Políticas de firewall

As políticas de firewall permitem agrupar várias regras de firewall para que você possa atualizá-las de uma só vez, efetivamente controladas pelos papéis do Identity and Access Management (IAM). Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da nuvem privada virtual (VPC).

Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas de firewall hierárquicas a uma organização inteira ou pastas individuais.

Veja detalhes e especificações da política de firewall hierárquica em Políticas de firewall hierárquicas.

Políticas globais de firewall de rede

As políticas de firewall de rede global permitem agrupar regras em um objeto de política que pode ser aplicado a todas as regiões de uma rede VPC.

Veja detalhes e especificações da política de firewall de rede global em Políticas de firewall de rede global.

Políticas regionais de firewall da rede

As políticas de firewall de rede regionais permitem agrupar regras em um objeto de política que pode ser aplicado a uma região específica de uma rede VPC.

Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.

Políticas de firewall do sistema regionais

As políticas de firewall do sistema regionais são semelhantes às políticas de firewall de rede regionais, mas são gerenciadas pelo Google. As políticas de firewall do sistema regionais têm as seguintes características:

  • Google Cloud avalia as regras em políticas de firewall regionais do sistema imediatamente após avaliar as regras em políticas hierárquicas de firewall. Para mais informações, consulte Processo de avaliação de regras de firewall.

  • Não é possível modificar uma regra em uma política de firewall regional do sistema, exceto para ativar ou desativar o registro de regras de firewall. Em vez disso, os serviços do Google, como o Google Kubernetes Engine (GKE), gerenciam regras em políticas de firewall do sistema regional usando APIs internas.

  • Google Cloud cria uma política regional de firewall do sistema em uma região de uma rede VPC quando um serviço do Google exige regras nessa região da rede. Google Cloud pode associar mais de uma política regional de firewall do sistema a uma região de uma rede VPC com base nos requisitos dos serviços do Google.

  • Não há cobrança pela avaliação de regras em políticas de firewall regionais do sistema.

Interação com o perfil de rede

As redes VPC comuns são compatíveis com regras de firewall em políticas hierárquicas de firewall, políticas de firewall de rede global, políticas de firewall de rede regional e regras de firewall da VPC. Todas as regras de firewall são programadas como parte da pilha de virtualização de rede Andromeda.

As redes VPC que usam determinados perfis de rede restringem as políticas de firewall e os atributos de regra que podem ser usados. Para redes VPC do RoCE, consulte Cloud NGFW para redes VPC do RoCE em vez desta página.

Ordem de aplicação da política de firewall de rede

Cada rede VPC comum tem uma ordem de aplicação de política de firewall de rede que controla quando as regras em políticas de firewall de rede global e regional são avaliadas.

  • AFTER_CLASSIC_FIREWALL (padrão): o Cloud NGFW avalia as regras de firewall da VPC antes de avaliar as regras em políticas de firewall de rede global e regional.

  • BEFORE_CLASSIC_FIREWALL: o Cloud NGFW avalia as regras em políticas de firewall de rede globais e regionais antes de avaliar as regras de firewall da VPC.

Para mudar a ordem de aplicação da política de firewall de rede, faça uma das seguintes ações:

  • Use o método networks.patch e defina o atributo networkFirewallPolicyEnforcementOrder da rede VPC.

  • Use o comando gcloud compute networks update com a flag --network-firewall-policy-enforcement-order.

    Exemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo de avaliação de regras de firewall

Esta seção descreve a ordem em que o Cloud NGFW avalia as regras que se aplicam aos recursos de destino em redes VPC regulares.

Cada regra de firewall é de entrada ou de saída, com base na direção do tráfego:

  • As regras de entrada se aplicam a pacotes de uma nova conexão que um recurso de destino recebe. Os recursos de destino compatíveis com regras de entrada são os seguintes:

    • Interfaces de rede de instâncias de máquina virtual (VM).

    • Proxies gerenciados do Envoy usados por balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy interno (pré-lançamento).

  • As regras de saída se aplicam a pacotes de uma nova conexão enviada por uma interface de rede de VM de destino.

O Cloud NGFW sempre avalia as regras em políticas hierárquicas de firewall e políticas de firewall do sistema regionais antes de avaliar outras regras de firewall. Você controla a ordem em que o Cloud NGFW avalia outras regras de firewall escolhendo uma ordem de aplicação da política de firewall de rede. A ordem de aplicação da política de firewall de rede pode ser AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede

Quando a ordem de aplicação da política de firewall de rede é AFTER_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras nas políticas de firewall de rede globais e regionais depois de avaliar as regras de firewall da VPC. Essa é a ordem de avaliação padrão.

Em uma rede VPC regular que usa a ordem de aplicação AFTER_CLASSIC_FIREWALL, a ordem completa de avaliação das regras de firewall é a seguinte:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas hierárquicas de firewall na seguinte ordem:

    1. A política hierárquica de firewall associada à organização que contém o recurso de destino.
    2. Políticas hierárquicas de firewall associadas a ancestrais de pastas, da pasta de nível superior até a pasta que contém o projeto do recurso de destino.

    Ao avaliar regras em cada política hierárquica de firewall, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política hierárquica de firewall, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

    Se nenhuma regra em uma política hierárquica de firewall corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

  2. Políticas de firewall do sistema regionais.

    Ao avaliar as regras da política de firewall do sistema regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall do sistema regional, no máximo, uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para
      • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

    Se nenhuma regra em uma política de firewall do sistema regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

  3. Regras de firewall da VPC.

    Ao avaliar as regras de firewall da VPC, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação, se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras forem correspondentes, elas precisam ter a mesma prioridade, mas ações diferentes. Nesse caso, o Cloud NGFW aplica a regra de firewall da VPC deny e ignora a regra de firewall da VPC allow.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita para continuar para a próxima etapa na ordem de avaliação.

  4. Política global de firewall de rede.

    Ao avaliar regras em uma política de firewall de rede global, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política global de firewall de rede, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para a etapa da política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a etapa da política de firewall de rede regional na ordem de avaliação.

  5. Políticas regionais de firewall da rede.

    O Cloud NGFW avalia as regras em políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Ao avaliar regras em uma política de firewall de rede regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall de rede regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego, e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para a próxima etapa na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a próxima etapa na ordem de avaliação.

  6. Última etapa: ação implícita.

    O Cloud NGFW aplica uma ação implícita se a avaliação da regra de firewall tiver continuado em todas as etapas anteriores seguindo ações explícitas ou implícitas de goto_next. A ação implícita depende da direção do tráfego:

    • Para o tráfego de entrada, a ação implícita também depende do recurso de destino:

      • Se o recurso de destino for uma interface de rede de uma instância de VM, a ação de entrada implícita será deny.

      • Se o recurso de destino for uma regra de encaminhamento de um balanceador de carga de aplicativo interno ou de rede de proxy interno, o tráfego de entrada implícito será allow.

    • Para o tráfego de saída, a ação implícita é allow.

Diagrama AFTER_CLASSIC_FIREWALL

O diagrama a seguir ilustra a ordem de aplicação da política de firewall de rede AFTER_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall
Figura 1. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for AFTER_CLASSIC_FIREWALL (clique para ampliar).

BEFORE_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede

Quando a ordem de aplicação da política de firewall de rede é BEFORE_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras nas políticas de firewall de rede globais e regionais antes de avaliar as regras de firewall da VPC.

Em uma rede VPC regular que usa a ordem de aplicação BEFORE_CLASSIC_FIREWALL, a ordem completa de avaliação das regras de firewall é a seguinte:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas hierárquicas de firewall na seguinte ordem:

    1. A política hierárquica de firewall associada à organização que contém o recurso de destino.
    2. Políticas hierárquicas de firewall associadas a ancestrais de pastas, da pasta de nível superior até a pasta que contém o projeto do recurso de destino.

    Ao avaliar regras em cada política hierárquica de firewall, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política hierárquica de firewall, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

    Se nenhuma regra em uma política hierárquica de firewall corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

  2. Políticas de firewall do sistema regionais.

    Ao avaliar as regras da política de firewall do sistema regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall do sistema regional, no máximo, uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para
      • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

    Se nenhuma regra em uma política de firewall do sistema regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall do sistema regional com a próxima maior prioridade de associação, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas de firewall regionais do sistema tiverem sido avaliadas.

  3. Política global de firewall de rede.

    Ao avaliar regras em uma política de firewall de rede global, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política global de firewall de rede, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para a etapa da política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a etapa da política de firewall de rede regional na ordem de avaliação.

  4. Políticas regionais de firewall da rede.

    O Cloud NGFW avalia as regras em políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Ao avaliar regras em uma política de firewall de rede regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall de rede regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para a próxima etapa na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a próxima etapa na ordem de avaliação.

  5. Regras de firewall da VPC.

    Ao avaliar as regras de firewall da VPC, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação, se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras forem correspondentes, elas precisam ter a mesma prioridade, mas ações diferentes. Nesse caso, o Cloud NGFW aplica a regra de firewall da VPC deny e ignora a regra de firewall da VPC allow.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita para continuar para a próxima etapa na ordem de avaliação.

  6. Última etapa: ação implícita.

    O Cloud NGFW aplica uma ação implícita se a avaliação da regra de firewall tiver continuado em todas as etapas anteriores seguindo ações explícitas ou implícitas de goto_next. A ação implícita depende da direção do tráfego:

    • Para o tráfego de entrada, a ação implícita também depende do recurso de destino:

      • Se o recurso de destino for uma interface de rede de uma instância de VM, a ação de entrada implícita será deny.

      • Se o recurso de destino for uma regra de encaminhamento de um balanceador de carga de aplicativo interno ou de rede de proxy interno, o tráfego de entrada implícito será allow.

    • Para o tráfego de saída, a ação implícita é allow.

Diagrama BEFORE_CLASSIC_FIREWALL

O diagrama a seguir ilustra a ordem de aplicação da política de firewall de rede BEFORE_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall
Figura 2. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for BEFORE_CLASSIC_FIREWALL (clique para ampliar).

Regras de firewall eficazes

As regras da política hierárquica de firewall, as regras de firewall da VPC e as regras de política de firewall de rede global e regional controlam as conexões. Pode ser útil ver todas as regras de firewall que afetam uma rede ou interface de VM individual.

Regras de firewall eficazes da rede

É possível visualizar todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras de firewall da VPC
  • Regras aplicadas pelas políticas de firewall da rede global e regional

Regras de firewall efetivas da instância

É possível ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras aplicadas pelo firewall da VPC da interface
  • Regras aplicadas pelas políticas de firewall da rede global e regional

As regras são ordenadas do nível da organização até as regras da VPC. Somente as regras que se aplicam à interface da VM são mostradas. As regras em outras políticas não são mostradas.

Para ver as regras de política de firewall vigentes em uma região, consulte Receber políticas eficazes de firewall regional para uma rede.

Regras predefinidas

Quando você cria uma política de firewall hierárquica, de rede global ou regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem de como você cria a política.

Se você criar uma política de firewall usando o console Google Cloud , o Cloud NGFW adicionará as seguintes regras à nova política:

  1. Regras "Goto-next" para intervalos IPv4 particulares
  2. Regras de negação predefinidas do Google Threat Intelligence
  3. Regras de negação de localização geográfica predefinidas
  4. Regras para ir para a próxima prioridade com a menor prioridade possível

Se você criar uma política de firewall usando a CLI do Google Cloud ou a API, o Cloud NGFW adicionará apenas as regras goto-next de prioridade mais baixa possível à política.

Todas as regras predefinidas em uma nova política de firewall usam prioridades baixas (números de prioridade grandes) para que você possa substituí-las criando regras com prioridades mais altas. Exceto pelas regras goto-next com a menor prioridade possível, também é possível personalizar as regras predefinidas.

Regras "Goto-next" para intervalos IPv4 particulares

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de negação predefinidas do Google Threat Intelligence

  • Uma regra de entrada com a lista de inteligência contra ameaças do Google de origem iplist-tor-exit-nodes, prioridade 1002 e ação deny.

  • Uma regra de entrada com a lista de inteligência contra ameaças do Google de origem iplist-known-malicious-ips, prioridade 1003 e ação deny.

  • Uma regra de saída com a lista de inteligência contra ameaças do Google de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.

Regras de negação de localização geográfica predefinidas

  • Uma regra de entrada com a origem correspondente aos locais geográficos CU, IR, KP, SY, XC e XD, prioridade 1005 e ação deny.

Para saber mais sobre localizações geográficas, consulte Objetos de geolocalização.

Regras goto-next com a menor prioridade possível

Não é possível modificar ou excluir as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, prioridade 2147483644 e ação goto_next.

  • Uma regra de entrada com intervalo IPv6 de origem ::/0, prioridade 2147483645 e ação goto_next.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, prioridade 2147483646 e ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, prioridade 2147483647 e ação goto_next.

A seguir