Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Use políticas e regras de firewall da rede regional

Nesta página, presumimos que você conheça os conceitos descritos na Visão geral das políticas de firewall de rede regional.

Tarefas de política de firewall

Criar uma política de firewall de rede regional

É possível criar uma política para qualquer rede VPC no seu projeto. Depois de criar uma política, é possível associá-la a qualquer rede VPC no projeto. Depois de associada, as regras da política ficam ativas para as VMs na rede associada.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione seu projeto na organização.

  3. Clique em Criar política de firewall de rede.

  4. Dê um Nome à política.

  5. Em Escopo da implantação, selecione Regional.

  6. Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra.

    Para mais detalhes, consulte Como criar regras de firewall.

  7. Se quiser associar a política a uma rede, clique em Continuar e em Associar.

    Para mais detalhes, consulte Como associar uma política a uma rede VPC.

  8. Clique em Criar.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Substitua:

  • NETWORK_FIREWALL_POLICY_NAME: um nome para a política.
  • DESCRIPTION: uma descrição da política.
  • REGION_NAME: uma região que você quer aplicar à política.

Associar uma política à rede

Associe uma política a uma rede para ativar as regras da política para qualquer VM nessa rede.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na guia Associados a.

  5. Clique em Associar.

  6. Selecione as redes no projeto.

  7. Clique em Associar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Substitua:

  • POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema
  • NETWORK_NAME: o nome da rede
  • ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como "organização ORG_ID" ou "pasta FOLDER_ID"
  • REGION_NAME: uma região para aplicar a política.

Descrever uma política de firewall de rede regional

É possível ver todos os detalhes de uma política, incluindo todas as regras de firewall. Além disso, é possível ver muitos atributos que estão em todas as regras da política. Esses atributos contam para um limite por política.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política de firewall de rede.

  3. Clique na sua política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Atualizar uma descrição de política de firewall de rede regional

O único campo de política que pode ser atualizado é Descrição.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique em Editar.

  4. Modifique a Descrição.

  5. Clique em Salvar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Listar políticas de firewall de rede regional

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

    A seção Políticas de firewall de rede mostra as políticas disponíveis no projeto.

gcloud

gcloud compute network-firewall-policies list
       --regions=LIST_OF_REGIONS

Excluir uma política de firewall da rede regional

Você precisa excluir todas as associações em uma política de firewall de rede antes de excluí-la.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política que você quer excluir.

  4. Clique na guia Associados a.

  5. Selecione todas as associações.

  6. Clique em Remover.

  7. Depois que todas as associações forem removidas, clique em Excluir.

gcloud

  1. Liste todas as redes associadas a uma política de firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --region=REGION_NAME
    
  2. Exclua associações individuais. Para remover a associação, você precisa ter o papel compute.SecurityAdmin na rede VPC associada.

    gcloud compute network-firewall-policies associations delete \
        --network-firewall-policy POLICY_NAME \
        --firewall-policy-region=REGION_NAME
    
  3. Exclua a política:

    gcloud compute network-firewall-policies delete POLICY_NAME
    --region=REGION_NAME
    

Excluir uma associação

Para interromper a aplicação de uma política de firewall em uma rede, exclua a associação.

No entanto, se você pretende trocar uma política de firewall por outra, não é necessário excluir a associação existente primeiro. Isso deixaria um período em que nenhuma política é aplicada. Em vez disso, substitua a política existente ao associar uma nova política.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione seu projeto ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique na guia Associações.

  5. Selecione a associação que você quer excluir.

  6. Clique em Remover.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tarefas de regras de política de firewall

Criar regras de firewall de rede

As regras da política de firewall de rede precisam ser criadas em uma política de firewall de rede regional. As regras não estarão ativas até que você associe a política que contém a uma rede VPC.

Cada regra de política de firewall de rede pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique no nome da sua política.

  4. Em Escopo da implantação, selecione Regional.

  5. Clique em Adicionar regra.

  6. Preencha os campos da regra:

    1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como 100, 200, 300).
    2. Defina a coleção Registros como Ativado ou Desativado.
    3. Em Direção do tráfego, escolha entrada ou saída.
    4. Em Ação se houver correspondência, especifique se as conexões que correspondem à regra são permitidas (Permitir), negadas (Negar) ou se a avaliação da conexão é passada para a próxima regra de firewall inferior na hierarquia (Ir para a próxima).
    5. Em Direção do tráfego, escolha entrada ou saída.
    6. Especifique os Destinos da regra.
      • Se você quiser que a regra se aplique a todas as instâncias na rede, escolha Todas as instâncias na rede.
      • Se você quiser que a regra se aplique a determinadas instâncias por tags seguras, escolha Tags seguras. Clique em Adicionar tags e digite os valores da tag a que a regra se aplica no campo Valores de tags.
      • Se você quiser que a regra se aplique a determinadas instâncias por uma conta de serviço associada, escolha Conta de serviço, indique se a conta está no projeto atual ou em outro projeto em Escopo da conta de serviço e escolha ou digite o nome dessa conta no campo Conta de serviço de destino.
    7. Para uma regra de entrada, especifique o Filtro de origem:
      • Selecione Intervalos de IP e digite os blocos CIDR no campo Intervalos de IP de origem para definir a origem do tráfego de entrada por intervalos de endereços IP. Use 0.0.0.0/0 para qualquer rede de origem.
      • Para limitar as origens pela tag de rede, escolha Tags de origem e insira as tags de rede no campo Tags de origem. Para ver o limite do número de tags de origem, consulte Limites por rede. A filtragem por tag de origem só estará disponível se o destino não for especificado pela conta de serviço. Para mais informações, consulte filtragem por conta de serviço versus tag de rede.
      • Para limitar as origens por conta de serviço, selecione Conta de serviço, indique se a conta está no projeto atual ou em outro projeto em Escopo da conta de serviço e escolha ou digite o nome dessa conta no campo Conta de serviço de origem. A filtragem por conta de serviço de origem só estará disponível se o destino não for especificado pela tag de rede. Para mais informações, consulte filtragem por conta de serviço versus tag de rede.
      • Especifique um Segundo filtro de origem, se quiser. Os filtros de origem secundários não podem usar os mesmos critérios de filtro que o principal. Os intervalos de IP de origem podem ser usados com tags de origem ou conta de serviço de origem. O conjunto de origens efetivas é a união dos endereços IP do intervalo de origem e as instâncias identificadas pelas tags de rede ou contas de serviço. Ou seja, se o intervalo de IP de origem ou as tags de origem (ou contas de serviço de origem) corresponderem aos critérios do filtro, a origem será incluída no conjunto de origem efetivo.
      • As tags de origem e a conta de serviço de origem não podem ser usadas em conjunto.
    8. Para uma regra de saída, especifique o filtro de destino:
      • Selecione Intervalos de IP e digite os blocos CIDR no campo Intervalos de IP de destino para definir o destino do tráfego de saída por intervalos de endereço IP. Use 0.0.0.0/0 para indicar em qualquer lugar.
    9. Opcional: se você estiver criando uma regra de Entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos de nome de domínio.
    10. Opcional: se você estiver criando uma Regra de entrada, selecione a Geolocalização de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione as Geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte Objetos de geolocalização.
    11. Opcional: se você estiver criando uma regra de Entrada, selecione as listas de origem do Network Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione as listas de destino do Network Threat Intelligence a que essa regra se aplica. Para saber mais sobre o Threat Intelligence, consulte Threat Intelligence para regras de política de firewall.
    12. Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino ela se aplica.
    13. Clique em Criar.
  7. Clique em Adicionar regra para adicionar outra regra. Clique em Continuar > Associar para associar a política a uma rede ou clique em Criar para criar a política.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Substitua:

  • PRIORITY: a ordem de avaliação numérica da regra.

    As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como 100, 200, 300).

  • ACTION: uma das seguintes ações:

    • allow: permite conexões que correspondem à regra
    • deny: nega conexões que correspondem à regra
    • goto_next: transmite a avaliação da conexão para o próximo nível da hierarquia, seja uma pasta ou a rede
  • POLICY_NAME: o nome da política de firewall da rede

  • PROTOCOL_PORT: uma lista separada por vírgulas de nomes ou números de protocolo (tcp,17), protocolos e portas (tcp:80) ou protocolos e intervalos de portas de destino (tcp:5000-6000)

    Não é possível especificar uma porta ou um intervalo de portas sem um protocolo. Para ICMP, não é possível especificar uma porta ou intervalo de portas. Exemplo:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Para mais informações, consulte Protocolos e portas.

  • TARGET_SECURE_TAG: uma lista separada por vírgulas de tags seguras para definir destinos

  • SERVICE_ACCOUNT: uma lista separada por vírgulas de contas de serviço para definir metas

  • DIRECTION: indica se a regra é ingress ou egress. O padrão é ingress

    • Inclua --src-ip-ranges para especificar intervalos de IPs para a origem do tráfego
    • Inclua --dest-ip-ranges para especificar intervalos de IPs para o destino do tráfego

    Para mais informações, consulte metas, origens e destino.

  • IP_RANGES: uma lista separada por vírgulas de intervalos de IP em formato CIDR, todos os intervalos IPv4 ou todos os intervalos IPv6. Exemplos:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: uma lista de Tags separadas por vírgulas.

  • COUNTRY_CODE: uma lista separada por vírgulas de códigos de países com duas letras.

    • Para a direção de entrada, especifique os códigos de países de origem no parâmetro --src-region-code. Não é possível usar o parâmetro --src-region-code para a direção de saída
    • Para a direção de saída, especifique os códigos de país de destino no parâmetro --dest-region-code. Não é possível usar o parâmetro --dest-region-code na direção de entrada
  • LIST_NAMES: um nome separado por vírgulas das listas do Threat Intelligence

    • Para a direção de entrada, especifique as listas de origem do Threat Intelligence no parâmetro --src-threat-intelligence. Não é possível usar o parâmetro --src-threat-intelligence para a direção de saída
    • Para a direção de saída, especifique as listas de destino do Threat Intelligence no parâmetro --dest-threat-intelligence. Não é possível usar o parâmetro --dest-threat-intelligence para a direção de entrada
  • ADDR_GRP_URL: um identificador exclusivo de URL para o grupo de endereços

    • Para a direção de entrada, especifique os grupos de endereços de origem no parâmetro --src-address-groups. Não é possível usar o parâmetro --src-address-groups para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-address-groups. Não é possível usar o parâmetro --dest-address-groups na direção de entrada
  • DOMAIN_NAME: uma lista separada por vírgulas de nomes de domínio no formato descrito em Formato do nome de domínio.

    • Para a direção de entrada, especifique os nomes de domínio de origem no parâmetro --src-fqdns. Não é possível usar o parâmetro --src-fqdns para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-fqdns. Não é possível usar o parâmetro --dest-fqdns na direção de entrada
  • --enable-logging e --no-enable-logging: ativam ou desativam a geração de registros de regras de firewall para a regra especificada

  • --disabled: indica que a regra de firewall, embora ela exista, não deve ser considerada ao processar conexões. Remover essa sinalização ativa a regra. Também é possível especificar --no-disabled.

  • REGION_NAME: uma região para aplicar a política.

Atualizar uma regra

Para descrições de campos, consulte Como criar regras de firewall.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

  5. Clique em Editar.

  6. Modifique os campos que você quer alterar.

  7. Clique em Salvar.

gcloud

gcloud compute network-firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Descrever uma regra

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua:

  • PRIORITY: a prioridade da regra que você quer visualizar. Como cada regra precisa ter uma prioridade única, essa configuração identifica exclusivamente uma regra
  • POLICY_NAME: o nome da política que contém a regra
  • REGION_NAME: uma região para aplicar a política.

Excluir uma regra de uma política

A exclusão de uma regra de uma política remove a regra de todas as VMs que herdam a regra.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que você quer excluir.

  5. Clique em Excluir.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua:

  • PRIORITY: a prioridade da regra que você quer excluir da política
  • POLICY_NAME: a política que contém a regra
  • REGION_NAME: uma região para aplicar a política.

Clonar regras de uma política para outra

Remova todas as regras da política de destino e as substitua pelas regras da política de origem.

Console

  1. No Console do Google Cloud, acesse a página Firewall.

    Acesse a página "Firewall"

  2. No menu suspenso do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política da qual você quer copiar as regras.

  4. Clique em Clonar na parte superior da tela.

  5. Informe o nome de uma política de destino.

  6. Clique em Continuar para associar a nova política imediatamente.

  7. Clique em Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Substitua:

  • POLICY_NAME: a política que deve receber as regras copiadas
  • SOURCE_POLICY: a política da qual copiar as regras. Precisa ser o URL do recurso
  • REGION_NAME: uma região para aplicar a política.

Tenha políticas eficazes de firewall de rede regional

Veja todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma região especificada.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
        --region=REGION_NAME \
        --network=NETWORK_NAME

Substitua:

  • REGION_NAME: a região para a qual você quer visualizar as regras vigentes.
  • NETWORK_NAME: a rede para a qual você quer visualizar as regras vigentes.