Usar políticas e regras hierárquicas de firewall

Nesta página, consideramos que você esteja familiarizado com os conceitos descritos na Visão geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.

Limitações

As regras de política hierárquica de firewall não permitem o uso de tags de rede para definir metas. Em vez disso, use uma rede VPC de destino ou uma conta de serviço de destino.
As políticas de firewall podem ser aplicadas no nível da pasta e da organização, mas não no nível da rede VPC. As regras de firewall da VPC regulares são compatíveis com redes VPC.
Somente uma política de firewall pode ser associada a um recurso (pasta ou organização), embora as instâncias de máquina virtual (VM) em uma pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
A geração de registros de regras de firewall é compatível com regras allow e deny, mas não com regras goto_next.
O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Tarefas de política de firewall

Nesta seção, descrevemos como criar e gerenciar políticas de firewall hierárquicas.

Para verificar o progresso de uma operação resultante de uma tarefa listada nesta seção, confira se o principal do IAM tem as seguintes permissões ou papéis além de permissões ou papéis necessários para cada tarefa.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) na organização

Criar uma política de firewall

Ao criar uma política hierárquica de firewall, é possível definir o pai como a organização ou uma pasta dentro dela. Depois de criar a política, é possível associá-la à organização ou a uma pasta dela.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.create

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) na organização ou pasta em que você quer criar a política
Administrador de segurança do Compute (roles/compute.securityAdmin) na organização ou pasta em que você quer criar a política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou uma pasta na organização.
Clique em Criar política de firewall.
No campo Nome da política, insira um nome para a política.
Opcional: se você quiser criar regras para sua política, clique em Continuar.
Na seção Adicionar regras, clique em Criar regra de firewall. Para mais informações sobre como criar regras de firewall, consulte o seguinte:
- Criar uma regra de entrada para destinos de VM
- Criar uma regra de saída para destinos de VM
Opcional: se quiser associar a política a um recurso, clique em Continuar.
Na seção Associar política a recursos, clique em Adicionar.

Para mais informações, consulte Associar uma política à organização ou pasta.
Clique em Criar.

gcloud

Execute estes comandos para criar uma política de firewall hierárquica cuja organização seja a principal:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Execute estes comandos para criar uma política de firewall hierárquica cujo pai é uma pasta em uma organização:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Substitua:

ORG_ID: ID da sua organização

Especifique um ID da organização para criar uma política cuja organização mãe seja uma organização. A política pode ser associada à organização ou a uma pasta dentro dela.
SHORT_NAME: um nome para a política.

Uma política criada usando a Google Cloud CLI tem dois nomes: um gerado pelo sistema e um curto fornecido por você. Ao usar a CLI gcloud para atualizar uma política, é possível fornecer o nome gerado pelo sistema ou o nome curto e o ID da organização. Ao usar a API para atualizar a política, é preciso informar o nome gerado pelo sistema.
FOLDER_ID: o ID de uma pasta

Especifique um ID de pasta para criar uma política cujo pai é uma pasta. A política pode ser associada à organização que contém a pasta ou a qualquer pasta dentro dessa organização.

Associar uma política à organização ou pasta

Quando você associa uma política hierárquica de firewall a uma organização ou pasta em uma organização, as regras da política de firewall, exceto as regras desativadas e sujeitas ao destino de cada regra, se aplicam aos recursos em redes VPC em projetos da organização ou pasta associada.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Papéis

Administrador de recursos de organização de computação (roles/compute.orgSecurityResourceAdmin) na organização ou pasta a que a política de firewall deve ser aplicada
E um dos seguintes papéis:
- Administrador de rede do Compute (roles/compute.networkAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) na política de firewall, na organização ou na pasta que contém a política de firewall
- Usuário de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyUser ) na política de firewall, na organização ou na pasta que contém a política de firewall
- Administrador da política de segurança da organização do Compute (roles/compute.orgSecurityPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Usuário de políticas de segurança da organização do Compute (roles/compute.orgSecurityPolicyUser) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador de segurança do Compute (roles/compute.securityAdmin) na política de firewall, organização ou pasta que contém a política de firewall

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou as pastas da organização.
Clique em Adicionar.

gcloud

Por padrão, se você tentar inserir uma associação a uma organização ou pasta que já tenha uma associação, o método vai falhar. Se você especificar a flag --replace-association-on-target, a associação atual será excluída ao mesmo tempo que a nova for criada. Isso impede que o recurso não tenha uma política durante a transição.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Substitua:

POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema
ORG_ID: ID da sua organização
FOLDER_ID: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política ao nível da organização
ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como "organização ORG_ID" ou "pasta FOLDER_ID"

Mover uma política de um recurso para outro

Mover uma política só muda o pai dela. Mudar o pai da política pode alterar quais principais do IAM podem criar e atualizar regras na política e quais principais do IAM podem criar associações futuras.

Mover uma política não muda nenhuma associação de política ou a avaliação de regras na política.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.move

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no novo recurso pai (organização ou pasta) e no recurso pai anterior ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no novo recurso pai (organização ou pasta) e no recurso pai anterior ou na própria política

Console

Use a Google Cloud CLI para este procedimento.

gcloud

Execute estes comandos para mover a política de firewall hierárquica para uma organização:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Execute estes comandos para mover a política de firewall hierárquica para uma pasta em uma organização:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Substitua:

POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema que você está movendo
ORG_ID: o ID da organização para onde a política é movida
FOLDER_ID: o ID da pasta para onde a política será movida

Atualizar uma descrição da política

O único campo de política que pode ser atualizado é Descrição.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique em Editar.
Modifique a descrição.
Clique em Salvar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Políticas de lista

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.list

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Usuário de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyUser) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

Para uma organização, a seção Políticas de firewall associadas a esta organização mostra as políticas associadas. A seção Políticas de firewall localizadas nesta organização lista as políticas que são de propriedade da organização.

Para uma pasta, a seção Políticas de firewall associadas a esta pasta ou herdadas por ela mostra as políticas associadas ou herdadas por ela. A seção Políticas de firewall localizadas nesta pasta lista as políticas que são de propriedade da pasta.

Observação: as políticas de propriedade de um recurso (organização ou pasta) podem não estar associadas a esse recurso, mas estão disponíveis para serem associadas a ele ou a outro do Google Cloud.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descrever uma política

É possível conferir detalhes sobre uma política de firewall hierárquica, incluindo as regras da política e os atributos de regra associados. Todos esses atributos são contados como parte da cota. Para mais informações, consulte "Atributos de regra por política hierárquica de firewall" na tabela Por política de firewall.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.get

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou a própria política
Usuário de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyUser) no recurso pai (organização ou pasta) que contém a política ou a própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Excluir uma política

Antes de excluir uma política de firewall hierárquica, exclua todas as associações dela.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.delete

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois que todas as associações forem removidas, clique em Excluir.

gcloud

Use o comando a seguir para excluir a política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Listar associações para um recurso

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.listAssociations

Papéis

Administrador de recursos de organização de computação (roles/compute.orgSecurityResourceAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Uma lista de políticas associadas e herdadas é exibida para o recurso selecionado (organização ou pasta).

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Excluir uma associação

Se você precisar mudar a política hierárquica de firewall associada a uma organização ou pasta, recomendamos associar uma nova política em vez de excluir uma política associada. É possível associar uma nova política em uma etapa, o que ajuda a garantir que uma política hierárquica de firewall esteja sempre associada à organização ou pasta.

Para excluir uma associação entre uma política de firewall hierárquica e uma organização ou pasta, siga as etapas mencionadas nesta seção. As regras da política hierárquica de firewall não se aplicam a novas conexões depois que a associação é excluída.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.setFirewallPolicy

Papéis

Administrador de recursos de organização de computação (roles/compute.orgSecurityResourceAdmin) no recurso principal (organização ou pasta) associado à política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associação.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tarefas de regras de política de firewall

Nesta seção, descrevemos como criar e gerenciar regras de política hierárquica de firewall.

Criar uma regra de entrada para destinos de VM

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) na política de firewall, na organização ou na pasta que contém a política
Administrador de segurança do Compute (roles/compute.securityAdmin) na política de firewall ou organização ou pasta que contém a política

Nesta seção, descrevemos como criar uma regra de entrada que se aplica a interfaces de rede de instâncias do Compute Engine.

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
Na lista do seletor de projetos, selecione uma organização ou pasta que contenha uma política de firewall hierárquica.
Se necessário, na seção Índice de hierarquia, selecione uma pasta filha.
Na seção Políticas de firewall, clique no nome de uma política de firewall hierárquica em que você quer criar uma regra.
Na seção Regras de firewall, clique em Criar regra de firewall e especifique os seguintes parâmetros de configuração:
1. Prioridade: a ordem de avaliação numérica da regra.
  
  As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
2. Descrição: informe uma descrição opcional.
3. Direção do tráfego: selecione entrada.
4. Ação se houver correspondência: selecione uma das seguintes opções:
  - Permitir: para permitir conexões que correspondem aos parâmetros da regra.
  - Negar: para bloquear conexões que correspondem aos parâmetros da regra.
  - Ir para a próxima: para continuar o processo de avaliação de regras de firewall.
  - Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceptação com base na Finalidade selecionada.
    - Para enviar pacotes a um endpoint de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e um Grupo de perfis de segurança. Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
    - Para enviar pacotes a um grupo de endpoints de interceptação da integração de segurança de rede para integração no intervalo, selecione NSI no intervalo e um Grupo de perfis de segurança.
5. Registros: selecione Ativado para ativar a geração de registros de regras de firewall ou Desativado para desativar a geração de registros de regras de firewall para essa regra.
6. Redes de destino: se quiser que a política de firewall seja aplicada a destinos em redes VPC específicas, clique em Adicionar rede e selecione o Projeto e a Rede.
7. Segmentação: selecione uma das seguintes opções:
  - Aplicar a todos: o Cloud NGFW usa os destinos de instância mais amplos.
  - Contas de serviço: restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam a conta de serviço especificada em Conta de serviço de destino.
  - Tags seguras: restringem os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura especificados. Clique em Selecionar escopo para tags e escolha a organização ou o projeto que contém os valores de tag a serem correspondidos. Para adicionar mais valores de tag, clique em Adicionar tag.
8. Tipo de rede de origem: especifique um tipo de rede:
  - Para pular a filtragem do tráfego de entrada por tipo de rede, selecione Todos os tipos de rede.
  - Para filtrar o tráfego de entrada para um tipo de rede específico, selecione Tipo de rede específico e escolha uma opção:
    - Internet: o tráfego de entrada precisa corresponder ao tipo de rede da Internet para pacotes de entrada.
    - Não Internet: o tráfego de entrada precisa corresponder ao tipo de rede não Internet para pacotes de entrada.
    - Intra VPC: o tráfego de entrada precisa corresponder aos critérios para o tipo de rede intra VPC.
    - Redes VPC: o tráfego de entrada precisa corresponder aos Critérios para o tipo de redes VPC. Selecione pelo menos uma rede VPC:
      - Selecionar projeto atual: permite adicionar uma ou mais rede VPC do projeto que contém a política de firewall.
      - Inserir rede manualmente: permite inserir manualmente um projeto e uma rede VPC.
      - Selecionar projeto: permite escolher um projeto em que você pode selecionar uma rede VPC.
9. Filtros de origem: especifique outros parâmetros de origem. Alguns parâmetros de origem não podem ser usados juntos, e sua escolha de tipo de rede de origem limita quais parâmetros de origem podem ser usados. Para mais informações, consulte Origens das regras de entrada e Combinações de origem das regras de entrada.
  - Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
  - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.
  - Para filtrar o tráfego de entrada por valores de tags seguras de origem, selecione Selecionar escopo para tags na seção Tags seguras. Em seguida, forneça chaves e valores de tag. Para adicionar mais valores de tag, clique em Adicionar tag.
  - Para filtrar o tráfego de entrada por FQDN de origem, insira FQDNs no campo FQDNs. Para mais informações, consulte Objetos FQDN.
  - Para filtrar o tráfego de entrada por geolocalização de origem, selecione um ou mais locais no campo Geolocalizações. Para mais informações, consulte Objetos de geolocalização.
  - Para filtrar o tráfego de entrada por grupo de endereços de origem, selecione um ou mais grupos no campo Grupos de endereços. Para mais informações, consulte Grupos de endereços para políticas de firewall.
  - Para filtrar o tráfego de entrada por listas de origem do Google Threat Intelligence, selecione uma ou mais listas no campo Google Cloud Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
10. Destino: especifique parâmetros de destino opcionais. Para mais informações, consulte Destinos das regras de entrada.
  - Para pular a filtragem do tráfego de entrada por endereço IP de destino, selecione Nenhum.
  - Para filtrar o tráfego de entrada por endereço IP de destino, selecione IPv4 ou IPv6 e insira um ou mais CIDRs usando o mesmo formato usado para intervalos IPv4 de origem ou intervalos IPv6 de origem.
11. Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte Protocolos e portas.
12. Aplicação: especifique se a regra de firewall é aplicada ou não:
  - Ativada: cria a regra e começa a aplicá-la em novas conexões.
  - Desativada: cria a regra, mas não a aplica a novas conexões.
Clique em Criar.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Substitua:

PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos separar os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que você possa criar novas regras entre as atuais mais tarde.
POLICY_NAME: o nome da política de firewall hierárquica em que você quer criar a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica, se o pai for uma organização.
FOLDER_ID: o ID da pasta que contém a política de firewall hierárquica, se o pai for uma pasta.
DESCRIPTION: uma descrição opcional para a nova regra.
ACTION: especifique uma das seguintes ações:
- allow: permite conexões que correspondem à regra.
- deny: nega conexões que correspondem à regra.
- goto_next: continua o processo de avaliação de regras de firewall.
- apply_security_profile_group: envia os pacotes para um endpoint de firewall ou grupo de endpoints de interceptação.
  - Quando a ação é apply_security_profile_group, é necessário incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança.
  - O perfil de segurança do grupo pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de endpoints de interceptação da integração de segurança de rede para integração em banda.
  - Se o perfil de segurança do grupo de perfis de segurança fizer referência a um endpoint de firewall do Cloud NGFW, inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção TLS.
As flags --enable-logging e --no-enable-logging ativam ou desativam a geração de registros de regras de firewall.
As flags --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
Especifique um destino:
- Se você omitir as flags --target-resources, --target-secure-tags e --target-service-accounts, o Cloud NGFW usará os destinos de instância mais amplos.
- TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. A flag --target-resources pode ser usada sozinha ou em combinação com outra flag de segmentação. Para mais informações, consulte Combinações de segmentação específicas.
- TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de tag segura que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura.
- TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
- Um nome de protocolo IP (tcp) ou um número de protocolo IP da IANA (17) sem porta de destino.
- Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
- Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos usando um traço para separar as portas de destino inicial e final (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
Especifique uma origem para a regra de entrada. Para mais informações, consulte Combinações de origem de regras de entrada:
- SRC_NETWORK_TYPE: define tipos de rede de origem a serem usados em conjunto com outro parâmetro de origem compatível para produzir uma combinação de origem. Os valores válidos quando --target-type=INSTANCES são: INTERNET, NON_INTERNET, VPC_NETWORKS ou INTRA_VPC. Para mais informações, consulte Tipos de rede.
- SRC_VPC_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique essa flag apenas quando o --src-network-type for VPC_NETWORKS.
- SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
- SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação de ambos.
- SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
- SRC_SECURE_TAGS: uma lista de tags separadas por vírgulas. Não é possível usar a flag --src-secure-tags se o --src-network-type for INTERNET.
- SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização. Não é possível usar a flag --src-region-codes se o --src-network-type for NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
- SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras das políticas de firewall. Não é possível usar a flag --src-threat-intelligence se o --src-network-type for NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
Opcionalmente, especifique um destino para a regra de entrada:
- DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.

Criar uma regra de saída para destinos de VM

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) na política de firewall, na organização ou na pasta que contém a política
Administrador de segurança do Compute (roles/compute.securityAdmin) na política de firewall ou organização ou pasta que contém a política

As instruções a seguir mostram como criar uma regra de saída. As regras de saída só se aplicam a destinos que são interfaces de rede de instâncias do Compute Engine.

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
Na lista do seletor de projetos, selecione uma organização ou pasta que contenha uma política de firewall hierárquica.
Se necessário, na seção Índice de hierarquia, selecione uma pasta filha.
Na seção Políticas de firewall, clique no nome de uma política de firewall hierárquica em que você quer criar uma regra.
Na seção Regras de firewall, clique em Criar regra de firewall e especifique os seguintes parâmetros de configuração:
1. Prioridade: a ordem de avaliação numérica da regra.
  
  As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
2. Descrição: informe uma descrição opcional.
3. Direção do tráfego: selecione Saída.
4. Ação se houver correspondência: selecione uma das seguintes opções:
  - Permitir: para permitir conexões que correspondem aos parâmetros da regra.
  - Negar: para bloquear conexões que correspondem aos parâmetros da regra.
  - Ir para a próxima: para continuar o processo de avaliação de regras de firewall.
  - Aplicar grupo de perfis de segurança: envia os pacotes para um endpoint de firewall ou um grupo de endpoints de interceptação com base na Finalidade selecionada.
    - Para enviar pacotes a um endpoint de firewall do Cloud NGFW, selecione Cloud NGFW Enterprise e um Grupo de perfis de segurança. Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
    - Para enviar pacotes a um grupo de endpoints de interceptação da integração de segurança de rede para integração no intervalo, selecione NSI no intervalo e um Grupo de perfis de segurança.
5. Registros: selecione Ativado para ativar a geração de registros de regras de firewall ou Desativado para desativar a geração de registros de regras de firewall para essa regra.
6. Redes de destino: se quiser que a política de firewall seja aplicada a destinos em redes VPC específicas, clique em Adicionar rede e selecione o Projeto e a Rede.
7. Segmentação: selecione uma das seguintes opções:
  - Aplicar a todos: o Cloud NGFW usa os destinos de instância mais amplos.
  - Contas de serviço: restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam a conta de serviço especificada em Conta de serviço de destino.
  - Tags seguras: restringem os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura especificados. Clique em Selecionar escopo para tags e escolha a organização ou o projeto que contém os valores de tag a serem correspondidos. Para adicionar mais valores de tag, clique em Adicionar tag.
8. Tipo de rede de destino: especifique um tipo de rede:
  - Para pular a filtragem do tráfego de saída por tipo de rede, selecione Todos os tipos de rede.
  - Para filtrar o tráfego de saída para um tipo de rede específico, selecione Tipo de rede específico e escolha um tipo de rede:
    - Internet: o tráfego de saída precisa corresponder ao tipo de rede da Internet para pacotes de saída.
    - Não relacionada à Internet: o tráfego de saída precisa corresponder ao tipo de rede não relacionada à Internet para pacotes de saída.
9. Filtros de destino: especifique outros parâmetros de destino. Alguns parâmetros de destino não podem ser usados juntos, e sua escolha de tipo de rede de destino limita os filtros de destino que você pode usar. Para mais informações, consulte Destinos das regras de saída e Combinações de destino das regras de saída.
  - Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
  - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.
  - Para filtrar o tráfego de saída por FQDN de destino, insira os FQDNs no campo FQDNs. Para mais informações, consulte Objetos FQDN.
  - Para filtrar o tráfego de saída por geolocalização de destino, selecione um ou mais locais no campo Geolocalizações. Para mais informações, consulte Objetos de geolocalização.
  - Para filtrar o tráfego de saída por grupo de endereços de destino, selecione um ou mais grupos no campo Grupos de endereços. Para mais informações, consulte Grupos de endereços para políticas de firewall.
  - Para filtrar o tráfego de saída por listas de destino do Google Threat Intelligence, selecione uma ou mais listas no campo Google Cloud Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
10. Origem: especifique parâmetros de origem opcionais. Para mais informações, consulte Origens das regras de saída.
  - Para pular a filtragem do tráfego de saída por endereço IP de origem, selecione Nenhum.
  - Para filtrar o tráfego de saída por endereço IP de origem, selecione IPv4 ou IPv6 e insira um ou mais CIDRs usando o mesmo formato usado para intervalos IPv4 ou IPv6 de destino.
11. Protocolos e portas: especifique os protocolos e as portas de destino para que o tráfego corresponda à regra. Para mais informações, consulte Protocolos e portas.
12. Aplicação: especifique se a regra de firewall é aplicada ou não:
  - Ativada: cria a regra e começa a aplicá-la em novas conexões.
  - Desativada: cria a regra, mas não a aplica a novas conexões.
Clique em Criar.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Substitua:

PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos separar os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que você possa criar novas regras entre as atuais mais tarde.
POLICY_NAME: o nome da política de firewall hierárquica em que você quer criar a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica, se o pai for uma organização.
FOLDER_ID: o ID da pasta que contém a política de firewall hierárquica, se o pai for uma pasta.
DESCRIPTION: uma descrição opcional para a nova regra.
ACTION: especifique uma das seguintes ações:
- allow: permite conexões que correspondem à regra.
- deny: nega conexões que correspondem à regra.
- goto_next: continua o processo de avaliação de regras de firewall.
- apply_security_profile_group: envia os pacotes para um endpoint de firewall ou grupo de endpoints de interceptação.
  - Quando a ação é apply_security_profile_group, é necessário incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança.
  - O perfil de segurança do grupo pode referenciar um endpoint de firewall do Cloud NGFW ou um grupo de endpoints de interceptação da integração de segurança de rede para integração em banda.
  - Se o perfil de segurança do grupo de perfis de segurança fizer referência a um endpoint de firewall do Cloud NGFW, inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção TLS.
As flags --enable-logging e --no-enable-logging ativam ou desativam a geração de registros de regras de firewall.
As flags --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
Especifique um destino:
- Se você omitir as flags --target-resources, --target-secure-tags e --target-service-accounts, o Cloud NGFW usará os destinos de instância mais amplos.
- TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. A flag --target-resources pode ser usada sozinha ou em combinação com outra flag de segmentação. Para mais informações, consulte Combinações de segmentação específicas.
- TARGET_SECURE_TAGS: uma lista separada por vírgulas de valores de tag segura que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM vinculadas a pelo menos um dos valores de tag segura.
- TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço que restringe os destinos de instância mais amplos às interfaces de rede de instâncias de VM que usam uma das contas de serviço.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
- Um nome de protocolo IP (tcp) ou um número de protocolo IP da IANA (17) sem porta de destino.
- Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
- Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos usando um traço para separar as portas de destino inicial e final (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
Especifique um destino para a regra de saída. Para mais informações, consulte Combinações de destino de regras de saída:
- DEST_NETWORK_TYPE: define um tipo de rede de destino a ser usado com outro parâmetro de destino compatível para produzir uma combinação de destino. Os valores válidos são INTERNET e NON_INTERNET. Para mais informações, consulte Tipos de rede.
- DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
- DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL.
- DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
- DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização.
- DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
Se quiser, especifique uma origem para a regra de saída:
- SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.

Listar todas as regras em uma política

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.get

Papéis

Administrador de rede do Compute (roles/compute.networkAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Usuário de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyUser) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política. As regras são listadas na guia Regras de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Substitua:

POLICY_NAME: o nome da política de firewall hierárquica que contém a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Descrever uma regra

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.get

Papéis

Administrador de rede do Compute (roles/compute.networkAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Usuário de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyUser) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Substitua:

POLICY_NAME: o nome da política de firewall hierárquica que contém a nova regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Atualizar uma regra

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione a organização ou pasta que contém a política de firewall hierárquica.
Clique no nome da política de firewall hierárquica que contém a regra a ser atualizada.
Clique na prioridade da regra.
Clique em Editar.
Modifique os campos da regra de firewall que você quer mudar. Para descrições sobre cada campo, consulte uma das seguintes opções:
- Criar uma regra de entrada para destinos de VM
- Criar uma regra de saída para destinos de VM
Clique em Salvar.

gcloud

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Substitua:

PRIORITY: o número de prioridade que identifica exclusivamente a regra.
POLICY_NAME: o nome da política que contém a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Forneça as flags que você quer modificar. Para conferir as descrições das flags, consulte uma das seguintes opções:

Criar uma regra de entrada para destinos de VM
Criar uma regra de saída para destinos de VM

Clonar regras de uma política para outra

Remova todas as regras da política de destino e as substitua pelas regras da política de origem.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.copyRules

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Se você quiser associar a nova política imediatamente, clique em Continuar para abrir a seção Associar política a recursos.
Clique em Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Substitua:

POLICY_NAME: a política que deve receber as regras copiadas
SOURCE_POLICY: a política da qual copiar as regras. Precisa ser o URL do recurso
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Excluir uma regra

A exclusão de uma regra de uma política faz com que ela não seja mais aplicada a novas conexões com ou do destino da regra.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.firewallPolicies.update

Papéis

Administrador de políticas de firewall da organização no Compute Engine (roles/compute.orgFirewallPolicyAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso pai (organização ou pasta) que contém a política ou na própria política

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Substitua:

PRIORITY: a prioridade da regra que você quer excluir da política.
POLICY_NAME: o nome da política de firewall hierárquica que contém a regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.

Receber regras de firewall eficazes para uma rede

É possível ver todas as regras de política de firewall hierárquica, de VPC e de rede global que se aplicam a todas as regiões de uma rede VPC.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Papéis

Administrador de rede do Compute (roles/compute.networkAdmin) no projeto que contém a rede ou
Usuário da rede do Compute (roles/compute.networkUser) no projeto que contém a rede ou
Leitor da rede do Compute (roles/compute.networkViewer) no projeto que contém a rede ou
Administrador de segurança do Compute (roles/compute.securityAdmin) no projeto que contém a rede ou
Leitor do Compute (roles/compute.viewer) no projeto que contém a rede

Console

No console do Google Cloud , acesse a página Redes VPC.

Acessar redes VPC
Clique na rede para ver as regras de política de firewall.
Clique em Firewalls.
Expanda cada política de firewall para visualizar as regras que se aplicam a esta rede.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua NETWORK_NAME pela rede em que você quer ver as regras efetivas.

Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.organizations.listAssociations na rede
Opcional: resourcemanager.folders.get e resourcemanager.organizations.get para ver as informações nas colunas Herdado de e Localizado em

Papéis

Para visualizar regras de firewall:

compute.orgSecurityResourceAdmin
compute.viewer

Opcional: para ver as informações nas colunas Herdado de e Localizado em:

browser
resourcemanager.organizationAdmin

Console

No console do Google Cloud , acesse a página Políticas de firewall.

Acesse as políticas de firewall
As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Receber regras de firewall em vigor para uma interface de VM

É possível conferir todas as regras de firewall (de todas as políticas de firewall e regras de firewall de VPC aplicáveis) que se aplicam a uma interface de rede de uma VM do Compute Engine.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.instances.getEffectiveFirewalls

Papéis

Administrador da instância do Compute (roles/compute.instanceAdmin) no projeto que contém a instância de VM ou
Agente de serviço do administrador do grupo de instâncias (roles/compute.instanceGroupManagerServiceAgent) no projeto que contém a instância de VM ou
Administrador de segurança do Compute (roles/compute.securityAdmin) no projeto que contém a instância de VM ou
Leitor do Compute (roles/compute.viewer) no projeto que contém a instância de VM

Console

No console do Google Cloud , acesse a página Instâncias de VM.

Acessar instâncias de VM
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Em Interfaces de rede, clique na interface.
As regras de firewall em vigor aparecem na guia Firewalls, disponível na seção Análise da configuração de rede.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua:

INSTANCE_NAME: a VM que tem as regras efetivas que você quer ver. Se nenhuma interface for especificada, o comando retornará regras para a interface principal (nic0).
INTERFACE: a interface de VM cujas regras vigentes você quer visualizar. O valor padrão é nic0.
ZONE: a zona da VM. Essa linha é opcional quando a zona selecionada já está definida como padrão.

Solução de problemas

Esta seção contém explicações para mensagens de erro que podem ser encontradas.

FirewallPolicy may not specify a name. One will be provided.

Não é possível especificar um nome de política. Os "nomes" de políticas de firewall hierárquicas são IDs numéricos gerados pelo Google Cloud quando a política é criada. No entanto, é possível especificar um nome curto mais específico que funcione como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.

As associações só podem ser criadas depois que políticas de firewall hierárquicas são criadas.
Can't move firewall policy to a different organization.

As migrações de política de firewall hierárquica precisam permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Se um recurso já estiver anexado a uma política de firewall hierárquica, a operação do anexo falhará, a menos que a opção de substituir as associações esteja definida como verdadeira.
Can't have rules with the same priorities.

As prioridades das regras precisam ser exclusivas dentro de uma política de firewall hierárquica.
Direction must be specified for a firewall policy rule.

Ao criar regras da política de firewall hierárquica enviando solicitações REST diretamente, a direção da regra precisa ser especificada. Quando você usa a Google Cloud CLI e nenhuma direção é especificada, o padrão é INGRESS.
Can't specify enable_logging on a goto_next rule.

A geração de registros de firewall não é permitida para regras com a ação goto_next, já que essas ações são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações de terminal, como ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.

A flag layer4Configs na regra da política de firewall precisa especificar pelo menos um protocolo ou um protocolo e uma porta de destino.

Para mais informações sobre como resolver problemas de regras de política de firewall, consulte Solução de problemas de regras de firewall da VPC.

Usar políticas e regras hierárquicas de firewall Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Limitações

Tarefas de política de firewall

Permissões exigidas para a tarefa

Criar uma política de firewall

Permissões exigidas para a tarefa

Console

gcloud

Associar uma política à organização ou pasta

Permissões exigidas para a tarefa

Console

gcloud

Mover uma política de um recurso para outro

Permissões exigidas para a tarefa

Console

gcloud

Atualizar uma descrição da política

Permissões exigidas para a tarefa

Console

gcloud

Políticas de lista

Permissões exigidas para a tarefa

Console

gcloud

Descrever uma política

Permissões exigidas para a tarefa

Console

gcloud

Excluir uma política

Permissões exigidas para a tarefa

Console

gcloud

Listar associações para um recurso

Permissões exigidas para a tarefa

Console

gcloud

Excluir uma associação

Permissões exigidas para a tarefa

Console

gcloud

Tarefas de regras de política de firewall

Criar uma regra de entrada para destinos de VM

Permissões exigidas para a tarefa

Console

gcloud

Criar uma regra de saída para destinos de VM

Permissões exigidas para a tarefa

Console

gcloud

Listar todas as regras em uma política

Permissões exigidas para a tarefa

Console

gcloud

Descrever uma regra

Permissões exigidas para a tarefa

Console

gcloud

Atualizar uma regra

Permissões exigidas para a tarefa

Console

gcloud

Clonar regras de uma política para outra

Permissões exigidas para a tarefa

Console

gcloud

Excluir uma regra

Permissões exigidas para a tarefa

Console

gcloud

Receber regras de firewall eficazes para uma rede

Permissões exigidas para a tarefa

Console

gcloud

Permissões exigidas para a tarefa

Console

Receber regras de firewall em vigor para uma interface de VM

Permissões exigidas para a tarefa

Console

gcloud

Solução de problemas

Usar políticas e regras hierárquicas de firewall