Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Políticas e regras de firewall

Uma regra de firewall no Cloud Next Generation Firewall determina se o tráfego em uma rede de nuvem privada virtual (VPC) será permitido ou negado com base em critérios definidos. Com uma política de firewall do Cloud NGFW, é possível agrupar várias regras de firewall para atualizá-las de uma só vez, efetivamente controladas pelos papéis do Identity and Access Management (IAM).

Neste documento, apresentamos uma visão geral dos diferentes tipos de políticas de firewall e regras de política de firewall.

Políticas de firewall

O Cloud NGFW é compatível com os seguintes tipos de políticas de firewall:

Políticas de firewall hierárquicas
Políticas globais de firewall de rede
Políticas regionais de firewall de rede
Políticas de firewall do sistema regionais

Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas hierárquicas de firewall a uma organização inteira ou a pastas individuais.

Veja detalhes e especificações da política de firewall hierárquica em Políticas de firewall hierárquicas.

Políticas globais de firewall de rede

As políticas de firewall de rede global permitem agrupar regras em um objeto de política que pode ser aplicado a todas as regiões de uma rede VPC.

Veja detalhes e especificações da política de firewall de rede global em Políticas de firewall de rede global.

Políticas regionais de firewall da rede

As políticas de firewall de rede regionais permitem agrupar regras em um objeto de política que pode ser aplicado a uma região específica de uma rede VPC.

Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.

Políticas de firewall do sistema regionais

As políticas de firewall do sistema regionais são semelhantes às políticas de firewall de rede regionais, mas são gerenciadas pelo Google. As políticas de firewall do sistema regionais têm as seguintes características:

Google Cloud avalia as regras em políticas de firewall regionais do sistema imediatamente após avaliar as regras em políticas hierárquicas de firewall. Para mais informações, consulte Processo de avaliação de regras de firewall.
Não é possível modificar uma regra em uma política de firewall regional, exceto para ativar ou desativar o registro de regras de firewall.
Google Cloud cria uma política regional de firewall do sistema em uma região de uma rede VPC quando um serviço do Google exige regras nessa região da rede. Google Cloud pode associar mais de uma política regional de firewall do sistema a uma região de uma rede VPC com base nos requisitos dos serviços do Google.
Não há cobrança pela avaliação de regras em políticas de firewall regionais do sistema.

Interação com o perfil de rede

As redes VPC comuns são compatíveis com regras de firewall em políticas hierárquicas de firewall, políticas de firewall de rede global, políticas de firewall de rede regional e regras de firewall da VPC. Todas as regras de firewall são programadas como parte da pilha de virtualização de rede Andromeda.

As redes VPC que usam determinados perfis de rede restringem as políticas de firewall e os atributos de regra que podem ser usados. Para redes VPC do RoCE, consulte Cloud NGFW para redes VPC do RoCE em vez desta página.

Regras da política de firewall

Em Google Cloud, uma regra de política de firewall tem uma direção que determina se ela controla o tráfego que entra ou sai da sua rede. Cada regra de política de firewall se aplica a conexões de entrada (recebimento) ou de saída (envio).

Regras de entrada

A direção de entrada se refere às conexões de entrada enviadas de origens específicas para os destinos Google Cloud . As regras de entrada se aplicam a pacotes de entrada que chegam aos seguintes tipos de destinos:

Interfaces de rede de instâncias de máquina virtual (VM)
Proxies gerenciados do Envoy que alimentam balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos.

Uma regra de entrada com a ação deny protege os destinos bloqueando as conexões recebidas. Se uma regra com prioridade mais alta permitir o tráfego, o firewall vai permitir e ignorar qualquer regra de prioridade mais baixa que possa negar esse mesmo tráfego. As regras de prioridade mais alta sempre têm precedência.

Uma rede padrão criada automaticamente inclui algumas regras de firewall da VPC pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.

Regras de saída

A direção de saída se refere ao tráfego de saída enviado de um recurso Google Cloud de destino, como uma interface de rede de VM, para um destino.

Uma regra de saída com a ação allow permite que uma instância envie tráfego para os destinos especificados na regra. O tráfego de saída será bloqueado se corresponder a uma regra de deny de alta prioridade. Essa ação tem precedência sobre qualquer regra de prioridade mais baixa que possa permitir o tráfego. Google Cloud também bloqueia ou limita determinados tipos de tráfego.

A seguir

Para criar e modificar políticas e regras hierárquicas de firewall, consulte Usar políticas e regras hierárquicas de firewall.
Para criar e modificar políticas e regras de firewall de rede global, consulte Usar políticas e regras de firewall de rede global.
Para criar e modificar políticas e regras de firewall de rede regional, consulte Usar políticas e regras de firewall de rede regional.

Políticas e regras de firewall Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.