Exemplos de geração de registros de regras de política de firewall

As regras da política de firewall geram entradas de registro quando são aplicadas ao tráfego. Embora um fluxo de pacotes possa gerar várias entradas de registro, a regra da política de firewall gera no máximo uma entrada de registro por conexão de uma instância de máquina virtual (VM).

Os exemplos a seguir mostram como a geração de registros de regras da política de firewall funciona, incluindo comportamentos que diferem das regras de firewall legadas da nuvem privada virtual (VPC), como a geração de registros repetida para conexões negadas e a geração de registros baseada em sessão para inspeção avançada.

Exemplo de negação de saída

Neste exemplo, o tráfego flui entre duas instâncias de VM na rede VPC example-net no projeto example-proj.

  • VM1 na zona us-west1-a com endereço IP 10.10.0.99 na west-subnet (região us-west1).
  • VM2 na zona us-east1-b com endereço IP 10.20.0.99 na east-subnet (região us-east1).
  • Regra A: uma regra de negação de saída de firewall tem como destino todas as instâncias na rede, destino em 10.20.0.99 (VM2) e se aplica à porta TCP 80. A geração de registros está ativada para essa regra.
  • Regra B: uma regra de permissão de entrada de firewall tem como destino todas as instâncias na rede, origem em 10.10.0.99 (VM1) e se aplica à porta TCP 80. A geração de registros também está ativada para essa regra.

Para criar a regra da política de firewall, consulte Tarefas da regra da política de firewall.

Em um cenário em que a VM1 tenta se conectar à VM2 na porta TCP 80, o seguinte acontece:

  • O firewall gera uma entrada de registro para a regra A da perspectiva da VM1 para a tentativa de conexão com falha.

  • Como a regra A é uma regra DENY, o firewall registra cada pacote correspondente ao hash de cinco tuplas único como uma tentativa de conexão com falha. Se o firewall continuar recebendo pacotes para essa conexão, ele repetirá a mesma entrada de registro a cada cinco segundos.

  • Como a regra A bloqueia o tráfego na origem, o firewall não considera a regra B. Portanto, ele não gera nenhuma entrada de registro para a regra B da perspectiva da VM2.

A VM1 informa o seguinte registro de firewall:

Campo Valores
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition NEGADO
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = DENY
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a

Exemplo de permissão de saída e permissão de entrada

Neste exemplo, o tráfego flui entre instâncias de VM na rede VPC example-net no projeto example-proj.

  • VM1 na zona us-west1-a com endereço IP 10.10.0.99 na west-subnet (região us-west1).
  • VM2 na zona us-east1-b com endereço IP 10.20.0.99 na east-subnet (região us-east1).
  • Regra A: uma regra de permissão de saída da política de firewall de rede global tem um destino de 10.20.0.99 (VM2) e se aplica à porta TCP 80. A geração de registros está ativada para essa regra.
  • Regra B: uma regra de permissão de entrada da política de firewall de rede global tem uma origem de 10.10.0.99 (VM1) e se aplica à porta TCP 80. A geração de registros está ativada para essa regra.

Para criar a regra da política de firewall, consulte Tarefas da regra da política de firewall.

Em um cenário em que a VM1 tenta se conectar à VM2 na porta TCP 80, o seguinte acontece:

  • O firewall gera uma entrada de registro para a regra A da perspectiva da VM1 enquanto a VM1 se conecta a 10.20.0.99. Como é uma regra ALLOW, a conexão é registrada apenas uma vez e não é repetida.
  • O firewall gera uma entrada de registro para a regra B da perspectiva da VM2 enquanto a VM2 permite conexões de entrada de 10.10.0.99.

A VM1 informa o seguinte registro de firewall:

Campo Valores
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition PERMITIDO
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress

A VM2 informa o seguinte registro de firewall:

Campo Valores
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition PERMITIDO
rule_details reference = "network:example-net/firewallPolicy:67890"
priority = 10
action = ALLOW
source_range = 10.10.0.99/32
ip_port_info = tcp:80
direction = ingress

Exemplo de entrada de Internet

Neste exemplo, o tráfego flui de um recurso externo para uma instância de VM na rede VPC example-net. A rede está no projeto example-proj.

  • O sistema na Internet tem endereço IP 203.0.113.114.
  • A VM1 na zona us-west1-a tem endereço IP 10.10.0.99 na west-subnet (região us-west1).
  • Regra C: uma regra de permissão de entrada da política de firewall tem uma origem de qualquer endereço IP (0.0.0.0/0) e se aplica à porta TCP 80. A geração de registros está ativada para essa regra.
  • Regra D: uma regra de negação de saída da política de firewall tem um destino de qualquer endereço IP (0.0.0.0/0) e se aplica a todos os protocolos. A geração de registros está ativada para essa regra.

Para criar a regra da política de firewall, consulte Tarefas da regra da política de firewall.

Em um cenário em que o sistema com o endereço IP 203.0.113.114 tenta se conectar à VM1 na porta TCP 80, o seguinte acontece:

  • A VM1 gera uma entrada de registro para a regra C ao aceitar tráfego de 203.0.113.114.
  • As regras da política de Cloud Next Generation Firewall são com estado, o que significa que, se uma regra de firewall de entrada permitir o tráfego para uma instância de VM, o tráfego de retorno de saída será permitido automaticamente. Nesse caso, a regra C permite o tráfego de entrada, então a VM1 pode enviar tráfego de resposta para 203.0.113.114 apesar da regra D.
  • O rastreamento de conexão permite o tráfego de resposta e não causa nenhuma geração de registros, independentemente das regras de firewall de saída. Portanto, o firewall não considera a regra D e não gera nenhuma entrada de registro de saída.

A VM1 informa o seguinte registro de firewall:

Campo Valores
connection src_ip=203.0.113.114
src_port=[EPHEMERAL_PORT]
dest_ip=10.10.0.99
dest_port=80
protocol=6
disposition PERMITIDO
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
source_range = 0.0.0.0/0
ip_port_info = tcp:80
direction = ingress
remote_location continente
país
região
cidade

Exemplo de inspeção avançada

Neste exemplo, a política de firewall do Cloud NGFW usa a ação apply_security_profile_group para interceptar o tráfego para inspeção de pacotes detalhada.

  • O sistema na Internet tem endereço IP 203.0.113.114.
  • VM1 na zona us-west1-a com endereço IP 10.10.0.99 na west-subnet (região us-west1).
  • Regra E: uma regra de política de firewall de saída com a ação definida como apply_security_profile_group. A geração de registros está ativada para essa regra.

Para criar a regra da política de firewall para inspeção avançada, consulte Visão geral do perfil de segurança.

Suponha que a VM1 envie tráfego que corresponda à regra E. O seguinte acontece:

  • A ação apply_security_profile_group usa a geração de registros baseada em sessão, que difere dos registros baseados em conexão produzidos por regras allow ou deny padrão.

  • O Cloud NGFW gera uma única entrada de registro de regra de firewall para a sessão inicial que corresponde à regra, confirmando que o tráfego foi interceptado e redirecionado com sucesso para o endpoint do firewall. O Cloud NGFW gera esse registro de alto nível mesmo que várias conexões sejam identificadas como parte da mesma sessão.

A VM1 informa o seguinte registro de firewall:

Campo Valores
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=203.0.113.114
dest_port=80
protocol=6
disposition INTERCEPTADO
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = APPLY_SECURITY_PROFILE_GROUP
apply_security_profile_fallback_action = UNSPECIFIED
destination_range = 0.0.0.0/0
direction = egress

A seguir