Nesta página, explicamos como configurar um endpoint de firewall e associá-lo a uma rede de nuvem privada virtual (VPC) usando o Google Cloud console, a Google Cloud CLI ou o Terraform.
Você cria um endpoint de firewall no nível zonal e o associa a uma ou mais redes VPC na mesma zona. Se a inspeção da camada 7 estiver ativada na política de firewall associada à rede VPC, o tráfego correspondente será interceptado e encaminhado de maneira transparente para o endpoint do firewall.
É possível criar um endpoint de firewall com ou sem suporte a frames jumbo. Para informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Antes de começar
Antes de configurar endpoints e associações de firewall, faça o seguinte:
- Verifique se você tem uma rede VPC e uma sub-rede.
- Ative as APIs necessárias:
- API Compute Engine (Compute Engine API) no seu Google Cloud projeto.
- API Network Security no Google Cloud projeto que você quer usar para faturamento.
- API Certificate Authority Service no seu Google Cloud projeto.
- Instale a CLI gcloud se você quiser executar
gcloudexemplos de linhas de comando.
Papéis e permissões
Para ter as permissões necessárias para criar endpoints de firewall, peça ao administrador para conceder a você os papéis necessários do Identity and Access Management (IAM) na sua organização ou no seu projeto. Para mais informações, consulte Gerenciar acesso.
Para verificar o progresso das operações listadas nesta página, verifique se
sua conta de usuário tem o
Usuário da rede do Compute
(roles/compute.networkUser) papel, que inclui as seguintes permissões:
networksecurity.operations.getnetworksecurity.operations.list
Cotas
Para conferir as cotas de endpoints e associações de firewall, consulte Cotas e limites.
Criar um endpoint de firewall
Crie um endpoint de firewall em uma zona específica.
Endpoint no nível da organização
É possível criar um endpoint de firewall no nível da organização. Esses endpoints oferecem suporte apenas a grupos de perfis de segurança no nível da organização.
Console
No Google Cloud console do, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique em Criar.
Na lista Região, selecione a região em que você quer criar o endpoint de firewall.
Na lista Zona, selecione a zona em que você quer criar o endpoint do firewall.
Digite um nome no campo Nome.
Na lista Projeto de faturamento, selecione o Google Cloud projetoque você quer usar para o faturamento do endpoint do firewall.
Clique em Continuar.
Se você quiser que o endpoint ofereça suporte a frames jumbo, marque a caixa de seleção Ativar suporte a frames jumbo. Caso contrário, desmarque essa caixa de seleção.
Clique em Continuar.
Se você quiser adicionar uma associação de endpoint de firewall, clique em Adicionar associação de endpoint. Caso contrário, pule esta etapa.
- Na lista Projeto, selecione o Google Cloud projeto onde você quer criar a associação de endpoint de firewall.
- Se a API Compute Engine ou a API Network Security não estiverem ativadas para o Google Cloud projeto, clique em Ativar.
- Na lista Rede, selecione a rede que você quer associar ao endpoint de firewall.
- Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
- Para adicionar outra associação, clique em Adicionar associação de endpoint.
Clique em Criar.
gcloud
Para criar um endpoint de firewall, use o gcloud network-security
firewall-endpoints create
comando:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Substitua:
.NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.BILLING_PROJECT_ID: um Google Cloud ID do projeto a ser usado para o faturamento do endpoint de firewall.
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, use a flag opcional --enable-jumbo-frames. Pule essa flag para criar um endpoint sem suporte a frames jumbo. Para
informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para associar o endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.
Terraform
Use o recurso do Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, defina o campo enable_jumbo_frames como true. Para criar um endpoint de firewall que não ofereça suporte a frames jumbo, defina esse campo como false. Para
informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Endpoint para envolvidos no projeto
É possível criar um endpoint de firewall no nível do projeto. Esses endpoints oferecem suporte a grupos de perfis de segurança no nível da organização e para envolvidos no projeto.
gcloud
Para criar um endpoint de firewall, use o gcloud beta network-security
firewall-endpoints create
comando:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, use a flag opcional --enable-jumbo-frames. Pule essa flag para criar um endpoint sem suporte a frames jumbo. Para
informações sobre os tamanhos de pacotes compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para associar o endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.
Criar uma associação de endpoint de firewall
Uma associação de endpoint de firewall conecta um endpoint de firewall a uma rede VPC em uma zona específica. Essa associação garante que o tráfego correspondente a uma regra de interceptação para a rede associada nessa zona seja inspecionado pelo endpoint do firewall.
Verifique se você tem um endpoint de firewall antes de criar uma associação.
Requisitos de associação
Ao configurar associações de endpoints, siga estes requisitos:
- Restrições de zona:é necessário criar a associação na mesma zona do endpoint de firewall. Para uma inspeção de tráfego eficaz, crie associações em zonas em que as instâncias de computação estejam implantadas.
- Um endpoint por zona: em uma única zona, é possível associar uma rede VPC a apenas um endpoint de firewall (para envolvidos no projeto (visualização) ou da organização). No entanto, é possível associar uma única rede VPC a endpoints de firewall diferentes em várias zonas diferentes.
- Associações entre projetos:é possível associar uma rede VPC
a um endpoint de firewall em um projeto separado.
- Se você usar um endpoint no nível do projeto (visualização), o projeto do endpoint precisará residir na mesma organização que a rede VPC.
- Mapeamento de recursos:uma associação é um recurso para envolvidos no projeto. Você cria a associação no projeto específico em que as instâncias de computação estão implantadas, mesmo que a associação aponte para um endpoint de firewall no nível da organização.
Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo só pode aceitar pacotes de até 1.460 bytes. Se você precisar de um serviço de filtragem de URL ou de detecção e prevenção de intrusão, recomendamos que você configure as redes VPC associadas para usar os limites de unidade máxima de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.
Console
No Google Cloud console do, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione seu Google Cloud projeto.
Clique em Criar associação de endpoint.
Na lista Região, selecione a região em que você quer criar a associação de endpoint do firewall.
Na lista Zona, selecione a zona em que você quer criar a associação de endpoint do firewall.
Na lista Endpoint de firewall, selecione o endpoint que você quer adicionar à associação.
Na lista Rede, selecione a rede que você quer adicionar à associação.
Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
Clique em Criar.
gcloud
Para criar uma associação de endpoint de firewall, use o
gcloud network-security firewall-endpoint-associations create comando.
Endpoint de firewall no nível da organização
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint de firewall para envolvidos no projeto
gcloud beta network-security firewall-endpoint-associations \
create NAME \
--endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua:
NAME: o nome da associação do endpoint de firewall.ORGANIZATION_ID: o identificador da organização em que o endpoint de firewall no nível da organização é criado.ENDPOINT_PROJECT_ID: o ID do projeto em que o endpoint de firewall no nível do projeto é criado. Google CloudZONE: a zona do endpoint de firewall.FIREWALL_ENDPOINT_NAME: o nome do endpoint de firewall.PROJECT_NAME: o nome doprojetoda rede. Google CloudNETWORK_NAME: o nome da rede.PROJECT_ID: o Google Cloud ID do projeto em que a associação é criada. Esse precisa ser o projeto em que você quer interceptar o tráfego.TLS_PROJECT_NAME: o Google Cloud nome doprojetoda política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.Esta política é usada para a inspeção da TLS do tráfego criptografado na rede especificada. Esse é um argumento opcional.
A seguir
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede