Visão geral das regras de firewall

Com as regras de firewall do Google Cloud Platform (GCP), você pode permitir ou negar o tráfego entre instâncias de VM de acordo com a configuração especificada. As regras de firewall do GCP são aplicadas no nível de rede virtual e proporcionam proteção efetiva e controle de tráfego independentemente do sistema operacional que suas instâncias usam.

Toda rede VPC funciona como um firewall distribuído. Enquanto as regras de firewall são definidas no nível da rede, as conexões são permitidas ou negadas por instância. As regras de firewall do GCP existem não apenas entre as instâncias e outras redes, mas entre instâncias individuais dentro da mesma rede. Consulte Como usar regras de firewall para ver instruções sobre como criar e trabalhar com regras de firewall.

Regras de firewall no GCP

As regras de firewall do GCP são específicas de uma rede VPC. Cada regra permite ou nega o tráfego quando as condições são atendidas. Essas condições permitem que você especifique o tipo de tráfego, como portas e protocolos, e a origem ou destino do tráfego, incluindo endereços IP, sub-redes e instâncias. Consulte os componentes da regra de firewall para ver as descrições dos componentes que definem uma regra de firewall.

Toda rede tem duas regras de firewall implícitas permanentes que permitem conexões de saída e bloqueiam conexões de entrada. Consulte a seção sobre regras de firewall padrão e implícitas para mais informações sobre aplicabilidade e interação com as regras que você define. Além disso, a rede default é preenchida previamente com algumas regras editáveis adicionais.

Você cria ou modifica regras de firewall do GCP por meio do Console do Google Cloud Platform, da ferramenta de linha de comando gcloud e da API REST. Quando isso ocorre, é possível especificar as instâncias às quais você quer aplicar usando o componente de meta da regra.

Especificações

As regras de firewall têm as características a seguir:

  • Elas são definidas no nível da rede VPC e são específicas da rede em que estão definidas. As regras em si não podem ser compartilhadas entre as redes.

  • As regras de firewall são compatíveis somente com tráfego IPv4. Ao especificar uma origem para uma regra de entrada ou um destino para uma regra de saída por endereço, só é possível usar um endereço IPv4 ou um bloco IPv4 na notação CIDR.

  • A ação de uma regra de firewall é allow ou deny. A regra não pode simplesmente ser registrada como uma ação. Consulte o componente de ação se houver correspondência de uma regra de firewall para ver mais informações.

  • Cada regra de firewall definida é aplicada ao tráfego de entrada (ingress) ou de saída (egress), e não a ambos. Consulte o componente de direção do tráfego de uma regra de firewall para ver mais informações.

  • As regras de firewall do GCP são com estado. Se uma conexão for permitida entre uma origem e uma meta, ou uma meta e um destino, todo o tráfego subsequente em qualquer direção será permitido, desde que a conexão esteja ativa. Em outras palavras, as regras de firewall permitem a comunicação bidirecional uma vez que uma sessão é estabelecida. A conexão é considerada ativa se pelo menos um pacote for enviado a cada 10 minutos. As regras de firewall não permitem tráfego em uma direção enquanto negam o tráfego de retorno associado.

  • As regras de firewall do GCP não reagrupam pacotes TCP fragmentados. Consequentemente, uma regra de firewall aplicável ao protocolo TCP só pode ser aplicada ao primeiro fragmento porque ele contém o cabeçalho TCP. As regras de firewall aplicáveis ao protocolo TCP não são aplicadas aos fragmentos TCP subsequentes.

  • O número máximo de conexões rastreadas na tabela de regras de firewall depende do número de conexões com estado compatíveis com o tipo de máquina da instância:

Tipo de máquina de instância Número máximo de conexões com estado
Tipos de máquina com núcleo compartilhado 130.000
Instâncias com 1 a 8 vCPUs 130.000 conexões por vCPU
Instâncias com mais de 8 vCPUs 1.040.000 (130.000×8) conexões ao total

Regras padrão e implícitas

Toda rede VPC tem duas regras implícitas de firewall. Essas regras existem, mas não são mostradas no Console do Cloud:

  • A regra "permitir saída" implícita: uma regra egress com uma ação allow, o destino 0.0.0.0/0 e a prioridade mais baixa possível (65535), que permite que qualquer instância envie tráfego para qualquer destino, exceto tráfego bloqueado pelo GCP. O acesso de envio pode ser restringido por uma regra de firewall de prioridade mais alta. O acesso à Internet será permitido se nenhuma outra regra de firewall negar o tráfego de envio e se a instância tiver um endereço IP externo ou usar uma instância NAT. Consulte os requisitos de acesso à Internet para ver mais detalhes.

  • A regra "negar entrada" implícita: uma regra ingress com a ação deny, a origem 0.0.0.0/0, e a prioridade mais baixa possível (65535), que protege todas as instâncias bloqueando o tráfego recebido por elas. O acesso de entrada pode ser permitido por uma regra de prioridade mais alta. Observe que a rede default inclui algumas regras adicionais que substituem esta, permitindo certos tipos de tráfego recebido.

As regras implícitas não podem ser removidas, mas têm as prioridades mais baixas possíveis. As regras que você cria podem substituí-las, desde que tenham prioridades mais altas (números de prioridade inferiores a 65535).

Regras adicionais na rede default

Além das regras implícitas, a rede default é pré-preenchida com regras de firewall que permitem o tráfego de entrada para instâncias. Essas regras podem ser excluídas ou modificadas conforme necessário:

  • default-allow-internal
    Permite conexões de entrada para todos os protocolos e portas entre instâncias da rede. Essa regra tem a segunda prioridade mais baixa de 65534 e permite conexões de entrada para instâncias de VM de outras na mesma rede.
  • default-allow-ssh
    Permite conexões de entrada na porta TCP 22 de qualquer origem para qualquer instância na rede. Essa regra tem uma prioridade de 65534.
  • default-allow-rdp
    Permite conexões de entrada na porta TCP 3389 de qualquer origem para qualquer instância na rede. Essa regra tem uma prioridade de 65534 e permite conexões para instâncias que executam o protocolo Microsoft Remote Desktop Protocol (RDP).
  • default-allow-icmp
    Permite tráfego ICMP de entrada de qualquer origem a qualquer instância na rede. Essa regra tem uma prioridade de 65534 e permite ferramentas como ping.

Tráfego bloqueado

Independentemente das regras de firewall, o Google Cloud Platform sempre bloqueia o tráfego a seguir. As regras de firewall não podem ser usadas para desbloquear o tráfego que está sempre bloqueado.

Tráfego bloqueado Aplicável a
Tráfego GRE Todas as origens, todos os destinos, incluindo entre instâncias que usam endereços IP internos
Protocolos diferentes de TCP, UDP, ICMP e IPIP Tráfego entre:
• instâncias e a Internet
• instâncias, se tiverem endereços IP externos
• instâncias, se um balanceador de carga com um endereço IP externo estiver envolvido
O tráfego de saída na porta TCP 25 (SMTP) Tráfego a partir de:
• instâncias para a Internet
• instâncias para outras instâncias abordadas pelo endereço IP externo

Componentes da regra de firewall

Cada regra de firewall é composta pelos componentes de configuração a seguir:

  • Uma prioridade numérica, que é usada para determinar se a regra será aplicada. Somente a regra de prioridade mais alta (número de prioridade mais baixa), que tem outros componentes correspondentes ao tráfego, é aplicada. Regras conflitantes com prioridades mais baixas são ignoradas.

  • A direção do tráfego: as regras de ingress aplicam-se às conexões de entrada de origens especificadas às metas do GCP. As regras de egress aplicam-se ao tráfego que vai para destinos especificados a partir de metas.

  • Uma ação se houver correspondência, allow ou deny, que determina se a regra permite ou bloqueia o tráfego.

  • Uma meta, que define as instâncias (incluindo clusters do GKE e instâncias do App Engine Flex) a que a regra se aplicará.

  • Uma origem para regras de ingress ou um destino para regras de egress.

  • O protocolo (como TCP, UDP ou ICMP) e a porta.

  • O status de aplicação da regra de firewall: é possível ativar e desativar regras de firewall sem excluí-las.

Resumo dos componentes

Regra de entrada (recebimento)
Prioridade Ação Aplicação Meta (define o destino) Origem Protocolos e portas
Inteiro de 0 a 65535, inclusive; 1000 padrão.
allow ou deny. enabled (padrão) ou disabled. O parâmetro "meta" especifica o destino. Pode ser um destes:
• Todas as instâncias na
   Rede VPC
• Instâncias por
  conta de serviço
• Instâncias por tag de rede
Opções:
• Intervalo dos endereços IPv4;
  o padrão é qualquer um (0.0.0.0/0)
• Instâncias por
  conta de serviço
• Instâncias por tag de rede
Especifique um protocolo ou um protocolo e uma porta.
Se não for definido, a regra será aplicada a todos os protocolos.
Regra de saída (envio)
Prioridade Ação Aplicação Meta (define a origem) Destino Protocolos e portas
Inteiro de 0 a 65535, inclusive; 1000 padrão.
allow ou deny. enabled (padrão) ou disabled. O parâmetro "meta" especifica a origem. Pode ser um destes:
• Todas as instâncias na
   Rede VPC
• Instâncias por
  conta de serviço
• Instâncias por tag de rede
Qualquer rede ou um intervalo específico de endereços IPv4. O padrão é qualquer um (0.0.0.0/0). Especifique um protocolo ou um protocolo e uma porta.
Se não for definido, a regra será aplicada a todos os protocolos.

Prioridade

A prioridade da regra de firewall é um número inteiro de 0 a 65535, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. Se você não especificar uma prioridade ao criar uma regra, será atribuída uma prioridade de 1000.

A prioridade relativa de uma regra de firewall determina se é aplicável quando avaliada em relação a outras. A lógica de avaliação funciona desta maneira:

  • A regra de prioridade mais alta aplicável a uma meta para um determinado tipo de tráfego tem precedência. A especificidade da meta não importa. Por exemplo, uma regra ingress de prioridade mais alta para determinadas portas e protocolos destinados a todas as metas substitui uma regra definida de maneira semelhante para as mesmas portas e protocolos destinados a metas específicas.

  • A regra de prioridade mais alta aplicável para um determinado protocolo e definição de porta tem precedência, mesmo quando o protocolo e a definição da porta são mais gerais. Por exemplo, uma regra ingress de prioridade mais alta que permite o tráfego para todos os protocolos e portas destinados a determinadas metas substitui uma regra ingress de prioridade mais baixa que nega o TCP 22 para as mesmas metas.

  • Uma regra com uma ação de deny anulará outra com uma ação de allow somente se as duas regras tiverem a mesma prioridade. Usando prioridades relativas, é possível criar regras de allow que anulem as regras de deny e vice-versa.

Considere o exemplo a seguir onde há duas regras de firewall:

  • Uma regra ingress de origens 0.0.0.0/0 (qualquer lugar) aplicável a todas as metas, todos os protocolos e todas as portas, tendo uma ação de deny e uma prioridade de 1000.

  • Uma regra ingress de origens 0.0.0.0/0 (qualquer lugar) aplicável a metas específicas com a tag webserver, para tráfego no TCP 80, com uma ação de allow.

A prioridade da segunda regra determina se o tráfego TCP na porta 80 é permitido para as metas do webserver:

  • Se a prioridade da segunda regra estiver definida para um número maior que 1000, ela terá uma prioridade mais baixa. Assim, a primeira regra que negará todo o tráfego será aplicada.

  • Se a prioridade da segunda regra estiver definida para 1000, as duas regras terão prioridades idênticas. Dessa maneira, a primeira regra que negará todo o tráfego será aplicada.

  • Se a prioridade da segunda regra estiver definida para um número inferior a 1000, ela terá prioridade mais alta, permitindo o tráfego no TCP 80 para as metas do webserver. Na ausência de outras regras, a primeira regra ainda negaria outros tipos de tráfego para as metas do webserver e também negaria todo o tráfego, incluindo TCP 80, para instâncias sem a tag webserver.

O exemplo anterior demonstra como usar as prioridades para criar regras de allow seletivas e regras de deny globais para implementar uma prática recomendada de segurança de privilégio mais baixo.

Direção do tráfego

A direção de uma regra de firewall pode ser ingress ou egress. A direção é sempre definida da perspectiva da meta.

  • A direção ingress descreve o tráfego enviado de uma origem para uma meta. Regras de entrada se aplicam a pacotes de novas sessões em que o destino do pacote é a meta.

  • A direção egress descreve o tráfego enviado de uma meta para um destino. Regras de saída se aplicam a pacotes de novas sessões em que a origem do pacote é a meta.

  • Se você não especificar uma direção, o GCP usará ingress.

Considere um exemplo de conexão entre duas VMs na mesma rede. O tráfego da VM1 para a VM2 pode ser controlado usando uma destas regras de firewall:

  • Uma regra ingress com uma meta de VM2 e uma origem de VM1

  • Uma regra egress com uma meta de VM1 e um destino de VM2

Ação se houver correspondência

O componente de ação de uma regra de firewall determina se ele permitirá ou bloqueará o tráfego, sujeito aos outros componentes da regra:

  • Uma ação allow permite conexões que correspondem a outros componentes especificados.

  • Uma ação deny bloqueia as conexões que correspondem aos outros componentes especificados.

Aplicação

É possível alterar se uma regra de firewall é aplicada, definindo ou não o estado dela como ativada ou desativada. Desativar uma regra é útil para solucionar problemas ou conceder acesso temporário a instâncias. É muito mais fácil desativar uma regra, testar e reativá-la do que excluir e recriar a regra.

A menos que você especifique o contrário, todas as regras de firewall são ativadas quando criadas. Também é possível optar por criar uma regra em um estado desativado.

É possível atualizar a regra para alterar o estado de aplicação das regras de firewall de ativado para desativado, ou vice-versa

Considere desativar uma regra de firewall para situações como estas:

  • Para solucionar problemas: se você não tiver certeza se uma regra de firewall está bloqueando ou permitindo o tráfego, desative-a temporariamente para determinar se o tráfego é permitido ou bloqueado. Isso é útil para solucionar o efeito de uma regra em conjunto com outras.
  • Para manutenção: desativar regras de firewall pode tornar a manutenção periódica mais simples. Suponha que você tenha uma regra de firewall que bloqueia SSH de entrada para as metas (por exemplo, instâncias por tag de meta), e essa regra geralmente está ativada. Quando você precisar executar a manutenção, poderá desativar a regra. Depois de terminar, ative a regra novamente.

Meta

Para uma regra de entrada (recebimento), o parâmetro "meta" designa as VMs de destino, incluindo clusters do GKE e instâncias do App Engine Flex. Para uma regra de saída (envio), a meta designa as VMs, os clusters e as instâncias de origem. Assim, o parâmetro meta é sempre usado para designar VMs do GCP, mas se uma meta é um destino de tráfego ou uma origem para o tráfego depende da direção da regra.

Você especifica uma meta usando exatamente uma das opções abaixo:

  • Todas as instâncias na rede: a regra de firewall se aplica a todas as VMs na rede.

  • Instâncias por tags de meta: a regra de firewall se aplica apenas a VMs com uma tag de rede correspondente.

  • Instâncias por conta de serviço de meta: a regra de firewall aplica-se apenas às VMs que usam uma conta de serviço específica.

Quando você cria regras que usam tags ou contas de serviço como o parâmetro de meta, as regras se aplicam ao endereço IP interno primário de todas as VMs de meta na rede.

As regras de firewall podem ser colocadas em camadas para criar exceções específicas. Por exemplo, suponha que você tenha uma regra de firewall com prioridade de 1000 para bloquear (ação deny) o acesso de entrada (direção de ingress) para VMs da Internet (qualquer IP, origem 0.0.0.0/0). Determinadas VMs precisam responder às conexões de entrada da Internet. É possível criar uma segunda (900, por exemplo) que permita conexões de entrada para as portas e protocolos necessários. Essa segunda regra de firewall também precisará ser definida apenas para as VMs que precisam de conexões de entrada de Internet. Para escopo dessa segunda regra, use tags de meta ou contas de serviço de destino. Consulte a Como filtrar por conta de serviço versus tag de rede para saber detalhes sobre os benefícios e limitações de cada método de escopo.

Origem ou destino

Você especifica uma origem ou um destino, mas não ambos, dependendo da direção do firewall que você criar:

  • Para regras de entrada (recebimento), o parâmetro "meta" especifica as VMs de destino para o tráfego. Não é possível usar o parâmetro de destino. Você especifica a origem usando o parâmetro "origem".

  • Para regras de saída (envio), o parâmetro "meta" especifica as VMs de origem para o tráfego. Não é possível usar o parâmetro "origem". Você especifica o destino usando o parâmetro "destino".

Origens

O parâmetro de origem é aplicável apenas às regras de entrada. Ele precisa ser exatamente um destes:

  • Intervalos de IP de origem: é possível especificar intervalos de endereços IP como origens de pacotes. Os intervalos podem incluir endereços dentro da sua rede VPC e aqueles fora dela. Os intervalos de IP de origem podem ser usados para definir origens dentro e fora do GCP.

  • Tags de origem: é possível definir a origem dos pacotes como o endereço IP interno principal da interface de rede de outras VMs na mesma rede VPC, identificando essas VMs de origem por uma tag de rede correspondente. As tags de origem se aplicam somente a outras VMs do GCP na sua rede. Consulte Cotas e limites de VPC para o número máximo de tags de origem que podem ser aplicadas.

  • Contas de serviço de origem: é possível definir a origem dos pacotes como o endereço IP interno principal da interface de rede de outras VMs na mesma rede VPC, identificando essas VMs de origem pela conta de serviço que elas usam. As contas de serviço de origem se aplicam somente a outras VMs do GCP na sua rede.

  • Uma combinação de intervalos IP de origem e tags de origem pode ser usada.

  • Uma combinação de intervalos IP de origem e contas de serviço de origem pode ser usada.

  • Se todos os intervalos IP de origem, tags de origem e contas de serviço de origem forem omitidos, o GCP definirá a origem como qualquer endereço IP (0.0.0.0/0).

Destinos

O parâmetro "destino" é aplicável somente às regras de saída. O parâmetro de destino aceita apenas intervalos de endereços IP. Os intervalos podem incluir endereços dentro da sua rede VPC e aqueles fora dela.

Se você não especificar um intervalo de destino, o GCP definirá o destino como sendo todos os endereços IP (0.0.0.0/0).

Protocolos e portas

É possível restringir o escopo de uma regra de firewall especificando protocolos ou protocolos e portas. Também é possível especificar um protocolo ou uma combinação de protocolos e as portas deles. Se você omitir os protocolos e as portas, a regra de firewall será aplicável a todo o tráfego em qualquer protocolo e em qualquer porta.

Para tornar uma regra de firewall específica, é necessário primeiro especificar um protocolo. Se o protocolo aceitar portas, será possível, opcionalmente, especificar um número de porta ou um intervalo de portas. No entanto, nem todos os protocolos aceitam portas. Por exemplo, há portas para TCP e UDP, mas não para ICMP. (o ICMP tem diferentes tipos de ICMP, mas eles não são portas.)

Para especificar um protocolo, use o nome (tcp, udp, icmp, esp, ah, sctp, ipip) ou o número decimal de protocolo IP.

As regras de firewall do GCP usam informações de porta para se referir à porta de destino de um pacote, não à porta de origem:

  • Para regras de firewall de entrada (recebimento), as portas de destino são portas nos sistemas identificados pelo parâmetro de meta da regra. (Nas regras de entrada, o parâmetro "meta" especifica as VMs de destino para o tráfego.)

  • Para as regras de firewall de saída (envio), as portas de destino representam portas nos sistemas identificados pelo parâmetro de destino da regra.

A tabela a seguir resume combinações válidas de protocolo e especificação de porta para regras de firewall do GCP:

Especificação Exemplo Explicação
Nenhum protocolo e porta Se você não especificar um protocolo, a regra de firewall será aplicada a todos os protocolos e às portas aplicáveis deles.
Protocolo tcp Se você especificar um protocolo sem nenhuma informação de porta, a regra de firewall se aplicará a esse protocolo e a todas as portas aplicáveis dele.
Protocolo e porta única tcp:80 Se você especificar um protocolo e uma única porta, a regra de firewall será aplicada apenas àquela porta do protocolo.
Intervalo de protocolo e porta tcp:20-22 Se você especificar um protocolo e um intervalo de portas, a regra de firewall se aplicará apenas ao intervalo de portas do protocolo.
Combinações icmp,tcp:80,tcp:443,udp:67-69 Se você especificar uma lista de protocolos ou portas e protocolos separados por vírgula, a regra de firewall será aplicada a cada um dos protocolos e portas especificados. Para saber mais informações, consulte como criar regras de firewall.

Como filtrar de origem e meta por conta de serviço

É possível usar contas de serviço para criar regras de firewall que são mais específicas por natureza:

  • Para regras de entrada e saída, é possível usar contas de serviço para especificar metas.

  • Para regras de entrada, é possível especificar a origem dos pacotes de entrada como o endereço IP interno primário de qualquer VM na rede em que ela usa uma conta de serviço específica.

A conta de serviço precisa ser criada antes de você criar uma regra de firewall que dependa dela.

As regras de firewall que usam contas de serviço para identificar instâncias se aplicam a novas instâncias criadas e associadas à conta de serviço e a instâncias atuais se você alterar as contas de serviço delas. É necessário parar e reiniciar a instância para alterar a conta de serviço associada a ela. É possível associar contas de serviço a instâncias individuais e a modelos de instância usados por grupos de instâncias gerenciadas.

Como filtrar por conta de serviço versus tag de rede

Nesta seção, destacaremos os principais pontos a serem considerados ao decidir se você vai usar contas de serviço ou tags de rede para definir metas e origens (para regras de entrada).

Se você precisar de um controle rigoroso sobre como as regras de firewall são aplicadas às VMs, use contas de serviço de meta e contas de serviço de origem em vez de tags de meta e tags de origem:

  • Uma tag de rede é um atributo arbitrário. Uma ou mais tags de rede podem ser associadas a uma instância por qualquer membro do IAM que tenha permissão para editá-las. Os membros do IAM com o papel de administrador da instância do Compute Engine de um projeto têm essa permissão. Os membros do IAM que podem editar uma instância podem alterar as tags de rede, o que pode alterar o conjunto de regras de firewall aplicáveis para essa instância.

  • Uma conta de serviço representa uma identidade associada a uma instância. Apenas uma conta de serviço pode ser associada a uma instância. Você define o acesso à conta de serviço controlando a concessão do papel Usuário da conta de serviço a outros membros do IAM. Para um membro do IAM iniciar uma instância usando uma conta de serviço, ele precisa ter o papel Usuário da conta de serviço para pelo menos essa conta de serviço, e as permissões apropriadas para criar instâncias (por exemplo, ter o papel Administrador de instância do Compute Engine no projeto).

Não é possível combinar contas de serviço e tags de rede em qualquer regra de firewall:

  • Não é possível usar contas de serviço de meta e tags de meta juntas em qualquer regra de firewall (de entrada ou saída).

  • As origens a seguir são inválidas para regras de firewall de entrada se você especificar metas por tags de meta ou conta de serviço de meta:

Metas Origens inválidas
Tags de meta Contas de serviço de origem
Combinação de intervalos de IP de origem e contas de serviço de origem
Conta de serviço de meta Tags de origem
Combinação de intervalos de IP de origem e tags de origem

As considerações operacionais para contas de serviço e tags de rede são:

  • É necessário parar e reiniciar a instância para alterar a conta de serviço associada a ela. A adição ou remoção de tags pode ser feita enquanto a instância está em execução.

  • Apenas uma conta de serviço de meta pode ser especificada por regra de firewall. Mais de uma tag de meta pode ser especificada em uma única regra de firewall.

  • Apenas uma conta de serviço de origem pode ser especificada por regra de firewall de entrada. Mais de uma tag de origem pode ser especificada em uma única regra de firewall.

  • Se você identificar instâncias por tag de rede, a regra de firewall será aplicada ao endereço IP interno primário da instância.

Casos de uso

Os casos de uso a seguir demonstram como as regras de firewall funcionam. Observe que todas as regras de firewall estão ativadas nestes exemplos.

Casos de entrada

As regras de firewall de entrada controlam as conexões recebidas de uma origem com as instâncias de meta na rede VPC. A origem de uma regra de entrada pode ser definida como uma destas:

  • Uma variedade de endereços IPv4. O padrão é qualquer (0.0.0.0/0).
  • Outras instâncias na rede VPC identificadas pela conta de serviço.
  • Outras instâncias na rede VPC identificadas por tags de rede.

A origem padrão é qualquer endereço IP (0.0.0.0/0). Se você quiser controlar as conexões de entrada de origens fora da rede VPC, incluindo outras origens na Internet, use um intervalo de endereços IPv4 no formato CIDR.

As regras de entrada com uma ação allow permitem o tráfego recebido com base nos outros componentes da regra. Além de especificar a origem e a meta da regra, você pode limitar a regra a protocolos e portas específicos. Da mesma forma, as regras de entrada com uma ação deny podem ser usadas para proteger as instâncias, bloqueando o tráfego recebido com base nos componentes da regra de firewall.

Exemplos de entrada

O diagrama a seguir ilustra alguns exemplos de conexões de entrada que podem ser controladas por regras de firewall: Os exemplos usam o parâmetro meta nas atribuições de regras para aplicar regras a instâncias específicas.

Exemplo de regras de entrada de firewall (clique para ampliar)
Exemplo de regras de entrada de firewall (clique para ampliar)
  • Uma regra de entrada com prioridade 1000 é aplicável à VM 1. Essa regra permite o tráfego TCP de entrada de qualquer origem (0.0.0.0/0). O tráfego TCP de outras instâncias na rede VPC é permitido, sujeito às regras de saída aplicáveis ​​a essas outras instâncias. A VM 4 se comunica com a VM 1 sobre TCP porque a VM 4 não tem uma regra de saída bloqueando essa comunicação (somente a regra "permitir saída" implícita é aplicável). Como a VM 1 tem um IP externo, essa regra também permite tráfego TCP de entrada de hosts externos na Internet.

  • A VM 2 não tem uma regra de firewall de entrada especificada. Portanto, a regra "negar entrada" implícita bloqueia todo o tráfego de entrada. As conexões de outras instâncias da rede são bloqueadas, independentemente das regras de saída para as outras instâncias. Como a VM 2 tem um IP externo, há um caminho para ele de hosts externos na Internet, mas essa regra de negação implícita também bloqueia o tráfego de entrada externa.

  • Uma regra de entrada com prioridade 1000 é aplicável à VM 3. Essa regra permite o tráfego TCP de instâncias na rede com a tag de rede client, como VM 4. O tráfego TCP da VM 4 para a VM 3 é permitido porque a VM 4 não tem uma regra de saída bloqueando essa comunicação (somente a regra "permitir saída" implícita é aplicável). Como a VM 3 não tem um IP externo, não há nenhum caminho para ela de hosts externos na Internet.

Casos de saída

As regras de saída de firewall controlam as conexões de saída de instâncias de meta na rede VPC. As regras de saída com uma ação allow permitem o tráfego de instâncias com base nos outros componentes da regra. Por exemplo, é possível permitir o tráfego de envio para destinos específicos, como um intervalo de endereços IPv4, em protocolos e portas que você especifica. Da mesma forma, as regras de saída com uma ação deny bloqueiam o tráfego em outros componentes da regra.

Toda regra de egress precisa de um destino. O destino padrão é qualquer endereço IP (0.0.0.0/0), mas você pode criar um destino mais específico usando um intervalo de endereços IPv4 no formato CIDR. Ao especificar um intervalo de endereços IPv4, você pode controlar o tráfego para instâncias na rede e para destinos fora da rede, incluindo destinos na Internet.

Exemplos de saída

O diagrama a seguir ilustra alguns exemplos de conexões de saída que podem ser controladas por regras de firewall: Os exemplos usam o parâmetro meta nas atribuições de regras para aplicar regras a instâncias específicas.

Exemplo de regras de saída de firewall (clique para ampliar)
Exemplo de regras de saída de firewall (clique para ampliar)
  • A VM 1 não tem uma regra de firewall de saída especificada. Portanto, a regra "permitir saída" implícita permite o envio de tráfego para qualquer destino. As conexões com outras instâncias da rede VPC são permitidas, sujeitas às regras de entrada aplicáveis para essas outras instâncias. A VM 1 envia tráfego para a VM 4 porque a VM 4 tem uma regra de entrada que permite o tráfego recebido de qualquer intervalo de endereços IP. Como a VM 1 tem um IP externo, ela envia tráfego para hosts externos na Internet. As respostas de entrada ao tráfego enviado pela VM 1 são permitidas porque as regras de firewall são com estado.

  • Uma regra de saída com prioridade 1000 é aplicável à VM 2. Esta regra nega todo o tráfego de saída para todos os destinos (0.0.0.0/0). O tráfego de saída para outras instâncias na VPC é bloqueado, independentemente das regras de entrada aplicadas às outras instâncias. Ainda que a VM 2 tenha um IP externo, esta regra de firewall bloqueia o tráfego de saída para hosts externos na Internet.

  • Uma regra de saída com prioridade 1000 é aplicável à VM 3. Esta regra bloqueia o tráfego TCP de saída para qualquer destino no intervalo de IP 192.168.1.0/24. Mesmo que as regras de entrada para VM 4 permitam todo o tráfego recebido, a VM 3 não pode enviar o tráfego TCP para a VM 4. No entanto, a VM 3 é livre para enviar o tráfego UDP para a VM 4 porque a regra de saída apenas se aplica ao protocolo TCP. Além disso, a VM 3 pode enviar qualquer tráfego para outras instâncias na rede VPC fora do intervalo de IP 192.168.1.0/24, desde que essas outras instâncias tenham regras de entrada para permitir esse tráfego. Como ele não tem um endereço IP externo, também não tem nenhum caminho para enviar tráfego para fora da rede VPC.

A seguir

Esta página foi útil? Conte sua opinião sobre: