Nesta página, consideramos que você esteja familiarizado com os conceitos descritos na Visão geral das políticas de firewall de rede.
Tarefas de política de firewall
Nesta seção, descrevemos como criar e gerenciar políticas de firewall de rede global.
Criar uma política de firewall de rede global
Ao criar uma política de firewall de rede global usando o console do Google Cloud , é possível associar a política a uma rede de nuvem privada virtual (VPC) durante a criação. Se você criar a política usando a Google Cloud CLI, associe-a a uma rede depois da criação.
A rede VPC associada à política de firewall de rede global precisa estar no mesmo projeto que a política.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na lista do seletor de projetos, selecione seu projeto na organização.
Clique em Criar política de firewall.
No campo Nome da política, insira um nome para a política.
Em Escopo da implantação, selecione Global.
Para criar regras para sua política, clique em Continuar.
Na seção Adicionar regras, clique em Criar regra de firewall.
Para mais informações, consulte Criar uma regra.
Se quiser associar a política a uma rede, clique em Continuar.
Na seção Associar política a redes, clique em Associar.
Para mais informações, consulte Associar uma política a uma rede.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION --global
Substitua:
NETWORK_FIREWALL_POLICY_NAME: um nome para a política.DESCRIPTION: uma descrição da política.
Associar uma política a uma rede
Quando você associa uma política de firewall a uma rede VPC, todas as regras na política, exceto as desativadas, são aplicadas à rede VPC.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associação.
Selecione as redes no projeto.
Clique em Associar.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
Substitua:
POLICY_NAME: o nome curto ou o nome gerado pelo sistema da política.NETWORK_NAME: o nome da rede.ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido comonetwork-NETWORK_NAME.
Excluir uma associação
Se você precisar mudar a política global de firewall de rede associada a uma rede VPC, recomendamos que primeiro associe uma nova política em vez de excluir uma política associada. É possível associar uma nova política em uma etapa, o que ajuda a garantir que uma política de firewall de rede global esteja sempre associada à rede VPC.
Para excluir uma associação entre uma política global de firewall de rede e uma rede VPC, siga as etapas mencionadas nesta seção. As regras na política global de firewall de rede não se aplicam a novas conexões depois que a associação é excluída.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione seu projeto ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associação.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Descrever uma política de firewall de rede global
É possível conferir detalhes sobre uma política de firewall de rede global, incluindo as regras da política e os atributos de regra associados. Todos esses atributos são contados como parte da cota. Para mais informações, consulte "Atributos de regra por política global de firewall de rede" na tabela Por política de firewall.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique na sua política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
Atualizar uma descrição da política de firewall de rede
O único campo de política que pode ser atualizado é Descrição.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.
Clique na sua política.
Clique em Editar.
No campo Descrição, mude o texto.
Clique em Salvar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
Listar políticas globais de firewall de rede
É possível ver uma lista das políticas disponíveis no seu projeto.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
A seção Políticas de firewall de rede mostra as políticas disponíveis no projeto.
gcloud
gcloud compute network-firewall-policies list --global
Excluir uma política de firewall de rede global
Antes de excluir uma política de firewall de rede global, exclua todas as associações dela.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois que todas as associações forem removidas, clique em Excluir.
gcloud
Use o comando a seguir para excluir a política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
Tarefas de regras de política de firewall
Nesta seção, descrevemos como criar e gerenciar regras de política de firewall de rede global.
Criar uma regra
Cada regra em uma política global de firewall de rede é uma regra de entrada ou de saída com uma prioridade exclusiva. Para mais detalhes sobre os outros parâmetros de uma regra, incluindo combinações válidas de origem e destino, consulte Regras da política de firewall.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique no nome da política global.
Na guia Regras de firewall, clique em Criar regra de firewall.
Preencha os campos de regras:
- No campo Prioridade, defina o número do pedido da regra, em que
0é a prioridade mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos separar os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que você possa criar novas regras entre as atuais mais tarde. - Em Direção do tráfego, escolha entrada ou saída.
- Em Ação se houver correspondência, escolha uma das seguintes opções:
- Permitir: permite as conexões que correspondem à regra.
- Negar: nega as conexões que correspondem à regra.
- Ir para a próxima: transmite a avaliação da conexão para a próxima regra de firewall inferior na hierarquia.
- Aplicar grupo de perfis de segurança: envia os pacotes ao
endpoint de firewall
configurado para inspeção e prevenção da camada 7.
- Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
- Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS.
- Defina a coleção Registros como Ativado ou Desativado.
Especifique o destino da regra. Escolha uma das seguintes opções para o campo Destino:
- Se você quiser que a regra se aplique a todas as instâncias na rede, escolha Aplicar a todas.
- Se você quiser que a regra se aplique a determinadas instâncias por conta de serviço associada, primeiro escolha Contas de serviço. Em seguida, em Escopo da conta de serviço, indique se a conta está no projeto atual ou em outro. No campo Conta de serviço de destino, escolha ou digite o nome da conta.
Se você quiser que a regra se aplique a determinadas instâncias por tags seguras, escolha Tags seguras.
- Clique em Selecionar escopo para tags e escolha a organização ou o projeto em que você quer criar tags seguras. Insira os pares de chave-valor aos quais a regra será aplicada.
- Para adicionar mais pares de chave-valor, clique em Adicionar tag.
Para uma regra de entrada, especifique o tipo de rede de origem:
- Para filtrar o tráfego de entrada pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
- Para filtrar o tráfego de entrada pertencente a um tipo de rede específico, selecione Tipo de rede específico.
- Para filtrar o tráfego de entrada pertencente ao tipo de rede da Internet (
INTERNET), selecione Internet. - Para filtrar o tráfego de entrada pertencente ao tipo de rede não Internet (
NON-INTERNET), selecione Não Internet. - Para filtrar o tráfego de entrada pertencente ao tipo de rede intra VPC (
INTRA_VPC), selecione Intra VPC. - Para filtrar o tráfego de entrada pertencente ao tipo de redes VPC (
VPC_NETWORKS), selecione Redes VPC e especifique uma ou mais redes usando o seguinte botão:- Selecionar projeto atual: permite adicionar uma ou mais redes do projeto atual.
- Inserir rede manualmente: permite inserir um projeto e uma rede manualmente.
- Selecionar projeto: permite escolher um projeto e, depois, uma rede. Para mais informações sobre os tipos de rede, consulte Tipos de rede.
- Para filtrar o tráfego de entrada pertencente ao tipo de rede da Internet (
Para uma regra de saída, especifique o tipo de rede de destino:
- Para filtrar o tráfego de saída pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
- Para filtrar o tráfego de saída pertencente a um tipo de rede específico, selecione Tipo de rede específico.
- Para filtrar o tráfego de saída pertencente ao tipo de rede da Internet (
INTERNET), selecione Internet. - Para filtrar o tráfego de saída pertencente ao tipo de rede não Internet (
NON-INTERNET), selecione Não Internet. Para mais informações sobre os tipos de rede, consulte Tipos de rede.
- Para filtrar o tráfego de saída pertencente ao tipo de rede da Internet (
Para uma regra de entrada, especifique o filtro de origem:
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6
e insira os blocos CIDR no campo
Intervalos IPv6. Use
::/0para qualquer origem IPv6. Para limitar a origem por tags seguras, na seção Tags seguras, clique em Selecionar escopo das tags.
- Selecione a organização ou o projeto para o qual você quer criar tags. Insira os pares de chave-valor a que a regra será aplicada.
- Para adicionar mais pares de chave-valor, clique em Adicionar tag.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
Para uma regra de saída, especifique o filtro de destino:
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6
e insira os blocos CIDR no campo
Intervalos IPv6. Use
::/0para qualquer destino IPv6.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
Opcional: se você estiver criando uma regra de entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos FQDN.
Opcional: se você estiver criando uma regra de entrada, selecione as geolocalizações de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte Objetos de geolocalização.
Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.
Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para mais informações sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.
Opcional: para uma regra de entrada, especifique os filtros de destino:
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione
Intervalos IPv6 e insira os blocos CIDR no campo
Intervalos IPv6 de destino. Use
::/0para qualquer destino IPv6. Para mais informações, consulte Destinos das regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
Opcional: para uma regra de saída, especifique o filtro de origem:
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. Para mais informações, consulte Origens das regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione
IPv4 e insira os blocos CIDR no campo
Intervalos de IP. Use
Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino a regra se aplica.
Clique em Criar.
- No campo Prioridade, defina o número do pedido da regra, em que
Clique em Criar regra de firewall para adicionar outra regra.
gcloud
Para criar uma regra de entrada, use o seguinte comando:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall de rede global que contém a nova regra.DESCRIPTION: uma descrição opcional para a nova regraACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.apply_security_profile_group: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7. Quando a ação éapply_security_profile_group:- Você precisa incluir
--security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. - Inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção de TLS.
- Você precisa incluir
goto_next: continua para a próxima etapa do processo de avaliação de regras de firewall.
- Os parâmetros
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall. - Os parâmetros
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). - Especifique um destino:
TARGET_SECURE_TAGS: uma lista separada por vírgulas de tags seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.- Se você omitir os parâmetros
--target-secure-tagse--target-service-accounts, a regra será aplicada ao destino mais amplo.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou número de protocolo IP da IANA (17) sem uma porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
- Especifique uma origem para a regra de
entrada:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Os intervalos na lista precisam ser todos CIDRs IPv4 ou IPv6, não uma combinação de ambos.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação dos dois.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.SRC_SECURE_TAGS: uma lista de tags separadas por vírgulas. Não é possível usar o parâmetro--src-secure-tagsse o--src-network-typeforINTERNET.SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização. Não é possível usar o parâmetro--src-region-codesse o--src-network-typeforNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall. Não é possível usar o parâmetro--src-threat-intelligencese o--src-network-typeforNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_NETWORK_TYPE: define tipos de rede de origem a serem usados em conjunto com outro parâmetro de destino compatível para produzir uma combinação de destino específica. Os valores válidos sãoINTERNET,NON_INTERNET,VPC_NETWORKouINTRA_VPC. Para mais informações, consulte Tipos de rede.SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique esse parâmetro apenas quando o--src-network-typeforVPC_NETWORKS.
- Opcionalmente, especifique um destino para a regra de
entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação de ambos.
Para criar uma regra de saída, use o seguinte comando:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall de rede global que contém a nova regra.DESCRIPTION: uma descrição opcional para a nova regraACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.apply_security_profile_group: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7. Quando a ação éapply_security_profile_group:- Você precisa incluir
--security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7. - Inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção de TLS.
- Você precisa incluir
goto_next: continua para a próxima etapa do processo de avaliação de regras de firewall.
- Os parâmetros
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall. - Os parâmetros
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). - Especifique um destino:
TARGET_SECURE_TAGS: uma lista separada por vírgulas de tags seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.- Se você omitir os parâmetros
--target-secure-tagse--target-service-accounts, a regra será aplicada ao destino mais amplo.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou número de protocolo IP da IANA (17) sem uma porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
- Opcionalmente, especifique uma origem para a regra de saída:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
- Especifique um destino para a regra de saída:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação de ambos.DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL.DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização.DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.DEST_NETWORK_TYPE: define um tipo de rede de destino a ser usado com outro parâmetro de destino compatível para produzir uma combinação de destino específica. Os valores válidos sãoINTERNETeNON_INTERNET. Para mais informações, consulte Tipos de rede.
Atualizar uma regra
Para descrições das flags, consulte Criar uma regra.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Editar.
Modifique as flags que você quer mudar.
Clique em Salvar.
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
[...flags you want to modify...]
Descrever uma regra
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME --global-firewall-policy
Substitua:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra
Excluir uma regra
A exclusão de uma regra de uma política faz com que ela não seja mais aplicada a novas conexões com ou do destino da regra.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Substitua:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: a política que contém a regra
Clonar regras de uma política para outra
A clonagem copia as regras de uma política de origem para uma de destino, substituindo todas as regras atuais na política de destino.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Se você quiser associar a nova política imediatamente, clique em Continuar > Associar.
Na página Associar política a redes VPC, selecione as redes e clique em Associar.
Clique em Continuar.
Clique em Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
Substitua:
TARGET_POLICY: o nome da política de destinoSOURCE_POLICY: o URL da política de origem
Receber regras de firewall eficazes para uma rede
É possível ver todas as regras de política de firewall hierárquica, de VPC e de rede global que se aplicam a todas as regiões de uma rede VPC.
Console
No console do Google Cloud , acesse a página Redes VPC.
Clique na rede para ver as regras de política de firewall.
Na página Detalhes da rede VPC, clique na guia Firewalls.
Para ver as regras que se aplicam a essa rede, clique na guia Visualização de regras de firewall.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Substitua:
NETWORK_NAME: a rede para a qual você quer visualizar as regras vigentes.
Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.
Receber regras de firewall em vigor para uma interface de VM
É possível conferir todas as regras de firewall (de todas as políticas de firewall e regras de firewall de VPC aplicáveis) que se aplicam a uma interface de rede de uma VM do Compute Engine.
Console
No console do Google Cloud , acesse a página Instâncias de VM.
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Em Interfaces de rede, clique no nome da interface.
Na seção Análise da configuração de rede, clique na guia Firewalls.
Para ver as regras de firewall efetivas, clique na guia Visualização de regras de firewall.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Substitua:
INSTANCE_NAME: a VM que tem as regras efetivas que você quer ver. Se nenhuma interface for especificada, o comando retornará regras para a interface principal (nic0).INTERFACE: a interface de VM cujas regras vigentes você quer visualizar. O valor padrão énic0.ZONE: a zona da VM. Essa linha é opcional quando a zona selecionada já está definida como padrão.