As políticas de firewall de rede globais permitem-lhe atualizar em lote todas as regras de firewall agrupando-as num único objeto de política. Pode atribuir políticas de firewall de rede a uma rede da nuvem virtual privada (VPC). Estas políticas contêm regras que podem negar ou permitir explicitamente ligações.
Especificações
- As políticas de firewall de rede globais são recursos de contentores para regras de firewall.
Cada recurso de política de firewall de rede global é definido num projeto.
- Depois de criar uma política de firewall de rede global, pode adicionar, atualizar e eliminar regras de firewall na política.
- Para ver informações de especificação sobre as regras nas políticas de firewall de rede global, consulte o artigo Regras da política de firewall.
- Para aplicar regras de política de firewall de rede global a uma rede VPC, tem de associar a política de firewall a essa rede VPC.
- Pode associar uma política de firewall de rede global a várias redes VPC. Certifique-se de que a política de firewall e as redes associadas pertencem ao mesmo projeto.
- Cada rede VPC só pode ser associada a uma política de firewall de rede global.
- Se a política de firewall não estiver associada a nenhuma rede da VPC, as regras nessa política não têm efeito. Uma política de firewall que não esteja associada a nenhuma rede é uma política de firewall de rede global não associada.
- Quando uma política de firewall de rede global está associada a uma ou mais redes VPC, as regras da política de firewall são aplicadas das seguintes formas:
- As regras existentes são aplicadas aos recursos aplicáveis nas redes VPC associadas.
- Quaisquer alterações feitas às regras são aplicadas aos recursos aplicáveis nas redes VPC associadas.
- As regras nas políticas de firewall de rede globais são aplicadas juntamente com outras regras de firewall, conforme descrito na ordem de avaliação de políticas e regras.
Use regras de política de firewall de rede global para configurar a inspeção da camada 7 do tráfego correspondente, como quando usa o serviço de filtragem de URLs ou o serviço de deteção e prevenção de intrusões.
Cria uma regra de política de firewall com a
apply_security_profile_groupação e o nome do grupo de perfis de segurança. O tráfego que corresponde à regra de política de firewall é encaminhado de forma transparente para o ponto final da firewall para inspeção da camada 7. Para saber como criar uma regra de política de firewall, consulte o artigo Crie regras de firewall de rede globais.
Detalhes da regra de política de firewall de rede global
Para mais informações sobre os componentes e os parâmetros das regras numa política de firewall de rede global, consulte o artigo Regras da política de firewall.
A tabela seguinte resume as principais diferenças entre as regras da política de firewall da rede global e as regras de firewall da VPC:
| Regras de política de firewall de rede global | Regras de firewall da VPC | |
|---|---|---|
| Número de prioridade | Tem de ser único numa política | Prioridades duplicadas permitidas |
| Contas de serviço como alvos | Sim | Sim |
| Contas de serviço como origens (apenas regras de entrada) |
Não | Sim |
| Tipo de etiqueta | Etiqueta segura | Etiqueta de rede |
| Nome e descrição | Nome da política, política e descrição da regra | Nome e descrição da regra |
| Atualização em lote | Sim, para as funções de clonagem, edição e substituição de políticas | Não |
| Reutilizar | Sim | Não |
| Quota | Contagem de atributos: com base numa complexidade total de cada regra na política | Número de regras: as regras de firewall complexas e simples têm o mesmo impacto na quota |
Regras predefinidas
Quando cria uma política de firewall de rede global, o Cloud Next Generation Firewall adiciona regras predefinidas com a prioridade mais baixa à política. Estas regras são aplicadas a quaisquer ligações que não correspondam a uma regra definida explicitamente na política, o que faz com que essas ligações sejam transmitidas a políticas ou regras de rede de nível inferior.
Para saber mais sobre os vários tipos de regras predefinidas e as respetivas características, consulte o artigo Regras predefinidas.
Funções da gestão de identidade e de acesso (IAM)
As funções IAM regem as seguintes ações relativamente às políticas de firewall de rede global:
- Criar uma política de firewall de rede global
- Associar uma política a uma rede
- Modificar uma política existente
- Ver as regras de firewall eficazes para uma rede ou uma VM específica
A tabela seguinte descreve as funções necessárias para cada ação:
| Ação | Função necessária |
|---|---|
| Crie uma nova política de firewall de rede global | Função de administrador de segurança de computação (roles/compute.securityAdmin)
no projeto ao qual a política pertence |
| Associe uma política a uma rede | Função de administrador de rede de computação (roles/compute.networkAdmin)
no projeto onde a política vai residir
|
| Modifique a política adicionando, atualizando ou eliminando regras de firewall de políticas | Função de administrador de segurança do Compute (roles/compute.securityAdmin)
no projeto onde a política vai residir |
| Elimine a política | Função de administrador de rede de computação (roles/compute.networkAdmin)
no projeto onde a política vai residir |
| Veja as regras de firewall eficazes para uma rede da VPC | Qualquer uma das seguintes funções para a rede: Função de administrador da rede de computação ( roles/compute.networkAdmin)Função de visualizador da rede de computação ( roles/compute.networkViewer)Função de administrador de segurança de computação ( roles/compute.securityAdmin)Função de visualizador de computação ( roles/compute.viewer)
|
| Veja as regras de firewall eficazes para uma VM numa rede | Qualquer uma das seguintes funções para a VM: Função de administrador de instâncias do Compute (v1) ( roles/compute.instanceAdmin)Função de administrador de segurança do Compute ( roles/compute.securityAdmin)Função de visualizador do Compute ( roles/compute.viewer)
|
As seguintes funções são relevantes para as políticas de firewall de rede globais.
| Nome da função | Descrição |
|---|---|
Função de administrador de segurança do Compute (roles/compute.securityAdmin)
|
Podem ser concedidas ao nível do projeto ou da política. Se concedido para um projeto, permite que os utilizadores criem, atualizem e eliminem políticas de firewall de rede global e as respetivas regras. Ao nível da política, permite aos utilizadores atualizar as regras da política, mas não criar nem eliminar a política. Esta função também permite que os utilizadores associem uma política a uma rede. |
Função de administrador de rede de computação (roles/compute.networkAdmin)
|
Concedidas ao nível do projeto ou da rede. Se for concedida para uma rede, permite que os utilizadores vejam a lista de políticas de firewall de rede globais. |
Função de leitor do Compute (roles/compute.viewer)Função de utilizador da rede do Compute ( roles/compute.networkUser)Função de leitor da rede do Compute ( roles/compute.networkViewer) |
Permite que os utilizadores vejam as regras de firewall aplicadas à rede ou à instância. Inclui a autorização compute.networks.getEffectiveFirewalls
para redes e a autorização compute.instances.getEffectiveFirewalls para instâncias. |