As políticas de firewall são um conjunto de regras de firewall que permitem controlar o fluxo de entrada e saída de tráfego em uma rede VPC. Com as regras de política de firewall, é possível negar ou permitir conexões explicitamente.
Na integração de segurança de rede em banda, você usa políticas e regras de firewall hierárquicas e globais (recomendado) para redirecionar o tráfego de rede. O tráfego flui pelo grupo de endpoints de interceptação da rede VPC, pelo grupo de implantação de interceptação do produtor e, em seguida, para os recursos de computação do produtor para inspeção de tráfego.
Esta página descreve as políticas e regras de firewall usadas para inspeção de pacotes.
Políticas e regras de firewall
Para redirecionar o tráfego ao grupo de endpoints de interceptação, crie políticas e regras de firewall hierárquicas ou de rede.
Ao criar uma política de firewall, é necessário criar uma regra com a ação APPLY_SECURITY_PROFILE_GROUP. A regra precisa fazer referência ao grupo de perfis de segurança que contém a ação custom-intercept-profile.
Prioridade
A prioridade da regra de firewall precisa ser um número inteiro de 0 a 2.147.483.547, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. Para mais informações, consulte Prioridade das regras de firewall.
Ação se houver correspondência
Uma regra em uma política de firewall pode ter uma das ações a seguir:
- A ação
allowpermite o tráfego e interrompe outras avaliações de regra. - A ação
denynega o tráfego e interrompe a avaliação de regras. - A ação
apply_security_profile_groupintercepta o tráfego de maneira transparente e o envia para o endpoint de firewall configurado ou para o grupo de endpoints de interceptação para inspeção. A decisão de permitir ou negar o pacote depende do endpoint do firewall (ou do grupo de endpoints de interceptação) e do perfil de segurança configurado. Em ambos os casos, o processo de avaliação da regra é interrompido.
Para mais informações, consulte Ordem de avaliação de políticas e regras.
Saída e entrada
Uma regra de entrada com a ação deny protege todas as instâncias ao bloquear as conexões
recebidas. Uma regra de prioridade mais alta pode permitir o acesso de entrada.
Uma regra de saída com a ação allow permite que uma instância envie tráfego para
os destinos especificados na regra. A saída pode ser negada por regras de firewall de negação de prioridade mais alta. Google Cloud também bloqueia ou limita determinados tipos de tráfego.
Depois de adicionar a regra de firewall às políticas, associe a política de firewall à sua rede. Para mais informações, consulte Criar e gerenciar regras.
Protocolos e portas
Assim como nas regras de firewall, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra de firewall. Ao especificar o TCP ou o UDP em uma regra de firewall, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.
Você pode usar os seguintes nomes de protocolo em regras de firewall:
tcpudpicmp(para ICMP IPv4)espahsctpipip
Para todos os outros protocolos, use os números do protocolo IANA.
Para mais informações, consulte Protocolo e portas das regras de firewall.
Direção
A direção em que a regra de firewall se aplica. Pode ser INGRESS ou EGRESS.
INGRESS: a direção de entrada se refere às conexões de entrada enviadas de origens específicas para destinos Google Cloud . As regras de entrada se aplicam a pacotes de entrada, em que o destino deles é o destino.Uma regra de entrada com a ação negar protege todas as instâncias bloqueando conexões de entrada. Uma regra de prioridade mais alta pode permitir o acesso de entrada. Uma rede padrão criada automaticamente inclui algumas regras de firewall da nuvem privada virtual pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.
EGRESS: a direção de saída se refere ao tráfego de saída enviado de um destino para um destino. Regras de saída se aplicam a pacotes de novas sessões em que a origem do pacote é a meta.