Nesta página, descrevemos como controlar o tráfego de rede em toda a sua organização e pastas doGoogle Cloud usando políticas e regras de firewall hierárquicas. Saiba como definir políticas no nível da organização ou da pasta e associá-las a recursos específicos.
Antes de ler esta página, confira se você conhece os conceitos descritos na Visão geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.
Limitações
- As regras de política hierárquica de firewall não permitem o uso de tags de rede para definir metas. Em vez disso, use uma rede de nuvem privada virtual (VPC) de destino ou uma conta de serviço de destino.
- As políticas de firewall podem ser aplicadas no nível da pasta e da organização, mas não no nível da rede VPC. As regras de firewall da VPC regulares são compatíveis com redes VPC.
- Somente uma política de firewall pode ser associada a um recurso (pasta ou organização), embora as instâncias de máquina virtual (VM) em uma pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
- A geração de registros de regras de política de firewall é compatível com regras
allowedeny, mas não com regrasgoto_next. - O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.
Tarefas de política de firewall
Nesta seção, descrevemos como criar e associar políticas hierárquicas de firewall.
Criar uma política de firewall
Ao criar uma política hierárquica de firewall, é possível definir a organização ou uma pasta dentro dela como o pai. Depois de criar a política, é possível associá-la à organização ou a uma pasta dela.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou uma pasta na organização.
Clique em Criar política de firewall.
No campo Nome da política, insira um nome para a política.
Opcional: se você quiser criar regras para sua política, clique em Continuar.
Na seção Adicionar regras, clique em Criar regra de firewall. Para mais informações sobre como criar regras de firewall, consulte o seguinte:
Opcional: se quiser associar a política a um recurso, clique em Continuar.
Na seção Associar política a recursos, clique em Adicionar.
Para mais informações, consulte Associar uma política à organização ou pasta.
Clique em Criar.
gcloud
Execute estes comandos para criar uma política de firewall hierárquica cuja organização seja a principal:
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
Execute estes comandos para criar uma política de firewall hierárquica cujo pai é uma pasta em uma organização:
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
Substitua:
ORG_ID: ID da sua organizaçãoEspecifique um ID da organização para criar uma política cuja organização mãe seja uma organização. A política pode ser associada à organização ou a uma pasta dentro dela.
SHORT_NAME: um nome para a política.Uma política criada usando a Google Cloud CLI tem dois nomes: um gerado pelo sistema e um nome curto fornecido por você. Ao usar a CLI gcloud para atualizar uma política, é possível fornecer o nome gerado pelo sistema ou o nome curto e o ID da organização. Ao usar a API para atualizar a política, é preciso informar o nome gerado pelo sistema.
FOLDER_ID: o ID de uma pastaEspecifique um ID de pasta para criar uma política cujo pai seja uma pasta. A política pode ser associada à organização que contém a pasta ou a qualquer pasta dentro dessa organização.
Associar uma política à organização ou pasta
Quando você associa uma política hierárquica de firewall a uma organização ou pasta em uma organização, as regras da política de firewall, exceto as regras desativadas e sujeitas ao destino de cada regra, se aplicam aos recursos em redes VPC em projetos da organização ou pasta associada.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou as pastas da organização.
Clique em Adicionar.
gcloud
Por padrão, se você tentar inserir uma associação a uma organização ou pasta que já tenha uma associação, o método vai falhar. Se você especificar a flag --replace-association-on-target, a associação atual será excluída ao mesmo tempo que a nova for criada. Isso
impede que o recurso não tenha uma política durante a transição.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
Substitua:
POLICY_NAME: o nome curto ou o nome da política gerado pelo sistemaORG_ID: ID da sua organizaçãoFOLDER_ID: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política ao nível da organizaçãoASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como "organizaçãoORG_ID" ou "pastaFOLDER_ID"
Tarefas de regras de política de firewall
Nesta seção, descrevemos como criar regras de política de firewall hierárquica.
Criar uma regra de entrada para destinos de VM
Nesta seção, descrevemos como criar uma regra de entrada que se aplica a interfaces de rede de instâncias do Compute Engine.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na lista do seletor de projetos, selecione uma organização ou pasta que contenha uma política de firewall hierárquica.
Se necessário, na seção Índice de hierarquia, selecione uma pasta filha.
Na seção Políticas de firewall, clique no nome de uma política de firewall hierárquica em que você quer criar uma regra.
Na seção Regras de firewall, clique em Criar regra de firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.Descrição: informe uma descrição opcional.
Direção do tráfego: selecione entrada.
Ação se houver correspondência: selecione uma das seguintes opções:
- Permitir: para permitir conexões que correspondem aos parâmetros da regra.
- Negar: para bloquear conexões que correspondem aos parâmetros da regra.
- Ir para a próxima: para continuar o processo de avaliação de regras de firewall.
- Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceptação com base na Finalidade selecionada.
- Para enviar pacotes a um endpoint de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e um Grupo de perfis de segurança. Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS.
- Para enviar pacotes a um grupo de endpoints de interceptação da Integração de Segurança de Rede para integração em banda, selecione NSI em banda e um Grupo de perfis de segurança.
Registros: selecione Ativado para ativar a geração de registros de regras de firewall ou Desativado para desativar a geração de registros de regras de firewall para essa regra.
Redes de destino: se quiser que a política de firewall seja aplicada a destinos em redes VPC específicas, clique em Adicionar rede e selecione o Projeto e a Rede.
Segmentação: selecione uma das seguintes opções:
- Aplicar a todos: o Cloud NGFW usa os destinos de instância mais amplos.
- Contas de serviço: restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam a conta de serviço especificada em Conta de serviço de destino.
- Tags seguras: restringem os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura especificados. Clique em Selecionar escopo para tags e escolha a organização ou o projeto que contém os valores de tag a serem correspondidos. Para adicionar mais valores de tag, clique em Adicionar tag.
Contexto da rede de origem: especifique um contexto de rede:
- Para pular a filtragem do tráfego de entrada por contexto de rede, selecione Todos os contextos de rede.
- Para filtrar o tráfego de entrada para um contexto de rede específico, selecione Contexto de rede específico e escolha um contexto de rede:
- Internet: o tráfego de entrada precisa corresponder ao contexto de rede da Internet para pacotes de entrada.
- Sem Internet: o tráfego de entrada precisa corresponder ao contexto de rede sem Internet para pacotes de entrada.
- Intra VPC: o tráfego de entrada precisa corresponder aos Critérios para contexto de rede intra VPC.
- Redes VPC: o tráfego de entrada precisa corresponder aos Critérios para contexto de redes VPC.
Selecione pelo menos uma rede VPC:
- Selecionar projeto atual: permite adicionar uma ou mais rede VPC do projeto que contém a política de firewall.
- Inserir rede manualmente: permite inserir manualmente um projeto e uma rede VPC.
- Selecionar projeto: permite escolher um projeto em que você pode selecionar uma rede VPC.
Filtros de origem: especifique outros parâmetros de origem. Alguns parâmetros de origem não podem ser usados juntos, e sua escolha de contexto de rede de origem limita quais parâmetros de origem podem ser usados. Para mais informações, consulte Origens das regras de entrada e Combinações de origem das regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4
e insira os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6
e insira os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer origem IPv6. - Para filtrar o tráfego de entrada por valores de tags seguras de origem, selecione Selecionar escopo para tags na seção Tags seguras. Em seguida, forneça chaves e valores de tag. Para adicionar mais valores de tag, clique em Adicionar tag.
- Para filtrar o tráfego de entrada por FQDN de origem, insira FQDNs no campo FQDNs. Para mais informações, consulte Objetos FQDN.
- Para filtrar o tráfego de entrada por geolocalização de origem, selecione um ou mais locais no campo Geolocalizações. Para mais informações, consulte Objetos de geolocalização.
- Para filtrar o tráfego de entrada por grupo de endereços de origem, selecione um ou mais grupos no campo Grupos de endereços. Para mais informações, consulte Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de entrada por listas de origem do Google Threat Intelligence, selecione uma ou mais listas no campo Google Cloud Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4
e insira os blocos CIDR no campo Intervalos de IP. Use
Destino: especifique parâmetros de destino opcionais. Para mais informações, consulte Destinos das regras de entrada.
- Para pular a filtragem do tráfego de entrada por endereço IP de destino, selecione Nenhum.
- Para filtrar o tráfego de entrada por endereço IP de destino, selecione IPv4 ou IPv6 e insira um ou mais CIDRs usando o mesmo formato usado para intervalos IPv4 de origem ou intervalos IPv6 de origem.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativada: cria a regra e começa a aplicá-la em novas conexões.
- Desativada: cria a regra, mas não a aplica a novas conexões.
Clique em Criar.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall hierárquica em que você quer criar a regra.ORG_ID: o ID da organização que contém a política de firewall hierárquica, se o pai for uma organização.FOLDER_ID: o ID da pasta que contém a política de firewall hierárquica, se o pai for uma pasta.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.goto_next: continua o processo de avaliação de regras de firewall.
apply_security_profile_group: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceptação.- Quando a ação é
apply_security_profile_group, é necessário incluir--security-profile-group SECURITY_PROFILE_GROUP, em queSECURITY_PROFILE_GROUPé o nome de um grupo de perfis de segurança. - O perfil de segurança do grupo pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de endpoints de interceptação da integração de segurança de rede para integração em banda.
- Se o perfil de segurança do grupo de perfis de segurança fizer referência a um endpoint de firewall do Cloud NGFW, inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção TLS.
- Quando a ação é
- As flags
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall da VPC. - As flags
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um destino:
- Se você omitir as flags
--target-resources,--target-secure-tagse--target-service-accounts, o Cloud NGFW vai usar os destinos de instância mais amplos. TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos URLs de recursos de rede no formatohttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. A flag--target-resourcespode ser usada sozinha ou em combinação com outra flag de segmentação. Para mais informações, consulte Combinações de segmentação específicas.TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de tag segura que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se você omitir as flags
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique uma origem para a regra de entrada.
Para mais informações, consulte Combinações de origem de regras de entrada:
SRC_NETWORK_CONTEXT: define um contexto de rede de origem a ser usado em conjunto com outro parâmetro de origem compatível para produzir uma combinação de origem. Os valores válidos quando--target-type=INSTANCESsão:INTERNET,NON_INTERNET,VPC_NETWORKSouINTRA_VPC. Para mais informações, consulte Contextos de rede.SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique essa flag apenas quando o--src-network-contextforVPC_NETWORKS.SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação de ambos.SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.SRC_SECURE_TAGS: uma lista de tags separada por vírgulas. Não é possível usar a flag--src-secure-tagsse o--src-network-contextforINTERNET.SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização. Não é possível usar a flag--src-region-codesse o--src-network-contextforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras das políticas de firewall. Não é possível usar a flag--src-threat-intelligencese o--src-network-contextforNON_INTERNET,VPC_NETWORKSouINTRA_VPC.
-
Opcionalmente, especifique um destino para a regra de entrada:
DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
Criar uma regra de saída para destinos de VM
As instruções a seguir mostram como criar uma regra de saída. As regras de saída só se aplicam a destinos que são interfaces de rede de instâncias do Compute Engine.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na lista do seletor de projetos, selecione uma organização ou pasta que contenha uma política de firewall hierárquica.
Se necessário, na seção Índice de hierarquia, selecione uma pasta filha.
Na seção Políticas de firewall, clique no nome de uma política de firewall hierárquica em que você quer criar uma regra.
Na seção Regras de firewall, clique em Criar regra de firewall e especifique os seguintes parâmetros de configuração:
Prioridade: a ordem de avaliação numérica da regra.
As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.Descrição: informe uma descrição opcional.
Direção do tráfego: selecione Saída.
Ação se houver correspondência: selecione uma das seguintes opções:
- Permitir: para permitir conexões que correspondem aos parâmetros da regra.
- Negar: para bloquear conexões que correspondem aos parâmetros da regra.
- Ir para a próxima: para continuar o processo de avaliação de regras de firewall.
- Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceptação com base na Finalidade selecionada.
- Para enviar pacotes a um endpoint de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e um Grupo de perfis de segurança. Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS.
- Para enviar pacotes a um grupo de endpoints de interceptação da Integração de Segurança de Rede para integração em banda, selecione NSI em banda e um Grupo de perfis de segurança.
Registros: selecione Ativado para ativar a geração de registros de regras de firewall ou Desativado para desativar a geração de registros de regras de firewall para essa regra.
Redes de destino: se quiser que a política de firewall seja aplicada a destinos em redes VPC específicas, clique em Adicionar rede e selecione o Projeto e a Rede.
Segmentação: selecione uma das seguintes opções:
- Aplicar a todos: o Cloud NGFW usa os destinos de instância mais amplos.
- Contas de serviço: restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam a conta de serviço especificada em Conta de serviço de destino.
- Tags seguras: restringem os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura especificados. Clique em Selecionar escopo para tags e escolha a organização ou o projeto que contém os valores de tag a serem correspondidos. Para adicionar mais valores de tag, clique em Adicionar tag.
Contexto da rede de destino: especifique um contexto de rede:
- Para pular a filtragem do tráfego de saída por contexto de rede, selecione Todos os contextos de rede.
- Para filtrar o tráfego de saída para um contexto de rede específico, selecione
Contexto de rede específico e escolha um
contexto de rede:
- Internet: o tráfego de saída precisa corresponder ao contexto de rede da Internet para pacotes de saída.
- Não relacionada à Internet: o tráfego de saída precisa corresponder ao contexto de rede não relacionada à Internet para pacotes de saída.
Filtros de destino: especifique outros parâmetros de destino. Alguns parâmetros de destino não podem ser usados juntos, e sua escolha de contexto de rede de destino limita os filtros de destino que você pode usar. Para mais informações, consulte Destinos das regras de saída e Combinações de destino das regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use
::/0para qualquer destino IPv6. - Para filtrar o tráfego de saída por FQDN de destino, insira FQDNs no campo FQDNs. Para mais informações, consulte Objetos FQDN.
- Para filtrar o tráfego de saída por geolocalização de destino, selecione um ou mais locais no campo Geolocalizações. Para mais informações, consulte Objetos de geolocalização.
- Para filtrar o tráfego de saída por grupo de endereços de destino, selecione um ou mais grupos no campo Grupos de endereços. Para mais informações, consulte Grupos de endereços para políticas de firewall.
- Para filtrar o tráfego de saída por listas de destino do Google Threat Intelligence, selecione uma ou mais listas no campo Google Cloud Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use
Origem: especifique parâmetros de origem opcionais. Para mais informações, consulte Origens das regras de saída.
- Para pular a filtragem do tráfego de saída por endereço IP de origem, selecione Nenhum.
- Para filtrar o tráfego de saída por endereço IP de origem, selecione IPv4 ou IPv6 e insira um ou mais CIDRs usando o mesmo formato usado para intervalos IPv4 ou IPv6 de destino.
Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte Protocolos e portas.
Aplicação: especifique se a regra de firewall é aplicada ou não:
- Ativada: cria a regra e começa a aplicá-la em novas conexões.
- Desativada: cria a regra, mas não a aplica a novas conexões.
Clique em Criar.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Substitua:
PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que0é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo,100,200,300) para que seja possível criar novas regras entre as atuais mais tarde.POLICY_NAME: o nome da política de firewall hierárquica em que você quer criar a regra.ORG_ID: o ID da organização que contém a política de firewall hierárquica, se o pai for uma organização.FOLDER_ID: o ID da pasta que contém a política de firewall hierárquica, se o pai for uma pasta.DESCRIPTION: uma descrição opcional para a nova regra.-
ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem à regra.deny: nega conexões que correspondem à regra.goto_next: continua o processo de avaliação de regras de firewall.
apply_security_profile_group: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceptação.- Quando a ação é
apply_security_profile_group, é necessário incluir--security-profile-group SECURITY_PROFILE_GROUP, em queSECURITY_PROFILE_GROUPé o nome de um grupo de perfis de segurança. - O perfil de segurança do grupo pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de endpoints de interceptação da integração de segurança de rede para integração em banda.
- Se o perfil de segurança do grupo de perfis de segurança fizer referência a um endpoint de firewall do Cloud NGFW, inclua
--tls-inspectou--no-tls-inspectpara ativar ou desativar a inspeção TLS.
- Quando a ação é
- As flags
--enable-logginge--no-enable-loggingativam ou desativam a geração de registros de regras de firewall da VPC. - As flags
--disablede--no-disabledcontrolam se a regra está desativada (não aplicada) ou ativada (aplicada). -
Especifique um destino:
- Se você omitir as flags
--target-resources,--target-secure-tagse--target-service-accounts, o Cloud NGFW vai usar os destinos de instância mais amplos. TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos URLs de recursos de rede no formatohttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. A flag--target-resourcespode ser usada sozinha ou em combinação com outra flag de segmentação. Para mais informações, consulte Combinações de segmentação específicas.TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de tag segura que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura.TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
- Se você omitir as flags
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:- Um nome de protocolo IP (
tcp) ou um número de protocolo IP da IANA (17) sem porta de destino. - Um nome de protocolo IP e uma porta de destino separados por dois pontos (
tcp:80). - Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos
usando um traço para separar as portas de destino inicial e final
(
tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
- Um nome de protocolo IP (
-
Especifique um destino para a regra de saída.
Para mais informações, consulte Combinações de destino de regras de
saída:
DEST_NETWORK_CONTEXT: define um contexto de rede de destino a ser usado com outro parâmetro de destino compatível para produzir uma combinação de destino. Os valores válidos sãoINTERNETeNON_INTERNET. Para mais informações, consulte Contextos de rede.DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL.DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização.DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
-
Se quiser, especifique uma origem para a regra de saída:
SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.