As políticas de firewall de rede globais permitem-lhe atualizar em lote todas as regras de firewall agrupando-as num único objeto de política. Pode atribuir políticas de firewall de rede a uma rede da nuvem virtual privada (VPC). Estas políticas contêm regras que podem negar ou permitir explicitamente ligações.
Especificações
- As políticas de firewall de rede globais são recursos de contentores para regras de firewall.
Cada recurso de política de firewall de rede global é definido num projeto.
- Depois de criar uma política de firewall de rede global, pode adicionar, atualizar e eliminar regras de firewall na política.
- Para obter informações de especificação sobre as regras nas políticas de firewall de rede global, consulte o artigo Regras da política de firewall.
- Para aplicar regras de política de firewall de rede global a uma rede VPC, tem de associar a política de firewall a essa rede VPC.
- Pode associar uma política de firewall de rede global a várias redes VPC. Certifique-se de que a política de firewall e as redes associadas pertencem ao mesmo projeto.
- Cada rede VPC só pode ser associada a uma política de firewall de rede global.
- Se a política de firewall não estiver associada a nenhuma rede da VPC, as regras nessa política não têm efeito. Uma política de firewall que não esteja associada a nenhuma rede é uma política de firewall de rede global não associada.
- Quando uma política de firewall de rede global está associada a uma ou mais redes VPC, as regras da política de firewall são aplicadas das seguintes formas:
- As regras existentes são aplicadas aos recursos aplicáveis nas redes VPC associadas.
- Quaisquer alterações feitas às regras são aplicadas aos recursos aplicáveis nas redes VPC associadas.
- As regras nas políticas de firewall de rede globais são aplicadas juntamente com outras regras de firewall, conforme descrito na ordem de avaliação de políticas e regras.
As regras da política de firewall de rede global são usadas para configurar a inspeção da camada 7 do tráfego correspondente, como quando usa o serviço de deteção e prevenção de intrusões.
Cria uma regra de política de firewall com a
apply_security_profile_group
ação e o nome do grupo de perfis de segurança. O tráfego que corresponde à regra de política de firewall é encaminhado de forma transparente para o ponto final da firewall para inspeção da camada 7. Para saber como criar uma regra de política de firewall, consulte o artigo Crie regras de firewall de rede global.
Detalhes da regra de política de firewall de rede global
Para mais informações sobre os componentes e os parâmetros das regras numa política de firewall de rede global, consulte o artigo Regras da política de firewall.
A tabela seguinte resume as principais diferenças entre as regras da política de firewall de rede global e as regras de firewall da VPC:
Regras de política de firewall de rede global | Regras de firewall da VPC | |
---|---|---|
Número de prioridade | Tem de ser único numa política | Prioridades duplicadas permitidas |
Contas de serviço como alvos | Sim | Sim |
Contas de serviço como origens (apenas regras de entrada) |
Não | Sim |
Tipo de etiqueta | Etiqueta segura | Etiqueta de rede |
Nome e descrição | Nome da política, política e descrição da regra | Nome e descrição da regra |
Atualização em lote | Sim, para as funções de clonagem, edição e substituição de políticas | Não |
Reutilizar | Sim | Não |
Quota | Contagem de atributos: com base numa complexidade total de cada regra na política | Número de regras: as regras de firewall simples e complexas têm o mesmo impacto na quota |
Regras predefinidas
Quando cria uma política de firewall de rede global, o firewall de nova geração do Google Cloud adiciona regras predefinidas com a prioridade mais baixa à política. Estas regras são aplicadas a quaisquer ligações que não correspondam a uma regra definida explicitamente na política, o que faz com que essas ligações sejam transmitidas a políticas ou regras de rede de nível inferior.
Para saber mais sobre os vários tipos de regras predefinidas e as respetivas caraterísticas, consulte o artigo Regras predefinidas.
Funções da gestão de identidade e de acesso (IAM)
As funções IAM regem as seguintes ações relativamente às políticas de firewall de rede global:
- Criar uma política de firewall de rede global
- Associar uma política a uma rede
- Modificar uma política existente
- Ver as regras de firewall eficazes para uma rede ou uma VM específica
A tabela seguinte descreve as funções necessárias para cada ação:
Ação | Função necessária |
---|---|
Crie uma nova política de firewall de rede global | Função compute.securityAdmin no projeto ao qual a política pertence |
Associe uma política a uma rede | Função compute.networkAdmin no projeto onde a política vai estar |
Modifique a política adicionando, atualizando ou eliminando regras de firewall de políticas | Função compute.securityAdmin no projeto onde a política vai estar |
Elimine a política | Função compute.networkAdmin no projeto onde a política vai estar |
Veja as regras de firewall eficazes para uma rede da VPC | Qualquer uma das seguintes funções para a rede: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
Veja as regras de firewall eficazes para uma VM numa rede | Qualquer uma das seguintes funções para a VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
As seguintes funções são relevantes para as políticas de firewall de rede globais.
Nome da função | Descrição |
---|---|
compute.securityAdmin | Podem ser concedidas ao nível do projeto ou da política. Se concedido para um projeto, permite que os utilizadores criem, atualizem e eliminem políticas de firewall de rede global e as respetivas regras. Ao nível da política, permite aos utilizadores atualizar as regras da política, mas não criar nem eliminar a política. Esta função também permite que os utilizadores associem uma política a uma rede. |
compute.networkAdmin | Concedidas ao nível do projeto ou da rede. Se concedida para uma rede, permite que os utilizadores vejam a lista de políticas de firewall de rede globais. |
compute.viewer compute.networkUser compute.networkViewer |
Permite que os utilizadores vejam as regras de firewall aplicadas à rede ou à instância. Inclui a autorização compute.networks.getEffectiveFirewalls para redes e a autorização compute.instances.getEffectiveFirewalls para instâncias. |