Visão geral das regras de firewall

Com as regras de firewall do Google Cloud Platform (GCP), você pode permitir ou negar o tráfego entre instâncias de VM de acordo com a configuração especificada. As regras de firewall do GCP são aplicadas no nível de rede virtual e proporcionam proteção efetiva e controle de tráfego independentemente do sistema operacional que suas instâncias usam.

Toda rede VPC funciona como um firewall distribuído. Enquanto as regras de firewall são definidas no nível da rede, as conexões são permitidas ou negadas por instância. As regras de firewall do GCP existem não apenas entre as instâncias e outras redes, mas entre instâncias individuais dentro da mesma rede.

Regras de firewall no GCP

As regras de firewall do GCP são específicas de uma rede VPC. Cada regra permite ou nega o tráfego quando suas condições são atendidas. As condições permitem que você especifique o tipo de tráfego, como portas e protocolos, e a origem ou destino do tráfego, incluindo endereços IP, sub-redes e instâncias. Consulte os componentes da regra de firewall para ver as descrições dos componentes que definem uma regra de firewall.

Toda rede tem duas regras de firewall implícitas permanentes que permitem conexões de saída e bloqueiam conexões de entrada. Consulte a seção sobre regras de firewall padrão e implícitas para mais informações sobre aplicabilidade e interação com as regras que você define. Além disso, a rede default é pré-preenchida com algumas regras editáveis adicionais.

Você cria ou modifica regras de firewall do GCP por meio do console do Google Cloud Platform, da ferramenta de linha de comando gcloud e da REST API. Quando você cria ou modifica uma regra de firewall, pode especificar as instâncias às quais quer aplicar usando o componente de meta da regra.

Especificações

As regras de firewall têm as seguintes características:

  • Elas são definidas no nível da rede VPC e são específicas da rede em que estão definidas. As regras em si não podem ser compartilhadas entre as redes.

  • As regras de firewall são compatíveis somente com tráfego IPv4. Ao especificar uma origem para uma regra de entrada ou um destino para uma regra de saída por endereço, só é possível usar um endereço IPv4 ou um bloco IPv4 na notação CIDR.

  • A ação de uma regra de firewall é allow ou deny. A regra não pode simplesmente ser registrada como uma ação. Consulte o componente de ação se houver correspondência de uma regra de firewall para mais informações.

  • Não há mecanismo de geração de registros para regras de firewall.

  • Cada regra de firewall definida é aplicada ao tráfego de entrada (ingress) ou de saída (egress), e não a ambos. Consulte o componente de direção do tráfego de uma regra de firewall para mais informações.

  • As regras de firewall do GCP são com estado. Se uma conexão for permitida entre uma origem e uma meta, ou uma meta e um destino, todo o tráfego subsequente em qualquer direção será permitido. Em outras palavras, as regras de firewall permitem a comunicação bidirecional uma vez que uma sessão é estabelecida. As regras de firewall não permitem tráfego em uma direção enquanto negam o tráfego de retorno associado.

  • As regras de firewall do GCP não reagrupam pacotes TCP fragmentados. Consequentemente, uma regra de firewall aplicável ao protocolo TCP só pode ser aplicada ao primeiro fragmento porque ele contém o cabeçalho TCP. As regras de firewall aplicáveis ​​ao protocolo TCP não são aplicadas aos fragmentos TCP subsequentes.

  • O número máximo de conexões rastreadas na tabela de regras de firewall depende do número de conexões com estado compatíveis com o tipo de máquina da instância:

Tipo de máquina de instância Número máximo de conexões com estado
Tipos de máquina com núcleo compartilhado 130000
Instâncias com 1 a 8 CPUs 130000 conexões por CPU
Instâncias com mais de 8 CPUs 1040000 (130000 × 8) conexões no total

Regras padrão e implícitas

Toda rede VPC tem duas regras implícitas de firewall. Essas regras existem, mas não são mostradas no Cloud Console:

  • Regra "permitir saída" implícita: uma regra de egress com uma ação allow, o destino 0.0.0.0/0 e a prioridade mais baixa possível (65535), que permite que qualquer instância envie tráfego para qualquer destino. O acesso de saída pode ser restrito por uma regra de firewall de prioridade mais alta. O acesso à Internet será permitido se nenhuma outra regra de firewall negar o tráfego de saída e se a instância tiver um endereço IP externo ou usar uma instância NAT. Consulte os requisitos de acesso à Internet para mais detalhes.

  • Regra "negar entrada" implícita: uma regra de ingress com a ação deny, a origem 0.0.0.0/0 e a prioridade mais baixa possível (65535), que protege todas as instâncias bloqueando o tráfego recebido nelas. O acesso de entrada pode ser permitido por uma regra de prioridade mais alta. Observe que a rede default inclui algumas regras adicionais que substituem esta, permitindo certos tipos de tráfego recebido.

As regras implícitas não podem ser removidas, mas têm as prioridades mais baixas possíveis. As regras que você cria podem substituí-las, desde que tenham prioridades mais altas (números de prioridade inferiores a 65535).

Regras adicionais na rede default

Além das regras implícitas, a rede default é pré-preenchida com regras de firewall que permitem o tráfego de entrada para instâncias. Essas regras podem ser excluídas ou modificadas conforme necessário:

  • default-allow-internal
    Permite conexões de entrada para todos os protocolos e portas entre instâncias da rede. Essa regra tem a segunda prioridade mais baixa de 65534 e permite conexões de entrada para instâncias de VM de outras na mesma rede.
  • default-allow-ssh
    Permite conexões de entrada na porta TCP 22 de qualquer origem para qualquer instância na rede. Essa regra tem uma prioridade de 65534.
  • default-allow-rdp
    Permite conexões de entrada na porta TCP 3389 de qualquer origem para qualquer instância na rede. Essa regra tem uma prioridade de 65534 e permite conexões para instâncias que executam o protocolo Microsoft Remote Desktop Protocol (RDP).
  • default-allow-icmp
    Permite tráfego ICMP de entrada de qualquer origem a qualquer instância na rede. Essa regra tem uma prioridade de 65534 e permite ferramentas como ping.

Tráfego sempre bloqueado

Independentemente das regras de firewall, o GCP bloqueia sempre o tráfego seguinte. As regras de firewall não podem ser usadas para desbloquear o tráfego que está sempre bloqueado.

Tráfego bloqueado Aplicável a
Tráfego GRE todas as origens, todos os destinos, incluindo entre instâncias usando endereços IP internos, a menos que seja explicitamente permitido por meio do encaminhamento de protocolo
Protocolos diferentes de TCP, UDP, ICMP e IPIP Tráfego entre:
• instâncias e a Internet
• instâncias, se tiverem endereços IP externos
• instâncias, se um balanceador de carga com um endereço IP externo estiver envolvido
O tráfego de saída na porta TCP 25 (SMTP) Tráfego a partir de:
• instâncias para a Internet
• instâncias para outras instâncias abordadas pelo endereço IP externo
O tráfego de saída na porta TCP 465 ou 587 (SMTP sobre SSL/TLS) Tráfego a partir de:
• instâncias para a Internet, com exceção do tráfego destinado a servidores SMTP do Google conhecidos
• instâncias para outras instâncias abordadas pelo endereço IP externo

Componentes da regra de firewall

Cada regra de firewall é composta pelos componentes de configuração a seguir:

  • Uma prioridade numérica, que é usada para determinar se a regra será aplicada. Somente a regra de prioridade mais alta (número de prioridade mais baixa), que tem outros componentes correspondem ao tráfego, é aplicada. Regras conflitantes com prioridades mais baixas são ignoradas.

  • A direção do tráfego: as regras de ingress aplicam-se às conexões de entrada de origens especificadas às metas do GCP. As regras de egress aplicam-se ao tráfego que vai para destinos especificados a partir de metas.

  • Uma ação se houver correspondência, allow ou deny, que determina se a regra permite ou bloqueia o tráfego.

  • Uma meta, que define as instâncias (incluindo clusters do Kubernetes Engine e instâncias do App Engine Flex) às quais a regra se aplicará.

  • Uma origem para regras de ingress ou um destino para regras de egress.

  • O protocolo (como TCP, UDP ou ICMP) e a porta.

Resumo dos componentes

Prioridade Direção Ação Meta Origem Destino Protocolos e portas
Inteiro de 0 a 65535, inclusive; 1000 padrão.
ingress allow ou deny. Instâncias que recebem tráfego da origem.
Opções:
• Todas as instâncias na
   Rede VPC
• Instâncias por
  conta de serviço
• Instâncias por tag de rede
Opções:
• Intervalo dos endereços IPv4;
  o padrão é qualquer um (0.0.0.0/0)
• Instâncias por
  conta de serviço
• Instâncias por tag de rede
Não aplicável às regras de ingress. A meta é o destino. Especifique um protocolo ou um protocolo e uma porta.
Se não for definido, a regra será aplicada a todos os protocolos.
Inteiro de 0 a 65535, inclusive; 1000 padrão.
egress allow ou deny. Instâncias que enviam tráfego para o destino.
Opções:
• Todas as instâncias na
   Rede VPC
• Instâncias por
  conta de serviço
• Instâncias por tag de rede
Não aplicável às regras de egress. A meta é a origem. Qualquer rede ou um intervalo específico de endereços IPv4. O padrão é qualquer um (0.0.0.0/0). Especifique um protocolo ou um protocolo e uma porta.
Se não for definido, a regra será aplicada a todos os protocolos.

Prioridade

A prioridade da regra de firewall é um número inteiro de 0 a 65535, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. Se você não especificar uma prioridade ao criar uma regra, será atribuída uma prioridade de 1000.

A prioridade relativa de uma regra de firewall determina se é aplicável quando avaliada em relação a outras. A lógica de avaliação funciona da seguinte maneira:

  • As regras que se aplicam ao tráfego de ingress não podem entrar em conflito com as regras que se aplicam ao tráfego de egress.

  • A regra de prioridade mais alta aplicável a uma meta para um determinado tipo de tráfego tem precedência. A especificidade da meta não importa. Por exemplo, uma regra de ingress de prioridade mais alta para determinadas portas e protocolos destinados a todas as metas substitui uma regra definida de maneira semelhante para as mesmas portas e protocolos destinados a metas específicas.

  • A regra de prioridade mais alta aplicável para um determinado protocolo e definição de porta tem precedência, mesmo quando o protocolo e a definição da porta são mais gerais. Por exemplo, uma regra de ingress de prioridade mais alta que permite o tráfego para todos os protocolos e portas destinados a determinadas metas substitui uma regra de ingress de prioridade mais baixa que nega o TCP 22 para as mesmas metas.

  • Uma regra com uma ação de deny anulará outra com uma ação de allow somente se as duas regras tiverem a mesma prioridade. Usando prioridades relativas, é possível criar regras de allow que anulem as regras de deny e vice-versa.

Considere o seguinte exemplo onde existem duas regras de firewall:

  • Uma regra de ingress de origens 0.0.0.0/0 (qualquer lugar) aplicável a todas as metas, todos os protocolos e todas as portas, tendo uma ação de deny e uma prioridade de 1000.

  • Uma regra de ingress de origens 0.0.0.0/0 (qualquer lugar) aplicável a metas específicas com a tag webserver, para tráfego no TCP 80, com uma ação de allow.

A prioridade da segunda regra determina se o tráfego TCP na porta 80 é permitido para as metas do webserver:

  • Se a prioridade da segunda regra estiver definida para um número maior que 1000, ela terá uma prioridade mais baixa. Assim, a primeira regra que negará todo o tráfego será aplicada.

  • Se a prioridade da segunda regra estiver definida para 1000, as duas regras terão prioridades idênticas. Dessa maneira, a primeira regra que negará todo o tráfego será aplicada.

  • Se a prioridade da segunda regra estiver definida para um número inferior a 1000, ela terá prioridade mais alta, permitindo o tráfego no TCP 80 para as metas do webserver. Na ausência de outras regras, a primeira regra ainda negaria outros tipos de tráfego para as metas do webserver e também negaria todo o tráfego, incluindo TCP 80, para instâncias sem a tag webserver.

O exemplo anterior demonstra como usar as prioridades para criar regras de allow seletivas e regras de deny globais para implementar uma prática recomendada de segurança de privilégio mais baixo.

Direção do tráfego

O componente de direção de uma regra de firewall determina se ela se aplica ao tráfego de entrada ou de saída, da perspectiva da meta. As regras de entrada e saída podem permitir ou negar o tráfego, dependendo da ação associada.

  • A direção de ingress se aplica a novas conexões de entrada para metas a partir de uma origem. A origem padrão é qualquer endereço (0.0.0.0/0), mas você pode torná-lo mais específico usando um intervalo de endereços IP no formato CIDR ou identificando outras instâncias na rede por conta de serviço ou tag de rede.

  • A direção de egress se aplica ao tráfego que sai de metas para destinos específicos. O destino padrão é qualquer endereço (0.0.0.0/0), mas você pode torná-lo mais específico com um intervalo de endereços IP no formato CIDR.

Ao criar regras de firewall destinadas a controlar o tráfego entre instâncias, é importante definir a meta da regra. A relação entre a direção e a meta pode ser resumida da seguinte forma:

  • Se a direção for ingress, a meta será o destino do tráfego de entrada de uma origem especificada.

  • Se a direção for egress, a meta será a origem do tráfego de saída para um destino especificado.

Por exemplo, uma conexão de uma instância chamada VM1 com outra instância chamada VM2 na mesma rede pode ser controlada usando qualquer uma destas regras de firewall:

  • Uma regra de ingress onde a meta é definida como VM2 (por tag ou conta de serviço) e a origem é definida como VM1 (pelo endereço IP ou conta de serviço).

  • Uma regra de egress onde a meta é definida como VM1 (por tag ou conta de serviço) e o destino é definido como VM2 pelo endereço IP.

Ação se houver correspondência

O componente de ação de uma regra de firewall determina se ele permitirá ou bloqueará o tráfego, se o tráfego corresponder aos outros componentes da regra. Os componentes de ação e direção são usados ​​em conjunto para criar regras que permitem ou negam conexões de entrada ou de saída.

  • Uma ação allow permite conexões que correspondem a outros componentes especificados.

  • Uma ação deny bloqueia as conexões que correspondem aos outros componentes especificados.

Meta

O componente de meta de uma regra de firewall define as instâncias onde será aplicada, incluindo os clusters do Kubernetes Engine e as instâncias do App Engine Flex. As opções para metas são:

  • Todas as instâncias na rede: a regra de firewall se destina a todas as instâncias da rede.

  • Instâncias específicas por tag de meta: a regra de firewall se destinará somente a instâncias se elas tiverem uma tag de rede correspondente.

  • Instâncias específicas por conta de serviço: a regra de firewall se destina somente a instâncias que usam uma conta de serviço.

As regras de firewall podem ser dispostas em camadas para criar exceções para instâncias específicas.

Por exemplo, suponha que você tenha uma regra de firewall com prioridade de 1000 para bloquear (ação deny) o acesso de entrada (direção de ingress) para instâncias da Internet (qualquer IP, origem 0.0.0.0/0). Determinadas instâncias precisam responder às conexões de entrada da Internet. Crie uma segunda regra de firewall com prioridade mais alta (900, por exemplo) que permita conexões de entrada para os protocolos e portas necessários. Essa segunda regra de firewall também precisará ser definida para apenas as instâncias que precisam de conexões de entrada da Internet porque a prioridade é mais alta. Para definir a segunda regra, especifique uma meta usando uma conta de serviço ou uma tag de rede. Qualquer um dos métodos de especificação da meta é uma maneira válida de identificar as instâncias a que precisa ser aplicada. No entanto, esses dois métodos são projetados para diferentes casos de uso. Consulte Como filtrar por conta de serviço versus tag de rede para detalhes sobre os benefícios e limitações de cada um.

No exemplo anterior, as duas regras de firewall funcionam juntas, bloqueando o tráfego de entrada para todas as instâncias, exceto o tráfego específico para instâncias identificadas por contas de serviço ou tags.

Origens e destinos

Cada regra de firewall tem um componente de origem ou de destino dependendo da direção.

  • Uma regra de ingress precisa ter uma origem associada. A origem padrão é todo o tráfego de entrada (0.0.0.0/0). Para restringir a origem, use um filtro que pode ser um intervalo de endereços IP (dentro ou fora do GCP) ou instâncias identificadas por contas de serviço ou tags de rede. Consulte Como filtrar por conta de serviço versus tag de rede para detalhes sobre os benefícios, limitações e casos de uso de cada tipo de método de identificação.

  • Uma regra de egress precisa ter um destino associado. O destino padrão é qualquer endereço IP (0.0.0.0/0). Para restringir o destino, especifique um intervalo de endereços IP (dentro ou fora do GCP) com um filtro de destino.

Protocolos e portas

Protocolos e portas podem ser especificados em um componente para cada regra de firewall para restringir a aplicabilidade pretendida. Você pode especificar um protocolo, um protocolo e uma porta ou intervalo de portas, uma combinação de protocolos e portas, ou nada.

  • Se nem um protocolo nem uma porta forem especificados, a regra de firewall será aplicada a todo o tráfego (ou seja, todos os protocolos e portas).

  • Para especificar um protocolo, use o nome (tcp, udp, icmp, esp, ah, sctp, ipip) ou o número decimal de protocolo. Se você especificar um protocolo sem uma porta (por exemplo, tcp), a regra do firewall será aplicada a todas as portas associadas a esse protocolo.

  • Se o protocolo for compatível com portas, especifique uma porta ou intervalo de portas com o protocolo associado:

    • Para especificar um protocolo e uma porta individuais, separe-os com dois pontos (por exemplo, tcp:80).

    • Para especificar um protocolo e um intervalo de portas contíguas e inclusivas, use um traço para definir o intervalo (por exemplo, tcp:20-22).

    • Para especificar um protocolo e um intervalo de portas descontínuas, crie várias combinações de protocolo/porta separadas por um ponto e vírgula, se estiver usando o Cloud Console para criar a regra, ou uma vírgula, se estiver usando o gcloud. Por exemplo: tcp:80;tcp:443 (Console) ou tcp:80,tcp:443 (gcloud)

  • Você pode especificar várias combinações de protocolos e portas, separando cada tipo de protocolo ou intervalo de portas descontínuas com um ponto e vírgula (Cloud Console) ou uma vírgula (gcloud). Por exemplo: icmp;tcp:80;tcp:443;udp:67-69 (Console) ou icmp,tcp:80,tcp:443,udp:67-69 (gcloud).

Filtragem de origem e meta por conta de serviço

Você pode limitar a meta e a origem (somente para regras de entrada) aos recursos do GCP usando uma conta de serviço IAM. As regras definidas dessa maneira aplicam-se a novas instâncias criadas e associadas à conta de serviço e às instâncias existentes, se você modificar as associações da sua conta de serviço.

Uma conta de serviço precisa ser criada antes de você criar uma regra de firewall que dependa dela para uma meta ou origem. As contas de serviço podem ser definidas no mesmo projeto onde o firewall é criado ou podem ser provenientes de um projeto de host, se o projeto onde a regra de firewall for criada estiver conectado a ele usando a VPC compartilhada.

Não é possível usar contas de serviços provenientes de outros projetos se você estiver se conectando a redes nesses outros projetos usando Peering da rede VPC.

As contas de serviço podem ser associadas a instâncias criadas manualmente e àquelas que são criadas automaticamente, como, por exemplo, de um grupo de instâncias gerenciadas usando o escalonamento automático.

Como filtrar por conta de serviço versus tag de rede

Esta seção destaca os pontos-chave a considerar ao decidir se você precisa usar contas de serviço ou tags de rede para limitar a meta ou a origem (somente para regras de entrada) para uma regra de firewall:

  • Uma conta de serviço representa uma identidade associada a uma instância. Apenas uma conta de serviço pode ser associada a uma instância.

  • Para associar uma conta de serviço a uma instância, é necessário conceder ao usuário explicitamente o papel de Usuário da conta de serviço do Compute Engine da conta, bem como permissão para editar a instância a que ela estará associada (com o papel de Administrador de instância do Compute Engine também).

  • Uma tag é um atributo arbitrário atribuído a uma instância. Uma ou mais tags podem ser associadas a uma instância por qualquer usuário que tenha permissão para editá-la tendo apenas o papel Administrador de instância do Compute Engine, por exemplo.

  • É necessário parar e reiniciar a instância para alterar a conta de serviço associada a ela. É possível adicionar ou remover tags de uma instância sem interrompê-la, porque as tags são simplesmente atributos de metadados.

  • Apenas uma conta de serviço pode ser especificada para o componente de meta ou origem em uma regra de firewall.

  • Uma ou mais tags de rede podem ser especificadas para o componente de meta ou origem em uma regra de firewall.

  • Quando as instâncias são identificadas pela tag de rede, a regra de firewall é aplicada ao endereço IP interno principal da instância.

Se você precisa de um controle rigoroso da aplicação das regras de firewall, use as contas de serviço para limitar a aplicabilidade a metas ou origens em vez de tags de rede. Qualquer usuário com o papel de administrador de instâncias pode aplicar tags arbitrárias a elas, mesmo depois de serem executadas. Se as regras de firewall forem definidas pela tag de rede, isso significa que os administradores de instâncias podem alterar quais regras se aplicam às instâncias, contornando políticas de segurança organizacionais. As regras de firewall definidas para contas de serviço fornecem um mecanismo autenticado porque os administradores de instâncias também precisam ter o papel de Usuário da conta de serviço do Compute Engine de qualquer conta de serviço que queiram associar às instâncias.

Casos de uso do firewall do GCP

Casos de saída

As regras de saída de firewall controlam as conexões de saída de instâncias de meta na rede VPC. As regras de saída com uma ação allow permitem o tráfego de instâncias com base nos outros componentes da regra. Por exemplo, você pode permitir o tráfego de saída para destinos específicos, como um intervalo de endereços IPv4, em protocolos e portas que você especifica. Da mesma forma, as regras de saída com uma ação deny bloqueiam o tráfego em outros componentes da regra.

Toda regra de egress precisa de um destino. O destino padrão é qualquer endereço IP (0.0.0.0/0), mas você pode criar um destino mais específico usando um intervalo de endereços IPv4 no formato CIDR. Ao especificar um intervalo de endereços IPv4, você pode controlar o tráfego para instâncias na rede e para destinos fora da rede, incluindo destinos na Internet.

Exemplos de saída

O diagrama a seguir ilustra alguns exemplos de conexões de saída que podem ser controladas por regras de firewall:

Exemplo de regras de saída de firewall (clique para ampliar)
Exemplo de regras de saída de firewall (clique para ampliar)
  • A VM 1 não tem uma regra de firewall de saída especificada. Portanto, a regra "permitir saída" implícita permite o envio de tráfego para qualquer destino. As conexões com outras instâncias da rede VPC são permitidas, sujeitas às regras de entrada aplicáveis ​​para essas outras instâncias. A VM 1 envia tráfego para a VM 4 porque a VM 4 tem uma regra de entrada que permite o tráfego recebido de qualquer intervalo de endereços IP. Como a VM 1 tem um IP externo, ela envia tráfego para hosts externos na Internet. As respostas de entrada ao tráfego enviado pela VM 1 são permitidas porque as regras de firewall são com estado.

  • Uma regra de saída com prioridade 1000 é aplicável à VM 2. Esta regra nega todo o tráfego de saída para todos os destinos (0.0.0.0/0). O tráfego de saída para outras instâncias na VPC é bloqueado, independentemente das regras de entrada aplicadas às outras instâncias. Ainda que a VM 2 tenha um IP externo, esta regra de firewall bloqueia o tráfego de saída para hosts externos na Internet.

  • Uma regra de saída com prioridade 1000 é aplicável à VM 3. Esta regra bloqueia o tráfego TCP de saída para qualquer destino no intervalo de IP 192.168.1.0/24. Mesmo que as regras de entrada para VM 4 permitam todo o tráfego recebido, a VM 3 não pode enviar o tráfego TCP para a VM 4. No entanto, a VM 3 é livre para enviar o tráfego UDP para a VM 4 porque a regra de saída apenas se aplica ao protocolo TCP. Além disso, a VM 3 pode enviar qualquer tráfego para outras instâncias na rede VPC fora do intervalo de IP 192.168.1.0/24, desde que essas outras instâncias tenham regras de entrada para permitir esse tráfego. Como ele não tem um endereço IP externo, também não tem nenhum caminho para enviar tráfego para fora da rede VPC.

Casos de entrada

As regras de firewall de entrada controlam as conexões recebidas de uma origem com as instâncias de meta na rede VPC. A origem de uma regra de entrada pode ser definida como uma destas:

  • Uma variedade de endereços IPv4. O padrão é qualquer (0.0.0.0/0).
  • Outras instâncias na rede VPC identificadas pela conta de serviço.
  • Outras instâncias na rede VPC identificadas por tags de rede.

A origem padrão é qualquer endereço IP (0.0.0.0/0). Se você quiser controlar as conexões de entrada de origens de fora da rede VPC, incluindo outras origens na Internet, use uma variedade de endereços IPv4 no formato CIDR.

As regras de entrada com uma ação allow permitem o tráfego recebido com base nos outros componentes da regra. Além de especificar a origem e a meta da regra, você pode limitar a regra a protocolos e portas específicos. Da mesma forma, as regras de entrada com uma ação deny podem ser usadas para proteger as instâncias, bloqueando o tráfego recebido com base nos componentes da regra de firewall.

Exemplos de entrada

O diagrama a seguir ilustra alguns exemplos de conexões de entrada que podem ser controladas por regras de firewall:

Exemplo de regras de entrada de firewall (clique para ampliar)
Exemplo de regras de entrada de firewall (clique para ampliar)
  • Uma regra de entrada com prioridade 1000 é aplicável à VM 1. Essa regra permite o tráfego TCP de entrada a partir de qualquer origem (0.0.0.0/0). O tráfego TCP de outras instâncias na rede VPC é permitido, sujeito às regras de saída aplicáveis ​​para essas outras instâncias. A VM 4 comunica-se com a VM 1 sobre TCP porque a VM 4 não tem uma regra de saída bloqueando essa comunicação (somente a regra "permitir saída" implícita é aplicável). Como a VM 1 tem um IP externo, essa regra também permite tráfego TCP de entrada de hosts externos na Internet.

  • A VM 2 não tem uma regra de firewall de entrada especificada. Portanto, a regra "negar entrada" implícita bloqueia todo o tráfego de entrada. As conexões de outras instâncias da rede são bloqueadas, independentemente das regras de saída para as outras instâncias. Como a VM 2 tem um IP externo, há um caminho para ele de hosts externos na Internet, mas essa regra de negação implícita também bloqueia o tráfego de entrada externa.

  • Uma regra de entrada com prioridade 1000 é aplicável à VM 3. Essa regra permite o tráfego TCP de instâncias na rede com a etiqueta de rede client, como VM 4. O tráfego TCP da VM 4 para a VM 1 é permitido porque a VM 4 não tem uma regra de saída bloqueando essa comunicação (somente a regra "permitir saída" implícita é aplicável). Como a VM 3 não tem um IP externo, não há nenhum caminho para ela de hosts externos na Internet.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre: