Esta página foi traduzida pela API Cloud Translation.

Configure regras de firewall

Esta página fornece orientações para configurar as Google Cloud regras de firewall e as regras de firewall da sua rede ponto a ponto.

Quando configurar túneis da Cloud VPN para estabelecer ligação à sua rede de pares, reveja e modifique as regras de firewall nas suas Google Cloud e nas redes de pares para se certificar de que satisfazem as suas necessidades. Se a sua rede de pares for outra rede da nuvem virtual privada (VPC), configure as regras da Google Cloud firewall para ambos os lados da ligação de rede.

Para mais informações sobre a Cloud VPN, consulte os seguintes recursos:

Para ver as práticas recomendadas a considerar antes de configurar o Cloud VPN, consulte o artigo Práticas recomendadas.
Para mais informações sobre a VPN do Google Cloud, consulte a vista geral da VPN do Google Cloud.
Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Google Cloud regras de firewall

Google Cloud As regras de firewall aplicam-se a pacotes enviados para e de instâncias de máquinas virtuais (VMs) na sua rede VPC e através de túneis da Cloud VPN.

As regras de permissão de saída implícita permitem que as instâncias de VM e outros recursos na sua rede Google Cloud façam pedidos de saída e recebam respostas estabelecidas. No entanto, a regra de negação implícita de entrada bloqueia todo o tráfego recebido para os seus Google Cloud recursos.

No mínimo, crie regras de firewall para permitir o tráfego de entrada da sua rede de pares para Google Cloud. Se criou regras de saída para recusar determinados tipos de tráfego, também pode ter de criar outras regras de saída.

O tráfego que contém os protocolos UDP 500, UDP 4500 e ESP (IPsec, protocolo IP 50) é sempre permitido de e para um ou mais endereços IP externos num gateway de VPN do Google Cloud. No entanto,as regras de Google Cloud firewall não se aplicam aos pacotes IPsec pós-encapsulados que são enviados de um gateway de VPN do Google Cloud para um gateway de VPN de pares.

Para mais informações acerca das Google Cloud regras de firewall, consulte a vista geral das regras de firewall da VPC.

Exemplos de configurações

Para ver vários exemplos de restrição do tráfego de entrada ou saída, consulte os exemplos de configuração na documentação da VPC.

O exemplo seguinte cria uma regra de firewall de permissão de entrada. Esta regra permite todo o tráfego TCP, UDP e ICMP do CIDR da sua rede de pares para as suas VMs na sua rede VPC.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Funções

roles/compute.securityAdmin

Consola

Na Google Cloud consola, aceda à página Túneis de VPN.

Aceda aos túneis de VPN
Clique no túnel VPN que quer usar.
Na secção Gateway de VPN, clique no nome da rede VPC. Esta ação direciona para a página Detalhes da rede VPC que contém o túnel.
Clique no separador Regras de firewall.
Clique em Adicionar regra de firewall. Adicione uma regra para TCP, UDP e ICMP:
- Nome: introduza allow-tcp-udp-icmp.
- Filtro de origem: selecione Intervalos IPv4.
- Intervalos de IP de origem: introduza um valor de intervalo de IP de rede remota de quando criou o túnel. Se tiver mais do que um intervalo de rede par-a-par, introduza cada um. Prima a tecla Tab entre as entradas. Para permitir tráfego de todos os endereços IPv4 de origem na sua rede de pares, especifique 0.0.0.0/0.
- Protocolos ou portas especificados: selecione tcp e udp.
- Outros protocolos: introduza icmp.
- Etiquetas de segmentação: adicione etiquetas válidas.
Clique em Criar.

Se precisar de permitir o acesso a endereços IPv6 na sua rede VPC a partir da sua rede de pares, adicione uma allow-ipv6-tcp-udp-icmpv6 regra de firewall.

Clique em Adicionar regra de firewall. Adicione uma regra para TCP, UDP e ICMPv6:
- Nome: introduza allow-ipv6-tcp-udp-icmpv6.
- Filtro de origem: selecione Intervalos IPv6.
- Intervalos de IP de origem: introduza um valor de intervalo de IP de rede remota de quando criou o túnel. Se tiver mais do que um intervalo de rede par-a-par, introduza cada um. Prima a tecla Tab entre as entradas. Para permitir o tráfego de todos os endereços IPv6 de origem na sua rede de pares, especifique ::/0.
- Protocolos ou portas especificados: selecione tcp e udp.
- Outros protocolos: introduza 58. 58 é o número do protocolo para o ICMPv6.
- Etiquetas de segmentação: adicione etiquetas válidas.
Clique em Criar.

Crie outras regras de firewall, se necessário.

Em alternativa, pode criar regras a partir da página Firewall da Google Cloud consola.

gcloud

Execute o seguinte comando:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Substitua IPV4_PEER_SOURCE_RANGE pelos intervalos IPv4 de origem da sua rede de pares.

Se tiver mais do que um intervalo de rede de pares, indique uma lista separada por vírgulas no campo source-ranges (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Para permitir tráfego de todos os endereços IPv4 de origem na sua rede de pares, especifique 0.0.0.0/0.

Regras de firewall IPv6

Se precisar de permitir o acesso a endereços IPv6 na sua rede VPC a partir da sua rede de pares, adicione uma allow-ipv6-tcp-udp-icmpv6 regra de firewall.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 é o número do protocolo para o ICMPv6.

Substitua PEER_SOURCE_RANGE pelos intervalos IPv6 de origem da sua rede de pares. Se tiver mais do que um intervalo de rede de pares, indique uma lista separada por vírgulas no campo source-ranges (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Para permitir o tráfego de todos os endereços IPv6 de origem na sua rede de pares, especifique ::/0.

Outras regras de firewall

Crie outras regras de firewall, se necessário.

Para mais informações sobre o comando firewall-rules, consulte a documentação sobre as gcloud regras da firewall.

Regras de firewall de pares

Ao configurar as regras de firewall de pares, considere o seguinte:

Configure regras para permitir o tráfego de saída e de entrada para e a partir dos intervalos de IP usados pelas sub-redes na sua rede VPC.
Pode optar por permitir todos os protocolos e portas ou restringir o tráfego apenas ao conjunto necessário de protocolos e portas para satisfazer as suas necessidades.
Permita o tráfego ICMP se precisar de usar o ping para poder comunicar entre sistemas e instâncias ou recursos de pares no Google Cloud.
Se precisar de aceder a endereços IPv6 na sua rede ponto a ponto, pingpermita ICMPv6 (protocolo IP 58) na sua firewall ponto a ponto.
Os seus dispositivos de rede (aplicações de segurança, dispositivos de firewall, comutadores, routers e gateways) e o software executado nos seus sistemas (como o software de firewall incluído num sistema operativo) podem implementar regras de firewall no local. Para permitir o tráfego, configure todas as regras de firewall no caminho para a sua rede de VPC de forma adequada.
Se o seu túnel VPN usar o encaminhamento dinâmico (BGP), certifique-se de que permite o tráfego BGP para os endereços IP locais. Para mais detalhes, consulte a secção seguinte.

Considerações sobre o BGP para gateways de pares

A troca de informações de encaminhamento dinâmico (BGP) usa a porta TCP 179. Alguns gateways de VPN, incluindo gateways do Cloud VPN, permitem este tráfego automaticamente quando escolhe o encaminhamento dinâmico. Se o seu gateway de VPN de pares não o fizer, configure-o para permitir tráfego de entrada e saída na porta TCP 179. Todos os endereços IP BGP usam o bloco CIDR 169.254.0.0/16 link-local.

Se o gateway de VPN de pares não estiver diretamente ligado à Internet, certifique-se de que este e os routers de pares, as regras da firewall e os dispositivos de segurança estão configurados para, pelo menos, transmitir tráfego BGP (porta TCP 179) e tráfego ICMP para o seu gateway de VPN. O ICMP não é obrigatório, mas é útil para testar a conetividade entre um Cloud Router e o seu gateway de VPN. O intervalo de endereços IP ao qual a regra de firewall de pares deve aplicar-se tem de incluir os endereços IP BGP do Cloud Router e do gateway.

O que se segue?

Para se certificar de que os componentes estão a comunicar corretamente com a Cloud VPN, consulte Verificar o estado da VPN.
Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.