Esta página pressupõe que conhece os conceitos descritos nas políticas de firewall de rede regionais.
Tarefas da política de firewall
Esta secção descreve como criar, associar e gerir políticas de firewall de rede regionais.
Crie uma política de firewall de rede regional
Quando cria uma política de firewall de rede regional através da Google Cloud consola, pode associar a política a uma região e a uma rede de nuvem virtual privada (VPC) durante a criação. Se criar a política através da Google Cloud CLI, tem de associar a política a uma região e a uma rede depois de a criar.
A rede de VPC à qual a política de firewall de rede regional está associada tem de estar no mesmo projeto que a política de firewall de rede regional.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o seu projeto na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza um nome para a política.
Para Âmbito de implementação, selecione Regional. Selecione a região onde quer criar esta política de firewall.
Para criar regras para a sua política, clique em Continuar.
Na secção Adicionar regras, clique em Criar regra de firewall. Para mais informações sobre como criar regras de firewall, consulte o seguinte:
Se quiser associar a política a uma rede, clique em Continuar.
Na secção Associe a política a redes, clique em Associar.
Para mais informações, consulte o artigo Associe uma política a uma rede.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Substitua o seguinte:
NETWORK_FIREWALL_POLICY_NAME: um nome para a políticaDESCRIPTION: uma descrição da políticaREGION_NAME: a região da política
Associe uma política a uma rede
Pode associar uma política de firewall de rede regional a uma região de uma rede de VPC e aplicar as regras na política a essa região de rede.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a sua política.
Clique na política.
Clique no separador Associações.
Clique em Adicionar associação.
Selecione as redes no projeto.
Clique em Associar.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--network NETWORK_NAME \
--name ASSOCIATION_NAME
Substitua o seguinte:
POLICY_NAME: o nome abreviado ou o nome gerado pelo sistema da política.POLICY_REGION: a região da política que contém a regra.NETWORK_NAME: o nome da rede associada.ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome é definido comonetwork-NETWORK_NAME.
Elimine uma associação
Para parar a aplicação de uma política de firewall numa rede, elimine a associação.
No entanto, se pretender substituir uma política de firewall por outra, não tem de eliminar primeiro a associação existente. A eliminação dessa associação deixa um período de tempo em que nenhuma política é aplicada. Em alternativa, substitua a política existente quando associar uma nova política.
Para eliminar uma associação entre uma política de firewall de rede regional e uma região de uma rede de VPC, siga os passos mencionados nesta secção. As regras na política de firewall de rede regional não se aplicam a novas ligações após a eliminação da respetiva associação.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o seu projeto ou a pasta que contém a política.
Clique na política.
Clique no separador Associações.
Selecione a associação que quer eliminar.
Clique em Remover associação.
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Descreva uma política de firewall de rede regional
Pode ver detalhes sobre uma política de firewall de rede regional, incluindo as regras da política e os atributos das regras associados. Todos estes atributos de regras são contabilizados como parte da quota de atributos de regras. Para mais informações, consulte "Atributos das regras por política de firewall regional" na tabela Por política de firewall. Além disso, pode ver as prioridades das associações de rede da VPC existentes.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique na política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
Atualize a descrição de uma política de firewall de rede regional
O único campo de política que pode ser atualizado é o campo Descrição.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique na política.
Clique em Edit.
No campo Descrição, modifique a descrição.
Clique em Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Liste as políticas de firewall de rede regionais
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
A secção Políticas de firewall de rede mostra as políticas disponíveis no seu projeto.
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
Elimine uma política de firewall de rede regional
Antes de poder eliminar uma política de firewall de rede regional, tem de eliminar todas as respetivas associações.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política que quer eliminar.
Clique no separador Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois de remover todas as associações, clique em Eliminar.
gcloud
Use o seguinte comando para eliminar a política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
Tarefas de regras de políticas de firewall
Esta secção descreve como criar e gerir regras da política de firewall de rede regional.
Crie uma regra de entrada para alvos de VMs
Esta secção descreve como criar uma regra de entrada que se aplica às interfaces de rede de instâncias do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione um projeto que contenha uma política de firewall de rede regional.
Na secção Políticas de firewall de rede, clique no nome de uma política de firewall de rede regional na qual quer criar uma regra.
Na secção Regras da firewall, clique em Criar regra da firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais elevada para a mais baixa, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.Descrição: introduza uma descrição opcional.
Direção do tráfego: selecione Entrada.
Ação na correspondência: selecione uma das seguintes opções:
- Permitir: para permitir ligações que correspondam aos parâmetros da regra.
- Recusar: para bloquear ligações que correspondam aos parâmetros da regra.
- Aceder ao seguinte: para continuar o processo de avaliação da regra de firewall.
Registos: selecione Ativado para ativar o registo de regras de firewall ou Desativado para desativar o registo de regras de firewall para esta regra.
Segmentação: selecione uma das seguintes opções:
- Aplicar a tudo: o NGFW da nuvem usa os destinos de instância mais amplos.
-
Contas de serviço: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VMs que usam a conta de serviço especificada:
- Na secção Âmbito da conta de serviço, selecione Neste projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço no mesmo projeto que a política de firewall de rede regional.
- Na secção Âmbito da conta de serviço, selecione Noutro projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço num projeto de serviço de VPC partilhada.
- Etiquetas seguras: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VM que estão associadas, pelo menos, a um dos valores de etiquetas seguras que especificar. Clique em Selecionar âmbito das etiquetas e selecione a organização ou o projeto que contém os valores das etiquetas a corresponder. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
Tipo de rede de origem: especifique um tipo de rede:
- Para ignorar a filtragem do tráfego de entrada por tipo de rede, selecione Todos os tipos de rede.
- Para filtrar o tráfego de entrada para um tipo de rede específico, selecione
Tipo de rede específico e, de seguida, selecione um tipo de rede:
- Internet: o tráfego de entrada tem de corresponder ao tipo de rede da Internet para pacotes de entrada.
- Não pertencente à Internet: o tráfego de entrada tem de corresponder ao tipo de rede não pertencente à Internet para pacotes de entrada.
- Intra VPC: o tráfego de entrada tem de corresponder aos critérios para o tipo de rede intra-VPC.
- Redes VPC: o tráfego de entrada tem de corresponder ao tipo de critérios para redes VPC.
Tem de selecionar, pelo menos, uma rede de VPC:
- Selecionar projeto atual: permite adicionar uma ou mais redes VPC do projeto que contém a política de firewall.
- Introduzir rede manualmente: permite introduzir manualmente um projeto e uma rede VPC.
- Selecionar projeto: permite-lhe selecionar um projeto a partir do qual pode selecionar uma rede de VPC.
Filtros de origem: especifique parâmetros de origem adicionais. Não é possível usar alguns parâmetros de origem em conjunto, e a sua escolha do tipo de rede de origem limita os parâmetros de origem que pode usar. Para mais informações, consulte os artigos Origens para regras de entrada e Combinações de origens de regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. - Para filtrar o tráfego de entrada por valores de etiquetas seguras de origem, selecione Selecionar âmbito para etiquetas na secção Etiquetas seguras. Em seguida, indique as chaves e os valores das etiquetas. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
- Para filtrar o tráfego de entrada por FQDN de origem, introduza FQDNs no campo FQDNs. Para mais informações, consulte os objetos FQDN.
- Para filtrar o tráfego de entrada por geolocalização de origem, selecione uma ou mais localizações no campo Geolocalizações. Para mais informações, consulte os objetos de geolocalização.
- Para filtrar o tráfego de entrada por grupo de endereços de origem, selecione um ou mais grupos de endereços no campo Grupos de endereços. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de entrada por listas de inteligência contra ameaças da Google, selecione uma ou mais listas de inteligência contra ameaças da Google no campo Google Cloud Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras de políticas de firewall.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Destino: especifique parâmetros de destino opcionais. Para mais informações, consulte o artigo Destinos para regras de entrada.
- Para ignorar a filtragem do tráfego de entrada por endereço IP de destino, selecione Nenhum.
- Para filtrar o tráfego de entrada por endereço IP de destino, selecione IPv4 ou IPv6 e, em seguida, introduza um ou mais CIDRs com o mesmo formato usado para intervalos IPv4 de origem ou intervalos IPv6 de origem.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte o artigo Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativado: cria a regra e começa a aplicá-la a novas ligações.
- Desativada: cria a regra, mas não a aplica a novas ligações.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede regional na qual quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede regional.POLICY_REGION: a região da política.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite ligações que correspondem à regra.deny: nega as ligações que correspondem à regra.goto_next: continua o processo de avaliação das regras de firewall.
- As flags
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os indicadores
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um alvo:
- Se omitir os indicadores
--target-secure-tagse--target-service-accounts, o Cloud NGFW usa os alvos de instância mais amplos. TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de etiquetas seguras que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VMs que estão associadas a, pelo menos, um dos valores de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se omitir os indicadores
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique uma origem para a regra de entrada.
Para mais informações, consulte as combinações de origens de regras de entrada:
SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de origem suportado para produzir uma combinação de origem. Os valores válidos quando--target-type=INSTANCESsão:INTERNET,NON_INTERNET,VPC_NETWORKSouINTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique esta flag apenas quando o--src-network-typeforVPC_NETWORKS.SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6, e não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.SRC_SECURE_TAGS: uma lista separada por vírgulas de etiquetas. Não pode usar a flag--src-secure-tagsse o--src-network-typeforINTERNET.SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte o artigo Objetos de geolocalização. Não pode usar a flag--src-region-codesse o--src-network-typeforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.SRC_THREAT_LIST_NAMES: uma lista de nomes separados por vírgulas de listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall. Não pode usar a flag--src-threat-intelligencese o valor de--src-network-typeforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.
-
Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
Crie uma regra de entrada para destinos do balanceador de carga interno
Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga de aplicações interno ou do balanceador de carga de rede de proxy interno, crie, pelo menos, duas regras de entrada com --target-type=INTERNAL_MANAGED_LB. Isto é necessário porque a ação implícita para os destinos do balanceador de carga da aplicação interno e do balanceador de carga de rede do proxy interno permite a entrada.
As regras necessárias para restringir o acesso são:
- Uma regra de firewall de negação de entrada de prioridade mais baixa com
--src-ip-ranges=0.0.0.0/0. - Uma regra de firewall de autorização de entrada de prioridade mais elevada com os parâmetros de origem que especificar.
Esta secção descreve como criar uma regra de entrada para balanceadores de carga de aplicações internos e destinos de balanceadores de carga de rede de proxy internos.
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
--target-type=INTERNAL_MANAGED_LB \
[--target-forwarding-rules=TARGET_FORWARDING_RULES] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede regional na qual quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede regional.POLICY_REGION: a região da política.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite ligações que correspondem à regra.deny: nega as ligações que correspondem à regra.goto_next: continua o processo de avaliação das regras de firewall.
- As flags
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os indicadores
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um alvo:
- Se omitir a flag
--target-forwarding-rules, o Cloud NGFW usa os alvos do balanceador de carga mais amplos. TARGET_FORWARDING_RULES: uma única regra de encaminhamento para um balanceador de carga de aplicações interno ou um balanceador de carga de rede de proxy interno especificado no formato das regras de encaminhamento de destino. Este parâmetro restringe os destinos do balanceador de carga mais amplos a um balanceador de carga de aplicações interno ou a um balanceador de carga de rede de proxy interno específico.
- Se omitir a flag
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique uma origem para a regra de entrada.
Para mais informações, consulte as combinações de origens de regras de entrada:
SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de origem suportado para produzir uma combinação de origem. Os valores válidos quando--target-type=INTERNAL_MANAGED_LBsãoVPC_NETWORKSouINTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique esta flag apenas quando o--src-network-typeforVPC_NETWORKS.SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6, e não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
-
Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
Crie uma regra de saída para segmentações de VMs
As instruções seguintes mostram como criar uma regra de saída. As regras de saída aplicam-se apenas a destinos que são interfaces de rede de instâncias do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na lista do seletor de projetos, selecione um projeto que contenha uma política de firewall de rede regional.
Na secção Políticas de firewall de rede, clique no nome de uma política de firewall de rede regional na qual quer criar uma regra.
Na secção Regras da firewall, clique em Criar regra da firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais elevada para a mais baixa, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.Descrição: introduza uma descrição opcional.
Direção do tráfego: selecione Saída.
Ação na correspondência: selecione uma das seguintes opções:
- Permitir: para permitir ligações que correspondam aos parâmetros da regra.
- Recusar: para bloquear ligações que correspondam aos parâmetros da regra.
- Aceder ao seguinte: para continuar o processo de avaliação da regra de firewall.
Registos: selecione Ativado para ativar o registo de regras de firewall ou Desativado para desativar o registo de regras de firewall para esta regra.
Segmentação: selecione uma das seguintes opções:
- Aplicar a tudo: o NGFW da nuvem usa os destinos de instância mais amplos.
-
Contas de serviço: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VMs que usam a conta de serviço especificada:
- Na secção Âmbito da conta de serviço, selecione Neste projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço no mesmo projeto que a política de firewall de rede regional.
- Na secção Âmbito da conta de serviço, selecione Noutro projeto > Conta de serviço de destino. Isto destina-se a especificar uma conta de serviço num projeto de serviço de VPC partilhada.
- Etiquetas seguras: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VM que estão associadas, pelo menos, a um dos valores de etiquetas seguras que especificar. Clique em Selecionar âmbito das etiquetas e selecione a organização ou o projeto que contém os valores das etiquetas a corresponder. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
Tipo de rede de destino: especifique um tipo de rede:
- Para ignorar a filtragem do tráfego de saída por tipo de rede, selecione Todos os tipos de redes.
- Para filtrar o tráfego de saída para um tipo de rede específico, selecione
Tipo de rede específico e, de seguida, selecione um
tipo de rede:
- Internet: o tráfego de saída tem de corresponder ao tipo de rede da Internet para pacotes de saída.
- Não pertencente à Internet: o tráfego de saída tem de corresponder ao tipo de rede não pertencente à Internet para pacotes de saída.
Filtros de destino: especifique parâmetros de destino adicionais. Não é possível usar alguns parâmetros de destino em conjunto, e a sua escolha do tipo de rede de destino limita os filtros de destino que pode usar. Para mais informações, consulte Destinos para regras de saída e Combinações de destinos de regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, em seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, em seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer destino IPv6. - Para filtrar o tráfego de saída por FQDN de destino, introduza FQDNs no campo FQDNs. Para mais informações, consulte os objetos FQDN.
- Para filtrar o tráfego de saída por geolocalização de destino, selecione uma ou mais localizações no campo Geolocalizações. Para mais informações, consulte os objetos de geolocalização.
- Para filtrar o tráfego de saída por grupo de endereços de destino, selecione um ou mais grupos de endereços no campo Grupos de endereços. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de saída por listas de informações sobre ameaças da Google de destino, selecione uma ou mais listas de informações sobre ameaças da Google no campo Google Cloud Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, em seguida, introduza os blocos CIDR no campo Intervalos de IP. Use
Origem: especifique parâmetros de origem opcionais. Para mais informações, consulte o artigo Fontes para regras de saída.
- Para ignorar a filtragem do tráfego de saída por endereço IP de origem, selecione Nenhum.
- Para filtrar o tráfego de saída por endereço IP de origem, selecione IPv4 ou IPv6 e, em seguida, introduza um ou mais CIDRs com o mesmo formato usado para intervalos IPv4 de destino ou intervalos IPv6 de destino.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte o artigo Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativado: cria a regra e começa a aplicá-la a novas ligações.
- Desativada: cria a regra, mas não a aplica a novas ligações.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que possa criar novas regras entre as regras existentes mais tarde.POLICY_NAME: o nome da política de firewall de rede regional na qual quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede regional.POLICY_REGION: a região da política.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite ligações que correspondem à regra.deny: nega as ligações que correspondem à regra.goto_next: continua o processo de avaliação das regras de firewall.
- As flags
--enable-logginge--no-enable-loggingativam ou desativam o registo de regras de firewall. - Os indicadores
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um alvo:
- Se omitir os indicadores
--target-secure-tagse--target-service-accounts, o Cloud NGFW usa os alvos de instância mais amplos. TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de etiquetas seguras que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VMs que estão associadas a, pelo menos, um dos valores de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se omitir os indicadores
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos
com um traço para separar as portas de destino de início e fim
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique um destino para a regra de saída.
Para mais informações, consulte as combinações de destinos das regras de saída:
DEST_NETWORK_TYPE: define os tipos de rede de destino a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino. Os valores válidos sãoINTERNETeNON_INTERNET. Para mais informações, consulte o artigo Tipos de redes.DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos.DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização.DEST_THREAT_LIST_NAMES: uma lista de nomes separados por vírgulas de listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
-
Opcionalmente, especifique uma origem para a regra de saída:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
Atualize uma regra
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique no nome da política de firewall de rede regional que contém a regra a atualizar.
Clique na prioridade da regra.
Clique em Edit.
Modifique os campos da regra de firewall que quer alterar. Para ver descrições sobre cada campo, consulte um dos seguintes artigos:
Clique em Guardar.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
[...other flags that you want to modify...]
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.POLICY_REGION: a região da política que contém a regra.
Indique as flags que quer modificar. Para ver as descrições das denúncias, consulte uma das seguintes opções:
Descreva uma regra
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política.
Clique na prioridade da regra.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.POLICY_REGION: a região da política que contém a regra.
Elimine uma regra
A eliminação de uma regra de uma política faz com que a regra deixe de se aplicar a novas ligações de ou para o destino da regra.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política.
Selecione a regra que quer eliminar.
Clique em Eliminar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Substitua o seguinte:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.POLICY_REGION: a região da política que contém a regra.
Clone regras de uma política para outra
A clonagem copia as regras de uma política de origem para uma política de destino, substituindo todas as regras existentes na política de destino.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política a partir da qual quer copiar regras.
Clique em Clonar na parte superior do ecrã.
Indique o nome de uma política de segmentação.
Se quiser associar a nova política imediatamente, clique em Continuar > Associar.
Na página Associe a política a redes de VPC, selecione as redes e clique em Associar.
Clique em Continuar.
Clique em Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy=SOURCE_POLICY
Substitua o seguinte:
TARGET_POLICY: o nome da política de destino.TARGET_POLICY_REGION: a região da política de segmentação.SOURCE_POLICY: o URL da política de origem.
Obtenha regras de firewall eficazes para uma região de uma rede
Pode ver todas as regras da política de firewall hierárquica, as regras de firewall da VPC, as regras da política de firewall de rede global e as regras da política de firewall de rede regional que se aplicam a uma região específica de uma rede VPC.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
Substitua o seguinte:
REGION_NAME: a região para a qual quer ver as regras efetivas.NETWORK_NAME: a rede para a qual quer ver as regras eficazes.