Esta página pressupõe que conhece os conceitos descritos na Vista geral das políticas de firewall de rede global.
Tarefas da política de firewall
Esta secção descreve como criar e gerir políticas de firewall de rede global.
Crie uma política de firewall de rede global
Quando cria uma política de firewall de rede global através da Google Cloud consola, pode associar a política a uma rede de nuvem privada virtual (VPC) durante a criação. Se criar a política através da Google Cloud CLI, tem de associar a política a uma rede depois de criar a política.
A rede VPC à qual a política de firewall de rede global está associada tem de estar no mesmo projeto que a política de firewall de rede global.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione o seu projeto na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza um nome para a política.
Para Âmbito de implementação, selecione Global.
Para criar regras para a sua política, clique em Continuar.
Na secção Adicionar regras, clique em Criar regra de firewall.
Para mais informações, consulte Crie uma regra.
Se quiser associar a política a uma rede, clique em Continuar.
Na secção Associe a política a redes, clique em Associar.
Para mais informações, consulte o artigo Associe uma política a uma rede.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION --global
Substitua o seguinte:
NETWORK_FIREWALL_POLICY_NAME: um nome para a políticaDESCRIPTION: uma descrição da política
Associe uma política a uma rede
Quando associa uma política de firewall a uma rede de VPC, todas as regras na política de firewall, exceto as regras desativadas, aplicam-se à rede de VPC.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a sua política.
Clique na sua política.
Clique no separador Associações.
Clique em Adicionar associação.
Selecione as redes no projeto.
Clique em Associar.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
Substitua o seguinte:
POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política.NETWORK_NAME: o nome da sua rede.ASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido comonetwork-NETWORK_NAME.
Elimine uma associação
Se precisar de alterar a política de firewall de rede global associada a uma rede VPC, recomendamos que associe primeiro uma nova política em vez de eliminar uma política associada existente. Pode associar uma nova política num único passo, o que ajuda a garantir que uma política de firewall de rede global está sempre associada à rede VPC.
Para eliminar uma associação entre uma política de firewall de rede global e uma rede VPC, siga os passos mencionados nesta secção. As regras na política de firewall de rede global não se aplicam a novas ligações após a eliminação da respetiva associação.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o seu projeto ou a pasta que contém a política.
Clique na sua política.
Clique no separador Associações.
Selecione a associação que quer eliminar.
Clique em Remover associação.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Descreva uma política de firewall de rede global
Pode ver detalhes sobre uma política de firewall de rede global, incluindo as regras da política e os atributos das regras associados. Todos estes atributos de regras são contabilizados como parte da quota de atributos de regras. Para mais informações, consulte "Atributos das regras por política de firewall de rede global" na tabela Por política de firewall.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique na sua política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
Atualize a descrição de uma política de firewall de rede global
O único campo de política que pode ser atualizado é o campo Descrição.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique na sua política.
Clique em Edit.
No campo Descrição, altere o texto.
Clique em Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
Apresente as políticas de firewall de rede globais
Pode ver uma lista das políticas disponíveis no seu projeto.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
A secção Políticas de firewall de rede mostra as políticas disponíveis no seu projeto.
gcloud
gcloud compute network-firewall-policies list --global
Elimine uma política de firewall de rede global
Antes de poder eliminar uma política de firewall de rede global, tem de eliminar todas as respetivas associações.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política que quer eliminar.
Clique no separador Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois de remover todas as associações, clique em Eliminar.
gcloud
Use o seguinte comando para eliminar a política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
Tarefas de regras de políticas de firewall
Esta secção descreve como criar e gerir regras da política de firewall de rede global.
Criar uma regra
Cada regra numa política de firewall de rede global é uma regra de entrada ou uma regra de saída com uma prioridade única. Para ver detalhes sobre os outros parâmetros de uma regra, incluindo combinações de origens e combinações de destinos válidas, consulte as Regras da política de firewall.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a sua política.
Clique no nome da política global.
No separador Regras de firewall, clique em Criar regra de firewall.
Preencha os campos da regra:
- No campo Prioridade, defina o número de ordem da regra, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde. - Para Direção do tráfego, escolha entrada ou saída.
- Em Ação na correspondência, escolha uma das seguintes opções:
- Permitir: permite as ligações que correspondem à regra.
- Recusar: recusa as ligações que correspondem à regra.
- Ir para o seguinte: passa a avaliação da ligação para a regra de firewall inferior seguinte na hierarquia.
- Aplicar grupo de perfis de segurança: envia os pacotes para o ponto final da firewall configurado para inspeção e prevenção da camada 7.
- Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
- Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
- Defina a recolha de Registos como Ativada ou Desativada.
Especifique o destino da regra. Escolha uma das seguintes opções para o campo Alvo:
- Se quiser aplicar a regra a todas as instâncias na rede, escolha Aplicar a tudo.
- Se quiser que a regra se aplique a instâncias selecionadas pela conta de serviço associada, primeiro, escolha Contas de serviço e, de seguida, em Âmbito da conta de serviço, indique se a conta de serviço está no projeto atual ou noutro e, no campo Conta de serviço de destino, escolha ou escreva o nome da conta de serviço.
Se quiser que a regra se aplique a instâncias selecionadas por etiquetas seguras, escolha Etiquetas seguras.
- Clique em Selecionar âmbito para etiquetas e selecione a organização ou o projeto no qual quer criar etiquetas seguras. Introduza os pares de chaves-valores aos quais a regra se aplica.
- Para adicionar mais pares de chave-valor, clique em Adicionar etiqueta.
Para uma regra de entrada, especifique o tipo de rede de origem:
- Para filtrar o tráfego recebido pertencente a qualquer tipo de rede, selecione Todos os tipos de redes.
- Para filtrar o tráfego recebido pertencente a um tipo de rede específico, selecione Tipo de rede específico.
- Para filtrar o tráfego recebido pertencente ao tipo de rede da Internet (
INTERNET), selecione Internet. - Para filtrar o tráfego recebido pertencente ao tipo de rede não Internet (
NON-INTERNET), selecione Não Internet. - Para filtrar o tráfego de entrada pertencente ao tipo de rede intra VPC (
INTRA_VPC), selecione Intra VPC. - Para filtrar o tráfego de entrada pertencente ao tipo de redes VPC (
VPC_NETWORKS), selecione Redes VPC e, em seguida, especifique uma ou mais redes através do seguinte botão:- Selecionar projeto atual: permite-lhe adicionar uma ou mais redes do projeto atual.
- Introduzir rede manualmente: permite-lhe introduzir manualmente um projeto e uma rede.
- Selecionar projeto: permite-lhe escolher um projeto a partir do qual pode escolher uma rede. Para mais informações sobre os tipos de redes, consulte o artigo Tipos de redes.
- Para filtrar o tráfego recebido pertencente ao tipo de rede da Internet (
Para uma regra de saída, especifique o tipo de rede de destino:
- Para filtrar o tráfego de saída pertencente a qualquer tipo de rede, selecione Todos os tipos de redes.
- Para filtrar o tráfego de saída pertencente a um tipo de rede específico, selecione Tipo de rede específico.
- Para filtrar o tráfego de saída pertencente ao tipo de rede de Internet (
INTERNET), selecione Internet. - Para filtrar o tráfego de saída pertencente ao tipo de rede sem Internet (
NON-INTERNET), selecione Sem Internet. Para mais informações sobre os tipos de redes, consulte o artigo Tipos de redes.
- Para filtrar o tráfego de saída pertencente ao tipo de rede de Internet (
Para uma regra de entrada, especifique o filtro de origem:
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. Para limitar a origem por etiquetas seguras, na secção Etiquetas seguras, clique em Selecionar âmbito para etiquetas.
- Selecione a organização ou o projeto para o qual quer criar etiquetas. Introduza os pares de chave-valor aos quais a regra se aplica.
- Para adicionar mais pares de chave-valor, clique em Adicionar etiqueta.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Para uma regra de saída, especifique o filtro de destino:
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer destino IPv6.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Opcional: se estiver a criar uma regra de entrada, especifique os FQDNs de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os FQDNs de destino aos quais esta regra se aplica. Para mais informações sobre objetos de nomes de domínios, consulte os objetos FQDN.
Opcional: se estiver a criar uma regra de entrada, selecione as geolocalizações de origem às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as geolocalizações de destino às quais esta regra se aplica. Para mais informações sobre objetos de geolocalização, consulte o artigo Objetos de geolocalização.
Opcional: se estiver a criar uma regra de entrada, selecione os grupos de endereços de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os grupos de endereços de destino aos quais esta regra se aplica. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.
Opcional: se estiver a criar uma regra de entrada, selecione as listas de Google Cloud Threat Intelligence às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as listas de Google Cloud Threat Intelligence de destino às quais esta regra se aplica. Para mais informações acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.
Opcional: para uma regra de entrada, especifique os filtros de destino:
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e introduza os blocos CIDR no campo
Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione
Intervalos IPv6 e introduza os blocos CIDR no campo
Intervalos IPv6 de destino. Use
::/0para qualquer destino IPv6. Para mais informações, consulte o artigo Destinos para regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e introduza os blocos CIDR no campo
Intervalos de IP. Use
Opcional: para uma regra de saída, especifique o filtro de origem:
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. Para mais informações, consulte o artigo Fontes para regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Para Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a que protocolos e portas de destino a regra se aplica.
Clique em Criar.
- No campo Prioridade, defina o número de ordem da regra, em que
Clique em Criar regra de firewall para adicionar outra regra.
gcloud
Para criar uma regra de entrada, use o seguinte comando:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede global que contém a nova regra.DESCRIPTION: uma descrição opcional para a nova regraACTION: especifique uma das seguintes ações:allow: permite ligações que correspondam à regra.deny: nega as ligações que correspondem à regra.apply_security_profile_group: envia os pacotes de forma transparente para o ponto final da firewall configurado para inspeção da camada 7. Quando a ação éapply_security_profile_group:- Tem de incluir
--security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. - Inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção TLS.
- Tem de incluir
goto_next: continua para o passo seguinte do processo de avaliação das regras de firewall.
- Os parâmetros
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os parâmetros
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). - Especifique um alvo:
TARGET_SECURE_TAGS: uma lista separada por vírgulas de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.- Se omitir os parâmetros
--target-secure-tagse--target-service-accounts, a regra aplica-se ao alvo mais amplo.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome do protocolo IP (
tcp) ou um número do protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome do protocolo IP (
- Especifique uma origem para a regra de entrada:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6 e não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.SRC_SECURE_TAGS: uma lista separada por vírgulas de etiquetas. Não pode usar o parâmetro--src-secure-tagsse o parâmetro--src-network-typeforINTERNET.SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização. Não pode usar o parâmetro--src-region-codesse o--src-network-typeforNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall. Não pode usar o parâmetro--src-threat-intelligencese o valor de--src-network-typeforNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino específica. Os valores válidos sãoINTERNET,NON_INTERNET,VPC_NETWORKouINTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique este parâmetro apenas quando o elemento--src-network-typeforVPC_NETWORKS.
- Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.
Para criar uma regra de saída, use o seguinte comando:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede global que contém a nova regra.DESCRIPTION: uma descrição opcional para a nova regraACTION: especifique uma das seguintes ações:allow: permite ligações que correspondam à regra.deny: nega as ligações que correspondem à regra.apply_security_profile_group: envia os pacotes de forma transparente para o ponto final da firewall configurado para inspeção da camada 7. Quando a ação éapply_security_profile_group:- Tem de incluir
--security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. - Inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção TLS.
- Tem de incluir
goto_next: continua para o passo seguinte do processo de avaliação das regras de firewall.
- Os parâmetros
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os parâmetros
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). - Especifique um alvo:
TARGET_SECURE_TAGS: uma lista separada por vírgulas de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.- Se omitir os parâmetros
--target-secure-tagse--target-service-accounts, a regra aplica-se ao alvo mais amplo.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome do protocolo IP (
tcp) ou um número do protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome do protocolo IP (
- Opcionalmente, especifique uma origem para a regra de saída:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
- Especifique um destino para a regra de saída:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores URL únicos.DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização.DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.DEST_NETWORK_TYPE: define os tipos de rede de destino a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino específica. Os valores válidos sãoINTERNETeNON_INTERNET. Para mais informações, consulte o artigo Tipos de redes.
Atualize uma regra
Para ver descrições das flags, consulte o artigo Crie uma regra.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Edit.
Modifique as flags que quer alterar.
Clique em Guardar.
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
[...flags you want to modify...]
Descreva uma regra
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME --global-firewall-policy
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra
Elimine uma regra
A eliminação de uma regra de uma política faz com que a regra deixe de se aplicar a novas ligações de ou para o destino da regra.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Selecione a regra que quer eliminar.
Clique em Eliminar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: a política que contém a regra
Clone regras de uma política para outra
A clonagem copia as regras de uma política de origem para uma política de destino, substituindo todas as regras existentes na política de destino.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política a partir da qual quer copiar as regras.
Clique em Clonar na parte superior do ecrã.
Indique o nome de uma política de segmentação.
Se quiser associar a nova política imediatamente, clique em Continuar > Associar.
Na página Associe a política a redes de VPC, selecione as redes e clique em Associar.
Clique em Continuar.
Clique em Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
Substitua o seguinte:
TARGET_POLICY: o nome da política de destinoSOURCE_POLICY: o URL da política de origem
Obtenha regras de firewall eficazes para uma rede
Pode ver todas as regras de políticas de firewall hierárquicas, regras de firewall da VPC e regras de políticas de firewall de rede global que se aplicam a todas as regiões de uma rede VPC.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique na rede para a qual quer ver as regras da política de firewall.
Na página Detalhes da rede de VPC, clique no separador Firewalls.
Para ver as regras que se aplicam a esta rede, clique no separador Vista de regras de firewall.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Substitua o seguinte:
NETWORK_NAME: a rede para a qual quer ver as regras eficazes.
Também pode ver as regras de firewall eficazes para uma rede na página Firewall.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
As políticas de firewall são apresentadas na secção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.
Obtenha regras de firewall eficazes para uma interface de VM
Pode ver todas as regras de firewall, de todas as políticas de firewall aplicáveis e regras de firewall da VPC, que se aplicam a uma interface de rede de uma VM do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Instâncias de VM.
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Para Interfaces de rede, clique no nome da interface.
Na secção Análise da configuração de rede, clique no separador Firewalls.
Para ver as regras de firewall eficazes, clique no separador Vista de regras de firewall.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Substitua o seguinte:
INSTANCE_NAME: a VM para a qual quer ver as regras eficazes; se não for especificada nenhuma interface, o comando devolve regras para a interface principal (nic0).INTERFACE: a interface de VM para a qual quer ver as regras eficazes; o valor predefinido énic0.ZONE: a zona da VM; esta linha é opcional se a zona escolhida já estiver definida como predefinição.