Nesta página, presumimos que você conheça os conceitos descritos em Políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.
Limitações
- As regras da política hierárquica de firewall não são compatíveis com tags ou contas de serviço de origem.
- As regras de política hierárquica de firewall não permitem o uso de tags de rede para definir metas. Em vez disso, use uma rede VPC de destino ou uma conta de serviço de destino.
- As políticas de firewall podem ser aplicadas no nível da pasta e da organização, mas não no nível da rede VPC. As regras de firewall da VPC regulares são compatíveis com redes VPC.
- Somente uma política de firewall pode ser associada a um recurso (pasta ou organização), embora as instâncias de máquina virtual (VM) em uma pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
- A geração de registros de regras de firewall é compatível com regras
allow
edeny
, mas não com regrasgoto_next
. - O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.
Tarefas de política de firewall
Criar uma política de firewall
É possível criar uma política em qualquer recurso, organização ou pasta da hierarquia da organização. Depois de criar uma política, é possível associá-la a qualquer recurso da sua organização. Depois que a política é associada, suas regras ficam ativas para as VMs no recurso associado na hierarquia.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou uma pasta na organização.
Clique em Criar política de firewall.
Dê um Nome à política.
Se você quiser criar regras para sua política, clique em Continuar > Adicionar regra.
Veja os detalhes em Criar regras de firewall.
Se você quiser associar a política a um recurso, clique em Continuar > Associar política a recursos.
Para mais detalhes, consulte Associar uma política à organização ou a uma pasta.
Clique em Criar.
gcloud
gcloud compute firewall-policies create \ [--organization ORG_ID] | --folder FOLDER_ID] \ --short-name SHORT_NAME
Substitua:
ORG_ID
: ID da sua organização
Especifique esse ID se você estiver criando a política no nível da organização. Esse ID indica apenas em que local a política está. Ele não associa automaticamente a política ao recurso da organização.FOLDER_ID
: o ID de uma pasta
Especifique esse ID se estiver criando a política em uma determinada pasta. Esse ID indica apenas em que local a política está. Ele não associa automaticamente a política a essa pasta.SHORT_NAME
: um nome para a política
Uma política criada usando a Google Cloud CLI tem dois nomes: um nome gerado pelo sistema e um curto fornecido por você. Ao usar a Google Cloud CLI para atualizar uma política, é possível fornecer o nome gerado pelo sistema ou o nome curto e o ID da organização. Ao usar a API para atualizar a política, é preciso informar o nome gerado pelo sistema.
Criar regras de firewall
As regras de política de firewall hierárquicas precisam ser criadas em uma política de firewall hierárquica. As regras não estarão ativas até que você associe a política a um recurso.
Cada regra de política hierárquica de firewall pode incluir intervalos IPv4 ou IPv6, mas não ambos.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os campos da regra:
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0
é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como100
,200
,300
). - Defina a coleção Registros como Ativado ou Desativado.
- Em Direção do tráfego, especifique se essa regra é de Entrada ou Saída.
Em Ação se houver correspondência, escolha uma das seguintes opções:
- Permitir: permite as conexões que correspondem à regra.
- Negar: nega as conexões que correspondem à regra.
- Ir para a próxima: a avaliação da conexão é passada para a próxima regra de firewall inferior na hierarquia.
- Prosseguir para a inspeção da L7: envia os pacotes ao
endpoint de firewall
configurado para a inspeção da camada 7.
- Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
- Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS.
Para saber mais sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte Ordem de avaliação de regras e políticas.
Opcional: é possível restringir a regra a determinadas redes especificando-as no campo Rede de destino. Clique em ADICIONAR REDE e selecione o Projeto e a Rede. É possível adicionar várias redes de destino a uma regra.
Opcional: é possível restringir a regra a VMs que estão sendo executadas com acesso a determinadas contas de serviço especificando-as no campo Conta de serviço de destino.
Para uma regra de entrada, especifique o Filtro de origem:
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use
0.0.0.0/0
para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6
e insira os blocos CIDR no campo
Intervalo de IP. Use
::/0
para qualquer origem IPv6.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use
Para uma regra de saída, especifique o filtro de destino:
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
0.0.0.0/0
para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6
e insira os blocos CIDR no campo
Intervalo de IP. Use
::/0
para qualquer destino IPv6.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
Opcional: se você estiver criando uma regra de Entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos de nome de domínio.
Opcional: se você estiver criando uma regra de Entrada, selecione a Geolocalização de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione as Geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte este link.
Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.
Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para mais informações sobre o Threat Intelligence do Google, consulte Threat Intelligence do Google para regras de política de firewall.
Opcional: para uma regra de entrada, especifique os filtros de destino:
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use
0.0.0.0/0
para qualquer destino IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione
Intervalos IPv6 e insira os blocos CIDR no campo
Intervalos IPv6 de destino. Use
::/0
para qualquer destino IPv6. Para mais informações, consulte Destino das regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use
Opcional: para uma regra de saída, especifique o filtro de origem:
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
0.0.0.0/0
para qualquer origem IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalo de IP. Use
::/0
para qualquer origem IPv6. Para mais informações, consulte Origem das regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalo de IP. Use
Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino ela se aplica.
Para especificar o ICMP IPv4, use
icmp
ou o número de protocolo1
. Para especificar o ICMP em IPv6, use o número de protocolo58
. Para mais informações sobre protocolos, consulte Protocolos e portas.Clique em Criar.
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que
Clique em Adicionar regra para adicionar outra regra.
Clique em Continuar > Associar política a recursos para associar a política a recursos ou clique em Criar para criar a política.
gcloud
gcloud compute firewall-policies rules create PRIORITY \ [--organization ORG_ID] \ --firewall-policy POLICY_NAME \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--dest-ip-ranges IP_RANGES ] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] --action ACTION \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no--tls-inspect] \ [--layer4-configs PROTOCOL_PORT] \ [--target-resources NETWORKS] \ [--target-service-accounts SERVICE_ACCOUNTS] \ [--enable-logging | --no-enable-logging] \ [--disabled]
Substitua:
PRIORITY
: a ordem de avaliação numérica da regra.As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0
é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como100
,200
,300
).ORG_ID
: ID da sua organizaçãoPOLICY_NAME
: o nome curto ou o nome da política gerado pelo sistemaDIRECTION
: indica se a regra éINGRESS
(padrão) ouEGRESS
.- Inclua
--src-ip-ranges
para especificar intervalos de endereços IP para a origem do tráfego. - Inclua
--dest-ip-ranges
para especificar intervalos de endereços IP para o destino do tráfego.
- Inclua
SRC_NETWORK_SCOPE
: indica o escopo do tráfego de rede de origem a que a regra de entrada é aplicada. É possível definir esse argumento como um dos seguintes valores:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Para limpar o valor desse argumento, use uma string vazia. Um valor vazio indica todos os escopos de rede. Para mais informações, consulte Entender os tipos de escopo de rede.
SRC_VPC_NETWORK
: uma lista de redes VPC separada por vírgulasSó é possível usar
--src-networks
quando--src-network-scope
está definido comoVPC_NETWORKS
.DEST_NETWORK_SCOPE
: indica o escopo do tráfego de rede de destino a que a regra de saída é aplicada. É possível definir esse argumento como um dos seguintes valores:INTERNET
NON_INTERNET
Para limpar o valor desse argumento, use uma string vazia. Um valor vazio indica todos os escopos de rede.
Para mais informações, consulte Entender os tipos de escopo de rede.
IP_RANGES
: uma lista separada por vírgulas de intervalos de IP em formato CIDR, todos os intervalos IPv4 ou todos os intervalos IPv6. Exemplos:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE
: uma lista separada por vírgulas de códigos de países com duas letras.- Para a direção de entrada, especifique os códigos de países de origem na
flag
--src-region-code
. Não é possível usar a flag--src-region-code
para a direção de saída ou quando o--src-network-scope
é definido comoNON_INTERNET
,VPC_NETWORK
ouINTRA_VPC
. - Para a direção de saída, especifique os códigos de país de destino na
flag
--dest-region-code
. Não é possível usar a flag--dest-region-code
para a direção de entrada ou quando o--dest-network-scope
é definido comoNON_INTERNET
.
- Para a direção de entrada, especifique os códigos de países de origem na
flag
LIST_NAMES
: uma lista separada por vírgulas de nomes de listas do Threat Intelligence do Google- Para a direção de entrada, especifique as listas de origem do Google Threat Intelligence
na flag
--src-threat-intelligence
. Não é possível usar a flag--src-threat-intelligence
para a direção de saída ou quando o--src-network-scope
está definido comoNON_INTERNET
,VPC_NETWORK
ouINTRA_VPC
. - Para a direção de saída, especifique as listas de destino do Google Threat Intelligence
na flag
--dest-threat-intelligence
. Não é possível usar a flag--dest-threat-intelligence
para a direção de entrada ou quando o--dest-network-scope
é definido comoNON_INTERNET
.
- Para a direção de entrada, especifique as listas de origem do Google Threat Intelligence
na flag
ADDR_GRP_URL
: um identificador exclusivo de URL para o grupo de endereços- Para a direção de entrada, especifique os grupos de endereços de origem na
flag
--src-address-groups
. Não é possível usar a flag--src-address-groups
para a direção de saída - Para a direção de saída, especifique os grupos de endereços de destino
na flag
--dest-address-groups
. Não é possível usar a flag--dest-address-groups
na direção de entrada
- Para a direção de entrada, especifique os grupos de endereços de origem na
flag
DOMAIN_NAME
: uma lista separada por vírgulas de nomes de domínio no formato descrito em Formato do nome de domínio.- Para a direção de entrada, especifique os nomes de domínio de origem na
flag
--src-fqdns
. Não é possível usar a flag--src-fqdns
para a direção de saída - Para a direção de saída, especifique os grupos de endereços de destino
na flag
--dest-fqdns
. Não é possível usar a flag--dest-fqdns
na direção de entrada
- Para a direção de entrada, especifique os nomes de domínio de origem na
flag
ACTION
: uma das seguintes ações:allow
: permite conexões que correspondem à regradeny
: nega conexões que correspondem à regraapply_security_profile_group
: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7.goto_next
: transmite a avaliação da conexão para o próximo nível da hierarquia, seja uma pasta ou a rede
Para saber mais sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte Política e ordem de avaliação de regras.
SECURITY_PROFILE_GROUP
: o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. Especifique esse argumento somente quando a açãoapply_security_profile_group
for selecionada.--tls-inspect
: inspeciona o tráfego da TLS usando a política de inspeção da TLS quando a açãoapply_security_profile_group
for selecionada na regra. Por padrão, a inspeção da TLS está desativada. Como opção, você pode especificar--no-tls-inspect
PROTOCOL_PORT
: uma lista separada por vírgulas de nomes ou números de protocolo (tcp,17
), protocolos e portas de destino (tcp:80
) ou protocolos e intervalos de portas de destino (tcp:5000-6000
)Não é possível especificar uma porta ou um intervalo de portas sem um protocolo. Para ICMP, não é possível especificar uma porta ou intervalo de portas. Exemplo:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
.Para especificar o ICMP IPv4, use
icmp
ou o número de protocolo1
. Para especificar o ICMP IPv6, use o número de protocolo58
. Para mais informações, consulte Protocolos e portas.NETWORKS
: uma lista separada por vírgulas de URLs de recursos de rede VPC no formatohttps://www.googleapis.com/compute/v1/projects/
PROJECT_ID/global/networks/
NETWORK_NAME, em que PROJECT_ID é o ID do projeto que contém a rede VPC e NETWORK_NAME é o nome da rede. Se omitida, a regra se aplica a todas as redes VPC sob o recurso.Para mais informações, consulte Destinos para regras da política hierárquica de firewall.
SERVICE_ACCOUNTS
: uma lista separada por vírgulas de contas de serviço; a regra é aplicada apenas às VMs que estão sendo executadas com acesso à conta de serviço especificada.Para mais informações, consulte Destinos para regras da política hierárquica de firewall.
--enable-logging
e--no-enable-logging
: ativam ou desativam a geração de registros de regras de firewall para a regra especificada--disabled
: indica que a regra de firewall, embora ela exista, não deve ser considerada ao processar conexões. Remover essa sinalização ativa a regra. Também é possível especificar--no-disabled
.
Associar uma política à organização ou pasta
Associe uma política a um recurso para ativar as regras de política para VMs no recurso na hierarquia.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou as pastas da organização.
Clique em Adicionar.
gcloud
gcloud compute firewall-policies associations create \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [ --folder FOLDER_ID ] \ [ --name ASSOCIATION_NAME ] \ [ --replace-association-on-target ]
Substitua:
POLICY_NAME
: o nome curto ou o nome da política gerado pelo sistemaORG_ID
: ID da sua organizaçãoFOLDER_ID
: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política ao nível da organizaçãoASSOCIATION_NAME
: um nome opcional para a associação. Se não for especificado, o nome será definido como "organizaçãoORG_ID
" ou "pastaFOLDER_ID
"--replace-association-on-target
Por padrão, se você tentar inserir uma associação a uma organização ou pasta que já tenha uma associação, o método falhará. Se você especificar essa sinalização, a associação existente será excluída ao mesmo tempo que a nova associação for criada. Isso impede que o recurso não tenha uma política durante a transição.
Mover uma política de um recurso para outro
Mover uma política altera qual recurso é o proprietário da política. Para mover uma política, é preciso ter permissões move
nos recursos antigos e novos.
Mover uma política não afeta nenhuma associação de política existente ou a avaliação das regras existentes, mas pode afetar quem tem permissões para modificar ou associar a política após a movimentação.
Console
Use a Google Cloud CLI para este procedimento.
gcloud
gcloud compute firewall-policies move POLICY_NAME \ --organization ORG_ID \ [--folder FOLDER_ID]
Substitua:
POLICY_NAME
: o nome curto ou o nome da política gerado pelo sistema que você está movendoORG_ID
: ID da sua organização. Se você estiver movendo a política para a organização, especifique esse ID, mas não especifique uma pasta.FOLDER_ID
: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política à organização
Atualizar uma descrição da política
O único campo de política que pode ser atualizado é Descrição.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique em Editar.
Modifique a Descrição.
Clique em Salvar.
gcloud
gcloud compute firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --organization ORG_ID
Políticas de lista
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Para uma organização, a seção Políticas de firewall associadas a esta organização mostra as políticas associadas. A seção Políticas de firewall localizadas nesta organização lista as políticas que são de propriedade da organização.
Para uma pasta, a seção Políticas de firewall associadas a esta pasta ou herdadas por ela mostra as políticas associadas ou herdadas por ela. A seção Políticas de firewall localizadas nesta pasta lista as políticas que são de propriedade da pasta.
gcloud
gcloud compute firewall-policies list \ [--organization ORG_ID | --folder FOLDER_ID]
Descrever uma política
É possível ver todos os detalhes de uma política, incluindo todas as regras de firewall. Além disso, é possível ver muitos atributos que estão em todas as regras da política. Esses atributos contam para um limite por política.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Excluir uma política
É necessário excluir todas as associações em uma política de firewall da organização antes de excluí-la.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associações.
Depois que todas as associações forem removidas, clique em Excluir.
gcloud
Liste todos os recursos associados a uma política de firewall:
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Exclua associações individuais. Para remover a associação, é necessário ter o papel
compute.orgSecurityResourceAdmin
no recurso associado ou ancestral desse recurso.gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Exclua a política:
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
Listar associações para um recurso
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Uma lista de políticas associadas e herdadas é exibida para o recurso selecionado (organização ou pasta).
gcloud
gcloud compute firewall-policies associations list \ [--organization ORG_ID | --folder FOLDER_ID]
Listar associações de uma política
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
As associações são listadas na tabela.
gcloud
gcloud compute firewall-policies describe POLICY_ID
Excluir uma associação
Para interromper a aplicação de uma política de firewall na organização ou em uma pasta, exclua a associação.
No entanto, se você pretende trocar uma política de firewall por outra, não é necessário excluir a associação existente primeiro. Isso deixaria um período em que nenhuma política é aplicada. Em vez disso, substitua a política existente ao associar uma nova política.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associações.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID
Tarefas de regras de política de firewall
Criar uma regra em uma política de firewall existente
Consulte Criar regras de firewall.
Listar todas as regras em uma política
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política. As regras são listadas na guia Regras de firewall.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \ --organization ORG_ID
Descrever uma regra
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Substitua:
PRIORITY
: a prioridade da regra que você quer visualizar. Como cada regra precisa ter uma prioridade única, essa configuração identifica exclusivamente uma regraORG_ID
: ID da sua organizaçãoPOLICY_NAME
: o nome curto ou gerado pelo sistema da política que contém a regra
Atualizar uma regra
Para descrições de campos, consulte Como criar regras de firewall.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Editar.
Modifique os campos que você quer alterar.
Clique em Salvar.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [...fields you want to modify...]
Clonar regras de uma política para outra
Remova todas as regras da política de destino e as substitua pelas regras da política de origem.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Clique em Continuar > Associar política a recursos se quiser associar a nova política imediatamente.
Clique em Clone.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \ --organization ORG_ID \ --source-firewall-policy SOURCE_POLICY
Substitua:
POLICY_NAME
: a política que deve receber as regras copiadasORG_ID
: ID da sua organizaçãoSOURCE_POLICY
: a política da qual copiar as regras. Precisa ser o URL do recurso
Excluir uma regra de uma política
A exclusão de uma regra de uma política remove a regra de todas as VMs que herdam a regra.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Substitua:
PRIORITY
: a prioridade da regra que você quer excluir da políticaORG_ID
: ID da sua organizaçãoPOLICY_NAME
: a política que contém a regra
Receber regras de firewall eficazes para uma rede
Exibe todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma rede VPC especificada.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na rede para ver as regras de política de firewall.
Clique em Políticas de firewall.
Expanda cada política de firewall para visualizar as regras que se aplicam a esta rede.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Substitua:
NETWORK_NAME
: a rede que deve receber regras em vigor
Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.
Receber regras de firewall em vigor para uma interface de VM
Exibe todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma interface de VM especificada do Compute Engine.
Console
No console do Google Cloud, acesse a página Instâncias de VMs.
No menu suspenso do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Em Interfaces de rede, clique na interface.
As regras de firewall em vigor aparecem em Detalhes de firewall e rotas.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Substitua:
INSTANCE_NAME
: a VM que deve receber regras em vigor. Se nenhuma interface for especificada, retornará regras da interface principal (nic0
)INTERFACE
: a interface da VM que deve receber regras em vigor. O padrão énic0
ZONE
: a zona da VM. É opcional quando a zona desejada já está definida como padrão
Solução de problemas
Esta seção contém explicações para mensagens de erro que podem ser encontradas.
FirewallPolicy may not specify a name. One will be provided.
Não é possível especificar um nome de política. Os "nomes" de políticas de firewall hierárquicas são códigos numéricos gerados pelo Google Cloud quando a política é criada. No entanto, é possível especificar um nome curto mais específico que funcione como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.
As associações só podem ser criadas depois que políticas de firewall hierárquicas são criadas.
Can not move firewall policy to a different organization.
As migrações de política de firewall hierárquica precisam permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.
Se um recurso já estiver anexado a uma política de firewall hierárquica, a operação do anexo falhará, a menos que a opção de substituir as associações esteja definida como verdadeira.
Cannot have rules with the same priorities.
As prioridades das regras precisam ser exclusivas dentro de uma política de firewall hierárquica.
Direction must be specified on firewall policy rule.
Ao criar regras da política de firewall hierárquica enviando solicitações REST diretamente, a direção da regra precisa ser especificada. Quando você usa a Google Cloud CLI e nenhuma direção é especificada, o padrão é
INGRESS
.Can not specify enable_logging on a goto_next rule.
A geração de registros de firewall não é permitida para regras com a ação goto_next, já que essas ações são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações de terminal, como ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.
A flag
layer4Configs
na regra da política de firewall precisa especificar pelo menos um protocolo ou um protocolo e uma porta de destino.Para mais detalhes sobre como resolver problemas de regras de política de firewall, consulte Solução de problemas de regras de firewall da VPC.