Usar políticas e regras hierárquicas de firewall

Nesta página, presumimos que você conheça os conceitos descritos em Políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.

Limitações

As regras da política hierárquica de firewall não são compatíveis com tags ou contas de serviço de origem.
As regras de política hierárquica de firewall não permitem o uso de tags de rede para definir metas. Em vez disso, use uma rede VPC de destino ou uma conta de serviço de destino.
As políticas de firewall podem ser aplicadas no nível da pasta e da organização, mas não no nível da rede VPC. As regras de firewall da VPC regulares são compatíveis com redes VPC.
Somente uma política de firewall pode ser associada a um nó (pasta ou organização), embora as instâncias de máquina virtual (VM) em uma pasta possam herdar regras de toda a hierarquia de nós acima da VM.
A geração de registros de regras de firewall é compatível com regras allow e deny, mas não com regras goto_next.
O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Tarefas de política de firewall

Criar uma política de firewall

É possível criar uma política em qualquer nó, organização ou pasta da hierarquia da organização. Depois de criar uma política, é possível associá-la a qualquer nó da sua organização. Depois que a política é associada, suas regras ficam ativas para as VMs no nó associado na hierarquia.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.create

Papéis

compute.orgFirewallPolicyAdmin no nó em que você quer criar a política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou uma pasta na organização.
Clique em Criar política de firewall.
Dê um Nome à política.
Se você quiser criar regras para sua política, clique em Continuar > Adicionar regra.

Veja os detalhes em Criar regras de firewall.
Se você quiser associar a política a um nó, clique em Continuar > Associar política a recursos.

Para mais detalhes, consulte Associar uma política à organização ou a uma pasta.
Clique em Criar.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Substitua:

ORG_ID: ID da sua organização
Especifique esse ID se você estiver criando a política no nível da organização. Esse ID indica apenas em que local a política está. Ele não associa automaticamente a política ao nó da organização.
FOLDER_ID: o ID de uma pasta
Especifique esse ID se estiver criando a política em uma determinada pasta. Esse ID indica apenas em que local a política está. Ele não associa automaticamente a política a essa pasta.
SHORT_NAME: um nome para a política
Uma política criada usando a Google Cloud CLI tem dois nomes: um nome gerado pelo sistema e um curto fornecido por você. Ao usar a Google Cloud CLI para atualizar uma política, é possível fornecer o nome gerado pelo sistema ou o nome curto e o ID da organização. Ao usar a API para atualizar a política, é preciso informar o nome gerado pelo sistema.

Criar regras de firewall

As regras de política de firewall hierárquicas precisam ser criadas em uma política de firewall hierárquica. As regras não estarão ativas até que você associe a política a um nó.

Cada regra de política hierárquica de firewall pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

compute.orgFirewallPolicyAdmin no nó que contém a política ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os campos da regra:
1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como 100, 200, 300).
2. Defina a coleção Registros como Ativado ou Desativado.
3. Em Direção do tráfego, especifique se essa regra é de Entrada ou Saída.
4. Em Ação se houver correspondência, escolha uma das seguintes opções:
  1. Permitir: permite as conexões que correspondem à regra.
  2. Negar: nega as conexões que correspondem à regra.
  3. Ir para a próxima: a avaliação da conexão é passada para a próxima regra de firewall inferior na hierarquia.
  4. Prosseguir para a inspeção da L7: envia os pacotes ao endpoint de firewall configurado para a inspeção da camada 7.
    - Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
    - Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS.
  Para saber mais sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte Ordem de avaliação de regras e políticas.
5. Opcional: é possível restringir a regra a determinadas redes especificando-as no campo Rede de destino. Clique em ADICIONAR REDE e selecione o Projeto e a Rede. É possível adicionar várias redes de destino a uma regra.
6. Opcional: é possível restringir a regra a VMs que estão sendo executadas com acesso a determinadas contas de serviço especificando-as no campo Conta de serviço de destino.
7. Para uma regra de entrada, especifique o Filtro de origem:
  - Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
  - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer origem IPv6.
8. Para uma regra de saída, especifique o filtro de destino:
  - Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
  - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer destino IPv6.
9. Opcional: se você estiver criando uma regra de Entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos de nome de domínio.
10. Opcional: se você estiver criando uma regra de Entrada, selecione a Geolocalização de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione as Geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte este link.
11. Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.
12. Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para saber mais sobre o Threat Intelligence, consulte Threat Intelligence para regras de política de firewall.
13. Opcional: para uma regra de entrada, especifique os filtros de destino:
  - Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
  - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e insira os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte Destino das regras de entrada.
14. Opcional: para uma regra de saída, especifique o filtro de origem:
  - Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
  - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte Origem das regras de saída.
15. Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino ela se aplica.
  
  Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para especificar o ICMP em IPv6, use o número de protocolo 58. Para mais informações sobre protocolos, consulte Protocolos e portas.
16. Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Clique em Continuar > Associar política a recursos para associar a política a recursos ou clique em Criar para criar a política.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Substitua:

PRIORITY: a ordem de avaliação numérica da regra.

As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Uma prática recomendada é dar números de prioridade às regras que permitam a inserção posterior (como 100, 200, 300).
ORG_ID: ID da sua organização
POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema
DIRECTION: indica se a regra é INGRESS (padrão) ou EGRESS.
- Inclua --src-ip-ranges para especificar intervalos de endereços IP para a origem do tráfego.
- Inclua --dest-ip-ranges para especificar intervalos de endereços IP para o destino do tráfego.
Para mais informações, consulte metas, origem e destino.
IP_RANGES: uma lista separada por vírgulas de intervalos de IP em formato CIDR, todos os intervalos IPv4 ou todos os intervalos IPv6. Exemplos:
--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE: uma lista separada por vírgulas de códigos de países com duas letras.
- Para a direção de entrada, especifique os códigos de países de origem no parâmetro --src-region-code. Não é possível usar o parâmetro --src-region-code para a direção de saída
- Para a direção de saída, especifique os códigos de país de destino no parâmetro --dest-region-code. Não é possível usar o parâmetro --dest-region-code na direção de entrada
LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Threat Intelligence
- Para a direção de entrada, especifique as listas de origem do Threat Intelligence no parâmetro --src-threat-intelligence. Não é possível usar o parâmetro --src-threat-intelligence para a direção de saída
- Para a direção de saída, especifique as listas de destino do Threat Intelligence no parâmetro --dest-threat-intelligence. Não é possível usar o parâmetro --dest-threat-intelligence para a direção de entrada
ADDR_GRP_URL: um identificador exclusivo de URL para o grupo de endereços
- Para a direção de entrada, especifique os grupos de endereços de origem no parâmetro --src-address-groups. Não é possível usar o parâmetro --src-address-groups para a direção de saída
- Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-address-groups. Não é possível usar o parâmetro --dest-address-groups na direção de entrada
DOMAIN_NAME: uma lista separada por vírgulas de nomes de domínio no formato descrito em Formato do nome de domínio.
- Para a direção de entrada, especifique os nomes de domínio de origem no parâmetro --src-fqdns. Não é possível usar o parâmetro --src-fqdns para a direção de saída
- Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-fqdns. Não é possível usar o parâmetro --dest-fqdns na direção de entrada
ACTION: uma das seguintes ações:
- allow: permite conexões que correspondem à regra
- deny: nega conexões que correspondem à regra
- apply_security_profile_group: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7.
- goto_next: transmite a avaliação da conexão para o próximo nível da hierarquia, seja uma pasta ou a rede
Para saber mais sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte Política e ordem de avaliação de regras.
SECURITY_PROFILE_GROUP: o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. Especifique esse parâmetro somente quando a ação apply_security_profile_group for selecionada.
--tls-inspect: inspeciona o tráfego da TLS usando a política de inspeção da TLS quando a ação apply_security_profile_group for selecionada na regra. Por padrão, a inspeção da TLS está desativada. Como opção, você pode especificar --no-tls-inspect
PROTOCOL_PORT: uma lista separada por vírgulas de nomes ou números de protocolo (tcp,17), protocolos e portas de destino (tcp:80) ou protocolos e intervalos de portas de destino (tcp:5000-6000)

Não é possível especificar uma porta ou um intervalo de portas sem um protocolo. Para ICMP, não é possível especificar uma porta ou intervalo de portas. Exemplo:--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para especificar o ICMP IPv6, use o número de protocolo 58. Para mais informações, consulte Protocolos e portas.
NETWORKS: uma lista separada por vírgulas de URLs de recursos de rede VPC no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, em que PROJECT_ID é o ID do projeto que contém a rede VPC e NETWORK_NAME é o nome da rede. Se omitida, a regra se aplica a todas as redes VPC sob o nó.

Para mais informações, consulte Destinos para regras da política hierárquica de firewall.
SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço; a regra é aplicada apenas às VMs que estão sendo executadas com acesso à conta de serviço especificada.

Para mais informações, consulte Destinos para regras da política hierárquica de firewall.
--enable-logging e --no-enable-logging: ativam ou desativam a geração de registros de regras de firewall para a regra especificada
--disabled: indica que a regra de firewall, embora ela exista, não deve ser considerada ao processar conexões. Remover essa sinalização ativa a regra. Também é possível especificar --no-disabled.

Associar uma política à organização ou pasta

Associe uma política a um nó para ativar as regras de política para VMs no nó na hierarquia.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.setFirewallPolicy no nó de destino
compute.firewallPolicies.addAssociation na política de firewall

Papéis

compute.orgSecurityResourceAdmin no nó de destino e compute.orgFirewallPolicyUser no nó da política ou na própria política

compute.orgSecurityResourceAdmin no nó de destino e compute.orgFirewallPolicyAdmin no nó da política ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou as pastas da organização.
Clique em Adicionar.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Substitua:

POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema
ORG_ID: ID da sua organização
FOLDER_ID: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política ao nível da organização
ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como "organização ORG_ID" ou "pasta FOLDER_ID"
--replace-association-on-target
Por padrão, se você tentar inserir uma associação a um nó de organização ou pasta que já tenha uma associação, o método falhará. Se você especificar essa sinalização, a associação existente será excluída ao mesmo tempo que a nova associação for criada. Isso impede que o nó não tenha uma política durante a transição.

Mover uma política de um nó para outro

Mover uma política altera qual nó é o proprietário da política. Para mover uma política, é preciso ter permissões move nos nós antigos e novos.

Mover uma política não afeta nenhuma associação de política existente ou a avaliação das regras existentes, mas pode afetar quem tem permissões para modificar ou associar a política após a movimentação.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.move

Papéis

compute.orgFirewallPolicyAdmin no novo nó e no antigo nó ou na própria política

Console

Use a Google Cloud CLI para este procedimento.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Substitua:

POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema que você está movendo
ORG_ID: ID da sua organização. Se você estiver movendo a política para o nó da organização, especifique esse ID, mas não especifique uma pasta.
FOLDER_ID: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política ao nó da organização

Atualizar uma descrição da política

O único campo de política que pode ser atualizado é Descrição.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

compute.orgFirewallPolicyAdmin no nó em que a política reside ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique em Editar.
Modifique a Descrição.
Clique em Salvar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Políticas de lista

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.list

Papéis

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

A seção Políticas de firewall associadas a este nó ou herdadas pelo nó mostra quais políticas estão associadas a esse nó na hierarquia de recursos.

A seção Políticas de firewall localizadas neste nó lista as políticas que são propriedade desse nó na hierarquia de recursos. Essas políticas podem não estar associadas a esse nó, mas estão disponíveis para serem associadas a esse ou outros nós.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descrever uma política

É possível ver todos os detalhes de uma política, incluindo todas as regras de firewall. Além disso, é possível ver muitos atributos que estão em todas as regras da política. Esses atributos contam para um limite por política.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.get

Papéis

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser no nó ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Excluir uma política

É necessário excluir todas as associações em uma política de firewall da organização antes de excluí-la.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.delete

Papéis

compute.orgFirewallPolicyAdmin no nó ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associações.
Depois que todas as associações forem removidas, clique em Excluir.

gcloud

Liste todos os nós associados a uma política de firewall:

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Exclua associações individuais. Para remover a associação, é necessário ter o papel compute.orgSecurityResourceAdmin no nó associado ou no ancestral desse nó.
```
gcloud compute firewall-policies associations delete NODE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME
```

Exclua a política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Listar associações de um nó

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.listAssociations

Papéis

compute.orgSecurityResourceAdmin

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
As políticas associadas e herdadas são listadas em Políticas de firewall associadas a este nó ou herdadas pelo nó.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Listar associações de uma política

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.listAssociations

Papéis

compute.orgSecurityResourceAdmin no nó ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
As associações são listadas na tabela.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Excluir uma associação

Para interromper a aplicação de uma política de firewall na organização ou em uma pasta, exclua a associação.

No entanto, se você pretende trocar uma política de firewall por outra, não é necessário excluir a associação existente primeiro. Isso deixaria um período em que nenhuma política é aplicada. Em vez disso, substitua a política existente ao associar uma nova política.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.setFirewallPolicy no nó de destino
compute.firewallPolicies.addAssociation na política de firewall

Papéis

compute.orgSecurityResourceAdmin no nó de destino e compute.orgFirewallPolicyUser no nó da política ou na própria política

compute.orgSecurityResourceAdmin no nó de destino e compute.orgFirewallPolicyAdmin no nó da política ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associações.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tarefas de regras de política de firewall

Criar uma regra em uma política de firewall existente

Consulte Criar regras de firewall.

Listar todas as regras em uma política

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.get

Papéis

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser no nó ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política. As regras são listadas na guia Regras de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Descrever uma regra

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.get

Papéis

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Substitua:

PRIORITY: a prioridade da regra que você quer visualizar. Como cada regra precisa ter uma prioridade única, essa configuração identifica exclusivamente uma regra
ORG_ID: ID da sua organização
POLICY_NAME: o nome curto ou gerado pelo sistema da política que contém a regra

Atualizar uma regra

Para descrições de campos, consulte Como criar regras de firewall.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

compute.orgFirewallPolicyAdmin

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Editar.
Modifique os campos que você quer alterar.
Clique em Salvar.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonar regras de uma política para outra

Remova todas as regras da política de destino e as substitua pelas regras da política de origem.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.copyRule

Papéis

compute.orgFirewallPolicyAdmin no nó ou nas próprias políticas

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Clique em Continuar > Associar política a recursos se quiser associar a nova política imediatamente.
Clique em Clone.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Substitua:

POLICY_NAME: a política que deve receber as regras copiadas
ORG_ID: ID da sua organização
SOURCE_POLICY: a política da qual copiar as regras. Precisa ser o URL do recurso

Excluir uma regra de uma política

A exclusão de uma regra de uma política remove a regra de todas as VMs que herdam a regra.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

compute.orgFirewallPolicyAdmin no nó que hospeda a política ou na própria política

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
No menu suspenso do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Substitua:

PRIORITY: a prioridade da regra que você quer excluir da política
ORG_ID: ID da sua organização
POLICY_NAME: a política que contém a regra

Receber regras de firewall eficazes para uma rede

Exibe todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma rede VPC especificada.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.networks.getEffectiveFirewalls na rede

Papéis

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique na rede para ver as regras de política de firewall.
Clique em Políticas de firewall.
Expanda cada política de firewall para visualizar as regras que se aplicam a esta rede.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua:

NETWORK_NAME: a rede que deve receber regras em vigor

Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.listAssociations na rede
(Opcional) Use resourcemanager.folders.get e resourcemanager.organizations.get para ver as informações nas colunas Herdado de e Localizado em

Papéis

Para visualizar regras de firewall:

compute.orgSecurityResourceAdmin
compute.viewer

(Opcional) Para ver as informações nas colunas Herdado de e Localizado em:

browser
resourcemanager.organizationAdmin

Console

No Console do Google Cloud, acesse a página políticas de Firewall.

Acessar as políticas de firewall
As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Receber regras de firewall em vigor para uma interface de VM

Exibe todas as regras de política de firewall hierárquica, de VPC e de rede aplicadas a uma interface de VM especificada do Compute Engine.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.instances.getEffectiveFirewalls na rede

Papéis

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

No console do Google Cloud, acesse a página Instâncias de VMs.

Acessar instâncias de VM
No menu suspenso do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Em Interfaces de rede, clique na interface.
As regras de firewall em vigor aparecem em Detalhes de firewall e rotas.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua:

INSTANCE_NAME: a VM que deve receber regras em vigor. Se nenhuma interface for especificada, retornará regras da interface principal (nic0)
INTERFACE: a interface da VM que deve receber regras em vigor. O padrão é nic0
ZONE: a zona da VM. É opcional quando a zona desejada já está definida como padrão

Solução de problemas

Esta seção contém explicações para mensagens de erro que podem ser encontradas.

FirewallPolicy may not specify a name. One will be provided.

Não é possível especificar um nome de política. Os "nomes" de políticas de firewall hierárquicas são códigos numéricos gerados pelo Google Cloud quando a política é criada. No entanto, é possível especificar um nome curto mais específico que funcione como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.

As associações só podem ser criadas depois que políticas de firewall hierárquicas são criadas.
Can not move firewall policy to a different organization.

As migrações de política de firewall hierárquica precisam permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Se um nó já estiver anexado a uma política de firewall hierárquica, a operação do anexo falhará, a menos que a opção de substituir as associações existentes esteja definida como verdadeira.
Cannot have rules with the same priorities.

As prioridades das regras precisam ser exclusivas dentro de uma política de firewall hierárquica.
Direction must be specified on firewall policy rule.

Ao criar regras da política de firewall hierárquica enviando solicitações REST diretamente, a direção da regra precisa ser especificada. Quando você usa a Google Cloud CLI e nenhuma direção é especificada, o padrão é INGRESS.
Can not specify enable_logging on a goto_next rule.

A geração de registros de firewall não é permitida para regras com a ação goto_next, já que essas ações são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações de terminal, como ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.

O parâmetro layer4Configs na regra da política de firewall precisa especificar pelo menos um protocolo ou um protocolo e uma porta de destino.

Para mais detalhes sobre como resolver problemas de regras de política de firewall, consulte Solução de problemas de regras de firewall da VPC.