Regras da política de firewall

Ao criar uma regra de política de firewall, você especifica um conjunto de componentes que define o que a regra faz. Esses componentes especificam as características de direção do tráfego, origem, destino e Camada 4, como protocolo e porta de destino (se o protocolo usar portas).

Cada regra de política de firewall se aplica a conexões de entrada (entrada) ou de saída (saída), não a ambas.

Regras de entrada

A direção de entrada se refere às conexões de entrada enviadas de origens específicas para os destinos do Google Cloud. As regras de entrada se aplicam a pacotes de entrada, em que o destino deles é o destino.

Uma regra de entrada com a ação deny protege todas as instâncias ao bloquear as conexões recebidas. Uma regra de prioridade mais alta pode permitir o acesso de entrada. Uma rede padrão criada automaticamente inclui algumas regras de firewall da VPC pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.

Regras de saída

A direção de saída refere-se ao tráfego de saída enviado de um destino para um destino. Regras de saída se aplicam a pacotes de novas sessões em que a origem do pacote é o destino.

Uma regra de saída com a ação allow permite que uma instância envie tráfego para os destinos especificados na regra. A saída pode ser negada por regras de firewall deny de prioridade mais alta. O Google Cloud também bloqueia ou limita determinados tipos de tráfego.

Componentes da regra de política de firewall

As regras das políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional usam os componentes descritos nesta seção. O termo política de firewall refere-se a qualquer um desses três tipos de políticas. Para mais informações sobre os tipos de políticas de firewall, consulte Políticas de firewall.

As regras das políticas de firewall geralmente funcionam da mesma forma que as regras de firewall da VPC, mas há algumas diferenças, conforme descrito nas seções a seguir.

Prioridade

A prioridade de uma regra em uma política de firewall é um número inteiro de 0 a 2.147.483.647, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. A prioridade de uma regra em uma política de firewall é semelhante à prioridade de uma regra de firewall da VPC, com as seguintes diferenças:

  • Cada regra de uma política de firewall precisa ter uma prioridade exclusiva.
  • A prioridade de uma regra em uma política de firewall serve como identificador exclusivo da regra. As regras das políticas de firewall não usam nomes para identificação.
  • A prioridade de uma regra em uma política de firewall define a ordem de avaliação na própria política de firewall. As regras de firewall da VPC e as regras em políticas hierárquicas de firewall, políticas de firewall de rede global e de rede regional são avaliadas conforme descrito em Ordem de avaliação de regras e políticas.

Ação se houver correspondência

Uma regra em uma política de firewall pode ter uma das ações a seguir:

  • O allow permite o tráfego e interrompe outras avaliações de regra.
  • deny não permite tráfego e interrompe a avaliação de regras.
  • apply_security_profile_group intercepta o tráfego de maneira transparente e o envia para o endpoint de firewall configurado para a inspeção da camada 7.

Aplicação

Para escolher se uma regra de política de firewall é aplicada, defina o estado dela como ativado ou desativado. Você define o estado de aplicação ao criar uma regra ou atualizar uma regra.

Se você não definir um estado de aplicação obrigatória ao criar uma nova regra de firewall, ela será ativada automaticamente.

Protocolos e portas

Assim como nas regras de firewall da VPC, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra. Ao especificar o TCP ou o UDP em uma regra, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.

Você pode usar os seguintes nomes de protocolo em regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números do protocolo IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e IPv6, mas alguns protocolos, como o ICMP, não. Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para o ICMP IPv6, use o número de protocolo 58.

As regras de firewall não aceitam a especificação de tipos e códigos de ICMP, apenas o protocolo.

O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Se você não especificar parâmetros de protocolo e porta, a regra será aplicada a todos os protocolos e portas.

Geração de registros

A geração de registros de regras da política de firewall funciona da mesma forma que a geração de registros de regras de firewall para VPC, com as seguintes exceções:

  • O campo de referência inclui o ID da política de firewall e um número que indica o nível do recurso a que a política está anexada. Por exemplo, 0 significa que a política é aplicada a uma organização, e 1 significa que a política é aplicada a uma pasta de nível superior na organização.

  • Os registros das regras da política hierárquica de firewall incluem um campo target_resource que identifica as redes VPC às quais a regra se aplica.

  • A geração de registros pode ser ativada somente para as regras allow, deny e apply_security_profile_group. Não é possível ativá-la para regras goto_next.

Destino, origem, destino

Os parâmetros de meta identificam as interfaces de rede das instâncias a que a regra de firewall se aplica.

É possível especificar os parâmetros de origem e os parâmetros de destino que se aplicam às origens ou aos destinos do pacote para as regras de firewall de entrada e saída. A direção da regra de firewall determina os valores possíveis para os parâmetros de origem e destino.

Os parâmetros meta, origem e destino funcionam juntos.

Destinos

O parâmetro de destino identifica as interfaces de rede das instâncias do Compute Engine, incluindo nós do GKE e instâncias do ambiente flexível do App Engine.

É possível definir metas para regras de entrada ou saída. As opções de destino válidas dependem do tipo de política de firewall.

Destinos para regras de política de firewall hierárquicas

As regras da política hierárquica de firewall são compatíveis com as seguintes metas:

  • Destino padrão mais amplo: quando você omite a especificação de destino em uma regra da política hierárquica de firewall, a regra de firewall se aplica a todas as instâncias em todas as redes VPC em todos os projetos no nó do Resource Manager (pasta ou organização) associado à política de firewall. Esse é o conjunto mais amplo de destinos.

  • Redes específicas: se você especificar uma ou mais redes VPC usando o parâmetro target-resources, o conjunto mais amplo de destinos será restrito a VMs com uma interface de rede em pelo menos uma das redes VPC especificadas.

  • Instâncias identificadas por conta de serviço: se você especificar uma ou mais contas de serviço usando o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito a VMs que usam uma das contas de serviço especificadas.

  • Redes e instâncias específicas identificadas pela conta de serviço: se você especificar os parâmetros target-resources e target-service-accounts, o conjunto mais amplo de destinos será restrito às VMs que atendam aos dois critérios a seguir:

    • As VMs têm uma interface de rede em uma das redes VPC especificadas.
    • As VMs usam uma das contas de serviço especificadas.

Destinos para regras de política de firewall de rede global

As regras de política de firewall de rede global oferecem suporte às seguintes metas:

  • Destino padrão - Todas as instâncias na rede VPC: quando você omitir a especificação de destino em uma regra da política de firewall de rede global, a regra de firewall se aplicará a instâncias que tenham uma interface de rede na rede VPC associada à política. As instâncias podem estar localizadas em qualquer região. Esse é o conjunto mais amplo de destinos.

  • Instâncias por tags seguras de destino: se você especificar tags de destino com o parâmetro target-secure-tags, o conjunto mais amplo de destinos será restrito para incluir apenas aqueles VMs vinculadas às tags.

  • Instâncias por contas de serviço de destino: se você especificar contas de serviço com o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito para incluir apenas as VMs que usam uma das contas de serviço especificadas.

Destinos para regras de política de firewall de rede regional

As regras da política de firewall da rede regional têm suporte às seguintes metas:

  • Destino padrão - Todas as instâncias na região e rede VPC: quando você omite a especificação de destino em uma regra da política de firewall de rede regional, a regra de firewall se aplica a instâncias que têm uma interface de rede na rede VPC associada à política. As instâncias precisam estar localizadas na mesma região da política. Esse é o conjunto mais amplo de destinos.

  • Instâncias por tags seguras de destino: se você especificar tags de destino com o parâmetro target-secure-tags, o conjunto mais amplo de destinos será restrito para incluir apenas aqueles VMs vinculadas às tags.

  • Instâncias por contas de serviço de destino: se você especificar contas de serviço com o parâmetro target-service-accounts, o conjunto mais amplo de destinos será restrito para incluir apenas as VMs que usam uma das contas de serviço especificadas.

Metas e endereços IP para regras de entrada

Os pacotes roteados para a interface de rede de uma VM de meta são processados com base nas seguintes condições:

  • Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote precisará caber em um dos intervalos de endereços IP de destino explicitamente definidos.

  • Se a regra de firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote precisará corresponder a um dos seguintes endereços IP:

    • O endereço IPv4 interno principal atribuído à NIC da instância.

    • Qualquer intervalo de endereços IP de alias configurado na NIC da instância.

    • O endereço IPv4 externo associado à NIC da instância.

    • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

    • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para balanceamento de carga de passagem, em que a instância é um back-end para um balanceador de carga de rede de passagem interna ou um balanceador de carga de rede de passagem externa.

    • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para encaminhamento de protocolos, em que a instância é referenciada por uma instância de destino.

    • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa a instância como uma VM de próximo salto (next-hop-instance ou next-hop-address).

    • Um endereço IP no intervalo de destino de uma rota estática personalizada que usará um balanceador de carga de rede de passagem interna (next-hop-ilb) como próximo salto se a VM for um back-end para esse balanceador de carga.

Metas e endereços IP para regras de saída

O processamento de pacotes emitidos pela interface de rede de uma meta depende da configuração de encaminhamento de IP na VM de meta. O encaminhamento de IP é desativado por padrão.

  • Quando a VM de destino tem o encaminhamento de IP desativado, a VM pode emitir pacotes com as seguintes origens:

    • O endereço IPv4 interno principal da NIC de uma instância.

    • Qualquer intervalo de endereços IP de alias configurado na NIC de uma instância.

    • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

    • Um endereço IP interno ou externo associado a uma regra de encaminhamento, para balanceamento de carga de passagem ou encaminhamento de protocolo. Isso será válido se a instância for um back-end para um balanceador de carga de rede de passagem interna, um balanceador de carga de rede de passagem externa ou for referenciada por uma instância de destino.

    Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de destino ainda estarão limitadas aos endereços IP de origem mencionados anteriormente, mas o parâmetro de origem poderá ser usado para refinar esse conjunto. O uso de um parâmetro de origem sem ativar o encaminhamento de IP não expande o conjunto de possíveis endereços de origem do pacote.

    Se a regra de firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente serão permitidos.

  • Quando a VM de meta tem o encaminhamento de IP ativado, a VM pode emitir pacotes com endereços de origem arbitrários. Você pode usar o parâmetro de origem para definir com mais precisão o conjunto de origens de pacotes permitidas.

Fontes

Os valores dos parâmetros de origem dependem dos seguintes fatores:

  • Tipo de política de firewall que contém a regra de firewall
  • Direção da regra de firewall

Origens para regras de entrada em políticas hierárquicas de firewall

É possível usar as origens a seguir para regras de entrada em políticas hierárquicas de firewall:

  • Intervalo de origem padrão: quando você omite uma especificação de origem em uma regra de entrada, o Google Cloud usa o intervalo de endereços de origem IPv4 padrão 0.0.0.0/0 (qualquer endereço IPv4). O valor padrão não inclui origens IPv6.

  • Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

  • Geolocalizações: uma lista de uma ou mais localizações geográficas de origem especificadas como códigos regionais ou dos países com duas letras para filtrar o tráfego de entrada. Para mais informações, consulte Objetos de geolocalização.

  • Grupos de endereços de origem: uma lista de um ou mais grupos de endereços de origem que consistem em CIDRs IPv4 ou CIDRs IPv6. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

  • Nomes de domínio de origem: uma lista com um ou mais nomes de domínio de origem. Para mais informações sobre nomes de domínio, consulte Nome de domínio para políticas de firewall.

  • Uma combinação de origem válida: é possível especificar várias combinações das origens anteriores nas regras de entrada. O conjunto de origens efetivas é uma união dessas combinações.

    Quando você especifica uma combinação de origens em uma regra de entrada, a regra é aplicada a um pacote que corresponde a pelo menos um dos critérios de parâmetro de origem.

    Siga estas diretrizes ao definir as combinações de origem para uma regra:

    • Não use intervalos de endereços IPv4 e IPv6 de origem na mesma regra.
    • Não use um grupo de endereços de origem que contenha CIDRs IPv4 com outro grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv4 de origem e um grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv6 de origem e um grupo de endereços de origem que contenha CIDRs IPv4 na mesma regra.

Origens para regras de entrada nas políticas de firewall da rede

Use as origens a seguir para regras de entrada em políticas de firewall de rede globais e regionais:

  • Intervalo de origem padrão: quando você omite uma especificação de origem em uma regra de entrada, o Google Cloud usa o intervalo de endereços de origem IPv4 padrão 0.0.0.0/0 (qualquer endereço IPv4). O valor padrão não inclui origens IPv6.

  • Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

  • Geolocalizações: uma lista de uma ou mais localizações geográficas de origem especificadas como códigos regionais ou dos países com duas letras para filtrar o tráfego de entrada. Para mais informações, consulte Objetos de geolocalização.

  • Grupos de endereços de origem: uma lista de um ou mais grupos de endereços de origem que consistem em CIDRs IPv4 ou CIDRs IPv6. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

  • Nomes de domínio de origem: uma lista com um ou mais nomes de domínio de origem. Para mais informações sobre nomes de domínio, consulte Nome de domínio para políticas de firewall.

  • Tags seguras de origem: uma ou mais tags seguras que identificam interfaces de rede de instâncias de VM na mesma rede VPC a que a política de firewall de rede se aplica ou em uma rede VPC conectada à rede da política de firewall usando peering de rede VPC. Além disso, se for uma política de firewall de rede regional, as instâncias de VM precisarão estar na mesma região que a política.

  • Uma combinação de origem válida: é possível especificar várias combinações das origens anteriores nas regras de entrada. O conjunto de origens efetivas é uma união dessas combinações.

    Quando você especifica uma combinação de origens em uma regra de entrada, a regra é aplicada a um pacote que corresponde a pelo menos um dos critérios de parâmetro de origem.

    Siga estas diretrizes ao definir as combinações de origem para uma regra:

    • Não use intervalos de endereços IPv4 e IPv6 de origem na mesma regra.
    • Não use um grupo de endereços de origem que contenha CIDRs IPv4 com outro grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv4 de origem e um grupo de endereços de origem que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv6 de origem e um grupo de endereços de origem que contenha CIDRs IPv4 na mesma regra.

Como as tags de origem seguras implicam origens de pacotes

As regras de entrada nas políticas de firewall de rede global e regional podem especificar origens usando tags seguras. Cada tag segura é associada a uma única rede VPC. A tag segura só poderá ser vinculada a uma VM se a VM tiver uma interface de rede na mesma rede VPC a que a tag segura está associada.

As regras de entrada em políticas de rede globais e regionais se aplicam a pacotes emitidos pela interface de rede de uma VM vinculada à tag segura, em que a VM atende a um dos seguintes critérios:

  • A interface de rede da VM usa a mesma rede VPC que a política de firewall.

  • A interface de rede da VM usa uma rede VPC conectada à rede VPC da política de firewall usando peering de rede VPC.

Além de especificar uma interface de rede, os seguintes endereços IP de origem são resolvidos:

  • O endereço IPv4 interno principal da interface de rede.
  • Todos os endereços IPv6 atribuídos a essa interface de rede.

Se uma regra de firewall de entrada também contiver intervalos de endereços IP de destino, a interface de rede vinculada a uma tag segura será resolvida na mesma versão do IP que o intervalo de IPs de destino.

Nenhum outro endereço IP de origem do pacote é resolvido ao usar tags de origem seguras. Por exemplo, intervalos de endereços IP do alias e endereços IPv4 externos associados à interface de rede são excluídos. Se você precisar criar regras de firewall de entrada com origens que incluam intervalos de endereços IP de alias ou endereços IPv4 externos, use intervalos de endereços IPv4 de origem.

Origens para regras de saída

É possível usar as origens a seguir para regras de saída em políticas hierárquicas de firewall e políticas de firewall de rede:

  • Padrão - implícito pelo destino: se você omitir o parâmetro de origem de uma regra de saída, as origens de pacotes serão definidas implicitamente, conforme descrito em Destinos e endereços IP para regras de saída.

  • Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de origem às regras de saída:

  • Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.
  • Se você tiver um intervalo de endereços IP de origem e parâmetros de destino na regra de saída, eles serão resolvidos na mesma versão do IP que a versão do IP de origem.

    Por exemplo, em uma regra de saída, você tem um intervalo de endereços IPv4 no parâmetro de origem e um objeto FQDN no parâmetro de destino. Se o FQDN for resolvido em endereços IPv4 e IPv6, apenas o endereço IPv4 resolvido será usado durante a aplicação da regra.

Destinos

Os destinos podem ser especificados usando intervalos de endereços IP, que são compatíveis com regras de entrada e saída em políticas hierárquicas e de firewall de rede. O comportamento de destino padrão depende da direção da regra.

Destinos para regras de entrada

É possível usar os seguintes destinos para regras de firewall de entrada em políticas hierárquicas de firewall e de rede:

  • Padrão - implícito pelo destino: se você omitir o parâmetro de destino de uma regra de entrada, os destinos de pacote serão definidos implicitamente, conforme descrito em Destinos e endereços IP para regras de entrada.

  • Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de destino às regras de entrada:

Destinos para regras de saída

É possível usar os seguintes destinos para regras de firewall de saída em políticas de firewall hierárquicas e de rede:

  • Intervalo de destino padrão: quando você omite uma especificação de destino em uma regra de saída, o Google Cloud usa o intervalo de endereços IPv4 de destino padrão 0.0.0.0/0 (qualquer endereço IPv4). O valor padrão não inclui destinos IPv6.

  • Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

  • Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

  • Geolocalizações: uma lista de uma ou mais localizações geográficas de destino especificadas como códigos regionais ou dos países com duas letras para filtrar o tráfego de entrada. Para mais informações, consulte Objetos de geolocalização.

  • Grupos de endereços de destino: uma lista com um ou mais grupos de endereços de destino que consistem em CIDRs IPv4 ou CIDRs IPv6. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

  • Nomes de domínio de destino: uma lista com um ou mais nomes de domínio de destino. Para mais informações sobre nomes de domínio, consulte Nome de domínio para políticas de firewall.

  • Uma combinação de destinos válidos: é possível especificar várias combinações de destinos anteriores nas regras de entrada. O conjunto de destinos efetivos é uma união dessas combinações.

    Quando você especifica uma combinação de destinos em uma regra de saída, a regra é aplicada a um pacote que corresponde a pelo menos um dos critérios de parâmetro de destino.

    Siga estas diretrizes ao definir as combinações de destino para uma regra:

    • Não use intervalos de endereços IPv4 e IPv6 de destino na mesma regra.
    • Não use um grupo de endereços de destino que contenha CIDRs IPv4 com outro grupo de endereços de destino que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv4 de destino e um grupo de endereços de destino que contenha CIDRs IPv6 na mesma regra.
    • Não use intervalos de endereços IPv6 de destino e um grupo de endereços de destino que contenha CIDRs IPv4 na mesma regra.

Objetos de geolocalização

Use objetos de geolocalização em regras de política de firewall para filtrar o tráfego IPv4 e IPv6 externo com base em regiões ou localizações geográficas específicas.

É possível aplicar regras com objetos de geolocalização ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos códigos dos países fazem a correspondência com a origem ou o destino do tráfego.

  • É possível configurar objetos de geolocalização para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

  • Para adicionar geolocalizações às regras da política de firewall, use os códigos regionais ou dos países com duas letras, conforme definido nos códigos dos países ISO 3166 Alfa-2.

    Por exemplo, se você quiser permitir o tráfego de entrada apenas dos EUA na rede, crie uma regra da política de firewall de entrada com o código do país de origem definido como US e a ação definida como allow. Da mesma forma, se você quiser permitir o tráfego de saída somente para os EUA, configure uma regra da política de firewall de saída com o código do país de destino definido como US e a ação definida como allow.

  • O Cloud Next Generation Firewall permite configurar regras de firewall para os seguintes territórios sujeitos a sanções abrangentes dos EUA:

    Territórios Código atribuído
    Crimeia XC
    As chamadas República Popular de Donetsk e República Popular de Lugansk XD

  • Se houver códigos de país duplicados incluídos em uma única regra de firewall, apenas uma entrada será mantida. A entrada duplicada será removida. Por exemplo, na lista de código de país ca,us,us, apenas ca,us será mantido.

  • O Google mantém um banco de dados com endereços IP e mapeamentos de código de país. Os firewalls do Google Cloud usam esse banco de dados para mapear os endereços IP do tráfego de origem e destino com o código do país e aplicar a regra da política de firewall correspondente com objetos de geolocalização.

  • Às vezes, as atribuições de endereços IP e os códigos dos países mudam devido às seguintes condições:

    Pode levar algum tempo para que essas mudanças sejam aplicadas ao banco de dados do Google. Por isso, talvez você veja algumas interrupções de tráfego e alterações no comportamento de determinado tráfego, sendo bloqueado ou permitido.

Usar objetos de geolocalização com outros filtros de regra da política de firewall

É possível usar objetos de geolocalização com outros filtros de origem ou destino. Dependendo da direção da regra, a regra da política de firewall é aplicada ao tráfego de entrada ou saída que corresponde à união de todos os filtros especificados.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Threat Intelligence para regras de política de firewall

As regras de política de firewall permitem proteger a rede, permitindo ou bloqueando o tráfego com base nos dados do Threat Intelligence. Os dados da Inteligência contra ameaças incluem listas de endereços IP com base nas seguintes categorias:

  • Nós de saída do Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a própria identidade, bloqueie os endereços IP dos nós de saída do Tor (endpoints em que o tráfego sai da rede do Tor).
  • Endereços IP maliciosos conhecidos: endereços IP conhecidos como origem de ataques de aplicativos da Web. Para melhorar a postura de segurança do seu aplicativo, bloqueie esses endereços IP.
  • Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
  • Intervalos de endereços IP de nuvem pública: essa categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem web apps ou pode ser permitida se o serviço usar outras nuvens públicas. Essa categoria é dividida nas seguintes subcategorias:
    • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
    • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
    • Corresponde aos intervalos de endereços IP usados pelo Google Cloud
    • Corresponde aos intervalos de endereços IP usados pelo Serviços do Google

As listas de dados do Threat Intelligence podem incluir endereços IPv4, endereços IPv6 ou ambos. Para configurar o Threat Intelligence nas regras da política de firewall, use os nomes predefinidos da lista do Threat Intelligence com base na categoria que você quer permitir ou bloquear. Essas listas são atualizadas continuamente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os nomes de listas válidos são definidos conforme a seguir.

Nome da lista Descrição
iplist-tor-exit-nodes Corresponde aos endereços IP dos nós de saída do TOR
iplist-known-malicious-ips Correspondem a endereços IP conhecidos por atacar apps da Web
iplist-search-engines-crawlers Correspondem aos endereços IP dos rastreadores dos mecanismos de pesquisa
iplist-vpn-providers Corresponde a endereços IP que pertencem a provedores de VPN de baixa reputação.
iplist-anon-proxies Corresponde a endereços IP que pertencem a proxies anônimos abertos.
iplist-crypto-miners Corresponde a endereços IP que pertencem a sites de mineração de criptomoedas
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
  • iplist-public-clouds-google-services
Correspondem a endereços IP que pertencem às nuvens públicas
  • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Corresponde aos intervalos de endereços IP usados pelo Google Cloud
  • Corresponde aos intervalos de endereços IP usados pelo Serviços do Google

Usar o Threat Intelligence com outros filtros de regra de política de firewall

Para definir uma regra de política de firewall com o Threat Intelligence, siga estas diretrizes:

  • Para regras de entrada, especifique o destino usando uma ou mais listas do Threat Intelligence de destino.

  • Para regras de saída, especifique a origem usando uma ou mais listas do Threat Intelligence de origem.

  • É possível configurar as listas da Inteligência contra ameaças para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

  • É possível usar essas listas com outros componentes de filtro da regra de origem ou destino.

    Para informações sobre como as listas da Inteligência contra ameaças funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

    Para informações sobre como as listas da Inteligência contra ameaças funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

  • A geração de registros de firewall é feita no nível da regra. Para facilitar a depuração e a análise do efeito das regras de firewall, não inclua várias listas da Inteligência contra ameaças em uma única regra.

  • É possível adicionar várias listas da Inteligência contra ameaças a uma regra da política de firewall. Cada nome de lista incluído na regra é contado como um atributo, independentemente do número de endereços IP ou intervalos de endereços IP incluídos nessa lista. Por exemplo, se você incluiu os nomes das listas iplist-tor-exit-nodes, iplist-known-malicious-ips e iplist-search-engines-crawlers na regra da política de firewall, a contagem de atributos de regra por política de firewall será aumentada em três. Para mais informações sobre a contagem de atributos de regras, consulte Cotas e limites.

Como criar exceções para listas do Threat Intelligence

Se você tiver regras que se aplicam a listas da Inteligência contra ameaças, use as seguintes técnicas para criar regras de exceção aplicáveis a determinados endereços IP em uma lista da Inteligência contra ameaças:

  • Lista de permissões seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que negue pacotes de ou para uma lista da Inteligência contra ameaças. Para permitir pacotes de ou para um endereço IP selecionado nessa lista da Inteligência contra ameaças, crie uma regra de firewall de permissão de entrada ou saída de prioridade mais alta separada que especifique o endereço IP de exceção como origem ou destino.

  • Lista de negações seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que permita pacotes de ou para uma lista da Inteligência contra ameaças. Para negar pacotes de ou para um endereço IP selecionado nessa lista da Inteligência contra ameaças, crie uma regra de firewall de negação de entrada ou saída de prioridade mais alta que especifique o endereço IP de exceção como origem ou destino.

Grupos de endereços para políticas de firewall

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. É possível usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Os grupos de endereços podem ser atualizados sem modificar as regras de firewall que os utilizam. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

É possível definir grupos de endereços de origem e destino para as regras de firewall de entrada e saída respectivamente.

Para informações sobre como os grupos de endereços de origem funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada nas políticas de firewall de rede.

Para informações sobre como os grupos de endereços de destino funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Objetos FQDN

Use objetos de nome de domínio totalmente qualificado (FQDN, na sigla em inglês) em regras de política de firewall para filtrar o tráfego de entrada ou saída de ou para domínios específicos.

É possível aplicar regras das políticas de firewall que usam objetos FQDN ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos nomes de domínio fazem a correspondência com a origem ou o destino do tráfego.

  • É possível configurar objetos FQDN em regras das políticas de firewall para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

  • É preciso especificar objetos FQDN na sintaxe padrão de FQDN.

    Para mais informações sobre formatos de nome de domínio, consulte este link.

  • Em intervalos periódicos, o Cloud NGFW atualiza as regras das política de firewall que contêm objetos FQDN com os resultados mais recentes da resolução de nome de domínio.

  • Os nomes de domínio especificados nas regras das políticas de firewall são resolvidos em endereços IP com base na ordem de resolução de nome VPC do Cloud DNS. O Cloud DNS notificará o Cloud NGFW se houver alguma alteração nos resultados da resolução de nome de domínio, também conhecidos como registros do Sistema de Nomes de Domínio (DNS).

  • Se dois nomes de domínio forem resolvidos para o mesmo endereço IP, a regra da política de firewall será aplicada a esse endereço IP, não apenas a um domínio. Em outras palavras, os objetos FQDN são entidades da Camada 3.

  • Se o objeto FQDN na regra da política de firewall de saída incluir um domínio que tenha CNAMEs no registro DNS, será preciso configurar a regra da política de firewall de saída com todos os nomes de domínio que suas VMs podem consultar, incluindo todos os possíveis aliases, para garantir um comportamento confiável da regra de firewall. Se as VMs consultarem CNAMEs que não estão configurados na regra da política de firewall de saída, talvez a política não funcione durante a alteração dos registros DNS.

  • Também é possível usar os nomes do DNS internos do Compute Engine nas regras da política de firewall de rede. No entanto, verifique se a rede não está configurada para usar um servidor de nomes alternativo na política do servidor de saída.

  • Se você quiser adicionar nomes de domínio personalizados às regras da políticas de firewall de rede, use as zonas gerenciadas do Cloud DNS para resolução de nomes de domínio. No entanto, verifique se a rede não está configurada para usar um servidor de nomes alternativo na política do servidor de saída. Para mais informações sobre gerenciamento de zonas, consulte Criar, modificar e excluir zonas.

Limitações

As limitações a seguir são aplicáveis às regras de firewall de entrada e saída que usam objetos FQDN:

  • Os objetos FQDN não são compatíveis com caracteres curinga (*) e nomes de domínio de nível superior (raiz). Por exemplo, *.example.com. e .org não são compatíveis.

É possível usar objetos FQDN em regras de política de firewall de entrada. É preciso considerar as seguintes limitações ao definir objetos FQDN para regras de entrada:

  • Um nome de domínio pode resolver para um máximo de 32 endereços IPv4 e 32 endereços IPv6. As consultas DNS que são resolvidas em mais de 32 endereços IPv4 e 32 endereços IPv6 são truncadas para incluir apenas 32 endereços IPv4 ou IPv6 desses endereços IP resolvidos. Portanto, não inclua nomes de domínio resolvidos em mais de 32 endereços IPv4 e IPv6 nas regras das políticas de firewall de entrada.

  • Algumas consultas de nome de domínio têm respostas únicas com base no local do cliente solicitante. O local em que a resolução de DNS da regra da política de firewall é executada é a região do Google Cloud que contém a VM a que a regra da política de firewall se aplica.

  • Não use regras de entrada que usem objetos FQDN se os resultados de resolução do nome de domínio forem altamente variáveis ou se a resolução do nome de domínio usar uma forma de balanceamento de carga baseado em DNS. Por exemplo, muitos nomes de domínio do Google usam um esquema de balanceamento de carga baseado em DNS.

É possível usar objetos FQDN em regras de política de firewall de saída, mas não recomendamos usar objetos FQDN com registros A do DNS que tenham um TTL (tempo de vida) de menos de 90 segundos.

Usar objetos FQDN com outros filtros de regra de política de firewall

Em uma regra da política de firewall, é possível definir objetos FQDN com outros filtros de origem ou destino.

Para informações sobre como os objetos FQDN funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos FQDN funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Formato de nome de domínio

Os firewalls de VPC são compatíveis com o formato de nome de domínio, conforme definido na RFC 1035, RFC 1123 e RFC 4343.

Para adicionar nomes de domínio a regras das políticas de firewall, siga estas diretrizes de formatação:

  • O nome de domínio precisa conter pelo menos dois rótulos descritos desta forma:

    • Cada rótulo corresponde a expressões regulares que incluem apenas estes caracteres: [a-z]([-a-z0-9][a-z0-9])?..
    • Cada rótulo tem de 1 a 63 caracteres.
    • Os rótulos são concatenados com um ponto (.).
  • O tamanho máximo do nome de domínio codificado não pode exceder 255 bytes (octetos).

  • Também é possível adicionar um Nome de domínio internacional (IDN, na sigla em inglês) às regras da política de firewall.

  • Os nomes de domínio precisam estar nos formatos Unicode ou Punycode.

  • Se você especificar um IDN no formato Unicode, o firewall do Google Cloud o converterá para o formato Punycode antes do processamento. Outra possibilidade é usar a ferramenta de conversão de IDN para acessar a representação de IDN em Punycode.

  • O firewall do Google Cloud não permite nomes de domínio equivalentes na mesma regra da política de firewall. Depois de converter o nome de domínio em Punycode, se os dois nomes de domínio forem diferentes por um ponto final, eles serão considerados equivalentes.

Cenários de exceção de FQDN

Ao usar objetos FQDN nas regras das políticas de firewall, talvez você encontre as seguintes exceções durante a resolução de nome do DNS:

  • Nome de domínio inválido: um erro será exibido se você especificar um ou mais nomes de domínio que usam um formato inválido ao criar uma regra de política de firewall. Não é possível criar a regra da política de firewall a menos que todos os nomes de domínio estejam formatados corretamente.

  • O nome de domínio não existe (NXDOMAIN): quando o nome de domínio não existe, o Google Cloud ignora o objeto FQDN da regra da política de firewall.

  • Nenhuma resolução de endereço IP: se o nome de domínio não for resolvido em nenhum endereço IP, o objeto FQDN será ignorado.

  • O servidor do Cloud DNS não está acessível: se um servidor DNS não estiver acessível, as regras da política de firewall que usam objetos FQDN serão aplicadas somente se os resultados da resolução de DNS armazenados em cache anteriormente estiverem disponíveis. Os objetos FQDN da regra serão ignorados se não houver resultados da resolução de DNS em cache ou se os resultados de DNS em cache tiverem expirado.

A seguir