Configurar uma política de firewall de rede global para permitir o tráfego de saída para um FQDN

Saiba como criar e configurar uma política de firewall de rede global para permitir o tráfego de saída para um nome de domínio totalmente qualificado (FQDN, na sigla em inglês) específico usando o console Google Cloud . A política de firewall bloqueia todo o outro tráfego de saída proveniente da sua rede. Este guia de início rápido cria uma rede de nuvem privada virtual (VPC) com uma sub-rede, cria uma instância de máquina virtual (VM) na rede VPC, configura uma política de firewall que usa regras de saída e testa a política de firewall da VM.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Se este guia estiver usando um projeto atual, verifique se você tem as permissões necessárias para concluir o guia. Se você criou um projeto, já tem as permissões necessárias.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. Se este guia estiver usando um projeto atual, verifique se você tem as permissões necessárias para concluir o guia. Se você criou um projeto, já tem as permissões necessárias.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.
  10. Confira os conceitos de políticas de firewall e regras da política de firewall.
  11. Confira os preços do Cloud NGFW. Para mais informações, consulte os preços do Cloud NGFW.

    12. Funções exigidas

    Para receber as permissões necessárias para criar uma rede VPC personalizada, uma VM, um Cloud Router, um Cloud NAT, uma política global de firewall de rede e as regras dela, além de visualizar os registros, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

    Criar uma rede VPC personalizada com uma sub-rede IPv4

    Criar uma rede VPC de modo personalizado com uma sub-rede IPv4.

    1. No console do Google Cloud , acesse a página Redes VPC.

      Acessar redes VPC

    2. Clique em Criar rede VPC.

    3. Em Nome, insira vpc-fw-policy-egress.

    4. Em Modo de criação da sub-rede, selecione Personalizado.

    5. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

      • Nome: insira subnet-1.
      • Região: selecione us-central1.
      • Intervalo IPv4:insira 10.0.0.0/24.

    6. Clique em Concluído.

    7. Clique em Criar.

    criar uma VM

    Crie uma VM na sub-rede que você configurou na seção anterior.

    1. No console do Google Cloud , acesse a página Criar uma instância.

      Acesse "Criar uma instância"

    2. No painel Configuração da máquina, faça o seguinte:

      1. Em Nome, insira instance-1-us.
      2. Em Região, selecione us-central1 (Iowa).

    3. No menu de navegação, clique em Rede.

      1. Na seção Interfaces de rede, clique em default e especifique os seguintes parâmetros de configuração:
        • Rede: vpc-fw-policy-egress
        • Sub-rede: subnet-1 IPv4 (10.0.0.0/24)
        • Endereço IPv4 externo: nenhum
      2. Clique em Concluído.

    4. Clique em Criar.

    Criar um Cloud Router e um gateway NAT do Cloud

    Na seção anterior, você criou uma VM sem nenhum endereço IP externo. Para permitir que a VM acesse a Internet pública, crie um Cloud Router e um gateway do Cloud NAT para a mesma região e sub-rede em que você criou a VM.

    1. No console do Google Cloud , acesse a página Cloud NAT.

      Acesse o Cloud NAT

    2. Clique em Primeiros passos ou Criar gateway Cloud NAT.

      Observação: se este for o primeiro gateway do Cloud NAT que você está criando, clique em Primeiros passos. Se você já tiver gateways,o Google Cloud vai mostrar o botão Criar gateway do Cloud NAT. Para criar outro gateway, clique em Criar gateway do Cloud NAT.

    3. Em Nome do gateway, digite fw-egress-nat-gw.

    4. Em Tipo de NAT, selecione Public.

    5. Na seção Selecionar o Cloud Router, especifique os seguintes parâmetros de configuração:

      • Rede: selecione vpc-fw-policy-egress.
      • Região: selecione us-central1 (Iowa).
      • Cloud Router: clique em Criar novo roteador.
        1. Em Nome, insira fw-egress-router.
        2. Clique em Criar.

    6. Clique em Criar.

    Criar uma política de firewall de rede global para permitir o tunelamento TCP do IAP

    Para permitir o tunelamento do Identity-Aware Proxy para as VMs na sua rede, crie uma política de firewall de rede global e adicione uma regra de firewall a ela. O IAP permite acesso administrativo às VMs.

    A regra de firewall precisa ter as seguintes propriedades:

    • Aplica-se a todas as VMs que você quer acessar usando o encaminhamento de TCP do IAP.
    • permite o tráfego de entrada do intervalo de IP 35.235.240.0/20. Esse intervalo contém todos os endereços IP que o IAP usa para o encaminhamento de TCP.
    • Uma conexão com todas as portas que você quer que estejam acessíveis usando o encaminhamento de TCP do IAP. Por exemplo, a porta 22 para SSH.

    Para ativar o acesso do IAP a todas as VMs na rede vpc-fw-policy-egress, siga estas etapas:

    1. No console do Google Cloud , acesse a página Políticas de firewall.

      Acesse as políticas de firewall

    2. Clique em Criar política de firewall.

    3. Na seção Configurar política, em Nome da política, digite fw-egress-policy.

    4. Em Escopo da implantação, selecione Global e clique em Continuar.

    5. Para criar regras para sua política, na seção Adicionar regras, clique em Adicionar regra.

      1. Em Prioridade, digite 100.
      2. Em Direção de tráfego, selecione Entrada.
      3. Em Ação se houver correspondência, selecione Permitir.
      4. Em Registros, selecione Ativado.
      5. Na seção Destino, em Tipo de destino, selecione Todas as instâncias na rede.
      6. Na seção Origem, em Intervalos de IP, insira 35.235.240.0/20.
      7. Na seção Protocolo e portas, selecione Portas e protocolos especificados.
      8. Marque a caixa de seleção TCP e, em Portas, insira 22.
      9. Clique em Criar.

    6. Clique em Continuar.

    7. Para associar uma rede VPC à política, na seção Associar política a redes VPC, clique em Associar.

    8. Marque a caixa de seleção vpc-fw-policy-egress e clique em vpc-fw-policy-egress.

    9. Clique em Continuar.

    10. Clique em Criar.

    Adicione uma regra de firewall para negar o tráfego de saída a todos os destinos

    Para negar o tráfego de saída a todos os destinos, adicione uma regra de firewall a fw-egress-policy.

    1. No console do Google Cloud , acesse a página Políticas de firewall.

      Acesse as políticas de firewall

    2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

    3. Clique em Criar regra.

    4. Em Prioridade, digite 700.

    5. Em Direção do tráfego, selecione Saída.

    6. Em Ação se houver correspondência, selecione Negar.

    7. Em Registros, selecione Ativado.

    8. Na seção Destino, em Intervalos de IP, digite 0.0.0.0/0.

    9. Clique em Criar.

    Adicione uma regra de firewall para permitir o tráfego de saída apenas para um FQDN específico

    Para permitir o tráfego de saída para apenas um FQDN específico, ads.google.com, adicione uma regra de firewall em fw-egress-policy.

    1. No console do Google Cloud , acesse a página Políticas de firewall.

      Acesse as políticas de firewall

    2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

    3. Clique em Criar regra.

    4. Em Prioridade, digite 600.

    5. Em Direção do tráfego, selecione Saída.

    6. Em Ação se houver correspondência, selecione Permitir.

    7. Em Registros, selecione Ativado.

    8. Na seção Destino, em FQDNs, digite ads.google.com.

    9. Clique em Criar.

    Testar a política de firewall de rede global

    Depois de configurar a política de firewall da rede global, siga estas etapas para testá-la:

    1. No console do Google Cloud , acesse a página Instâncias de VM.

      Acessar instâncias de VM

    2. Na coluna Conectar da VM instance-1-us, clique em SSH.

    3. Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde a conexão ser estabelecida.

    4. Para verificar se o tráfego de saída para https://ads.google.com é permitido, execute o seguinte comando:

        curl -I https://ads.google.com

      O comando anterior retorna as informações de cabeçalho de https://ads.google.com, o que significa que as conexões de saída são permitidas.

    5. Para verificar se o tráfego de saída está bloqueado para qualquer outro destino, especifique um FQDN e execute o seguinte comando:

        curl -m 2 -I https://mail.yahoo.com

      O comando acima retorna uma mensagem Connection timed out, o que é esperado porque você criou uma regra de firewall para negar o tráfego de saída a todos os destinos, exceto https://ads.google.com. ,

    Visualize os registros

    Para verificar se as regras de firewall foram aplicadas ao tráfego de saída, acesse os registros. Para ver o registro, siga estas etapas:

    1. No console do Google Cloud , acesse a página Políticas de firewall.

      Acesse as políticas de firewall

    2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

    3. Na coluna Contagem de hits, clique no número da regra que você criou na seção Criar uma política de firewall da rede global. A página Análise de registros abre.

    4. Para ver a regra de firewall aplicada ao tráfego de saída, expanda o registro individual. Expanda as seções relevantes para visualizar os detalhes de conexão, disposição, local remoto e regra.

    Limpar

    Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste início rápido, exclua o projeto que contém os recursos ou mantenha o projeto e exclua os recursos individuais.

    Para excluir os recursos criados neste guia de início rápido, conclua as tarefas a seguir.

    Excluir a política de firewall

    1. No console do Google Cloud , acesse a página Políticas de firewall.

      Acesse as políticas de firewall

    2. Na seção Políticas de firewall da rede, clique em fw-egress-policy.

    3. Clique na guia Associações.

    4. Marque a caixa de seleção de vpc-fw-policy-egress e clique em Remover associação.

    5. Na caixa de diálogo Remover uma associação de política de firewall, clique em Remover.

    6. Clique em Excluir.

    7. Na caixa de diálogo Excluir uma política de firewall, clique em Excluir.

    Excluir a VM

    1. No console do Google Cloud , acesse a página Instâncias de VM.

      Acessar instâncias de VM

    2. Marque a caixa de seleção da VM instance-1-us.

    3. Clique em Excluir.

    4. Na caixa de diálogo Excluir instance-1-us, clique em Excluir.

    Excluir o gateway do Cloud NAT e o Cloud Router

    1. No console do Google Cloud , acesse a página Cloud Routers.

      Acesse o Cloud Routers

    2. Marque a caixa de seleção de fw-egress-router.

    3. Clique em Excluir.

    4. Na caixa de diálogo Excluir fw-egress-router, clique em Excluir.

    Quando você exclui um Cloud Router, o gateway do Cloud NAT associado também é excluído.

    Excluir a rede VPC e as sub-redes dela

    1. No console do Google Cloud , acesse a página Redes VPC.

      Acessar redes VPC

    2. Na coluna Nome, clique em vpc-fw-policy-egress.

    3. Clique em Excluir rede VPC.

    4. Na caixa de diálogo Excluir uma rede, clique em Excluir.

    Quando você exclui uma VPC, as sub-redes dela também são excluídas.

    A seguir