação de entrada ou saída de prioridade mais alta que especifique o endereço IP da exceção como uma origem ou um destino.

Grupos de endereços para políticas de firewall

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. É possível usar grupos de endereços para definir origens ou destinos consistentes indicados por muitas regras de firewall. Os grupos de endereços podem ser atualizados sem modificar as regras de firewall que os utilizam. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

É possível definir grupos de endereços de origem e destino para as regras de firewall de entrada e saída respectivamente.

Para informações sobre como os grupos de endereços de origem funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada nas políticas de firewall de rede.

Para informações sobre como os grupos de endereços de destino funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Objetos FQDN

Use objetos de nome de domínio totalmente qualificado (FQDN, na sigla em inglês) em regras de política de firewall para filtrar o tráfego de entrada ou saída de ou para domínios específicos.

É possível aplicar regras de política de firewall que usam objetos FQDN ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos nomes de domínio correspondem à origem ou ao destino do tráfego.

  • É possível configurar objetos FQDN em regras de política de firewall para políticas hierárquicas de firewall, políticas de firewall de rede global e regional.

  • É preciso especificar objetos FQDN na sintaxe padrão de FQDN. Para mais informações sobre formatos de nome de domínio, consulte Formato de nome de domínio.

  • Os nomes de domínio especificados nas regras de política de firewall são resolvidos em endereços IP com base na ordem de resolução de nomes VPC do Cloud DNS. O Cloud DNS notificará o firewall do Google Cloud se houver alterações nos resultados de resolução do nome de domínio. Em seguida, o firewall do Google Cloud atualiza a política de firewall com os resultados mais recentes de resolução de nomes.

  • Se dois nomes de domínio forem resolvidos para o mesmo endereço IP, a regra da política de firewall será aplicada a esse endereço IP, não apenas a um domínio. Em outras palavras, os objetos FQDN são entidades da Camada 3.

  • Também é possível usar os nomes DNS internos do Compute Engine nas regras da política de firewall de rede. No entanto, verifique se a rede não está configurada para usar um servidor de nomes alternativo na política do servidor de saída.

  • Se você quiser adicionar nomes de domínio personalizados às suas regras de política de firewall de rede, use as zonas gerenciadas do Cloud DNS para resolução de nomes de domínio. No entanto, verifique se a rede não está configurada para usar um servidor de nomes alternativo na política de servidor de saída. Para mais informações sobre gerenciamento de zonas, consulte Criar, modificar e excluir zonas.

Limitações

As limitações a seguir são aplicáveis às regras de firewall de entrada e saída que usam objetos FQDN:

  • O firewall do Google Cloud atualiza a política de firewall com os resultados mais recentes de resolução de nomes em um intervalo periódico de 30 segundos.

  • Se você migrou uma VM recentemente ou a reiniciou, pode levar até 30 segundos para que as regras da política de firewall que usam objetos FQDN sejam aplicadas a essa VM.

  • Os objetos FQDN não são compatíveis com nomes de domínios curinga (*) e de nível superior (raiz). Por exemplo, *.example.com. e .org não são compatíveis.

É possível usar objetos FQDN em regras de política de firewall de entrada. É preciso considerar as seguintes limitações ao definir objetos FQDN para regras de entrada:

  • Um nome de domínio pode ter no máximo 32 endereços IP. As consultas DNS que são resolvidas para mais de 32 endereços IP são truncadas para incluir apenas 32 desses endereços IP resolvidos. Portanto, não inclua nomes de domínio que sejam resolvidos para mais de 32 endereços IP nas regras da política de firewall de entrada.

  • Algumas consultas de nome de domínio têm respostas únicas com base no local do cliente solicitante. O local em que a resolução de DNS da regra da política de firewall é executada é a região do Google Cloud que contém a VM a que a regra da política de firewall se aplica.

  • Não use regras de entrada que usem objetos FQDN se os resultados de resolução do nome de domínio forem altamente variáveis ou se a resolução do nome de domínio usar uma forma de balanceamento de carga baseado em DNS. Por exemplo, muitos nomes de domínio do Google usam um esquema de balanceamento de carga baseado em DNS.

Limitações durante o pré-lançamento

  • Os objetos FQDN para regras de política de firewall ignoram endereços IPv6 nos resultados da resolução de nome de domínio.

  • A VM e o firewall do Google Cloud podem ter resultados de resolução inconsistentes para um nome de domínio especificado por um curto período. Durante esse período, o firewall do Google Cloud filtra o tráfego com base nos dados de resolução disponíveis.

Usar objetos FQDN com outros filtros de regra de política de firewall

Em uma regra de política de firewall, é possível definir objetos FQDN com outros filtros de origem ou destino.

Para informações sobre como os objetos FQDN funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos FQDN funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Formato de nome de domínio

Os firewalls de VPC são compatíveis com o formato de nome de domínio, conforme definido na RFC 1035, na RFC 1123 e na RFC 4343 (links em inglês).

Para adicionar nomes de domínio a regras de política de firewall, siga estas diretrizes de formatação:

  • O nome de domínio precisa conter pelo menos dois rótulos descritos desta forma:

    • Cada rótulo contém expressões regulares que incluem apenas estes caracteres: [a-z]([-a-z0-9]*[a-z0-9])?..
    • Cada rótulo tem de 1 a 63 caracteres.
    • Os rótulos são concatenados com um ponto (.).
  • O tamanho máximo do nome de domínio codificado não pode exceder 255 bytes (octetos).

  • Também é possível adicionar um Nome de domínio internacional (IDN, na sigla em inglês) às regras da política de firewall.

  • Os nomes de domínio precisam estar nos formatos Unicode ou Punycode.

  • Se você especificar um IDN no formato Unicode, o firewall do Google Cloud o converterá para o formato Punycode antes do processamento. Como alternativa, use a ferramenta de conversão do IDN para acessar a representação de Punycode do IDN.

  • O firewall do Google Cloud não oferece suporte a nomes de domínio equivalentes na mesma regra de política de firewall. Depois de converter o nome de domínio em Punycode, se os dois nomes de domínio forem diferentes por um ponto final, eles serão considerados equivalentes.

Cenários de exceção de FQDN

Ao usar objetos FQDN nas regras da política de firewall, você pode encontrar as seguintes exceções durante a resolução de nome do DNS:

  • Nome de domínio inválido: se você especificar um ou mais nomes de domínio que usam um formato inválido ao criar uma regra de política de firewall, um erro será exibido. Não é possível criar a regra de política de firewall a menos que todos os nomes de domínio estejam formatados corretamente.

  • O nome de domínio não existe (NXDOMAIN): se o nome de domínio não existir, o Google Cloud excluirá o objeto FQDN da regra da política de firewall.

  • Nenhuma resolução de endereço IP: se o nome de domínio não for resolvido para nenhum endereço IP, o objeto FQDN será ignorado.

  • O servidor do Cloud DNS não está acessível: se um servidor DNS não estiver acessível, as regras da política de firewall que usam objetos FQDN serão aplicadas somente se os resultados de resolução de DNS armazenados em cache anteriormente estiverem disponíveis. Os objetos FQDN da regra serão ignorados se não houver resultados de resolução de DNS em cache ou se os resultados de DNS em cache tiverem expirado.

A seguir