Com os objetos de geolocalização nas regras da política de firewall, é possível filtrar o tráfego IPv4 e IPv6 externo com base em regiões ou locais geográficos específicos.
É possível aplicar regras com objetos de geolocalização ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos códigos dos países fazem a correspondência com a origem ou o destino do tráfego.
Especificações
As seguintes especificações de firewall se aplicam a objetos de geolocalização:
É possível configurar objetos de geolocalização para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.
Para adicionar geolocalizações às regras da política de firewall, use os códigos regionais ou dos países com duas letras, conforme definido nos códigos dos países ISO 3166 Alfa-2.
Por exemplo, se você quiser permitir o tráfego de entrada apenas dos EUA na rede, crie uma regra da política de firewall de entrada com o código do país de origem definido como
USe a ação definida comoallow. Da mesma forma, se você quiser permitir o tráfego de saída somente para os EUA, configure uma regra da política de firewall de saída com o código do país de destino definido comoUSe a ação definida comoallow.O Cloud NGFW permite configurar regras de firewall para os seguintes territórios sujeitos a sanções abrangentes dos EUA:
Territórios Código atribuído Crimeia XC As chamadas República Popular de Donetsk e República Popular de Lugansk XD Se houver códigos de país duplicados incluídos em uma única regra de firewall, apenas uma entrada será mantida. A entrada duplicada será removida. Por exemplo, na lista de código de país
ca,us,us, apenasca,usserá mantido.O Google mantém um banco de dados com endereços IP e mapeamentos de código de país. Os firewalls doGoogle Cloud usam esse banco de dados para mapear os endereços IP do tráfego de origem e destino com o código do país e aplicar a regra da política de firewall correspondente com objetos de geolocalização.
Às vezes, as atribuições de endereços IP e os códigos dos países mudam devido às seguintes condições:
- Movimentação de endereços IP entre localizações geográficas
- Atualizações no padrão de códigos dos países ISO 3166 Alfa-2
Pode levar algum tempo para que essas mudanças sejam aplicadas ao banco de dados do Google. Por isso, talvez você veja algumas interrupções de tráfego e alterações no comportamento de determinado tráfego, sendo bloqueado ou permitido.
Correspondência de objetos de geolocalização para endereços IP internos
Os objetos de geolocalização são projetados para serem aplicados a endereços IP externo. Os objetos de geolocalização não se aplicam aos endereços IP internos privados mostrados na tabela a seguir:
| Tipo de endereço | Intervalos e especificações |
|---|---|
| IPv4 interno (privado) | Todos os intervalos de endereços IPv4 privados definidos pela RFC
(incluindo RFC 1918 e RFC 6598) e endereços locais de link
(169.254.0.0/16). |
| IPv6 interno (privado) | Endereços locais exclusivos (ULA) (fc00::/7) e endereços locais de link (fe80::/10). |
No entanto, as regras de política de firewall de objetos de geolocalização se aplicam a endereços IP internos se eles forem endereços IP públicos usados de maneira particular. Embora esses endereços sejam internos à rede VPC, eles são públicos e correspondem a objetos de geolocalização. Para evitar problemas de comunicação ao usar endereços IP públicos de uso privado, crie regras de política de firewall de prioridade mais alta que permitam o tráfego para ou dos intervalos de endereços IP públicos de uso privado.
Usar objetos de geolocalização com outros filtros de regra da política de firewall
É possível usar objetos de geolocalização com outros filtros de origem ou destino. Dependendo da direção da regra, a regra da política de firewall é aplicada ao tráfego de entrada ou saída que corresponde à união de todos os filtros especificados.
Para informações sobre como os objetos de geolocalização funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada.
Para informações sobre como os objetos de geolocalização funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.