Componentes da regra de política de firewall

Nesta página, descrevemos os componentes das regras de firewall que você cria em uma das seguintes políticas de firewall aplicadas a uma rede de nuvem privada virtual (VPC) comum:

• Políticas de firewall hierárquicas
• Políticas globais de firewall de rede
• Políticas regionais de firewall de rede

Para mais detalhes sobre regras de firewall e perfis de rede de acesso direto à memória remota (RDMA), consulte Cloud NGFW para redes VPC RoCE.

Cada regra de política de firewall se aplica a conexões de entrada (entrada) ou de saída (saída), não a ambas. Ao criar uma regra de política de firewall, você especifica os componentes que definem o que a regra faz. Além da direção, é possível especificar origem, destino e características da Camada 4, como protocolo e porta de destino (se o protocolo usar portas).

Prioridade

A prioridade de uma regra em uma política de firewall é um número inteiro de 0 a 2.147.483.547, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. A prioridade de uma regra em uma política de firewall é semelhante à prioridade de uma regra de firewall da VPC, com as seguintes diferenças:

• Cada regra de uma política de firewall precisa ter uma prioridade exclusiva.
• A prioridade de uma regra em uma política de firewall serve como identificador exclusivo da regra. As regras das políticas de firewall não usam nomes para identificação.
• A prioridade de uma regra em uma política de firewall define a ordem de avaliação na própria política de firewall. As regras de firewall da VPC e as regras em políticas hierárquicas de firewall, políticas de firewall de rede global e de rede regional são avaliadas conforme descrito em Aplicar políticas e regras de firewall a uma rede.

Ação se houver correspondência

Uma regra em uma política de firewall pode ter uma das ações a seguir:

Parâmetro de ação	Descrição
allow	Permite pacotes para uma nova conexão. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. Independente da direção da regra, se o protocolo de pacote e o tipo de política de firewall forem compatíveis com o rastreamento de conexão, uma regra de permissão vai criar uma entrada de tabela de rastreamento de conexão de firewall que permite pacotes de entrada e saída.
deny	Não permite pacotes para uma nova conexão. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. O Cloud NGFW sempre verifica uma entrada de tabela de rastreamento de conexão de firewall antes de avaliar as regras de firewall. Consequentemente, se uma regra de permissão criar uma entrada na tabela de rastreamento de conexão, essa entrada terá precedência.
apply_security_profile_group	Intercepta pacotes de uma nova conexão, enviando-os para um endpoint de firewall ou um grupo de endpoints de interceptação. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia nenhuma outra regra de firewall. Independente da direção da regra, se o protocolo de pacote e o tipo de política de firewall forem compatíveis com o rastreamento de conexão, uma regra com a ação apply_security_profile_group criará uma entrada de tabela de rastreamento de conexão de firewall para que os pacotes de entrada e saída sejam interceptados pelo endpoint de firewall ou pelo grupo de endpoints de interceptação. Não é possível criar regras com a ação apply_security_profile_group em políticas de firewall de rede regionais. As políticas de firewall do sistema regionais não são compatíveis com regras com essa ação.
goto_next	Para de avaliar outras regras na política de firewall e avalia as regras na próxima etapa da ordem de avaliação de regras e políticas de firewall. A próxima etapa da ordem de avaliação de regras e políticas de firewall pode ser a avaliação de regras em outra política de firewall ou as regras de firewall implícitas.

Aplicação

Para escolher se uma regra de política de firewall é aplicada, defina o estado dela como ativado ou desativado. Você define o estado de aplicação ao criar uma regra ou atualizar uma regra.

Se você não definir um estado de aplicação obrigatória ao criar uma nova regra de firewall, ela será ativada automaticamente.

Protocolos e portas

Assim como nas regras de firewall da VPC, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra. Ao especificar o TCP ou o UDP em uma regra, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.

Você pode usar os seguintes nomes de protocolo em regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números do protocolo IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e IPv6, mas alguns protocolos, como o ICMP, não. Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para especificar o ICMP IPv6, use o número de protocolo 58.

As regras de firewall não aceitam a especificação de tipos e códigos de ICMP, apenas o protocolo.

O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Se você não especificar parâmetros de protocolo e porta, a regra será aplicada a todos os protocolos e portas.

Logging

A geração de registros para regras da política de firewall funciona da mesma forma que a geração de registros de regras de firewall da VPC, exceto:

• O campo de referência inclui o ID da política de firewall e um número que indica o nível do recurso a que a política está anexada. Por exemplo, 0 significa que a política é aplicada a uma organização, e 1 significa que a política é aplicada a uma pasta de nível superior na organização.

• Os registros das regras da política hierárquica de firewall incluem um campo target_resource que identifica as redes VPC às quais a regra se aplica.

• A geração de registros pode ser ativada somente para as regras allow, deny e apply_security_profile_group. Não é possível ativá-la para regras goto_next.

• Quando você ativa a geração de registros para uma regra que usa a ação apply_security_profile_group, o Cloud NGFW gera uma única entrada de registro quando intercepta uma sessão de tráfego e redireciona o tráfego para o endpoint de firewall para inspeção profunda de pacotes. Essa entrada de registro confirma que a regra de firewall correspondeu ao tráfego e o redirecionou com sucesso para o endpoint de firewall. Para mais informações, consulte Visão geral da geração de registros de regras da política de firewall.

• O endpoint de firewall realiza inspeção profunda de pacotes, como o serviço de detecção de intrusões e prevenção e o serviço de filtragem de URL, e gera o próprio conjunto de registros. Esses registros fornecem informações detalhadas sobre as conexões na sessão interceptada, listando ameaças ou ações de filtragem de URL detectadas. Esses registros de inspeção profunda de pacotes podem gerar várias entradas de registro por sessão.

Destino, origem, destino

Os parâmetros de destino, origem e destino funcionam juntos para determinar o escopo de uma regra de firewall.

• Parâmetros de destino: identificam os recursos a que a regra de firewall se aplica.

• Parâmetros de origem e destino: definem os critérios de tráfego. É possível especificar os dois para regras de entrada e saída. As opções válidas para parâmetros de origem e destino dependem dos parâmetros de destino e da direção da regra de firewall.

Destinos

O parâmetro tipo de destino e um ou mais parâmetros destino definem os destinos de uma regra de firewall. Esses destinos de uma regra de firewall são os recursos que ela protege.

• Se o tipo de destino for omitido ou definido como INSTANCES, a regra de firewall será aplicada às interfaces de rede das instâncias do Compute Engine, incluindo nós do Google Kubernetes Engine e instâncias do ambiente flexível do App Engine. As regras de entrada e saída são compatíveis.

  Para especificar a quais interfaces de rede de VM a regra de firewall se aplica, use parâmetros de destino:

  • Se você omitir todos os parâmetros de destino, a regra de firewall será aplicada aos destinos de instância mais amplos.

  • Para mais detalhes sobre o parâmetro e a combinação de parâmetros de segmentação, consulte Segmentações específicas e Combinações de segmentações específicas.

• Se o tipo de destino for definido como INTERNAL_MANAGED_LB (prévia), a regra de firewall será aplicada aos proxies gerenciados do Envoy usados pelos balanceadores de carga de aplicativo internos e pelos balanceadores de carga de rede de proxy interno. Apenas regras de entrada são compatíveis.

  • Se você omitir o parâmetro regras de encaminhamento de destino, a regra de firewall será aplicada aos destinos mais amplos do balanceador de carga.

  • Para restringir a regra de firewall a um único balanceador de carga, use o parâmetro de regras de encaminhamento de destino. Para mais informações, consulte Metas específicas.

Destinos de instância mais amplos

Os destinos de instância mais amplos dependem do tipo de política de firewall:

• Destinos de instância mais amplos para uma regra em uma política hierárquica de firewall: todas as interfaces de rede de VM em uma sub-rede em qualquer região de qualquer rede VPC localizada em um projeto no nó do Resource Manager (pasta ou organização) associado à política hierárquica de firewall.

• Destinos de instância mais amplos para uma regra em uma política de firewall de rede global: todas as interfaces de rede de VM em uma sub-rede em qualquer região da rede VPC associada à política de firewall de rede global.

• Destinos de instância mais amplos para uma regra em uma política de firewall de rede regional: todas as interfaces de rede de VM em uma sub-rede na região e na rede VPC associadas à política de firewall de rede regional.

Destinos mais amplos do balanceador de carga

As políticas de firewall de rede regionais são as únicas que têm regras compatíveis com metas de balanceador de carga. Os destinos mais amplos do balanceador de carga são as regras de encaminhamento para balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos na região da política e na rede VPC associada.

Segmentações específicas

A tabela a seguir lista os parâmetros de destino, as políticas de firewall que aceitam regras com cada parâmetro e os tipos de destino de regra compatíveis. Se você não especificar um parâmetro de destino, a regra usará os destinos de instância mais amplos ou os destinos de balanceador de carga mais amplos, com base no tipo de destino da regra. A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que o parâmetro não é compatível.

Parâmetro de meta	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Recursos de rede VPC de destino Uma lista de uma ou mais redes VPC especificadas usando o parâmetro target-resources. Essa lista restringe os destinos de instância mais amplos às interfaces de rede da VM que estão em pelo menos uma das redes VPC especificadas.
Contas de serviço de destino Uma lista de uma ou mais contas de serviço especificadas usando o parâmetro target-service-accounts. Essa lista restringe os destinos de instância mais amplos às interfaces de rede de VM que pertencem a instâncias de VM associadas a pelo menos uma das contas de serviço especificadas.
Segmentar valores de tag segura de uma chave de tag com dados de finalidade de rede Uma regra que usa o parâmetro target-secure-tags contendo uma lista de um ou mais valores de tag de uma chave de tag cujo purpose-data especifica uma única rede VPC. Essa lista restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: A interface está na rede VPC que corresponde ao purpose-data da chave de tag. A interface pertence a uma VM vinculada ao valor da tag. Para mais informações, consulte Tags seguras para firewalls.
Segmentar valores de tags seguras de uma chave de tag com dados de finalidade da organização Uma regra que usa o parâmetro target-secure-tags contendo uma lista de um ou mais valores de tag de uma chave de tag cujo purpose-data é organization=auto. Essa lista restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: A interface está em qualquer rede VPC da organização. A interface pertence a uma VM vinculada ao valor da tag. Para mais informações, consulte Tags seguras para firewalls.
Regras de encaminhamento de destino Prévia Uma única regra de encaminhamento para um balanceador de carga de aplicativo interno ou balanceador de carga de rede de proxy interno especificada no formato de regras de encaminhamento de destino. Esse parâmetro restringe os destinos mais amplos do balanceador de carga a um balanceador de carga de aplicativo interno ou balanceador de carga de rede de proxy interno específico.

Combinações de segmentação específicas

As regras que aceitam o parâmetro target-resources podem combiná-lo com outro parâmetro de segmentação para criar uma combinação de parâmetros de segmentação. A tabela a seguir lista as combinações de parâmetros de destino compatíveis, as políticas de firewall que aceitam regras com cada parâmetro e os tipos de destino de regra compatíveis. Se você não especificar um parâmetro de destino, a regra usará os destinos de instância mais amplos ou os destinos de balanceador de carga mais amplos, com base no tipo de destino da regra.

A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que não há suporte para o parâmetro.

Combinação de parâmetros de destino	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Combinação de recursos da rede VPC de destino e contas de serviço de destino Uma regra que usa os parâmetros target-resources e target-service-accounts. Essa combinação restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: A interface está em pelo menos uma das redes VPC especificadas em target-resources. A interface pertence a uma instância de VM associada a pelo menos uma das contas de serviço especificadas.
Combinação de recursos da rede VPC de destino e valores de tag segura de destino Uma regra que usa os parâmetros target-resources e target-secure-tags. Os valores de tag precisam vir de uma chave de tag cujo purpose-data é organization=auto. Essa combinação restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: A interface está em pelo menos uma das redes VPC especificadas em target-resources. A interface pertence a uma VM vinculada ao valor da tag.

Formato das regras de encaminhamento de destino

Quando o tipo de destino de uma regra de firewall é definido como INTERNAL_MANAGED_LB (Prévia), o parâmetro de regras de encaminhamento de destino aceita valores nos seguintes formatos:

• Para balanceadores de carga de aplicativo internos regionais e balanceadores de carga de rede de proxy internos regionais:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

• Para balanceadores de carga de aplicativo internos entre regiões e balanceadores de carga de rede de proxy interno entre regiões:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Metas e endereços IP para regras de entrada

Quando um tipo de destino de regra de firewall é omitido ou definido como INSTANCES, a regra se aplica a pacotes roteados para interfaces de rede de VMs de destino.

• Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote precisará caber em um dos intervalos de endereços IP de destino explicitamente definidos.

• Se a regra de firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote precisará corresponder a um dos seguintes endereços IP de cada VM de destino:

  • O endereço IPv4 interno principal atribuído à NIC da instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC da instância.

  • O endereço IPv4 externo associado à NIC da instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para balanceamento de carga de passagem, em que a instância é um back-end para um balanceador de carga de rede de passagem interna ou um balanceador de carga de rede de passagem externa.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para encaminhamento de protocolos, em que a instância é referenciada por uma instância de destino.

  • Um endereço IP dentro do intervalo de destino de uma rota estática personalizada que usa a instância como uma VM de próximo salto (next-hop-instance ou next-hop-address).

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa um balanceador de carga de rede de passagem interna (next-hop-ilb) como próximo salto se a VM for um back-end para esse balanceador de carga.

Quando o tipo de destino de uma regra de firewall é definido como INTERNAL_MANAGED_LB (prévia), a regra filtra pacotes roteados para os proxies gerenciados do Envoy associados a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy interno. Ao usar intervalos de IP de destino em uma regra de entrada, verifique se o intervalo inclui o endereço IP da regra de encaminhamento do balanceador de carga relevante.

Metas e endereços IP para regras de saída

Quando um tipo de destino de regra de firewall é omitido ou definido como INSTANCES, a regra se aplica a pacotes emitidos por interfaces de rede de VMs de destino.

• Se a VM de destino tiver o encaminhamento de IP desativado (padrão), ela só poderá emitir pacotes com as seguintes origens:

  • O endereço IPv4 interno principal da NIC de uma instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC de uma instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento, para balanceamento de carga de passagem ou encaminhamento de protocolo. Isso será válido se a instância for um back-end para um balanceador de carga de rede de passagem interna, um balanceador de carga de rede de passagem externa ou for referenciada por uma instância de destino.

  Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de destino ainda estarão limitadas aos endereços IP de origem mencionados anteriormente, mas um parâmetro de origem poderá ser usado para refinar as origens. O uso de um parâmetro de origem sem ativar o encaminhamento de IP nunca expande o conjunto de possíveis endereços de origem do pacote.

  Se a regra de firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente serão permitidos.

• Se a VM de destino tiver o encaminhamento de IP ativado, ela poderá emitir pacotes com endereços de origem arbitrários. Você pode usar o parâmetro de origem para definir com mais precisão o conjunto de origens de pacotes permitidas.

Origens

Os valores dos parâmetros de origem dependem da direção da regra de firewall.

Origens das regras de entrada

Esta tabela lista os parâmetros de origem para regras de entrada, as políticas de firewall que oferecem suporte a cada parâmetro e os tipos de destino de regra compatíveis com cada parâmetro. É necessário especificar pelo menos um parâmetro de origem. A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que o parâmetro não é compatível.

Parâmetro de origem da regra de entrada	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Intervalos de endereços IP de origem Uma lista com endereços IPv4 ou IPv6 no formato CIDR. A lista é armazenada na própria regra da política de firewall.
Grupos de endereços de origem Coleções reutilizáveis de endereços IPv4 ou IPv6 no formato CIDR. A regra de firewall faz referência à coleção. Para mais informações, consulte Grupos de endereços para políticas de firewall.
Nomes de domínio de origem Uma lista com um ou mais nomes de domínio de origem. Para mais informações, incluindo como os nomes de domínio são convertidos em endereços IP, consulte Objetos FQDN.
Extrair valores de tags seguras de uma chave de tag com dados de finalidade de rede Uma lista de um ou mais valores de tag de uma chave de tag cujos dados de finalidade especificam uma única rede VPC. Para mais informações, consulte Tags seguras para firewalls e Como as tags seguras de origem implicam origens de pacotes.
Extrair valores de tags seguras de uma chave de tag com dados de finalidade da organização Uma lista de um ou mais valores de tag de uma chave de tag cujo objetivo de dados é organization=auto. Para mais informações, consulte Tags seguras para firewalls e Como as tags seguras de origem implicam origens de pacotes.
Geolocalizações de origem Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de país ou região de duas letras. Para mais informações, consulte Objetos de geolocalização
Listas do Google Threat Intelligence de origem Uma lista com um ou mais nomes de listas do Google Threat Intelligence predefinidos. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
Contexto da rede de origem Uma restrição que define um limite de segurança. Os valores válidos dependem do tipo de destino da regra. Para mais informações, consulte Contextos de rede.

Combinações de origem de regras de entrada

Em uma única regra de entrada, é possível usar dois ou mais parâmetros de origem para produzir uma combinação de origem. O Cloud NGFW impõe as seguintes restrições às combinações de origem de cada regra de entrada:

• Os intervalos de endereços IP de origem precisam conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Um grupo de endereços de origem que contenha CIDRs IPv4 não pode ser usado com um grupo de endereços de origem que contenha CIDRs IPv6.
• Um intervalo de endereços IP de origem que contém CIDRs IPv4 não pode ser usado com um grupo de endereços de origem que contém CIDRs IPv6.
• Um intervalo de endereços IP de origem que contém CIDRs IPv6 não pode ser usado com um grupo de endereços de origem que contém CIDRs IPv4.
• O contexto de rede da Internet não pode ser usado com as tags de origem seguras.
• Contextos não relacionados à internet, de redes VPC e entre VPCs não podem ser usados com listas do Google Threat Intelligence de source ou geolocalizações de source.

O Cloud NGFW aplica a seguinte lógica para corresponder os pacotes a uma regra de entrada que usa uma combinação de origem:

• Se a combinação de origem não incluir um contexto de rede de origem, os pacotes corresponderão à regra de entrada se corresponderem a pelo menos um parâmetro de origem na combinação de origem.

• Se a combinação de origem incluir um contexto de rede de origem, os pacotes vão corresponder à regra de entrada se corresponderem ao contexto de rede de origem e a pelo menos um dos outros parâmetros de origem na combinação.

Como as tags de origem seguras implicam origens de pacotes

Uma regra de firewall de entrada pode usar valores de tags seguras de origem quando o tipo de destino é omitido ou definido como INSTANCES. Os valores de tag segura identificam interfaces de rede, não características de pacotes, como endereços IP.

Os pacotes enviados de uma interface de rede de uma instância de VM correspondem a uma regra de entrada que usa um valor de tag segura de origem de acordo com as seguintes regras:

• Se a regra de entrada estiver em uma política de rede regional, a instância de VM precisará estar localizada em uma zona da mesma região que a política de firewall de rede regional. Caso contrário, a instância de VM pode estar localizada em qualquer zona.

• A instância de VM precisa estar associada ao mesmo valor de tag segura usado como uma tag segura de origem em uma regra de firewall de entrada.

• O valor da tag segura associada à instância de VM e usada pela regra de firewall de entrada precisa vir de uma chave de tag cujo atributo purpose-data identifique pelo menos uma rede VPC que contenha uma interface de rede da instância de VM:

  • Se os dados de finalidade da chave de tag especificarem uma única rede VPC, as regras de firewall de entrada que usam o valor da tag segura de origem serão aplicadas às interfaces de rede da instância de VM que estão nessa rede VPC.

  • Se os dados de finalidade da chave de tag especificarem a organização, as regras de firewall de entrada que usam o valor da tag segura de origem serão aplicadas às interfaces de rede da instância de VM que estão em qualquer rede VPC da organização.

• A interface de rede da VM identificada precisa atender a um dos seguintes critérios:

  • A interface de rede da VM está na mesma rede VPC que a rede VPC a que a política de firewall se aplica.

  • A interface de rede da VM está em uma rede VPC conectada, usando peering de rede VPC, à rede VPC a que a política de firewall se aplica.

  • A rede VPC usada pela interface de rede da VM e a rede VPC a que a política de firewall se aplica são spokes VPC no mesmo hub do NCC.

Para mais informações sobre tags seguras para firewalls, consulte Especificações.

Origens para regras de saída

É possível usar as origens a seguir para regras de saída em políticas hierárquicas de firewall e políticas de firewall de rede:

• Padrão: implícito pelo destino: se você omitir o parâmetro de origem de uma regra de saída, as origens de pacotes serão definidas implicitamente, conforme descrito em Destinos e endereços IP para regras de saída.

• Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de origem às regras de saída:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.

• Se você tiver um intervalo de endereços IP de origem e parâmetros de destino na regra de saída, eles serão resolvidos na mesma versão do IP da versão do IP de origem.

  Por exemplo, em uma regra de saída, você tem um intervalo de endereços IPv4 no parâmetro de origem e um objeto FQDN no parâmetro de destino. Se o FQDN for resolvido em endereços IPv4 e IPv6, apenas o endereço IPv4 resolvido será usado durante a aplicação da regra.

Destinos

Os valores dos parâmetros de destino dependem da direção da regra de firewall.

Destinos para regras de entrada

É possível usar os seguintes destinos para regras de firewall de entrada em políticas hierárquicas de firewall e de rede:

• Padrão: implícito pelo destino: se você omitir o parâmetro de destino de uma regra de entrada, os destinos de pacote serão definidos implicitamente, conforme descrito em Destinos e endereços IP para regras de entrada.

• Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de destino às regras de entrada:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.

• Se você tiver os parâmetros de origem e de destino definidos em uma regra de entrada, eles serão resolvidos na mesma versão do IP que a versão do IP de destino. Para saber mais sobre como definir uma origem para regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

  Por exemplo, em uma regra de entrada, você tem um intervalo de endereços IPv6 no parâmetro de destino e um código do país de geolocalização no parâmetro de origem. Durante a aplicação da regra, apenas o endereço IPv6 mapeado é usado para o código do país de origem especificado.

Destinos para regras de saída

Esta tabela lista os parâmetros de destino para regras de saída, as políticas de firewall que oferecem suporte a cada parâmetro e os tipos de destino de regra compatíveis com cada parâmetro. É necessário especificar pelo menos um parâmetro de destino. A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que não é.

Parâmetro de destino da regra de saída	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Intervalos de endereços IP de destino Uma lista com endereços IPv4 ou IPv6 no formato CIDR. A lista é armazenada na própria regra da política de firewall.
Grupos de endereços de destino Coleções reutilizáveis de endereços IPv4 ou IPv6 no formato CIDR. A regra da política de firewall faz referência à coleção. Para mais informações, consulte Grupos de endereços para políticas de firewall.
Nomes de domínio de destino Uma lista com um ou mais nomes de domínio de destino. Para mais informações, incluindo como os nomes de domínio são convertidos em endereços IP, consulte Objetos FQDN.
Geolocalizações de destino Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos de país ou região de duas letras. Para mais informações, consulte Objetos de geolocalização.
Listas de destino do Google Threat Intelligence Uma lista com um ou mais nomes de listas do Google Threat Intelligence predefinidos. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
Contexto da rede de destino Uma restrição que define um limite de segurança.

Combinações de destino de regras de saída

Em uma única regra de saída, é possível usar dois ou mais parâmetros de destino para produzir uma combinação de destino. O Cloud NGFW aplica as seguintes restrições às combinações de destino de cada regra de saída:

• Os intervalos de endereços IP de destino precisam conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Um grupo de endereços de destino que contém CIDRs IPv4 não pode ser usado com um grupo de endereços de destino que contém CIDRs IPv6.
• Um intervalo de endereços IP de destino que contém CIDRs IPv4 não pode ser usado com um grupo de endereços de destino que contém CIDRs IPv6.
• Um intervalo de endereços IP de destino que contém CIDRs IPv6 não pode ser usado com um grupo de endereços de destino que contém CIDRs IPv4. 8 Não é possível usar listas de destino do Google Threat Intelligence ou geolocalizações de destino com contexto de rede de destino não relacionada à Internet.

O Cloud NGFW aplica a seguinte lógica para corresponder os pacotes a uma regra de saída que usa uma combinação de destino:

• Se a combinação de destino não incluir um contexto de rede de destino, os pacotes vão corresponder à regra de saída se corresponderem a pelo menos um parâmetro de destino na combinação.

• Se a combinação de destino incluir um contexto de rede de destino, os pacotes corresponderão à regra de saída se corresponderem ao contexto de rede de destino e a pelo menos um dos outros parâmetros de destino na combinação de destino.

A seguir

• Google Threat Intelligence para regras de política de firewall
• Visão geral dos objetos de nome de domínio totalmente qualificado
• Grupos de endereços para políticas de firewall