Ordem de avaliação de políticas e regras de firewall

Cada rede de nuvem privada virtual (VPC) regular tem uma ordem de aplicação de política de firewall de rede que determina a ordem em que o Cloud NGFW avalia as regras de política de firewall.

Ordem de aplicação da política de firewall de rede

Uma rede VPC pode usar uma destas ordens de aplicação de política de firewall de rede:

  • AFTER_CLASSIC_FIREWALL (padrão): o Cloud NGFW avalia políticas e regras de firewall na seguinte ordem:

    1. Políticas de firewall hierárquicas
    2. Políticas de firewall do sistema regionais
    3. Regras de firewall da VPC
    4. Políticas globais de firewall de rede
    5. Políticas regionais de firewall da rede
    6. Ações implícitas

  • BEFORE_CLASSIC_FIREWALL: o Cloud NGFW avalia políticas e regras de firewall na seguinte ordem:

    1. Políticas de firewall hierárquicas
    2. Políticas de firewall do sistema regionais
    3. Políticas globais de firewall de rede
    4. Políticas regionais de firewall da rede
    5. Regras de firewall da VPC
    6. Ações implícitas

Para mudar a ordem de aplicação da política de firewall de rede, faça o seguinte:

  • Use o método networks.patch e defina o atributo networkFirewallPolicyEnforcementOrder da rede VPC.

  • Use o comando gcloud compute networks update com a flag --network-firewall-policy-enforcement-order.

    Exemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo de avaliação de regras de firewall

Esta seção descreve a ordem em que o Cloud NGFW avalia as regras que se aplicam aos recursos de destino em redes VPC regulares.

Cada regra de firewall é de entrada ou de saída, com base na direção do tráfego:

  • As regras de entrada se aplicam a pacotes de uma nova conexão que um recurso de destino recebe. Os recursos de destino compatíveis com regras de entrada são os seguintes:

    • Interfaces de rede de instâncias de máquina virtual (VM).

    • Proxies gerenciados do Envoy usados por balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy interno (pré-lançamento).

  • As regras de saída se aplicam a pacotes de uma nova conexão que uma interface de rede de VM de destino envia.

O Cloud NGFW sempre avalia as regras em políticas hierárquicas de firewall e políticas de firewall do sistema regionais antes de avaliar outras regras de firewall. Você controla a ordem em que o Cloud NGFW avalia outras regras de firewall escolhendo uma ordem de aplicação da política de firewall de rede. A ordem de aplicação da política de firewall de rede pode ser AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede

Quando a ordem de aplicação da política de firewall de rede é AFTER_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras nas políticas de firewall de rede globais e regionais depois de avaliar as regras de firewall da VPC. Essa é a ordem de avaliação padrão.

Em uma rede VPC regular que usa a ordem de aplicação AFTER_CLASSIC_FIREWALL, a ordem completa de avaliação das regras de firewall é a seguinte:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas hierárquicas de firewall na seguinte ordem:

    1. A política hierárquica de firewall associada à organização que contém o recurso de destino.
    2. Políticas hierárquicas de firewall associadas a ancestrais de pastas, da pasta de nível superior até a pasta que contém o projeto do recurso de destino.

    Ao avaliar regras em cada política hierárquica de firewall, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall hierárquica, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

    Se nenhuma regra em uma política hierárquica de firewall corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

  2. Políticas de firewall do sistema regionais.

    Ao avaliar as regras da política de firewall do sistema regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall do sistema regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para
      • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

    Se nenhuma regra em uma política de firewall do sistema regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

  3. Regras de firewall da VPC.

    Ao avaliar as regras de firewall da VPC, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação, se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras forem correspondentes, elas precisarão ter a mesma prioridade, mas ações diferentes. Nesse caso, o Cloud NGFW aplica a regra de firewall da VPC deny e ignora a regra de firewall da VPC allow.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita para continuar para a próxima etapa na ordem de avaliação.

  4. Política global de firewall de rede.

    Ao avaliar regras em uma política de firewall de rede global, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política global de firewall de rede, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para a etapa de política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a etapa da política de firewall de rede regional na ordem de avaliação.

  5. Políticas regionais de firewall de rede.

    O Cloud NGFW avalia as regras em políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Ao avaliar regras em uma política de firewall de rede regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall de rede regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para a próxima etapa na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a próxima etapa na ordem de avaliação.

  6. Última etapa: ação implícita.

    O Cloud NGFW aplica uma ação implícita se a avaliação da regra de firewall tiver continuado em todas as etapas anteriores seguindo ações goto_next explícitas ou implícitas. A ação implícita depende da direção do tráfego:

    • Para o tráfego de entrada, a ação implícita também depende do recurso de destino:

      • Se o recurso de destino for uma interface de rede de uma instância de VM, a ação de entrada implícita será deny.

      • Se o recurso de destino for uma regra de encaminhamento de um balanceador de carga de aplicativo interno ou de um balanceador de carga de rede de proxy interno, a ação de entrada implícita será allow.

    • Para o tráfego de saída, a ação implícita é allow.

Diagrama AFTER_CLASSIC_FIREWALL

O diagrama a seguir ilustra a ordem de aplicação da política de firewall de rede AFTER_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall
Figura 1. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for AFTER_CLASSIC_FIREWALL (clique para ampliar).

BEFORE_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede

Quando a ordem de aplicação da política de firewall de rede é BEFORE_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras nas políticas de firewall de rede globais e regionais antes de avaliar as regras de firewall da VPC.

Em uma rede VPC regular que usa a ordem de aplicação BEFORE_CLASSIC_FIREWALL, a ordem completa de avaliação das regras de firewall é a seguinte:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas hierárquicas de firewall na seguinte ordem:

    1. A política hierárquica de firewall associada à organização que contém o recurso de destino.
    2. Políticas hierárquicas de firewall associadas a ancestrais de pastas, da pasta de nível superior até a pasta que contém o projeto do recurso de destino.

    Ao avaliar regras em cada política hierárquica de firewall, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall hierárquica, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

    Se nenhuma regra em uma política hierárquica de firewall corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

  2. Políticas de firewall do sistema regionais.

    Ao avaliar as regras da política de firewall do sistema regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall do sistema regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para
      • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

    Se nenhuma regra em uma política de firewall do sistema regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

  3. Política global de firewall de rede.

    Ao avaliar regras em uma política de firewall de rede global, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política global de firewall de rede, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para a etapa de política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a etapa da política de firewall de rede regional na ordem de avaliação.

  4. Políticas regionais de firewall de rede.

    O Cloud NGFW avalia as regras em políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Ao avaliar regras em uma política de firewall de rede regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall de rede regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para a próxima etapa na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a próxima etapa na ordem de avaliação.

  5. Regras de firewall da VPC.

    Ao avaliar as regras de firewall da VPC, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação, se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras forem correspondentes, elas precisarão ter a mesma prioridade, mas ações diferentes. Nesse caso, o Cloud NGFW aplica a regra de firewall da VPC deny e ignora a regra de firewall da VPC allow.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita para continuar para a próxima etapa na ordem de avaliação.

  6. Última etapa: ação implícita.

    O Cloud NGFW aplica uma ação implícita se a avaliação da regra de firewall tiver continuado em todas as etapas anteriores seguindo ações goto_next explícitas ou implícitas. A ação implícita depende da direção do tráfego:

    • Para o tráfego de entrada, a ação implícita também depende do recurso de destino:

      • Se o recurso de destino for uma interface de rede de uma instância de VM, a ação de entrada implícita será deny.

      • Se o recurso de destino for uma regra de encaminhamento de um balanceador de carga de aplicativo interno ou de um balanceador de carga de rede de proxy interno, a ação de entrada implícita será allow.

    • Para o tráfego de saída, a ação implícita é allow.

Diagrama BEFORE_CLASSIC_FIREWALL

O diagrama a seguir ilustra a ordem de aplicação da política de firewall de rede BEFORE_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall
Figura 2. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for BEFORE_CLASSIC_FIREWALL (clique para ampliar).

Regras de firewall eficazes

As regras da política hierárquica de firewall, as regras de firewall da VPC e as regras de política de firewall de rede global e regional controlam as conexões. Pode ser útil ver todas as regras de firewall que afetam uma rede ou interface de VM individual.

Regras de firewall eficazes da rede

É possível visualizar todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras de firewall da VPC
  • Regras aplicadas pelas políticas de firewall da rede global e regional

Regras de firewall efetivas da instância

É possível ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras aplicadas pelo firewall da VPC da interface
  • Regras aplicadas pelas políticas de firewall da rede global e regional

As regras são ordenadas do nível da organização até as regras da VPC. Somente as regras que se aplicam à interface da VM são mostradas. As regras em outras políticas não são mostradas.

Para ver as regras de política de firewall vigentes em uma região, consulte Receber políticas eficazes de firewall regional para uma rede.

A seguir