Criar e gerenciar regras de firewall

Para inspecionar o tráfego de rede dos consumidores, use políticas de firewall para redirecionar o tráfego ao grupo de endpoints de interceptação da VPC. Em seguida, o tráfego passa pelo grupo de implantação de interceptação do produtor até os recursos de computação.

Nesta página, descrevemos como configurar e gerenciar políticas e regras de firewall de rede global. Se você quiser criar políticas e regras hierárquicas de firewall, consulte Usar políticas e regras hierárquicas de firewall.

Antes de começar

Papéis

Para criar, visualizar ou excluir regras de firewall, peça ao administrador para conceder a você os papéis do Identity and Access Management (IAM) necessários no seu projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Para verificar o progresso das operações listadas nesta página, confira se seu função do usuário tem os seguintes papéis no nível do projeto: Administrador de segurança do Compute (roles/compute.securityAdmin), Administrador de rede do Compute (roles/compute.networkAdmin) e Leitor do Compute (roles/compute.viewer):

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Criar políticas e regras de firewall

Crie uma política de firewall e uma regra com a ação APPLY_SECURITY_PROFILE_GROUP.

Console

Para criar uma política de firewall de rede, siga estas etapas:

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na lista do seletor de projetos, selecione seu projeto na organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome, digite um nome para a política.

  5. Em Escopo da implantação, selecione Global.

  6. Para criar regras para sua política, clique em Continuar e em Adicionar regra.

    1. No campo Prioridade, defina o número do pedido da regra, em que 0 é a prioridade mais alta.
    2. Em Direção do tráfego, escolha Entrada.
    3. Em Ação se houver correspondência, escolha Prosseguir para a inspeção L7.
    4. Em Finalidade, escolha NSI in-band.
    5. Em Grupo de perfis de segurança, selecione o grupo de perfis de segurança de interceptação personalizada.
    6. Em Tipo de destino, especifique o destino da regra.
    7. Em Filtros de origem, especifique o filtro de origem.
    8. Em Destinos, especifique os filtros de destino.
    9. Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino a regra se aplica.
    10. Clique em Criar.

  7. Clique em Adicionar regra para adicionar outra regra.

  8. Para associar a política a uma rede, clique em Continuar e em Associar a política a redes VPC.

  9. Clique em Criar.

Para mais informações, consulte Criar regras de firewall de rede global.

gcloud

Para criar uma política de firewall de rede, use o comando gcloud compute firewall-policies create:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Para criar uma regra de firewall, use o comando gcloud compute network-firewall-policies rules create:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Substitua:

  • PRIORITY: a prioridade da regra a ser adicionada.

  • FIREWALL_POLICY: o ID da política de firewall com que criar uma regra.

  • ORGANIZATION_ID: o ID da organização em que o grupo de perfis de segurança é criado.

  • SECURITY_PROFILE_GROUP_ID: o ID do grupo de perfis de segurança que tem uma ação custom-intercept-profile.

  • DIRECTION: indica se a regra é ingress ou egress. Se a direção não for especificada, o padrão será aplicar a regra ao tráfego de entrada. Para o tráfego de entrada, não é possível especificar intervalos de destino. Para o tráfego de saída, não é possível especificar intervalos ou tags de origem.

  • LAYER4_CONFIG: uma lista de protocolos e portas de destino a que a regra de firewall se aplica.

  • SRC_IP_RANGE: os intervalos de IP de origem. Isso só será especificado se DIRECTION for ingress.

  • DEST_IP_RANGE: os intervalos de IP de destino. Isso só será especificado se DIRECTION for egress.

Terraform

Para criar uma política de firewall, use um recurso google_compute_firewall_policy.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Para criar uma regra de política de firewall, use um recurso google_compute_network_firewall_policy_rule.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Descrever políticas e regras de firewall

É possível ver todos os detalhes de uma política, incluindo todas as regras de firewall.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No seletor de projetos, selecione o projeto que contém a política de firewall de rede global.

  3. Clique na sua política.

  4. Para conferir os detalhes de uma regra, clique na prioridade dela.

gcloud

Para descrever uma política de firewall, use o comando gcloud compute network-firewall-policies describe:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Para descrever uma regra de firewall, use o comando gcloud compute network-firewall-policies rules describe:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Substitua FIREWALL_POLICY pelo ID da política de firewall em que a regra está definida.

Excluir políticas e regras de firewall

É possível excluir uma política e as regras de firewall dela. É necessário excluir todas as associações em uma política de firewall da organização antes de excluí-la.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que você quer excluir.

  5. Clique em Excluir.

  6. Clique na guia Associações.

  7. Selecione a associação que você quer excluir.

  8. Clique em Remover associações.

  9. Depois que todas as associações forem removidas, clique em Excluir.

gcloud

Para excluir uma regra de firewall, use o comando gcloud compute network-firewall-policies rules delete:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Substitua FIREWALL_POLICY pelo ID da política de firewall em que a regra está definida.

Para excluir uma política de firewall, use o comando gcloud compute network-firewall-policies delete:

gcloud compute network-firewall-policies delete FIREWALL_POLICY