Um endpoint de firewall é um recurso zonal que oferece inspeção da camada 7 para o tráfego de rede. Crie endpoints de firewall para aplicar políticas de segurança avançadas, como detecção e prevenção de intrusão.
Depois de criar um endpoint de firewall, crie uma associação de endpoint de firewall para associar o endpoint a uma ou mais redes VPC na mesma zona. Se a inspeção da camada 7 estiver ativada na política de firewall associada à rede VPC, o tráfego correspondente será interceptado e encaminhado de maneira transparente para o endpoint do firewall.
É possível criar um endpoint de firewall com ou sem suporte a frames jumbo. Para informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Nesta página, explicamos como criar um endpoint de firewall e associá-lo a uma rede de nuvem privada virtual (VPC) usando o Google Cloud console, a Google Cloud CLI ou o Terraform.
Antes de começar
Antes de configurar endpoints e associações de firewall, faça o seguinte:
- Verifique se você tem uma rede VPC e uma sub-rede.
- Ative as APIs necessárias:
- API Compute Engine (API Compute Engine) no seu Google Cloud projeto.
- API Network Security no Google Cloud projeto que você quer usar para faturamento.
- API Certificate Authority Service no seu Google Cloud projeto.
- Instale a CLI gcloud se quiser executar
gcloudexemplos de linha de comando.
Papéis e permissões
Para receber as permissões necessárias para criar endpoints de firewall, peça ao administrador para conceder a você os papéis necessários do Identity and Access Management (IAM) na sua organização ou projeto. Para mais informações, consulte Gerenciar acesso.
Para verificar o progresso das operações listadas nesta página, verifique se
sua conta de usuário tem o
Usuário da rede do Compute
(roles/compute.networkUser) papel, que inclui as seguintes permissões:
networksecurity.operations.getnetworksecurity.operations.list
Cotas
Para conferir as cotas de endpoints e associações de firewall, consulte Cotas e limites.
Criar um endpoint de firewall
Você cria um endpoint de firewall em uma zona específica. Para garantir a inspeção adequada do tráfego e evitar falhas de roteamento, crie o endpoint de firewall na mesma zona das cargas de trabalho que você quer inspecionar.
É possível criar um endpoint de firewall no nível da organização ou do projeto. Os endpoints no nível da organização oferecem suporte apenas a grupos de perfis de segurança no nível da organização. Os endpoints para envolvidos no projeto oferecem suporte a grupos de perfis de segurança no nível da organização e do projeto.
Console
No Google Cloud console do, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização ou o projeto.
Se você selecionou a organização, clique em Criar endpoint no nível da organização.
Se você selecionou um projeto, na seção Endpoints de firewall localizados neste projeto, clique em Criar endpoint para envolvidos no projeto.
Na lista Região, selecione a região em que você quer criar o endpoint de firewall.
Na lista Zona, selecione a zona em que você quer criar o endpoint do firewall.
Digite um nome no campo Nome.
Se você estiver criando um endpoint no nível da organização, na lista Faturamento do projeto, selecione o Google Cloud projeto que você quer usar para o faturamento do endpoint do firewall.
Clique em Continuar.
Se você quiser que o endpoint ofereça suporte a frames jumbo, marque a caixa de seleção Ativar suporte a frames jumbo. Caso contrário, desmarque essa caixa de seleção.
Clique em Continuar.
Se você quiser adicionar uma associação de endpoint de firewall, clique em Adicionar associação de endpoint. Caso contrário, pule esta etapa.
- Na lista Projeto, selecione o Google Cloud projetodo Google Cloud em que você quer criar a associação de endpoint de firewall.
- Se a API Compute Engine ou a API Network Security não estiverem ativadas para o Google Cloud projeto, clique em Ativar.
- Na lista Rede, selecione a rede que você quer associar ao endpoint de firewall.
- Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
- Para adicionar outra associação, clique em Adicionar associação de endpoint.
Clique em Criar.
gcloud
Para criar um endpoint de firewall, use o gcloud network-security
firewall-endpoints create
comando:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location LOCATION \
[--billing-project QUOTA_PROJECT_ID] \
[--enable-jumbo-frames]
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: o ID da organização. Use essa flag para criar um endpoint de firewall no nível da organização.PROJECT_ID: o ID do projeto; Use essa flag para criar um endpoint de firewall para envolvidos no projeto.LOCATION: a zona para criar o endpoint.QUOTA_PROJECT_ID: o ID do projeto de cota. Use essa flag apenas para endpoints de firewall no nível da organização.
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, use a flag opcional --enable-jumbo-frames. Pule essa flag para criar um endpoint sem suporte a frames jumbo. Para
informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para associar o endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.
Terraform
Use o recurso do Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, defina o campo enable_jumbo_frames como true. Para criar um endpoint de firewall que não ofereça suporte a frames jumbo, defina esse campo como false. Para
informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Criar uma associação de endpoint de firewall
Uma associação de endpoint de firewall conecta um endpoint de firewall a uma rede VPC em uma zona específica. Essa associação garante que o tráfego correspondente a uma regra de interceptação para a rede associada nessa zona seja inspecionado pelo endpoint do firewall.
Verifique se você tem um endpoint de firewall antes de criar uma associação.
Requisitos de associação
Ao configurar associações de endpoints, siga estes requisitos:
- Restrições de zona:é necessário criar a associação na mesma zona que o endpoint de firewall. Para uma inspeção de tráfego eficaz, crie associações em zonas em que as instâncias de computação estão implantadas.
- Um endpoint por zona:em uma única zona, é possível associar uma rede VPC a apenas um endpoint de firewall (no nível do projeto ou da organização). No entanto, é possível associar uma única rede VPC a endpoints de firewall diferentes em várias zonas diferentes.
- Associações entre projetos:é possível associar uma rede VPC a um endpoint de firewall em um projeto separado. Se você usar um endpoint no nível do projeto, o projeto do endpoint precisará residir na mesma organização que a rede VPC.
- Mapeamento de recursos:uma associação é um recurso para envolvidos no projeto. Você cria a associação no projeto específico em que as instâncias de computação estão implantadas, mesmo que a associação aponte para um endpoint de firewall no nível da organização.
Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo só pode aceitar pacotes de até 1.460 bytes. Se você precisar de um serviço de filtragem de URL ou de detecção e prevenção de intrusão, recomendamos que você configure as redes VPC associadas para usar os limites de unidade máxima de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.
Console
No Google Cloud console do, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione seu Google Cloud projeto.
Clique em Criar associação de endpoint.
Na lista Região, selecione a região em que você quer criar a associação de endpoint do firewall.
Na lista Zona, selecione a zona em que você quer criar a associação de endpoint do firewall.
Na lista Endpoint de firewall, selecione o endpoint que você quer adicionar à associação.
Na lista Rede, selecione a rede que você quer adicionar à associação.
Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
Clique em Criar.
gcloud
Para criar uma associação de endpoint de firewall, use o
gcloud network-security firewall-endpoint-associations create comando.
Endpoint de firewall no nível da organização
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--location LOCATION \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint de firewall para envolvidos no projeto
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint projects/ENDPOINT_PROJECT_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--location LOCATION \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua:
NAME: o nome da associação do endpoint de firewall.ORGANIZATION_ID: o ID da organização em que o endpoint de firewall existe. Use essa flag apenas para um endpoint de firewall no nível da organização.ENDPOINT_PROJECT_ID: o ID do projeto em que o endpoint de firewall existe. Use essa flag apenas para um endpoint de firewall no nível do projeto.LOCATION: a zona em que o endpoint de firewall existe.FIREWALL_ENDPOINT_NAME: o nome do endpoint de firewall.PROJECT_NAME: o Google Cloud nome do projeto da rede.NETWORK_NAME: o nome da rede.PROJECT_ID: o Google Cloud ID do projeto em que a associação é criada. Esse precisa ser o projeto em que você quer interceptar o tráfego.TLS_PROJECT_NAME: o Google Cloud nome doprojeto de política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.Esta política é usada para a inspeção da TLS do tráfego criptografado na rede especificada. Esse é um argumento opcional.
A seguir
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede