Visão geral das políticas e regras de firewall

As políticas de firewall permitem agrupar várias regras de firewall e de espelhamento para que você possa atualizá-las de uma só vez, efetivamente controladas por papéis do Identity and Access Management (IAM). Para mais informações sobre políticas de firewall, consulte Visão geral das políticas de firewall.

Com as regras de política de firewall, é possível negar ou permitir conexões explicitamente, enquanto as regras de espelhamento permitem filtrar o tráfego que você quer espelhar.

Este documento descreve as políticas de firewall que têm regras de espelhamento e seus componentes.

Criar políticas de firewall

É possível criar uma regra de espelhamento em políticas globais de firewall de rede. As políticas de firewall de rede global contêm regras de espelhamento que podem espelhar ou não espelhar explicitamente o tráfego definido. Para mais informações sobre como criar essas políticas e associá-las à rede, consulte Usar políticas e regras de firewall de rede global.

Uma política de firewall pode incluir regras de firewall e de espelhamento de pacotes. No entanto, essas regras são independentes e avaliadas separadamente. Isso significa que as regras de firewall e de espelhamento de pacotes podem ter a mesma prioridade. Para mais informações, consulte Ordem de avaliação de políticas e regras de espelhamento.

Regras de espelhamento

O espelhamento de pacotes, um serviço de integração de segurança de rede fora da banda, usa regras de espelhamento de pacotes para especificar qual tráfego é espelhado na rede do consumidor. Em seguida, esse tráfego espelhado é enviado ao grupo de implantação na rede do produtor. Para espelhar o tráfego, primeiro crie uma regra de espelhamento de pacotes em uma política global de firewall de rede.

Componentes da regra de espelhamento

As regras de espelhamento geralmente funcionam da mesma forma que a política de firewall, mas há algumas diferenças, conforme descrito nas seções a seguir.

Prioridade

A prioridade de uma regra de espelhamento é um número inteiro de 0 a 2.147.483.547, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. A prioridade de uma regra de espelhamento é semelhante à prioridade de uma regra de firewall.

Ação se houver correspondência

As regras de espelhamento determinam se os pacotes de dados de entrada ou saída são espelhados. Uma regra de espelhamento pode ter uma das seguintes ações:

Para uma regra de espelhamento de pacotes, as seguintes ações são compatíveis:
- MIRROR: o tráfego correspondente é espelhado e roteado para o grupo de implantação.
- DO_NOT_MIRROR: o tráfego correspondente não é espelhado e a avaliação de outras regras de firewall de espelhamento de pacotes é ignorada. As regras DO_NOT_MIRROR são usadas para filtrar de maneira granular fluxos que não precisam de espelhamento.
- GOTO_NEXT: ação que pode ser usada para delegar a avaliação de conexão a níveis mais baixos. A regra de espelhamento permite o processamento de regras subsequentes se uma das seguintes condições for atendida:
  - Se essa ação for goto_next, a avaliação vai para a próxima regra. Consequentemente, várias regras goto_next não afetam o comportamento umas das outras.
  - Se o tráfego de entrada não corresponder a nenhuma regra, o sistema vai usar uma ação goto_next padrão. Isso significa que o nível atual da política não encontrou uma ação relevante, então a avaliação prossegue para o próximo nível mais baixo.
  Observação: as regras de nível inferior não substituem uma regra de um lugar mais alto na hierarquia de recursos. Isso permite que os administradores de toda a organização gerenciem regras importantes em um só lugar.
Uma regra de espelhamento com uma ação mirror precisa fazer referência a um grupo de perfis de segurança que contenha um perfil de segurança CUSTOM_MIRRORING.

Uma regra de saída com uma ação de permissão permite que uma instância envie tráfego para os destinos especificados na regra. A saída pode ser negada por regras de firewall de negação de prioridade mais alta. Google Cloud tambémbloqueia ou limitadeterminados tipos de tráfego.

Depois de adicionar a regra de espelhamento às políticas, associe a regra de espelhamento à sua rede para aplicar a regra criada. Para mais informações sobre como criar e associar uma regra de espelhamento, consulte Criar e gerenciar regras de espelhamento.

Protocolos e portas

Assim como nas regras de firewall, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra de espelhamento. Ao especificar TCP ou UDP em uma regra de espelhamento, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.

Você pode usar os seguintes nomes de protocolo em regras de espelhamento: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números de protocolo da IANA. Muitos protocolos usam o mesmo nome e número no IPv4 e IPv6, mas alguns protocolos, como o ICMP, não. Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para o ICMP IPv6, use o número de protocolo 58.

As regras de espelhamento não aceitam a especificação de tipos e códigos de ICMP, apenas o protocolo. O protocolo IPv6 Hop-by-Hop não é compatível com regras de espelhamento. Se você não especificar parâmetros de protocolo e porta, a regra será aplicada a todos os protocolos e portas.

Direção

A direção em que a regra de espelhamento se aplica. Pode ser INGRESS ou EGRESS.

INGRESS: a direção de entrada se refere às conexões de entrada enviadas de origens específicas para destinos Google Cloud . As regras de entrada se aplicam a pacotes de entrada, em que o destino deles é o destino.

Uma regra de entrada com uma ação de negação protege todas as instâncias bloqueando conexões recebidas. Uma regra de prioridade mais alta pode permitir o acesso de entrada. Uma rede padrão criada automaticamente inclui algumas regras de firewall da nuvem privada virtual (VPC) pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.
EGRESS: a direção de saída se refere ao tráfego de saída enviado de um destino para um destino. Regras de saída se aplicam a pacotes de novas conexões em que a origem do pacote é a meta.