Usar políticas e regras de firewall da rede regional

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione seu projeto na organização.

3. Clique em Criar política de firewall.

4. No campo Nome da política, insira um nome.

5. Em Escopo da implantação, selecione Regional. Selecione a região em que você quer criar essa política de firewall.

6. Para criar regras para sua política, clique em Continuar.

7. Na seção Adicionar regras, clique em Criar regra de firewall.

   Para mais informações, consulte Criar uma regra.

8. Se quiser associar a política a uma rede, clique em Continuar.

9. Na seção Associar política a redes, clique em Associar.

   Para mais informações, consulte Associar uma política a uma rede.

10. Clique em Criar.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Substitua:

• NETWORK_FIREWALL_POLICY_NAME: um nome para a política.
• DESCRIPTION: uma descrição da política.
• REGION_NAME: a região da política.

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique na sua política.

4. Clique na guia Associações.

5. Clique em Adicionar associação.

6. Selecione as redes no projeto.

7. Clique em Associar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Substitua:

• POLICY_NAME: o nome curto ou o nome gerado pelo sistema da política.
• NETWORK_NAME: o nome da rede associada.
• ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como network-NETWORK_NAME.
• REGION_NAME: a região da política.

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione seu projeto ou a pasta que contém a política.

3. Clique na sua política.

4. Clique na guia Associações.

5. Selecione a associação que você quer excluir.

6. Clique em Remover associação.

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.

3. Clique na sua política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede regional.

3. Clique na sua política.

4. Clique em Editar.

5. No campo Descrição, modifique a descrição.

6. Clique em Salvar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

   A seção Políticas de firewall de rede mostra as políticas disponíveis no projeto.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique na política que você quer excluir.

4. Clique na guia Associações.

5. Selecione todas as associações.

6. Clique em Remover associação.

7. Depois que todas as associações forem removidas, clique em Excluir.

gcloud

Use o comando a seguir para excluir a política:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique no nome da política regional.

4. Em Regras de firewall, clique em Criar regra de firewall.

5. Preencha os campos da regra:

   1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
   2. Defina a coleção Registros como Ativado ou Desativado.
   3. Em Direção do tráfego, escolha entrada ou saída.
   4. Em Ação se houver correspondência, especifique se as conexões que correspondem à regra são permitidas (Permitir), negadas (Negar) ou se a avaliação da conexão é transmitida para a próxima regra de firewall inferior na hierarquia (Ir para a próxima).

   5. Especifique a Meta da regra.

      • Se você quiser que a regra se aplique a todas as instâncias na rede, escolha Aplicar a todas.
      • Se você quiser que a regra se aplique a determinadas instâncias por uma conta de serviço associada, escolha Contas de serviço, indique se a conta está no projeto atual ou em outro projeto em Escopo da conta de serviço e escolha ou digite o nome dessa conta no campo Conta de serviço de destino.

      • Se você quiser que a regra se aplique a determinadas instâncias por tags seguras, escolha Tags seguras.

        • Clique em Selecionar escopo para tags e escolha a organização ou o projeto em que você quer criar pares de chave-valor de tag segura. Insira os pares de chave-valor aos quais a regra será aplicada.
        • Para adicionar mais pares de chave-valor, clique em Adicionar tag.

   6. Para uma regra de entrada, especifique o tipo de rede de origem:

      • Para filtrar o tráfego de entrada pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
      • Para filtrar o tráfego de entrada pertencente a um tipo de rede específico, selecione Tipo de rede específico.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede da Internet (INTERNET), selecione Internet.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede não Internet (NON-INTERNET), selecione Não Internet.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede intra VPC (INTRA_VPC), selecione Intra VPC.
        • Para filtrar o tráfego de entrada pertencente ao tipo de redes VPC (VPC_NETWORKS), selecione Redes VPC e especifique uma ou mais redes usando o seguinte botão:
          • Selecionar projeto atual: permite adicionar uma ou mais redes do projeto atual.
          • Inserir rede manualmente: permite inserir um projeto e uma rede manualmente.
          • Selecionar projeto: permite escolher um projeto e, depois, uma rede. Para mais informações sobre os tipos de rede, consulte Tipos de rede.

   7. Para uma regra de saída, especifique o tipo de rede de destino:

      • Para filtrar o tráfego de saída pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
      • Para filtrar o tráfego de saída pertencente a um tipo de rede específico, selecione Tipo de rede específico.
        • Para filtrar o tráfego de saída pertencente ao tipo de rede da Internet (INTERNET), selecione Internet.
        • Para filtrar o tráfego de saída pertencente ao tipo de rede não Internet (NON-INTERNET), selecione Não Internet. Para mais informações sobre os tipos de rede, consulte Tipos de rede.

   8. Para uma regra de entrada, especifique o Filtro de origem:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.

      • Para limitar a origem por tags seguras, clique em Selecionar escopo das tags na seção Tags seguras.

        • Selecione a organização ou o projeto em que você quer criar tags. Insira os pares de chave-valor a que a regra se aplicará.
        • Para adicionar mais pares de chave-valor, clique em Adicionar tag.

   9. Para uma regra de saída, especifique o filtro de destino:

      • Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.

   10. Opcional: se você estiver criando uma regra de Entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos de nome de domínio.

   11. Opcional: se você estiver criando uma Regra de entrada, selecione a Geolocalização de origem a que essa regra se aplica. Se você estiver criando uma regra de Saída, selecione as Geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte este link.

   12. Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

   13. Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para mais informações sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.

   14. Opcional: para uma regra de entrada, especifique os filtros de destino:

       • Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
       • Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e insira os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte Destino das regras de entrada.

   15. Opcional: para uma regra de saída, especifique o filtro de origem:

       • Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
       • Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte Origem das regras de saída.

   16. Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino ela se aplica.

   17. Clique em Criar.

6. Clique em Criar regra de firewall para adicionar outra regra.

gcloud

Para criar uma regra de entrada, use o seguinte comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Substitua:

• PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
• POLICY_NAME: o nome da política de firewall de rede regional que contém a nova regra.
• POLICY_REGION: a região da política que contém a nova regra.
• DESCRIPTION: uma descrição opcional para a nova regra
• ACTION: especifique uma das seguintes ações:
  • allow: permite conexões que correspondem à regra.
  • deny: nega conexões que correspondem à regra.
  • goto_next: continua para a próxima etapa do processo de avaliação de regras de firewall.
• Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam a geração de registros de regras de firewall.
• Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
• Especifique um destino:
  • TARGET_SECURE_TAGS: uma lista separada por vírgulas de tags seguras.
  • TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
  • Se você omitir os parâmetros --target-secure-tags e --target-service-accounts, a regra será aplicada ao destino mais amplo.
• LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
  • Um nome de protocolo IP (tcp) ou número de protocolo IP da IANA (17) sem uma porta de destino.
  • Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
  • Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos usando um traço para separar as portas de destino inicial e final (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
• Especifique uma origem para a regra de entrada:
  • SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Os intervalos na lista precisam ser todos CIDRs IPv4 ou IPv6, não uma combinação de ambos.
  • SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação dos dois.
  • SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
  • SRC_SECURE_TAGS: uma lista de tags separadas por vírgulas. Não é possível usar o parâmetro --src-secure-tags se o --src-network-type for INTERNET.
  • SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização. Não é possível usar o parâmetro --src-region-codes se o --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall. Não é possível usar o parâmetro --src-threat-intelligence se o --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
  • SRC_NETWORK_TYPE: define tipos de rede de origem a serem usados em conjunto com outro parâmetro de destino compatível para produzir uma combinação de destino específica. Os valores válidos são INTERNET, NON_INTERNET, VPC_NETWORK ou INTRA_VPC. Para mais informações, consulte Tipos de rede.
  • SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique esse parâmetro apenas quando o --src-network-type for VPC_NETWORKS.
• Opcionalmente, especifique um destino para a regra de entrada:
  • DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação de ambos.

Para criar uma regra de saída, use o seguinte comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Substitua:

• PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
• POLICY_NAME: o nome da política de firewall de rede regional que contém a nova regra.
• POLICY_REGION: a região da política que contém a nova regra.
• DESCRIPTION: uma descrição opcional para a nova regra
• ACTION: especifique uma das seguintes ações:
  • allow: permite conexões que correspondem à regra.
  • deny: nega conexões que correspondem à regra.
  • goto_next: continua para a próxima etapa do processo de avaliação de regras de firewall.
• Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam a geração de registros de regras de firewall.
• Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
• Especifique um destino:
  • TARGET_SECURE_TAGS: uma lista separada por vírgulas de tags seguras.
  • TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
  • Se você omitir os parâmetros --target-secure-tags e --target-service-accounts, a regra será aplicada ao destino mais amplo.
• LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
  • Um nome de protocolo IP (tcp) ou número de protocolo IP da IANA (17) sem uma porta de destino.
  • Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
  • Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos usando um traço para separar as portas de destino inicial e final (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
• Opcionalmente, especifique uma origem para a regra de saída:
  • SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
• Especifique um destino para a regra de saída:
  • DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação de ambos.
  • DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL.
  • DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
  • DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização.
  • DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
  • DEST_NETWORK_TYPE: define um tipo de rede de destino a ser usado com outro parâmetro de destino compatível para produzir uma combinação de destino específica. Os valores válidos são INTERNET e NON_INTERNET. Para mais informações, consulte Tipos de rede.

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique na sua política.

4. Clique na prioridade da regra.

5. Clique em Editar.

6. Modifique as flags que você quer mudar.

7. Clique em Salvar.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique na sua política.

4. Clique na prioridade da regra.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua:

• PRIORITY: o número de prioridade que identifica exclusivamente a regra.
• POLICY_NAME: o nome da política que contém a regra
• REGION_NAME: a região da política que contém a regra

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique na sua política.

4. Selecione a regra que você quer excluir.

5. Clique em Excluir.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Substitua:

• PRIORITY: o número de prioridade que identifica exclusivamente a regra.
• POLICY_NAME: a política que contém a regra
• REGION_NAME: a região da política que contém a regra

Console

1. No console do Google Cloud , acesse a página Políticas de firewall.

   Acesse as políticas de firewall

2. No menu do seletor de projetos, selecione o projeto que contém a política.

3. Clique na política da qual você quer copiar as regras.

4. Clique em Clonar na parte superior da tela.

5. Informe o nome de uma política de destino.

6. Se você quiser associar a nova política imediatamente, clique em Continuar > Associar.

7. Na página Associar política a redes VPC, selecione as redes e clique em Associar.

8. Clique em Continuar.

9. Clique em Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

Substitua:

• TARGET_POLICY: o nome da política de destino
• TARGET_POLICY_REGION: a região da política de destino.
• SOURCE_POLICY: o URL da política de origem

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Substitua:

• REGION_NAME: a região para a qual você quer visualizar as regras vigentes.
• NETWORK_NAME: a rede para a qual você quer visualizar as regras vigentes.