Use regras e políticas de firewall hierárquicas

Esta página pressupõe que está familiarizado com os conceitos descritos na Vista geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.

Limitações

As regras da política de firewall hierárquica não suportam a utilização de etiquetas de rede para definir alvos. Em alternativa, tem de usar uma rede de nuvem privada virtual (VPC) de destino ou uma conta de serviço de destino.
As políticas de firewall podem ser aplicadas ao nível da pasta e da organização, mas não ao nível da rede de VPC. As regras de firewall da VPC normais são suportadas para redes da VPC.
Só é possível associar uma política de firewall a um recurso (pasta ou organização), embora as instâncias de máquinas virtuais (VMs) numa pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
O registo de regras de firewall é suportado para regras allow e deny, mas não para regras goto_next.
O protocolo IPv6 Hop-by-Hop não é suportado nas regras de firewall.

Tarefas da política de firewall

Esta secção descreve como criar e gerir políticas de firewall hierárquicas.

Para verificar o progresso de uma operação resultante de uma tarefa listada nesta secção, certifique-se de que o seu principal de IAM tem as seguintes autorizações ou funções além das autorizações ou funções necessárias para cada tarefa.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na organização

Crie uma política de firewall

Quando cria uma política de firewall hierárquica, pode definir o respetivo elemento principal como a organização ou uma pasta na organização. Depois de criar a política, pode associá-la à organização ou a uma pasta na organização.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.create

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na organização ou na pasta onde quer criar a política
Administrador de segurança da computação (roles/compute.securityAdmin) na organização ou na pasta onde quer criar a política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou uma pasta na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza um nome para a política.
Opcional: se quiser criar regras para a sua política, clique em Continuar.
Na secção Adicionar regras, clique em Criar regra de firewall. Para mais informações sobre como criar regras de firewall, consulte o seguinte:
- Crie uma regra de entrada para alvos de VM
- Crie uma regra de saída para destinos de VMs
Opcional: se quiser associar a política a um recurso, clique em Continuar.
Na secção Associar política a recursos, clique em Adicionar.

Para mais informações, consulte o artigo Associe uma política à organização ou à pasta.
Clique em Criar.

gcloud

Execute estes comandos para criar uma política de firewall hierárquica cuja organização principal seja uma organização:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Execute estes comandos para criar uma política de firewall hierárquica cuja principal seja uma pasta numa organização:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Substitua o seguinte:

ORG_ID: o ID da sua organização

Especifique um ID da organização para criar uma política cuja organização principal seja uma organização. A política pode ser associada à organização ou a uma pasta na organização.
SHORT_NAME: um nome para a política

Uma política criada através da CLI do Google Cloud tem dois nomes: um nome gerado pelo sistema e um nome abreviado fornecido por si. Quando usa a CLI gcloud para atualizar uma política existente, pode fornecer o nome gerado pelo sistema ou o nome abreviado e o ID da organização. Quando usar a API para atualizar a política, tem de indicar o nome gerado pelo sistema.
FOLDER_ID: o ID de uma pasta

Especifique um ID da pasta para criar uma política cuja entidade principal seja uma pasta. A política pode ser associada à organização que contém a pasta ou a qualquer pasta nessa organização.

Associe uma política à organização ou à pasta

Quando associa uma política de firewall hierárquica a uma organização ou uma pasta numa organização, as regras da política de firewall, exceto as regras desativadas e sujeitas ao destino de cada regra, aplicam-se aos recursos nas redes VPC em projetos da organização ou da pasta associada.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Funções

Administrador de recursos da organização do Compute (roles/compute.orgSecurityResourceAdmin) na organização ou na pasta à qual a política de firewall deve ser aplicada
E uma das seguintes funções:
- Administrador de rede de computação (roles/compute.networkAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Utilizador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyUser ) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador da política de segurança da organização do Compute (roles/compute.orgSecurityPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Utilizador da política de segurança da organização do Compute (roles/compute.orgSecurityPolicyUser) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador de segurança da computação (roles/compute.securityAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique na política.
Clique no separador Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou selecione pastas na organização.
Clique em Adicionar.

gcloud

Por predefinição, se tentar inserir uma associação a uma organização ou uma pasta que já tenha uma associação, o método falha. Se especificar a flag --replace-association-on-target, a associação existente é eliminada ao mesmo tempo que a nova associação é criada. Isto impede que o recurso fique sem uma política durante a transição.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Substitua o seguinte:

POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política
ORG_ID: o ID da sua organização
FOLDER_ID: se estiver a associar a política a uma pasta, especifique-a aqui; omita se estiver a associar a política ao nível da organização
ASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido como "organização ORG_ID" ou "pasta FOLDER_ID"

Mova uma política de um recurso para outro

A movimentação de uma política só altera o elemento principal da política. Alterar o elemento principal da política pode alterar os principais da IAM que podem criar e atualizar regras na política e os principais da IAM que podem criar associações futuras.

A mudança de uma política não altera as associações de políticas existentes nem a avaliação das regras na política.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.move

Funções

Administrador da política de firewall da organização de computação (roles/compute.orgFirewallPolicyAdmin) no novo recurso principal (organização ou pasta) e no recurso principal anterior ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no novo recurso principal (organização ou pasta) e no recurso principal anterior ou na própria política

Consola

Use a Google Cloud CLI para este procedimento.

gcloud

Execute estes comandos para mover a política de firewall hierárquica para uma organização:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Execute estes comandos para mover a política de firewall hierárquica para uma pasta numa organização:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Substitua o seguinte:

POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política que está a mover
ORG_ID: o ID da organização para a qual a política é movida
FOLDER_ID: o ID da pasta para a qual a política é movida

Atualize uma descrição da política

O único campo de política que pode ser atualizado é o campo Descrição.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política.
Clique em Edit.
Modifique a descrição.
Clique em Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Indicar políticas

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.list

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Compute Organization Firewall Policy User (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.

Para uma organização, a secção Políticas de firewall associadas a esta organização mostra as políticas associadas. A secção Políticas de firewall localizadas nesta organização lista as políticas detidas pela organização.

Para uma pasta, a secção Políticas de firewall associadas a esta pasta ou herdadas por esta pasta mostra as políticas associadas ou herdadas pela pasta. A secção Políticas de firewall localizadas nesta pasta lista as políticas que são detidas pela pasta.

Nota: as políticas pertencentes a um recurso (organização ou pasta) podem não estar associadas a esse recurso, mas estão disponíveis para associação a esse ou a outros recursos.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descreva uma política

Pode ver detalhes sobre uma política de firewall hierárquica, incluindo as regras da política e os atributos das regras associados. Todos estes atributos de regras são contabilizados como parte da quota de atributos de regras. Para mais informações, consulte "Atributos das regras por política de firewall hierárquica" na tabela Por política de firewall.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.get

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Compute Organization Firewall Policy User (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Elimine uma política

Antes de poder eliminar uma política de firewall hierárquica, tem de eliminar todas as respetivas associações.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.delete

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política que quer eliminar.
Clique no separador Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois de remover todas as associações, clique em Eliminar.

gcloud

Use o seguinte comando para eliminar a política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Associações de listas para um recurso

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.organizations.listAssociations

Funções

Administrador de recursos da organização de computação (roles/compute.orgSecurityResourceAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Para o recurso selecionado (organização ou pasta), é apresentada uma lista das políticas associadas e herdadas.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Elimine uma associação

Se precisar de alterar a política de firewall hierárquica associada a uma organização ou uma pasta, recomendamos que associe uma nova política em vez de eliminar uma política associada existente. Pode associar uma nova política num único passo, o que ajuda a garantir que uma política de firewall hierárquica está sempre associada à organização ou à pasta.

Para eliminar uma associação entre uma política de firewall hierárquica e uma organização ou uma pasta, siga os passos mencionados nesta secção. As regras na política de firewall hierárquica não se aplicam a novas ligações após a eliminação da respetiva associação.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.organizations.setFirewallPolicy

Funções

Administrador de recursos da organização do Compute (roles/compute.orgSecurityResourceAdmin) no recurso principal (organização ou pasta) ao qual a política está associada

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política.
Clique no separador Associações.
Selecione a associação que quer eliminar.
Clique em Remover associação.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tarefas de regras de políticas de firewall

Esta secção descreve como criar e gerir regras de políticas de firewall hierárquicas.

Crie uma regra de entrada para alvos de VMs

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política
Administrador de segurança de computação (roles/compute.securityAdmin) na política de firewall ou na organização ou pasta que contém a política

Esta secção descreve como criar uma regra de entrada que se aplica às interfaces de rede de instâncias do Compute Engine.

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
Na lista do seletor de projetos, selecione uma organização ou uma pasta que contenha uma política de firewall hierárquica.
Se necessário, na secção Índice da hierarquia, selecione uma pasta secundária.
Na secção Políticas de firewall, clique no nome de uma política de firewall hierárquica na qual quer criar uma regra.
Na secção Regras da firewall, clique em Criar regra da firewall e especifique os seguintes parâmetros de configuração:
1. Prioridade: a ordem de avaliação numérica da regra.
  
  As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
2. Descrição: introduza uma descrição opcional.
3. Direção do tráfego: selecione Entrada.
4. Ação na correspondência: selecione uma das seguintes opções:
  - Permitir: para permitir ligações que correspondam aos parâmetros da regra.
  - Recusar: para bloquear ligações que correspondam aos parâmetros da regra.
  - Aceder ao seguinte: para continuar o processo de avaliação da regra de firewall.
  - Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceção com base na Finalidade que selecionar.
    - Para enviar pacotes para um ponto final de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e, de seguida, selecione um grupo de perfis de segurança. Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
    - Para enviar pacotes para um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda, selecione NSI na banda e, em seguida, selecione um grupo de perfis de segurança.
5. Registos: selecione Ativado para ativar o registo de regras de firewall ou Desativado para desativar o registo de regras de firewall para esta regra.
6. Redes de destino: opcionalmente, para aplicar a política de firewall a destinos em redes de VPC específicas, clique em Adicionar rede e, de seguida, selecione o Projeto e a Rede.
7. Segmentação: selecione uma das seguintes opções:
  - Aplicar a tudo: o NGFW da nuvem usa os destinos de instância mais amplos.
  - Contas de serviço: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VMs que usam a conta de serviço que especificar em Conta de serviço de destino.
  - Etiquetas seguras: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VM que estão associadas, pelo menos, a um dos valores de etiquetas seguras que especificar. Clique em Selecionar âmbito das etiquetas e selecione a organização ou o projeto que contém os valores das etiquetas a corresponder. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
8. Tipo de rede de origem: especifique um tipo de rede:
  - Para ignorar a filtragem do tráfego de entrada por tipo de rede, selecione Todos os tipos de rede.
  - Para filtrar o tráfego de entrada para um tipo de rede específico, selecione Tipo de rede específico e, de seguida, selecione um tipo de rede:
    - Internet: o tráfego de entrada tem de corresponder ao tipo de rede da Internet para pacotes de entrada.
    - Não pertencente à Internet: o tráfego de entrada tem de corresponder ao tipo de rede não pertencente à Internet para pacotes de entrada.
    - Intra VPC: o tráfego de entrada tem de corresponder aos critérios para o tipo de rede intra-VPC.
    - Redes VPC: o tráfego de entrada tem de corresponder ao tipo de critérios para redes VPC. Tem de selecionar, pelo menos, uma rede de VPC:
      - Selecionar projeto atual: permite adicionar uma ou mais redes VPC do projeto que contém a política de firewall.
      - Introduzir rede manualmente: permite introduzir manualmente um projeto e uma rede VPC.
      - Selecionar projeto: permite-lhe selecionar um projeto a partir do qual pode selecionar uma rede de VPC.
9. Filtros de origem: especifique parâmetros de origem adicionais. Não é possível usar alguns parâmetros de origem em conjunto, e a sua escolha do tipo de rede de origem limita os parâmetros de origem que pode usar. Para mais informações, consulte os artigos Origens para regras de entrada e Combinações de origens de regras de entrada.
  - Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
  - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.
  - Para filtrar o tráfego de entrada por valores de etiquetas seguras de origem, selecione Selecionar âmbito para etiquetas na secção Etiquetas seguras. Em seguida, indique as chaves e os valores das etiquetas. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
  - Para filtrar o tráfego de entrada por FQDN de origem, introduza FQDNs no campo FQDNs. Para mais informações, consulte os objetos FQDN.
  - Para filtrar o tráfego de entrada por geolocalização de origem, selecione uma ou mais localizações no campo Geolocalizações. Para mais informações, consulte os objetos de geolocalização.
  - Para filtrar o tráfego de entrada por grupo de endereços de origem, selecione um ou mais grupos de endereços no campo Grupos de endereços. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
  - Para filtrar o tráfego de entrada por listas de inteligência contra ameaças da Google, selecione uma ou mais listas de inteligência contra ameaças da Google no campo Google Cloud Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras de políticas de firewall.
10. Destino: especifique parâmetros de destino opcionais. Para mais informações, consulte o artigo Destinos para regras de entrada.
  - Para ignorar a filtragem do tráfego de entrada por endereço IP de destino, selecione Nenhum.
  - Para filtrar o tráfego de entrada por endereço IP de destino, selecione IPv4 ou IPv6 e, em seguida, introduza um ou mais CIDRs com o mesmo formato usado para intervalos IPv4 de origem ou intervalos IPv6 de origem.
11. Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte o artigo Protocolos e portas.
12. Aplicação: especifique se a regra de firewall é aplicada ou não:
  - Ativado: cria a regra e começa a aplicá-la a novas ligações.
  - Desativada: cria a regra, mas não a aplica a novas ligações.
Clique em Criar.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Substitua o seguinte:

PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
POLICY_NAME: o nome da política de firewall hierárquica na qual quer criar a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica, se a respetiva organização principal for uma organização.
FOLDER_ID: o ID da pasta que contém a política de firewall hierárquica, se o respetivo elemento principal for uma pasta.
DESCRIPTION: uma descrição opcional para a nova regra.
ACTION: especifique uma das seguintes ações:
- allow: permite ligações que correspondem à regra.
- deny: nega as ligações que correspondem à regra.
- goto_next: continua o processo de avaliação das regras de firewall.
- apply_security_profile_group: envia os pacotes para um ponto final da firewall ou um grupo de pontos finais de interceção.
  - Quando a ação é apply_security_profile_group, tem de incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança.
  - O perfil de segurança do grupo de perfis de segurança pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda.
  - Se o perfil de segurança do grupo de perfis de segurança referenciar um endpoint de firewall do Cloud NGFW, inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção de TLS.
As flags --enable-logging e --no-enable-logging ativam ou desativam o registo de regras de firewall.
Os indicadores --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
Especifique um alvo:
- Se omitir os flags --target-resources, --target-secure-tags e --target-service-accounts, o Cloud NGFW usa os alvos de instância mais amplos.
- TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. A flag --target-resources pode ser usada sozinha ou em combinação com outra flag de destino. Para mais informações, consulte o artigo Combinações de alvos específicos.
- TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de etiquetas seguras que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VMs que estão associadas a, pelo menos, um dos valores de etiquetas seguras.
- TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
- Um nome de protocolo IP (tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino.
- Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
- Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos com um traço para separar as portas de destino de início e fim (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
Especifique uma origem para a regra de entrada. Para mais informações, consulte as combinações de origens de regras de entrada:
- SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de origem suportado para produzir uma combinação de origem. Os valores válidos quando --target-type=INSTANCES são: INTERNET, NON_INTERNET, VPC_NETWORKS ou INTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.
- SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique esta flag apenas quando o --src-network-type for VPC_NETWORKS.
- SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
- SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6, e não uma combinação de ambos.
- SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
- SRC_SECURE_TAGS: uma lista separada por vírgulas de etiquetas. Não pode usar a flag --src-secure-tags se o --src-network-type for INTERNET.
- SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte o artigo Objetos de geolocalização. Não pode usar a flag --src-region-codes se o --src-network-type for NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
- SRC_THREAT_LIST_NAMES: uma lista de nomes separados por vírgulas de listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall. Não pode usar a flag --src-threat-intelligence se o valor de --src-network-type for NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
Opcionalmente, especifique um destino para a regra de entrada:
- DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.

Crie uma regra de saída para segmentações de VMs

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política
Administrador de segurança de computação (roles/compute.securityAdmin) na política de firewall ou na organização ou pasta que contém a política

As instruções seguintes mostram como criar uma regra de saída. As regras de saída aplicam-se apenas a destinos que são interfaces de rede de instâncias do Compute Engine.

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
Na lista do seletor de projetos, selecione uma organização ou uma pasta que contenha uma política de firewall hierárquica.
Se necessário, na secção Índice da hierarquia, selecione uma pasta secundária.
Na secção Políticas de firewall, clique no nome de uma política de firewall hierárquica na qual quer criar uma regra.
Na secção Regras da firewall, clique em Criar regra da firewall e especifique os seguintes parâmetros de configuração:
1. Prioridade: a ordem de avaliação numérica da regra.
  
  As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
2. Descrição: introduza uma descrição opcional.
3. Direção do tráfego: selecione Saída.
4. Ação na correspondência: selecione uma das seguintes opções:
  - Permitir: para permitir ligações que correspondam aos parâmetros da regra.
  - Recusar: para bloquear ligações que correspondam aos parâmetros da regra.
  - Aceder ao seguinte: para continuar o processo de avaliação da regra de firewall.
  - Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceção com base na Finalidade que selecionar.
    - Para enviar pacotes para um ponto final de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e, de seguida, selecione um grupo de perfis de segurança. Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
    - Para enviar pacotes para um grupo de pontos finais de interceção da integração de segurança de rede para integração na banda, selecione NSI na banda e, em seguida, selecione um grupo de perfis de segurança.
5. Registos: selecione Ativado para ativar o registo de regras de firewall ou Desativado para desativar o registo de regras de firewall para esta regra.
6. Redes de destino: opcionalmente, para aplicar a política de firewall a destinos em redes de VPC específicas, clique em Adicionar rede e, de seguida, selecione o Projeto e a Rede.
7. Segmentação: selecione uma das seguintes opções:
  - Aplicar a tudo: o NGFW da nuvem usa os destinos de instância mais amplos.
  - Contas de serviço: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VMs que usam a conta de serviço que especificar em Conta de serviço de destino.
  - Etiquetas seguras: restringe as segmentações de instâncias mais amplas às interfaces de rede de instâncias de VM que estão associadas, pelo menos, a um dos valores de etiquetas seguras que especificar. Clique em Selecionar âmbito das etiquetas e selecione a organização ou o projeto que contém os valores das etiquetas a corresponder. Para adicionar mais valores de etiquetas, clique em Adicionar etiqueta.
8. Tipo de rede de destino: especifique um tipo de rede:
  - Para ignorar a filtragem do tráfego de saída por tipo de rede, selecione Todos os tipos de redes.
  - Para filtrar o tráfego de saída para um tipo de rede específico, selecione Tipo de rede específico e, de seguida, selecione um tipo de rede:
    - Internet: o tráfego de saída tem de corresponder ao tipo de rede da Internet para pacotes de saída.
    - Não pertencente à Internet: o tráfego de saída tem de corresponder ao tipo de rede não pertencente à Internet para pacotes de saída.
9. Filtros de destino: especifique parâmetros de destino adicionais. Não é possível usar alguns parâmetros de destino em conjunto, e a sua escolha do tipo de rede de destino limita os filtros de destino que pode usar. Para mais informações, consulte Destinos para regras de saída e Combinações de destinos de regras de saída.
  - Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, em seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
  - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, em seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.
  - Para filtrar o tráfego de saída por FQDN de destino, introduza FQDNs no campo FQDNs. Para mais informações, consulte os objetos FQDN.
  - Para filtrar o tráfego de saída por geolocalização de destino, selecione uma ou mais localizações no campo Geolocalizações. Para mais informações, consulte os objetos de geolocalização.
  - Para filtrar o tráfego de saída por grupo de endereços de destino, selecione um ou mais grupos de endereços no campo Grupos de endereços. Para mais informações, consulte o artigo Grupos de endereços para políticas de firewall.
  - Para filtrar o tráfego de saída por listas de informações sobre ameaças da Google de destino, selecione uma ou mais listas de informações sobre ameaças da Google no campo Google Cloud Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
10. Origem: especifique parâmetros de origem opcionais. Para mais informações, consulte o artigo Fontes para regras de saída.
  - Para ignorar a filtragem do tráfego de saída por endereço IP de origem, selecione Nenhum.
  - Para filtrar o tráfego de saída por endereço IP de origem, selecione IPv4 ou IPv6 e, em seguida, introduza um ou mais CIDRs com o mesmo formato usado para intervalos IPv4 de destino ou intervalos IPv6 de destino.
11. Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte o artigo Protocolos e portas.
12. Aplicação: especifique se a regra de firewall é aplicada ou não:
  - Ativado: cria a regra e começa a aplicá-la a novas ligações.
  - Desativada: cria a regra, mas não a aplica a novas ligações.
Clique em Criar.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Substitua o seguinte:

PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
POLICY_NAME: o nome da política de firewall hierárquica na qual quer criar a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica, se a respetiva organização principal for uma organização.
FOLDER_ID: o ID da pasta que contém a política de firewall hierárquica, se o respetivo elemento principal for uma pasta.
DESCRIPTION: uma descrição opcional para a nova regra.
ACTION: especifique uma das seguintes ações:
- allow: permite ligações que correspondem à regra.
- deny: nega as ligações que correspondem à regra.
- goto_next: continua o processo de avaliação das regras de firewall.
- apply_security_profile_group: envia os pacotes para um ponto final da firewall ou um grupo de pontos finais de interceção.
  - Quando a ação é apply_security_profile_group, tem de incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança.
  - O perfil de segurança do grupo de perfis de segurança pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de endpoints de interceção da integração de segurança de rede para integração na banda.
  - Se o perfil de segurança do grupo de perfis de segurança referenciar um endpoint de firewall do Cloud NGFW, inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção de TLS.
As flags --enable-logging e --no-enable-logging ativam ou desativam o registo de regras de firewall.
Os indicadores --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
Especifique um alvo:
- Se omitir os flags --target-resources, --target-secure-tags e --target-service-accounts, o Cloud NGFW usa os alvos de instância mais amplos.
- TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. A flag --target-resources pode ser usada sozinha ou em combinação com outra flag de destino. Para mais informações, consulte o artigo Combinações de alvos específicos.
- TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de etiquetas seguras que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VMs que estão associadas a, pelo menos, um dos valores de etiquetas seguras.
- TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instâncias mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
- Um nome de protocolo IP (tcp) ou um número de protocolo IP da IANA (17) sem qualquer porta de destino.
- Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
- Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos com um traço para separar as portas de destino de início e fim (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
Especifique um destino para a regra de saída. Para mais informações, consulte as combinações de destinos das regras de saída:
- DEST_NETWORK_TYPE: define os tipos de rede de destino a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino. Os valores válidos são INTERNET e NON_INTERNET. Para mais informações, consulte o artigo Tipos de redes.
- DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
- DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores de URL únicos.
- DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
- DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização.
- DEST_THREAT_LIST_NAMES: uma lista de nomes separados por vírgulas de listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
Opcionalmente, especifique uma origem para a regra de saída:
- SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.

Apresenta todas as regras de uma política.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.get

Funções

Administrador de rede de computação (roles/compute.networkAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Compute Organization Firewall Policy User (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política. As regras são apresentadas no separador Regras de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Substitua o seguinte:

POLICY_NAME: o nome da política de firewall hierárquica que contém a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Descreva uma regra

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.get

Funções

Administrador de rede de computação (roles/compute.networkAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Compute Organization Firewall Policy User (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política.
Clique na prioridade da regra.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Substitua o seguinte:

POLICY_NAME: o nome da política de firewall hierárquica que contém a nova regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Atualize uma regra

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione a organização ou a pasta que contém a política de firewall hierárquica.
Clique no nome da política de firewall hierárquica que contém a regra a atualizar.
Clique na prioridade da regra.
Clique em Edit.
Modifique os campos da regra de firewall que quer alterar. Para ver descrições sobre cada campo, consulte um dos seguintes artigos:
- Crie uma regra de entrada para alvos de VM
- Crie uma regra de saída para destinos de VMs
Clique em Guardar.

gcloud

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Substitua o seguinte:

PRIORITY: o número de prioridade que identifica exclusivamente a regra.
POLICY_NAME: o nome da política que contém a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Indique as flags que quer modificar. Para ver as descrições das denúncias, consulte uma das seguintes opções:

Crie uma regra de entrada para segmentações de VMs
Crie uma regra de saída para destinos de VMs

Clone regras de uma política para outra

Remova todas as regras da política de destino e substitua-as pelas regras na política de origem.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.copyRules

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política a partir da qual quer copiar regras.
Clique em Clonar na parte superior do ecrã.
Indique o nome de uma política de segmentação.
Se quiser associar a nova política imediatamente, clique em Continuar para abrir a secção Associar política a recursos.
Clique em Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Substitua o seguinte:

POLICY_NAME: a política para receber as regras copiadas
SOURCE_POLICY: a política a partir da qual copiar as regras; tem de ser o URL do recurso
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Elimine uma regra

A eliminação de uma regra de uma política faz com que a regra deixe de se aplicar a novas ligações de ou para o destino da regra.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política.
Selecione a regra que quer eliminar.
Clique em Eliminar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Substitua o seguinte:

PRIORITY: a prioridade da regra que quer eliminar da política.
POLICY_NAME: o nome da política de firewall hierárquica que contém a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Obtenha regras de firewall eficazes para uma rede

Pode ver todas as regras da política de firewall hierárquica, as regras de firewall da VPC e as regras da política de firewall de rede global que se aplicam a todas as regiões de uma rede VPC.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Funções

Administrador de rede de computação (roles/compute.networkAdmin) no projeto que contém a rede ou
Utilizador da rede de computação (roles/compute.networkUser) no projeto que contém a rede ou
Leitor de rede de computação (roles/compute.networkViewer) no projeto que contém a rede ou
Administrador de segurança de computação (roles/compute.securityAdmin) no projeto que contém a rede ou
Leitor de computação (roles/compute.viewer) no projeto que contém a rede

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Clique na rede para a qual quer ver as regras da política de firewall.
Clique em Firewalls.
Expanda cada política de firewall para ver as regras que se aplicam a esta rede.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua NETWORK_NAME pela rede para a qual quer ver as regras eficazes.

Também pode ver as regras de firewall eficazes para uma rede na página Firewall.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.organizations.listAssociations na rede
Opcional: resourcemanager.folders.get e resourcemanager.organizations.get para ver informações nas colunas Herdado de e Localizado em

Funções

Para ver as regras de firewall:

compute.orgSecurityResourceAdmin
compute.viewer

Opcional: para ver informações nas colunas Herdado de e Localizado em:

browser
resourcemanager.organizationAdmin

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder às políticas de firewall
As políticas de firewall são apresentadas na secção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Obtenha regras de firewall eficazes para uma interface de VM

Pode ver todas as regras de firewall, de todas as políticas de firewall aplicáveis e regras de firewall da VPC, que se aplicam a uma interface de rede de uma VM do Compute Engine.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.instances.getEffectiveFirewalls

Funções

Administrador de instâncias do Compute (roles/compute.instanceAdmin) no projeto que contém a instância de VM ou
Agente de serviço do gestor de grupos de instâncias (roles/compute.instanceGroupManagerServiceAgent) no projeto que contém a instância de VM ou
Administrador de segurança do Compute (roles/compute.securityAdmin) no projeto que contém a instância de VM ou
Leitor do Compute (roles/compute.viewer) no projeto que contém a instância de VM

Consola

Na Google Cloud consola, aceda à página Instâncias de VM.

Aceder às instâncias de VM
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Para Interfaces de rede, clique na interface.
As regras de firewall eficazes aparecem no separador Firewalls disponível na secção Análise da configuração de rede.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua o seguinte:

INSTANCE_NAME: a VM para a qual quer ver as regras eficazes; se não for especificada nenhuma interface, o comando devolve regras para a interface principal (nic0).
INTERFACE: a interface de VM para a qual quer ver as regras eficazes; o valor predefinido é nic0.
ZONE: a zona da VM; esta linha é opcional se a zona escolhida já estiver definida como predefinição.

Resolução de problemas

Esta secção contém explicações para as mensagens de erro que pode encontrar.

FirewallPolicy may not specify a name. One will be provided.

Não pode especificar um nome de política. Os "nomes" das políticas de firewall hierárquicas são IDs numéricos gerados pelo Google Cloud quando a política é criada. No entanto, pode especificar um diminutivo mais amigável que funciona como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.

Só é possível criar associações depois de criar políticas de firewall hierárquicas.
Can't move firewall policy to a different organization.

As movimentações de políticas de firewall hierárquicas têm de permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Se um recurso já estiver associado a uma política de firewall hierárquica, a operação de associação falha, a menos que a opção de substituição das associações existentes esteja definida como verdadeira.
Can't have rules with the same priorities.

As prioridades das regras têm de ser exclusivas numa política de firewall hierárquica.
Direction must be specified for a firewall policy rule.

Quando cria regras de políticas de firewall hierárquicas enviando pedidos REST diretamente, tem de especificar a direção da regra. Quando usa a Google Cloud CLI e não é especificada nenhuma direção, a predefinição é INGRESS.
Can't specify enable_logging on a goto_next rule.

O registo do firewall não é permitido para regras com a ação goto_next porque as ações goto_next são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações terminais, por exemplo, ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.

A flag layer4Configs na regra da política de firewall tem de especificar, pelo menos, um protocolo ou um protocolo e uma porta de destino.

Para mais informações sobre a resolução de problemas de regras de políticas de firewall, consulte o artigo Resolução de problemas de regras de firewall da VPC.

Use regras e políticas de firewall hierárquicas Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Limitações

Tarefas da política de firewall

Autorizações necessárias para esta tarefa

Crie uma política de firewall

Autorizações necessárias para esta tarefa

Consola

gcloud

Associe uma política à organização ou à pasta

Autorizações necessárias para esta tarefa

Consola

gcloud

Mova uma política de um recurso para outro

Autorizações necessárias para esta tarefa

Consola

gcloud

Atualize uma descrição da política

Autorizações necessárias para esta tarefa

Consola

gcloud

Indicar políticas

Autorizações necessárias para esta tarefa

Consola

gcloud

Descreva uma política

Autorizações necessárias para esta tarefa

Consola

gcloud

Elimine uma política

Autorizações necessárias para esta tarefa

Consola

gcloud

Associações de listas para um recurso

Autorizações necessárias para esta tarefa

Consola

gcloud

Elimine uma associação

Autorizações necessárias para esta tarefa

Consola

gcloud

Tarefas de regras de políticas de firewall

Crie uma regra de entrada para alvos de VMs

Autorizações necessárias para esta tarefa

Consola

gcloud

Crie uma regra de saída para segmentações de VMs

Autorizações necessárias para esta tarefa

Consola

gcloud

Apresenta todas as regras de uma política.

Autorizações necessárias para esta tarefa

Consola

gcloud

Descreva uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Atualize uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Clone regras de uma política para outra

Autorizações necessárias para esta tarefa

Consola

gcloud

Elimine uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Obtenha regras de firewall eficazes para uma rede

Autorizações necessárias para esta tarefa

Consola

gcloud

Autorizações necessárias para esta tarefa

Consola

Obtenha regras de firewall eficazes para uma interface de VM

Autorizações necessárias para esta tarefa

Consola

gcloud

Resolução de problemas

Use regras e políticas de firewall hierárquicas