Regras predefinidas para políticas de firewall

Quando você cria uma política de firewall de rede hierárquica, global ou regional, o Cloud Next Generation Firewall adiciona automaticamente regras predefinidas. É possível personalizar ou substituir essas regras para manter a postura de segurança de rede pretendida. As regras predefinidas variam dependendo se você usa o console doGoogle Cloud , a CLI gcloud ou a API.

Este documento ajuda administradores de rede e engenheiros de segurança a definir regras para políticas de firewall.

Tipos de regras predefinidas

Se você criar uma política de firewall usando o console Google Cloud , o Cloud NGFW adicionará as seguintes regras à nova política:

  1. Regras "Goto-next" para intervalos IPv4 particulares
  2. Regras de negação predefinidas do Google Threat Intelligence
  3. Regras de negação de localização geográfica predefinidas
  4. Regras para ir para a próxima prioridade com a menor prioridade possível

Se você criar uma política de firewall usando a CLI do Google Cloud ou a API, o Cloud NGFW adicionará apenas as regras goto-next de prioridade mais baixa possível à política.

Todas as regras predefinidas em uma nova política de firewall usam prioridades baixas (números de prioridade grandes) para que você possa substituí-las criando regras de entrada ou saída com prioridades mais altas. Exceto pelas regras goto-next com a menor prioridade possível, também é possível personalizar as regras predefinidas.

Regras "Goto-next" para intervalos IPv4 particulares

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de negação predefinidas do Google Threat Intelligence

  • Uma regra de entrada com a lista Google Threat Intelligence de origem iplist-tor-exit-nodes, prioridade 1002 e ação deny.

  • Uma regra de entrada com a lista Google Threat Intelligence de origem iplist-known-malicious-ips, prioridade 1003 e ação deny.

  • Uma regra de saída com a lista Google Threat Intelligence de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.

Regras de negação de localização geográfica predefinidas

  • Uma regra de entrada com a origem correspondente aos locais geográficos CU, IR, KP, SY, XC e XD, prioridade 1005 e ação deny.

Para saber mais sobre localizações geográficas, consulte Objetos de geolocalização.

Regras goto-next com a menor prioridade possível

Não é possível modificar ou excluir as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, prioridade 2147483644 e ação goto_next.

  • Uma regra de entrada com intervalo IPv6 de origem ::/0, prioridade 2147483645 e ação goto_next.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, prioridade 2147483646 e ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, prioridade 2147483647 e ação goto_next.

A seguir