Regras predefinidas para políticas de firewall

Quando você cria uma política de firewall hierárquica, de rede global ou regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem de como você cria a política.

Tipos de regras predefinidas

Se você criar uma política de firewall usando o console Google Cloud , o Cloud NGFW adicionará as seguintes regras à nova política:

1. Regras "Goto-next" para intervalos IPv4 particulares
2. Regras de negação predefinidas do Google Threat Intelligence
3. Regras de negação de localização geográfica predefinidas
4. Regras para ir para a próxima prioridade com a menor prioridade possível

Se você criar uma política de firewall usando a CLI do Google Cloud ou a API, o Cloud NGFW adicionará apenas as regras goto-next de prioridade mais baixa possível à política.

Todas as regras predefinidas em uma nova política de firewall usam prioridades baixas (números de prioridade grandes) para que você possa substituí-las criando regras de entrada ou saída com prioridades mais altas. Exceto pelas regras goto-next com a menor prioridade possível, também é possível personalizar as regras predefinidas.

Regras "Goto-next" para intervalos IPv4 particulares

• Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

• Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de negação predefinidas do Google Threat Intelligence

• Uma regra de entrada com a lista Google Threat Intelligence de origem iplist-tor-exit-nodes, prioridade 1002 e ação deny.

• Uma regra de entrada com a lista Google Threat Intelligence de origem iplist-known-malicious-ips, prioridade 1003 e ação deny.

• Uma regra de saída com a lista de inteligência contra ameaças do Google de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.

Regras de negação de localização geográfica predefinidas

• Uma regra de entrada com a origem correspondente aos locais geográficos CU, IR, KP, SY, XC e XD, prioridade 1005 e ação deny.

Para saber mais sobre localizações geográficas, consulte Objetos de geolocalização.

Regras goto-next com a menor prioridade possível

Não é possível modificar ou excluir as seguintes regras:

• Uma regra de saída com o intervalo IPv6 de destino ::/0, prioridade 2147483644 e ação goto_next.

• Uma regra de entrada com intervalo IPv6 de origem ::/0, prioridade 2147483645 e ação goto_next.

• Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, prioridade 2147483646 e ação goto_next.

• Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, prioridade 2147483647 e ação goto_next.

A seguir

• Modificar regras predefinidas. Para mais informações, leia sobre como atualizar uma regra de política de firewall de rede global, como atualizar uma regra de política de firewall de rede regional e como atualizar uma regra de política de firewall hierárquica.
• Adicione suas próprias regras. Para mais informações, consulte Criar uma política de firewall de rede global, Criar uma política de firewall de rede regional e Criar uma política de firewall.