Conceitos do Cloud NGFW

É possível usar o Cloud Next Generation Firewall para proteger suas cargas de trabalho contra ameaças externas da Internet e ameaças internas na sua rede.

Este documento define os principais conceitos e termos que explicam como o Cloud NGFW funciona e avalia regras.

Regras da política de firewall

No Cloud NGFW, uma regra da política de firewall é a unidade fundamental da configuração de segurança. Ela define os critérios para permitir, negar ou inspecionar o tráfego. Para mais informações, consulte Regras da política de firewall.

Políticas de firewall

Uma política de firewall é um contêiner que agrupa várias regras de firewall. Para mais informações, consulte Políticas de firewall.

O Cloud NGFW oferece suporte aos seguintes tipos de políticas, dependendo da localização delas na hierarquia de recursos:

Quando você cria uma política hierárquica de firewall ou uma política de firewall de rede, Google Cloud adiciona algumas regras predefinidas à política.

Associação de políticas de firewall

Antes de usar as regras em uma política de firewall, é necessário associar a política a um recurso. O método de associação depende do tipo de política:

  • Políticas hierárquicas de firewall: associe políticas hierárquicas a uma Google Cloud organização ou pasta.
  • Políticas globais de firewall de rede: associe políticas globais de firewall de rede a uma ou mais redes VPC no mesmo projeto da política de firewall.
  • Políticas regionais de firewall de rede: associe políticas regionais de firewall de rede a uma única região de uma ou mais redes VPC no mesmo projeto da política de firewall.

Depois de associar uma política de firewall a um recurso, as regras na política serão aplicadas ao tráfego correspondente.

Como o Cloud NGFW funciona

O Cloud NGFW avalia regras da política de firewall, regras de firewall da VPC e ações implícitas. Para mais informações, consulte Ordem de avaliação de políticas e regras de firewall.

Regras de firewall da VPC

As regras de firewall da VPC permitem gerenciar o tráfego da camada de rede (camada 3 e camada 4) para uma única rede VPC.

As regras de firewall da VPC oferecem menos recursos do que as regras da política de firewall. Como prática recomendada, use políticas de firewall em vez de regras de firewall da VPC. Para mais informações, consulte Regras de firewall da VPC.

Componentes principais de uma regra da política de firewall

Para configurar uma regra da política de firewall, defina os seguintes componentes:

  • Direção: especifica a direção do fluxo de tráfego da perspectiva do recurso de destino.

    • Entrada: especifica se a regra da política de firewall se aplica ao tráfego de entrada. Para mais informações, consulte Regras de entrada.
    • Saída: especifica se a regra se aplica ao tráfego de saída. Para mais informações, consulte Regras de saída.
  • Prioridade: um número inteiro exclusivo que determina a ordem de avaliação das regras em uma política. Os números inteiros mais baixos indicam prioridades mais altas. Para mais informações, consulte Prioridade.

  • Critérios: condições de correspondência para um pacote de rede, como protocolos, endereços IP e números de porta.

  • Tipo de destino: o tipo de Google Cloud recurso que a regra de firewall protege. É possível configurar regras da política de firewall para serem aplicadas a instâncias de máquina virtual (VM) (padrão) ou proxies Envoy gerenciados que balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos (visualização) usam.

  • Destino: aplica a regra a destinos específicos.

  • Origem: obrigatório para regras de entrada e opcional para regras de saída. Para mais informações, consulte Origens.

  • Destino: obrigatório para regras de saída e opcional para regras de entrada. Para mais informações, consulte Destinos.

  • Protocolo e portas: o protocolo de comunicação e as portas de destino. Para mais informações, consulte Protocolos e portas.

  • Ação: a ação que o Cloud NGFW realiza quando um pacote de rede corresponde aos critérios da regra. Para mais informações, consulte Ação na correspondência.

Para conferir todos os componentes de regra de uma rede VPC padrão, consulte Componentes da regra de política de firewall.

Níveis do Cloud NGFW

Google Cloud organiza os recursos do Cloud NGFW em vários níveis para se alinhar a diferentes requisitos de segurança e preços. Para mais informações, consulte Níveis do Cloud NGFW.

Inspeção da camada de rede

Para proteção básica, o Cloud NGFW inspeciona o tráfego de rede na camada 3 e na camada 4 do modelo de interconexão de sistemas abertos (OSI).

Todos os níveis do Cloud NGFW usam filtragem distribuída e com estado da camada 3 e da camada 4. O firewall rastreia os estados de conexão ativos e avalia os pacotes em relação a uma tabela de rastreamento de conexão.

Inspeção da camada do aplicativo

Para proteção avançada, o Cloud NGFW pode inspecionar o tráfego na camada do aplicativo (camada 7) do modelo OSI. Essa inspeção permite que o firewall tome decisões com base em dados no nível do aplicativo, em vez de apenas endereços IP e portas. Exemplos de inspeção da camada do aplicativo incluem serviços como o serviço de filtragem de URL e o serviço de detecção de intrusões e prevenção. Os recursos de inspeção da camada do aplicativo estão disponíveis apenas no nível do Cloud Next Generation Firewall Enterprise. Para mais informações, consulte Visão geral da inspeção da camada do aplicativo.

A seguir