Nesta página, presumimos que você conheça os conceitos descritos nas Políticas de firewall de rede regional.
Tarefas de política de firewall
Nesta seção, descrevemos como criar, associar e gerenciar políticas regionais de firewall de rede.
Criar uma política de firewall de rede regional
Ao criar uma política de firewall de rede regional usando o console do Google Cloud , você pode associar a política a uma região e a uma rede de nuvem privada virtual (VPC) durante a criação. Se você criar a política usando a Google Cloud CLI, associe a política a uma região e rede depois de criar a política.
A rede VPC associada à política de firewall de rede regional precisa estar no mesmo projeto que a política.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione seu projeto na organização.
Clique em Criar política de firewall.
No campo Nome da política, insira um nome.
Em Escopo da implantação, selecione Regional. Selecione a região em que você quer criar essa política de firewall.
Para criar regras para sua política, clique em Continuar.
Na seção Adicionar regras, clique em Criar regra de firewall. Para mais informações sobre como criar regras de firewall, consulte o seguinte:
Se quiser associar a política a uma rede, clique em Continuar.
Na seção Associar política a redes, clique em Associar.
Para mais informações, consulte Associar uma política a uma rede.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Substitua:
NETWORK_FIREWALL_POLICY_NAME: um nome para a política.DESCRIPTION: uma descrição da política.REGION_NAME: a região da política.
Associar uma política a uma rede
É possível associar uma política de firewall regional a uma região de uma rede VPC e aplicar as regras da política a essa região da rede.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associação.
Selecione as redes no projeto.
Clique em Associar.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--network NETWORK_NAME \
--name ASSOCIATION_NAME
Substitua:
POLICY_NAME: o nome curto ou o nome gerado pelo sistema da política.POLICY_REGION: a região da política que contém a regra.NETWORK_NAME: o nome da rede associada.ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido comonetwork-NETWORK_NAME.
Excluir uma associação
Para interromper a aplicação de uma política de firewall em uma rede, exclua a associação.
No entanto, se você pretende trocar uma política de firewall por outra, não é necessário excluir a associação atual primeiro. A exclusão dessa associação deixaria um período em que nenhuma política é aplicada. Em vez disso, substitua a política existente ao associar uma nova política.
Para excluir uma associação entre uma política de firewall de rede regional e uma região de uma rede VPC, siga as etapas mencionadas nesta seção. As regras na política de firewall da rede regional não se aplicam a novas conexões depois que a associação é excluída.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione seu projeto ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associação.
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Descrever uma política de firewall de rede regional
É possível conferir detalhes sobre uma política de firewall de rede regional, incluindo as regras da política e os atributos de regra associados. Todos esses atributos são contados como parte da cota. Para mais informações, consulte "Atributos de regra por política de firewall de rede regional" na tabela Por política de firewall. Além disso, é possível conferir as prioridades das associações de rede VPC atuais.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique na sua política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
Atualizar uma descrição de política de firewall de rede regional
O único campo de política que pode ser atualizado é Descrição.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique na sua política.
Clique em Editar.
No campo Descrição, modifique a descrição.
Clique em Salvar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Listar políticas de firewall de rede regional
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
A seção Políticas de firewall de rede mostra as políticas disponíveis no projeto.
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
Excluir uma política de firewall da rede regional
Antes de excluir uma política de firewall de rede regional, é necessário excluir todas as associações dela.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois que todas as associações forem removidas, clique em Excluir.
gcloud
Use o comando a seguir para excluir a política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
Tarefas de regras de política de firewall
Nesta seção, descrevemos como criar e gerenciar regras de política de firewall de rede regional.
Criar uma regra de entrada para destinos de VM
Nesta seção, descrevemos como criar uma regra de entrada que se aplica a interfaces de rede de instâncias do Compute Engine.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na lista do seletor de projetos, selecione um projeto que contenha uma política de firewall de rede regional.
Na seção Políticas de firewall de rede, clique no nome de uma política regional em que você quer criar uma regra.
Na seção Regras de firewall, clique em Criar regra de firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.Descrição: informe uma descrição opcional.
Direção do tráfego: selecione entrada.
Ação se houver correspondência: selecione uma das seguintes opções:
- Permitir: para permitir conexões que correspondem aos parâmetros da regra.
- Negar: para bloquear conexões que correspondem aos parâmetros da regra.
- Ir para a próxima: para continuar o processo de avaliação de regras de firewall.
Registros: selecione Ativado para ativar a geração de registros de regras de firewall ou Desativado para desativar a geração de registros de regras de firewall para essa regra.
Segmentação: selecione uma das seguintes opções:
- Aplicar a todos: o Cloud NGFW usa os destinos de instância mais amplos.
-
Contas de serviço: restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam a conta de serviço especificada:
- Na seção Escopo da conta de serviço, selecione Neste projeto > Conta de serviço de destino. Isso especifica uma conta de serviço no mesmo projeto que a política de firewall de rede regional.
- Na seção Escopo da conta de serviço, selecione Em outro projeto > Conta de serviço de destino. Isso é para especificar uma conta de serviço em um projeto de serviço de VPC compartilhada.
- Tags seguras: restringem os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura especificados. Clique em Selecionar escopo para tags e escolha a organização ou o projeto que contém os valores de tag a serem correspondidos. Para adicionar mais valores de tag, clique em Adicionar tag.
Tipo de rede de origem: especifique um tipo de rede:
- Para pular a filtragem do tráfego de entrada por tipo de rede, selecione Todos os tipos de rede.
- Para filtrar o tráfego de entrada para um tipo de rede específico, selecione Tipo de rede específico e escolha uma opção:
- Internet: o tráfego de entrada precisa corresponder ao tipo de rede da Internet para pacotes de entrada.
- Não Internet: o tráfego de entrada precisa corresponder ao tipo de rede não Internet para pacotes de entrada.
- Intra VPC: o tráfego de entrada precisa corresponder aos critérios para o tipo de rede intra VPC.
- Redes VPC: o tráfego de entrada precisa corresponder aos Critérios para o tipo de redes VPC.
Selecione pelo menos uma rede VPC:
- Selecionar projeto atual: permite adicionar uma ou mais rede VPC do projeto que contém a política de firewall.
- Inserir rede manualmente: permite inserir manualmente um projeto e uma rede VPC.
- Selecionar projeto: permite escolher um projeto em que você pode selecionar uma rede VPC.
Filtros de origem: especifique outros parâmetros de origem. Alguns parâmetros de origem não podem ser usados juntos, e sua escolha de tipo de rede de origem limita quais parâmetros de origem podem ser usados. Para mais informações, consulte Origens das regras de entrada e Combinações de origem das regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6
e insira os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. - Para filtrar o tráfego de entrada por valores de tags seguras de origem, selecione Selecionar escopo para tags na seção Tags seguras. Em seguida, forneça chaves e valores de tag. Para adicionar mais valores de tag, clique em Adicionar tag.
- Para filtrar o tráfego de entrada por FQDN de origem, insira FQDNs no campo FQDNs. Para mais informações, consulte Objetos FQDN.
- Para filtrar o tráfego de entrada por geolocalização de origem, selecione um ou mais locais no campo Geolocalizações. Para mais informações, consulte Objetos de geolocalização.
- Para filtrar o tráfego de entrada por grupo de endereços de origem, selecione um ou mais grupos no campo Grupos de endereços. Para mais informações, consulte Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de entrada por listas de origem do Google Threat Intelligence, selecione uma ou mais listas no campo Google Cloud Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use
Destino: especifique parâmetros de destino opcionais. Para mais informações, consulte Destinos das regras de entrada.
- Para pular a filtragem do tráfego de entrada por endereço IP de destino, selecione Nenhum.
- Para filtrar o tráfego de entrada por endereço IP de destino, selecione IPv4 ou IPv6 e insira um ou mais CIDRs usando o mesmo formato usado para intervalos IPv4 de origem ou intervalos IPv6 de origem.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativada: cria a regra e começa a aplicá-la em novas conexões.
- Desativada: cria a regra, mas não a aplica a novas conexões.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos separar os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que você possa criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall de rede regional em que você quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede regional.POLICY_REGION: a região da política.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.goto_next: continua o processo de avaliação de regras de firewall.
- As flags
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall. - As flags
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um destino:
- Se você omitir as flags
--target-secure-tagse--target-service-accounts, o Cloud NGFW usará os destinos de instância mais amplos. TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de tag segura que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se você omitir as flags
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos
(
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique uma origem para a regra de entrada.
Para mais informações, consulte Combinações de origem de regras de entrada:
SRC_NETWORK_TYPE: define tipos de rede de origem a serem usados em conjunto com outro parâmetro de origem compatível para produzir uma combinação de origem. Os valores válidos quando--target-type=INSTANCESsão:INTERNET,NON_INTERNET,VPC_NETWORKSouINTRA_VPC. Para mais informações, consulte Tipos de rede.SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique essa flag apenas quando o--src-network-typeforVPC_NETWORKS.SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.SRC_SECURE_TAGS: uma lista de tags separadas por vírgulas. Não é possível usar a flag--src-secure-tagsse o--src-network-typeforINTERNET.SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização. Não é possível usar a flag--src-region-codesse o--src-network-typeforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras das políticas de firewall. Não é possível usar a flag--src-threat-intelligencese o--src-network-typeforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.
-
Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
Criar uma regra de entrada para destinos de balanceador de carga interno
Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno, crie pelo menos duas regras de entrada com --target-type=INTERNAL_MANAGED_LB. Isso é necessário porque a
ação implícita
para destinos de balanceador de carga de aplicativo interno e balanceador de carga de rede de proxy interno permite o ingresso.
As regras necessárias para restringir o acesso são:
- Uma regra de firewall de negação de entrada de prioridade mais baixa com
--src-ip-ranges=0.0.0.0/0. - Uma regra de firewall de entrada de prioridade mais alta com os parâmetros de origem especificados.
Nesta seção, descrevemos como criar uma regra de entrada para balanceadores de carga de aplicativo internos e destinos de balanceador de carga de rede de proxy interno.
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
--target-type=INTERNAL_MANAGED_LB \
[--target-forwarding-rules=TARGET_FORWARDING_RULES] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos separar os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que você possa criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall de rede regional em que você quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede regional.POLICY_REGION: a região da política.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.goto_next: continua o processo de avaliação de regras de firewall.
- As flags
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall. - As flags
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um destino:
- Se você omitir a flag
--target-forwarding-rules, o Cloud NGFW usará os destinos de balanceador de carga mais amplos. TARGET_FORWARDING_RULES: uma única regra de encaminhamento para um balanceador de carga de aplicativo interno ou de rede de proxy interno especificado no formato de regras de encaminhamento de destino. Esse parâmetro restringe os destinos mais amplos do balanceador de carga a um balanceador de carga de aplicativo interno ou de rede de proxy interno específico.
- Se você omitir a flag
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos
(
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique uma origem para a regra de entrada.
Para mais informações, consulte Combinações de origem de regras de entrada:
SRC_NETWORK_TYPE: define tipos de rede de origem a serem usados em conjunto com outro parâmetro de origem compatível para produzir uma combinação de origem. Os valores válidos quando--target-type=INTERNAL_MANAGED_LBsãoVPC_NETWORKSouINTRA_VPC. Para mais informações, consulte Tipos de rede.SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique essa flag apenas quando o--src-network-typeforVPC_NETWORKS.SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
-
Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
Criar uma regra de saída para destinos de VM
As instruções a seguir mostram como criar uma regra de saída. As regras de saída só se aplicam a destinos que são interfaces de rede de instâncias do Compute Engine.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na lista do seletor de projetos, selecione um projeto que contenha uma política de firewall de rede regional.
Na seção Políticas de firewall de rede, clique no nome de uma política regional em que você quer criar uma regra.
Na seção Regras de firewall, clique em Criar regra de firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.Descrição: informe uma descrição opcional.
Direção do tráfego: selecione Saída.
Ação se houver correspondência: selecione uma das seguintes opções:
- Permitir: para permitir conexões que correspondem aos parâmetros da regra.
- Negar: para bloquear conexões que correspondem aos parâmetros da regra.
- Ir para a próxima: para continuar o processo de avaliação de regras de firewall.
Registros: selecione Ativado para ativar a geração de registros de regras de firewall ou Desativado para desativar a geração de registros de regras de firewall para essa regra.
Segmentação: selecione uma das seguintes opções:
- Aplicar a todos: o Cloud NGFW usa os destinos de instância mais amplos.
-
Contas de serviço: restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam a conta de serviço especificada:
- Na seção Escopo da conta de serviço, selecione Neste projeto > Conta de serviço de destino. Isso especifica uma conta de serviço no mesmo projeto que a política de firewall de rede regional.
- Na seção Escopo da conta de serviço, selecione Em outro projeto > Conta de serviço de destino. Isso é para especificar uma conta de serviço em um projeto de serviço de VPC compartilhada.
- Tags seguras: restringem os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura especificados. Clique em Selecionar escopo para tags e escolha a organização ou o projeto que contém os valores de tag a serem correspondidos. Para adicionar mais valores de tag, clique em Adicionar tag.
Tipo de rede de destino: especifique um tipo de rede:
- Para pular a filtragem do tráfego de saída por tipo de rede, selecione Todos os tipos de rede.
- Para filtrar o tráfego de saída para um tipo de rede específico, selecione Tipo de rede específico e escolha um tipo de rede:
- Internet: o tráfego de saída precisa corresponder ao tipo de rede da Internet para pacotes de saída.
- Não relacionada à Internet: o tráfego de saída precisa corresponder ao tipo de rede não relacionada à Internet para pacotes de saída.
Filtros de destino: especifique outros parâmetros de destino. Alguns parâmetros de destino não podem ser usados juntos, e sua escolha de tipo de rede de destino limita os filtros de destino que você pode usar. Para mais informações, consulte Destinos das regras de saída e Combinações de destino das regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer destino IPv6. - Para filtrar o tráfego de saída por FQDN de destino, insira os FQDNs no campo FQDNs. Para mais informações, consulte Objetos FQDN.
- Para filtrar o tráfego de saída por geolocalização de destino, selecione um ou mais locais no campo Geolocalizações. Para mais informações, consulte Objetos de geolocalização.
- Para filtrar o tráfego de saída por grupo de endereços de destino, selecione um ou mais grupos no campo Grupos de endereços. Para mais informações, consulte Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de saída por listas de destino do Google Threat Intelligence, selecione uma ou mais listas no campo Google Cloud Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use
Origem: especifique parâmetros de origem opcionais. Para mais informações, consulte Origens das regras de saída.
- Para pular a filtragem do tráfego de saída por endereço IP de origem, selecione Nenhum.
- Para filtrar o tráfego de saída por endereço IP de origem, selecione IPv4 ou IPv6 e insira um ou mais CIDRs usando o mesmo formato usado para intervalos IPv4 ou IPv6 de destino.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativada: cria a regra e começa a aplicá-la em novas conexões.
- Desativada: cria a regra, mas não a aplica a novas conexões.
Clique em Criar.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos separar os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que você possa criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall de rede regional em que você quer criar a regra.PROJECT_ID: o ID do projeto que contém a política de firewall de rede regional.POLICY_REGION: a região da política.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.goto_next: continua o processo de avaliação de regras de firewall.
- As flags
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall. - As flags
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um destino:
- Se você omitir as flags
--target-secure-tagse--target-service-accounts, o Cloud NGFW usará os destinos de instância mais amplos. TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de tag segura que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se você omitir as flags
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos
(
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique um destino para a regra de saída.
Para mais informações, consulte Combinações de destino de regras de
saída:
DEST_NETWORK_TYPE: define um tipo de rede de destino a ser usado com outro parâmetro de destino compatível para produzir uma combinação de destino. Os valores válidos sãoINTERNETeNON_INTERNET. Para mais informações, consulte Tipos de rede.DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL.DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização.DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
-
Se quiser, especifique uma origem para a regra de saída:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
Atualizar uma regra
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.
Clique no nome da política de firewall de rede regional que contém a regra a ser atualizada.
Clique na prioridade da regra.
Clique em Editar.
Modifique os campos da regra de firewall que você quer mudar. Para descrições sobre cada campo, consulte uma das seguintes opções:
Clique em Salvar.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
[...other flags that you want to modify...]
Substitua:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.POLICY_REGION: a região da política que contém a regra.
Forneça as flags que você quer modificar. Para conferir as descrições das flags, consulte uma das seguintes opções:
Descrever uma regra
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Substitua:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.POLICY_REGION: a região da política que contém a regra.
Excluir uma regra
A exclusão de uma regra de uma política faz com que ela não seja mais aplicada a novas conexões com ou do destino da regra.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Substitua:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.POLICY_REGION: a região da política que contém a regra.
Clonar regras de uma política para outra
A clonagem copia as regras de uma política de origem para uma de destino, substituindo todas as regras atuais na política de destino.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o projeto que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Se você quiser associar a nova política imediatamente, clique em Continuar > Associar.
Na página Associar política a redes VPC, selecione as redes e clique em Associar.
Clique em Continuar.
Clique em Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy=SOURCE_POLICY
Substitua:
TARGET_POLICY: o nome da política de destino.TARGET_POLICY_REGION: a região da política de destino.SOURCE_POLICY: o URL da política de origem.
Receber regras de firewall eficazes para uma região de uma rede
É possível conferir todas as regras de política de firewall hierárquica, de VPC, de rede global e de rede regional que se aplicam a uma região específica de uma rede VPC.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
Substitua:
REGION_NAME: a região para a qual você quer visualizar as regras vigentes.NETWORK_NAME: a rede para a qual você quer visualizar as regras vigentes.