Esta página pressupõe que conhece os conceitos descritos na vista geral das políticas de firewall de rede global.
Tarefas da política de firewall
Esta secção descreve como criar e gerir políticas de firewall de rede global.
Crie uma política de firewall de rede global
Quando cria uma política de firewall de rede global através da Google Cloud consola, pode associar a política a uma rede de nuvem privada virtual (VPC) durante a criação. Se criar a política através da Google Cloud CLI, tem de associar a política a uma rede depois de criar a política.
A rede VPC à qual a política de firewall de rede global está associada tem de estar no mesmo projeto que a política de firewall de rede global.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione o seu projeto na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza um nome para a política.
Para Âmbito de implementação, selecione Global.
Para criar regras para a sua política, clique em Continuar.
Na secção Adicionar regras, clique em Criar regra de firewall. Para mais informações sobre como criar regras de firewall, consulte o seguinte:
Se quiser associar a política a uma rede, clique em Continuar.
Na secção Associe a política a redes, clique em Associar.
Para mais informações, consulte o artigo Associe uma política a uma rede.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--global
Substitua o seguinte:
NETWORK_FIREWALL_POLICY_NAME: um nome para a políticaDESCRIPTION: uma descrição da política
Associe uma política a uma rede
Quando associa uma política de firewall a uma rede VPC, todas as regras na política de firewall, exceto as regras desativadas, aplicam-se à rede VPC.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a sua política.
Clique na política.
Clique no separador Associações.
Clique em Adicionar associação.
Selecione as redes no projeto.
Clique em Associar.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
Substitua o seguinte:
POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política.NETWORK_NAME: o nome da sua rede.ASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido comonetwork-NETWORK_NAME.
Elimine uma associação
Se precisar de alterar a política de firewall de rede global associada a uma rede VPC, recomendamos que associe primeiro uma nova política em vez de eliminar uma política associada existente. Pode associar uma nova política num único passo, o que ajuda a garantir que uma política de firewall de rede global está sempre associada à rede VPC.
Para eliminar uma associação entre uma política de firewall de rede global e uma rede VPC, siga os passos mencionados nesta secção. As regras na política de firewall de rede global não se aplicam a novas ligações após a eliminação da respetiva associação.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o seu projeto ou a pasta que contém a política.
Clique na política.
Clique no separador Associações.
Selecione a associação que quer eliminar.
Clique em Remover associação.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Descreva uma política de firewall de rede global
Pode ver detalhes sobre uma política de firewall de rede global, incluindo as regras da política e os atributos das regras associados. Todos estes atributos de regras são contabilizados como parte da quota de atributos de regras. Para mais informações, consulte "Atributos das regras por política de firewall de rede global" na tabela Por política de firewall.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique na política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
Atualize a descrição de uma política de firewall de rede global
O único campo de política que pode ser atualizado é o campo Descrição.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique na política.
Clique em Edit.
No campo Descrição, altere o texto.
Clique em Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
Apresente políticas de firewall de rede globais
Pode ver uma lista das políticas disponíveis no seu projeto.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
A secção Políticas de firewall de rede mostra as políticas disponíveis no seu projeto.
gcloud
gcloud compute network-firewall-policies list --global
Elimine uma política de firewall de rede global
Antes de poder eliminar uma política de firewall de rede global, tem de eliminar todas as respetivas associações.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política que quer eliminar.
Clique no separador Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois de remover todas as associações, clique em Eliminar.
gcloud
Use o seguinte comando para eliminar a política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
Tarefas de regras de políticas de firewall
Esta secção descreve como criar e gerir regras da política de firewall de rede global.
Crie uma regra de entrada para alvos de VMs
Esta secção descreve como criar uma regra de entrada que se aplica às interfaces de rede de instâncias do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione um projeto que contenha uma política de firewall de rede global.
Na secção Políticas de firewall de rede, clique no nome de uma política de firewall de rede global na qual quer criar uma regra.
Na secção Regras da firewall, clique em Criar regra da firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais elevada para a mais baixa, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.Descrição: introduza uma descrição opcional.
Direção do tráfego: selecione Entrada.
Ação na correspondência: selecione uma das seguintes opções:
- Permitir: para permitir ligações que correspondam aos parâmetros da regra.
- Recusar: para bloquear ligações que correspondam aos parâmetros da regra.
- Aceder ao seguinte: para continuar o processo de avaliação da regra de firewall.
- Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceção com base na Finalidade que selecionar.
- Para enviar pacotes para um ponto final de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e, de seguida, selecione um grupo de perfis de segurança. Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
- Para enviar pacotes para um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda, selecione NSI na banda e, em seguida, selecione um grupo de perfis de segurança.
Registos: selecione Ativado para ativar o registo de regras de firewall ou Desativado para desativar o registo de regras de firewall para esta regra.
Segmentação: selecione uma das seguintes opções:
- Aplicar a tudo: o NGFW da nuvem usa os destinos de instância mais amplos.
-
Contas de serviço: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VMs que usam a conta de serviço especificada:
- Na secção Âmbito da conta de serviço, selecione Neste projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço no mesmo projeto que a política de firewall de rede global.
- Na secção Âmbito da conta de serviço, selecione Noutro projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço num projeto de serviço de VPC partilhada.
- Etiquetas seguras: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VM que estão associadas, pelo menos, a um dos valores de etiquetas seguras que especificar. Clique em Selecionar âmbito das etiquetas e selecione a organização ou o projeto que contém os valores das etiquetas a corresponder. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
Tipo de rede de origem: especifique um tipo de rede:
- Para ignorar a filtragem do tráfego de entrada por tipo de rede, selecione Todos os tipos de rede.
- Para filtrar o tráfego de entrada para um tipo de rede específico, selecione
Tipo de rede específico e, de seguida, selecione um tipo de rede:
- Internet: o tráfego de entrada tem de corresponder ao tipo de rede da Internet para pacotes de entrada.
- Não pertencente à Internet: o tráfego de entrada tem de corresponder ao tipo de rede não pertencente à Internet para pacotes de entrada.
- Intra VPC: o tráfego de entrada tem de corresponder aos critérios para o tipo de rede intra-VPC.
- Redes VPC: o tráfego de entrada tem de corresponder ao tipo de critérios para redes VPC.
Tem de selecionar, pelo menos, uma rede de VPC:
- Selecionar projeto atual: permite adicionar uma ou mais redes VPC do projeto que contém a política de firewall.
- Introduzir rede manualmente: permite introduzir manualmente um projeto e uma rede VPC.
- Selecionar projeto: permite-lhe selecionar um projeto a partir do qual pode selecionar uma rede de VPC.
Filtros de origem: especifique parâmetros de origem adicionais. Não é possível usar alguns parâmetros de origem em conjunto, e a sua escolha do tipo de rede de origem limita os parâmetros de origem que pode usar. Para mais informações, consulte os artigos Origens para regras de entrada e Combinações de origens de regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. - Para filtrar o tráfego de entrada por valores de etiquetas seguras de origem, selecione Selecionar âmbito para etiquetas na secção Etiquetas seguras. Em seguida, indique as chaves e os valores das etiquetas. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
- Para filtrar o tráfego de entrada por FQDN de origem, introduza FQDNs no campo FQDNs. Para mais informações, consulte os objetos FQDN.
- Para filtrar o tráfego de entrada por geolocalização de origem, selecione uma ou mais localizações no campo Geolocalizações. Para mais informações, consulte os objetos de geolocalização.
- Para filtrar o tráfego de entrada por grupo de endereços de origem, selecione um ou mais grupos de endereços no campo Grupos de endereços. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de entrada por listas de inteligência contra ameaças da Google, selecione uma ou mais listas de inteligência contra ameaças da Google no campo Google Cloud Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras de políticas de firewall.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Destino: especifique parâmetros de destino opcionais. Para mais informações, consulte o artigo Destinos para regras de entrada.
- Para ignorar a filtragem do tráfego de entrada por endereço IP de destino, selecione Nenhum.
- Para filtrar o tráfego de entrada por endereço IP de destino, selecione IPv4 ou IPv6 e, em seguida, introduza um ou mais CIDRs com o mesmo formato usado para intervalos IPv4 de origem ou intervalos IPv6 de origem.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte o artigo Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativado: cria a regra e começa a aplicá-la a novas ligações.
- Desativada: cria a regra, mas não a aplica a novas ligações.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede global na qual quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede global.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite ligações que correspondem à regra.deny: nega as ligações que correspondem à regra.goto_next: continua o processo de avaliação das regras de firewall.
apply_security_profile_group: envia os pacotes para um ponto final da firewall ou um grupo de pontos finais de interceção.- Quando a ação é
apply_security_profile_group, tem de incluir--security-profile-group SECURITY_PROFILE_GROUP, em queSECURITY_PROFILE_GROUPé o nome de um grupo de perfis de segurança. - O perfil de segurança do grupo de perfis de segurança pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda.
- Se o perfil de segurança do grupo de perfis de segurança referenciar um endpoint de firewall do Cloud NGFW, inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção de TLS.
- Quando a ação é
- As flags
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os indicadores
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um alvo:
- Se omitir os indicadores
--target-secure-tagse--target-service-accounts, o Cloud NGFW usa os alvos de instância mais amplos. TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de etiquetas seguras que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VMs que estão associadas a, pelo menos, um dos valores de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se omitir os indicadores
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique uma origem para a regra de entrada.
Para mais informações, consulte as combinações de origens de regras de entrada:
SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de origem suportado para produzir uma combinação de origem. Os valores válidos quando--target-type=INSTANCESsão:INTERNET,NON_INTERNET,VPC_NETWORKSouINTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique esta flag apenas quando o--src-network-typeforVPC_NETWORKS.SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6, e não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.SRC_SECURE_TAGS: uma lista separada por vírgulas de etiquetas. Não pode usar a flag--src-secure-tagsse o--src-network-typeforINTERNET.SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte o artigo Objetos de geolocalização. Não pode usar a flag--src-region-codesse o--src-network-typeforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.SRC_THREAT_LIST_NAMES: uma lista de nomes separados por vírgulas de listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall. Não pode usar a flag--src-threat-intelligencese o valor de--src-network-typeforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.
-
Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
Crie uma regra de saída para segmentações de VMs
As instruções seguintes mostram como criar uma regra de saída. As regras de saída aplicam-se apenas a destinos que são interfaces de rede de instâncias do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione um projeto que contenha uma política de firewall de rede global.
Na secção Políticas de firewall de rede, clique no nome de uma política de firewall de rede global na qual quer criar uma regra.
Na secção Regras da firewall, clique em Criar regra da firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais elevada para a mais baixa, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.Descrição: introduza uma descrição opcional.
Direção do tráfego: selecione Saída.
Ação na correspondência: selecione uma das seguintes opções:
- Permitir: para permitir ligações que correspondam aos parâmetros da regra.
- Recusar: para bloquear ligações que correspondam aos parâmetros da regra.
- Aceder ao seguinte: para continuar o processo de avaliação da regra de firewall.
- Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceção com base na Finalidade que selecionar.
- Para enviar pacotes para um ponto final de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e, de seguida, selecione um grupo de perfis de segurança. Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
- Para enviar pacotes para um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda, selecione NSI na banda e, em seguida, selecione um grupo de perfis de segurança.
Registos: selecione Ativado para ativar o registo de regras de firewall ou Desativado para desativar o registo de regras de firewall para esta regra.
Segmentação: selecione uma das seguintes opções:
- Aplicar a tudo: o NGFW da nuvem usa os destinos de instância mais amplos.
-
Contas de serviço: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VMs que usam a conta de serviço especificada:
- Na secção Âmbito da conta de serviço, selecione Neste projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço no mesmo projeto que a política de firewall de rede global.
- Na secção Âmbito da conta de serviço, selecione Noutro projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço num projeto de serviço de VPC partilhada.
- Etiquetas seguras: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VM que estão associadas, pelo menos, a um dos valores de etiquetas seguras que especificar. Clique em Selecionar âmbito das etiquetas e selecione a organização ou o projeto que contém os valores das etiquetas a corresponder. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
Tipo de rede de destino: especifique um tipo de rede:
- Para ignorar a filtragem do tráfego de saída por tipo de rede, selecione Todos os tipos de redes.
- Para filtrar o tráfego de saída para um tipo de rede específico, selecione
Tipo de rede específico e, de seguida, selecione um
tipo de rede:
- Internet: o tráfego de saída tem de corresponder ao tipo de rede da Internet para pacotes de saída.
- Não pertencente à Internet: o tráfego de saída tem de corresponder ao tipo de rede não pertencente à Internet para pacotes de saída.
Filtros de destino: especifique parâmetros de destino adicionais. Não é possível usar alguns parâmetros de destino em conjunto, e a sua escolha do tipo de rede de destino limita os filtros de destino que pode usar. Para mais informações, consulte Destinos para regras de saída e Combinações de destinos de regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, em seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, em seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer destino IPv6. - Para filtrar o tráfego de saída por FQDN de destino, introduza FQDNs no campo FQDNs. Para mais informações, consulte os objetos FQDN.
- Para filtrar o tráfego de saída por geolocalização de destino, selecione uma ou mais localizações no campo Geolocalizações. Para mais informações, consulte os objetos de geolocalização.
- Para filtrar o tráfego de saída por grupo de endereços de destino, selecione um ou mais grupos de endereços no campo Grupos de endereços. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de saída por listas de informações sobre ameaças da Google de destino, selecione uma ou mais listas de informações sobre ameaças da Google no campo Google Cloud Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, em seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Origem: especifique parâmetros de origem opcionais. Para mais informações, consulte o artigo Fontes para regras de saída.
- Para ignorar a filtragem do tráfego de saída por endereço IP de origem, selecione Nenhum.
- Para filtrar o tráfego de saída por endereço IP de origem, selecione IPv4 ou IPv6 e, em seguida, introduza um ou mais CIDRs com o mesmo formato usado para intervalos IPv4 de destino ou intervalos IPv6 de destino.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte o artigo Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativado: cria a regra e começa a aplicá-la a novas ligações.
- Desativada: cria a regra, mas não a aplica a novas ligações.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede global na qual quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede global.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite ligações que correspondem à regra.deny: nega as ligações que correspondem à regra.goto_next: continua o processo de avaliação das regras de firewall.
apply_security_profile_group: envia os pacotes para um ponto final da firewall ou um grupo de pontos finais de interceção.- Quando a ação é
apply_security_profile_group, tem de incluir--security-profile-group SECURITY_PROFILE_GROUP, em queSECURITY_PROFILE_GROUPé o nome de um grupo de perfis de segurança. - O perfil de segurança do grupo de perfis de segurança pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda.
- Se o perfil de segurança do grupo de perfis de segurança referenciar um endpoint de firewall do Cloud NGFW, inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção de TLS.
- Quando a ação é
- As flags
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os indicadores
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um alvo:
- Se omitir os indicadores
--target-secure-tagse--target-service-accounts, o Cloud NGFW usa os alvos de instância mais amplos. TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de etiquetas seguras que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VMs que estão associadas a, pelo menos, um dos valores de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se omitir os indicadores
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique um destino para a regra de saída.
Para mais informações, consulte as combinações de destinos das regras de saída:
DEST_NETWORK_TYPE: define os tipos de rede de destino a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino. Os valores válidos sãoINTERNETeNON_INTERNET. Para mais informações, consulte o artigo Tipos de redes.DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos.DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização.DEST_THREAT_LIST_NAMES: uma lista de nomes separados por vírgulas de listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
-
Opcionalmente, especifique uma origem para a regra de saída:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
Atualize uma regra
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique no nome da política de firewall de rede global que contém a regra a atualizar.
Clique na prioridade da regra.
Clique em Edit.
Modifique os campos da regra de firewall que quer alterar. Para ver descrições sobre cada campo, consulte um dos seguintes artigos:
Clique em Guardar.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy \
[...other flags that you want to modify...]
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.
Indique as flags que quer modificar. Para ver as descrições das denúncias, consulte uma das seguintes opções:
Descreva uma regra
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política.
Clique na prioridade da regra.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.
Elimine uma regra
A eliminação de uma regra de uma política faz com que a regra deixe de se aplicar a novas ligações de ou para o destino da regra.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política.
Selecione a regra que quer eliminar.
Clique em Eliminar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.
Clone regras de uma política para outra
A clonagem copia as regras de uma política de origem para uma política de destino, substituindo todas as regras existentes na política de destino.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política a partir da qual quer copiar as regras.
Clique em Clonar na parte superior do ecrã.
Indique o nome de uma política de segmentação.
Se quiser associar a nova política imediatamente, clique em Continuar > Associar.
Na página Associe a política a redes de VPC, selecione as redes e clique em Associar.
Clique em Continuar.
Clique em Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
Substitua o seguinte:
TARGET_POLICY: o nome da política de destino.SOURCE_POLICY: o URL da política de origem.
Obtenha regras de firewall eficazes para uma rede
Pode ver todas as regras da política de firewall hierárquica, as regras de firewall da VPC e as regras da política de firewall de rede global que se aplicam a todas as regiões de uma rede VPC.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique na rede para a qual quer ver as regras da política de firewall.
Na página Detalhes da rede de VPC, clique no separador Firewalls.
Para ver as regras que se aplicam a esta rede, clique no separador Vista de regras de firewall.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Substitua NETWORK_NAME pela rede para a qual quer ver as regras eficazes.
Também pode ver as regras de firewall eficazes para uma rede na página Firewall.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
As políticas de firewall são apresentadas na secção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.
Obtenha regras de firewall eficazes para uma interface de VM
Pode ver todas as regras de firewall, de todas as políticas de firewall aplicáveis e regras de firewall da VPC, que se aplicam a uma interface de rede de uma VM do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Instâncias de VM.
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Para Interfaces de rede, clique no nome da interface.
Na secção Análise da configuração de rede, clique no separador Firewalls.
Para ver as regras de firewall eficazes, clique no separador Vista de regras de firewall.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Substitua o seguinte:
INSTANCE_NAME: a VM para a qual quer ver as regras eficazes; se não for especificada nenhuma interface, o comando devolve regras para a interface principal (nic0).INTERFACE: a interface de VM para a qual quer ver as regras eficazes; o valor predefinido énic0.ZONE: a zona da VM; esta linha é opcional se a zona escolhida já estiver definida como predefinição.