Use regras e políticas de firewall de rede regionais

Esta página pressupõe que conhece os conceitos descritos na vista geral das políticas de firewall de rede regionais.

Tarefas da política de firewall

Esta secção descreve como criar, associar e gerir políticas de firewall de rede regionais.

Crie uma política de firewall de rede regional

Quando cria uma política de firewall de rede regional através da Google Cloud consola, pode associar a política a uma região e a uma rede de nuvem virtual privada (VPC) durante a criação. Se criar a política através da Google Cloud CLI, tem de associar a política a uma região e a uma rede depois de criar a política.

A rede de VPC à qual a política de firewall de rede regional está associada tem de estar no mesmo projeto que a política de firewall de rede regional.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o seu projeto na sua organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome da política, introduza um nome para a política.

  5. Para Âmbito de implementação, selecione Regional. Selecione a região onde quer criar esta política de firewall.

  6. Para criar regras para a sua política, clique em Continuar.

  7. Na secção Adicionar regras, clique em Criar regra de firewall.

    Para mais informações, consulte Crie uma regra.

  8. Se quiser associar a política a uma rede, clique em Continuar.

  9. Na secção Associe a política a redes, clique em Associar.

    Para mais informações, consulte o artigo Associe uma política a uma rede.

  10. Clique em Criar.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Substitua o seguinte:

  • NETWORK_FIREWALL_POLICY_NAME: um nome para a política
  • DESCRIPTION: uma descrição da política
  • REGION_NAME: a região da política

Associe uma política a uma rede

Pode associar uma política de firewall de rede regional a uma região de uma rede de VPC e aplicar as regras na política a essa região da rede.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a sua política.

  3. Clique na sua política.

  4. Clique no separador Associações.

  5. Clique em Adicionar associação.

  6. Selecione as redes no projeto.

  7. Clique em Associar.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Substitua o seguinte:

  • POLICY_NAME: o nome abreviado ou o nome gerado pelo sistema da política.
  • NETWORK_NAME: o nome da rede associada.
  • ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome é definido como network-NETWORK_NAME.
  • REGION_NAME: a região da política.

Elimine uma associação

Para parar a aplicação de uma política de firewall numa rede, elimine a associação.

No entanto, se pretender substituir uma política de firewall por outra, não tem de eliminar primeiro a associação existente. A eliminação dessa associação deixa um período de tempo em que nenhuma política é aplicada. Em alternativa, substitua a política existente quando associar uma nova política.

Para eliminar uma associação entre uma política de firewall de rede regional e uma região de uma rede VPC, siga os passos mencionados nesta secção. As regras na política de firewall de rede regional não se aplicam a novas ligações após a eliminação da respetiva associação.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o seu projeto ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique no separador Associações.

  5. Selecione a associação que quer eliminar.

  6. Clique em Remover associação.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Descreva uma política de firewall de rede regional

Pode ver detalhes sobre uma política de firewall de rede regional, incluindo as regras da política e os atributos das regras associados. Todos estes atributos de regras são contabilizados como parte da quota de atributos de regras. Para mais informações, consulte "Atributos das regras por política de firewall regional" na tabela Por política de firewall. Além disso, pode ver as prioridades das associações de rede da VPC existentes.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.

  3. Clique na sua política.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Atualize a descrição de uma política de firewall de rede regional

O único campo de política que pode ser atualizado é o campo Descrição.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.

  3. Clique na sua política.

  4. Clique em Edit.

  5. No campo Descrição, modifique a descrição.

  6. Clique em Guardar.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Liste as políticas de firewall de rede regionais

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

    A secção Políticas de firewall de rede mostra as políticas disponíveis no seu projeto.

gcloud 

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Elimine uma política de firewall de rede regional

Antes de poder eliminar uma política de firewall de rede regional, tem de eliminar todas as respetivas associações.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política que quer eliminar.

  4. Clique no separador Associações.

  5. Selecione todas as associações.

  6. Clique em Remover associação.

  7. Depois de remover todas as associações, clique em Eliminar.

gcloud

Use o seguinte comando para eliminar a política:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Tarefas de regras de políticas de firewall

Esta secção descreve como criar e gerir regras da política de firewall de rede regional.

Criar uma regra

Cada regra numa política de firewall de rede regional é uma regra de entrada ou uma regra de saída com uma prioridade única. Para ver detalhes sobre os outros parâmetros de uma regra, incluindo combinações de origens e combinações de destinos válidas, consulte as Regras da política de firewall.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a sua política.

  3. Clique no nome da política regional.

  4. Para Regras de firewall, clique em Criar regra de firewall.

  5. Preencha os campos da regra:

    1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para poder criar novas regras entre as regras existentes mais tarde.
    2. Defina a recolha de Registos como Ativada ou Desativada.
    3. Para Direção do tráfego, escolha entrada ou saída.
    4. Para Ação na correspondência, especifique se as ligações que correspondem à regra são permitidas (Permitir), recusadas (Recusar) ou se a avaliação da ligação é transmitida para a regra de firewall inferior seguinte na hierarquia (Ir para seguinte).

    5. Especifique o Destino da regra.

      • Se quiser aplicar a regra a todas as instâncias na rede, escolha Aplicar a tudo.
      • Se quiser que a regra se aplique a instâncias selecionadas por uma conta de serviço associada, escolha Contas de serviço, indique se a conta de serviço está no projeto atual ou noutro em Âmbito da conta de serviço e escolha ou escreva o nome da conta de serviço no campo Conta de serviço de destino.

      • Se quiser que a regra se aplique a instâncias selecionadas por etiquetas seguras, escolha Etiquetas seguras.

        • Clique em Selecionar âmbito para etiquetas e selecione a organização ou o projeto no qual quer criar pares chave-valor de etiquetas seguras. Introduza os pares de chaves-valores aos quais a regra se aplica.
        • Para adicionar mais pares de chave-valor, clique em Adicionar etiqueta.

    6. Para uma regra de entrada, especifique o tipo de rede de origem:

      • Para filtrar o tráfego recebido pertencente a qualquer tipo de rede, selecione Todos os tipos de redes.
      • Para filtrar o tráfego recebido pertencente a um tipo de rede específico, selecione Tipo de rede específico.
        • Para filtrar o tráfego recebido pertencente ao tipo de rede da Internet (INTERNET), selecione Internet.
        • Para filtrar o tráfego recebido pertencente ao tipo de rede não Internet (NON-INTERNET), selecione Não Internet.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede intra VPC (INTRA_VPC), selecione Intra VPC.
        • Para filtrar o tráfego de entrada pertencente ao tipo de redes VPC (VPC_NETWORKS), selecione Redes VPC e, em seguida, especifique uma ou mais redes através do seguinte botão:
          • Selecionar projeto atual: permite-lhe adicionar uma ou mais redes do projeto atual.
          • Introduzir rede manualmente: permite-lhe introduzir manualmente um projeto e uma rede.
          • Selecionar projeto: permite-lhe escolher um projeto a partir do qual pode escolher uma rede. Para mais informações sobre os tipos de redes, consulte o artigo Tipos de redes.

    7. Para uma regra de saída, especifique o tipo de rede de destino:

      • Para filtrar o tráfego de saída pertencente a qualquer tipo de rede, selecione Todos os tipos de redes.
      • Para filtrar o tráfego de saída pertencente a um tipo de rede específico, selecione Tipo de rede específico.
        • Para filtrar o tráfego de saída pertencente ao tipo de rede de Internet (INTERNET), selecione Internet.
        • Para filtrar o tráfego de saída pertencente ao tipo de rede sem Internet (NON-INTERNET), selecione Sem Internet. Para mais informações sobre os tipos de redes, consulte o artigo Tipos de redes.

    8. Para uma regra de entrada, especifique o filtro de origem:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.

      • Para limitar a origem por etiquetas seguras, clique em Selecionar âmbito para etiquetas na secção Etiquetas seguras.

        • Selecione a organização ou o projeto no qual quer criar etiquetas. Introduza os pares de chave-valor aos quais a regra se aplica.
        • Para adicionar mais pares de chave-valor, clique em Adicionar etiqueta.

    9. Para uma regra de saída, especifique o filtro de destino:

      • Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.

    10. Opcional: se estiver a criar uma regra de entrada, especifique os FQDNs de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os FQDNs de destino aos quais esta regra se aplica. Para mais informações sobre objetos de nomes de domínios, consulte o artigo Objetos de nomes de domínios.

    11. Opcional: se estiver a criar uma regra de entrada, selecione as geolocalizações de origem às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as geolocalizações de destino às quais esta regra se aplica. Para mais informações sobre objetos de geolocalização, consulte o artigo Objetos de geolocalização.

    12. Opcional: se estiver a criar uma regra de entrada, selecione os grupos de endereços de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os grupos de endereços de destino aos quais esta regra se aplica. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.

    13. Opcional: se estiver a criar uma regra de entrada, selecione as listas de inteligência contra ameaças do Google Cloud às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as listas de inteligência contra ameaças do Google Cloud às quais esta regra se aplica. Para mais informações acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.

    14. Opcional: para uma regra de entrada, especifique os filtros de destino:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e introduza os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte o artigo Destino para regras de entrada.

    15. Opcional: para uma regra de Saída, especifique o filtro Origem:

      • Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte o artigo Origem das regras de saída.

    16. Para Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a que protocolos e portas de destino se aplica.

    17. Clique em Criar.

  6. Clique em Criar regra de firewall para adicionar outra regra.

gcloud

Para criar uma regra de entrada, use o seguinte comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Substitua o seguinte:

  • PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
  • POLICY_NAME: o nome da política de firewall de rede regional que contém a nova regra.
  • POLICY_REGION: a região da política que contém a nova regra.
  • DESCRIPTION: uma descrição opcional para a nova regra
  • ACTION: especifique uma das seguintes ações:
  • Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam o registo de regras de firewall.
  • Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
  • Especifique um alvo:
    • TARGET_SECURE_TAGS: uma lista separada por vírgulas de etiquetas seguras.
    • TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
    • Se omitir os parâmetros --target-secure-tags e --target-service-accounts, a regra aplica-se ao alvo mais amplo.
  • LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
    • Um nome do protocolo IP (tcp) ou um número do protocolo IP da IANA (17) sem qualquer porta de destino.
    • Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
    • Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos com um traço para separar as portas de destino de início e fim (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
  • Especifique uma origem para a regra de entrada:
    • SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.
    • SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6 e não uma combinação de ambos.
    • SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
    • SRC_SECURE_TAGS: uma lista separada por vírgulas de etiquetas. Não pode usar o parâmetro --src-secure-tags se o parâmetro --src-network-type for INTERNET.
    • SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização. Não pode usar o parâmetro --src-region-codes se o --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall. Não pode usar o parâmetro --src-threat-intelligence se o valor de --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino específica. Os valores válidos são INTERNET, NON_INTERNET, VPC_NETWORK ou INTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.
    • SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique este parâmetro apenas quando o elemento --src-network-type for VPC_NETWORKS.
  • Opcionalmente, especifique um destino para a regra de entrada:
    • DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.

Para criar uma regra de saída, use o seguinte comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Substitua o seguinte:

  • PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
  • POLICY_NAME: o nome da política de firewall de rede regional que contém a nova regra.
  • POLICY_REGION: a região da política que contém a nova regra.
  • DESCRIPTION: uma descrição opcional para a nova regra
  • ACTION: especifique uma das seguintes ações:
  • Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam o registo de regras de firewall.
  • Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
  • Especifique um alvo:
    • TARGET_SECURE_TAGS: uma lista separada por vírgulas de etiquetas seguras.
    • TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
    • Se omitir os parâmetros --target-secure-tags e --target-service-accounts, a regra aplica-se ao alvo mais amplo.
  • LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
    • Um nome do protocolo IP (tcp) ou um número do protocolo IP da IANA (17) sem qualquer porta de destino.
    • Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
    • Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos com um traço para separar as portas de destino de início e fim (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
  • Opcionalmente, especifique uma origem para a regra de saída:
    • SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
  • Especifique um destino para a regra de saída:
    • DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.
    • DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores URL únicos.
    • DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
    • DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização.
    • DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
    • DEST_NETWORK_TYPE: define os tipos de rede de destino a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino específica. Os valores válidos são INTERNET e NON_INTERNET. Para mais informações, consulte o artigo Tipos de redes.

Atualize uma regra

Para ver descrições das flags, consulte o artigo Crie uma regra.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

  5. Clique em Edit.

  6. Modifique as flags que quer alterar.

  7. Clique em Guardar.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

Descreva uma regra

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua o seguinte:

  • PRIORITY: o número de prioridade que identifica exclusivamente a regra
  • POLICY_NAME: o nome da política que contém a regra
  • REGION_NAME: a região da política que contém a regra

Elimine uma regra

A eliminação de uma regra de uma política faz com que a regra deixe de se aplicar a novas ligações de ou para o destino da regra.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que quer eliminar.

  5. Clique em Eliminar.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua o seguinte:

  • PRIORITY: o número de prioridade que identifica exclusivamente a regra
  • POLICY_NAME: a política que contém a regra
  • REGION_NAME: a região da política que contém a regra

Clone regras de uma política para outra

A clonagem copia as regras de uma política de origem para uma política de destino, substituindo todas as regras existentes na política de destino.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política da qual quer copiar regras.

  4. Clique em Clonar na parte superior do ecrã.

  5. Indique o nome de uma política de segmentação.

  6. Se quiser associar a nova política imediatamente, clique em Continuar > Associar.

  7. Na página Associe a política a redes de VPC, selecione as redes e clique em Associar.

  8. Clique em Continuar.

  9. Clique em Clonar.

gcloud 

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

Substitua o seguinte:

  • TARGET_POLICY: o nome da política de destino
  • TARGET_POLICY_REGION: a região da política de destino
  • SOURCE_POLICY: o URL da política de origem

Obtenha regras de firewall eficazes para uma região de uma rede

Pode ver todas as regras da política de firewall hierárquica, as regras de firewall da VPC, as regras da política de firewall de rede global e as regras da política de firewall de rede regional que se aplicam a uma região específica de uma rede de VPC.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Substitua o seguinte:

  • REGION_NAME: a região para a qual quer ver as regras efetivas.
  • NETWORK_NAME: a rede para a qual quer ver as regras eficazes.