Políticas de firewall

As políticas de firewall permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas de uma só vez, controladas eficazmente pelas funções de gestão de identidade e de acesso (IAM). Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, tal como as regras de firewall da nuvem virtual privada (VPC).

Políticas de firewall hierárquicas

As políticas de firewall hierárquicas permitem agrupar regras num objeto de política que pode ser aplicado a muitas redes VPC num ou mais projetos. Pode associar políticas de firewall hierárquicas a uma organização inteira ou a pastas individuais.

Para ver as especificações e os detalhes da política de firewall hierárquica, consulte o artigo Políticas de firewall hierárquicas.

Políticas de firewall de rede globais

As políticas de firewall de rede global permitem agrupar regras num objeto de política que pode ser aplicado a todas as regiões de uma rede de VPC.

Para ver as especificações e os detalhes da política de firewall de rede global, consulte o artigo Políticas de firewall de rede global.

Políticas de firewall de rede regionais

As políticas de firewall de rede regionais permitem-lhe agrupar regras num objeto de política que pode ser aplicado a uma região específica de uma rede de VPC.

Para ver as especificações e os detalhes da política de firewall regional, consulte o artigo Políticas de firewall de rede regionais.

Políticas de firewall do sistema regionais

As políticas de firewall do sistema regional são semelhantes às políticas de firewall de rede regional, mas são geridas pela Google. As políticas de firewall do sistema regionais têm as seguintes caraterísticas:

  • Google Cloud avalia as regras nas políticas de firewall do sistema regional imediatamente após avaliar as regras nas políticas de firewall hierárquicas. Para mais informações, consulte o processo de avaliação das regras de firewall.

  • Não pode modificar uma regra numa política de firewall do sistema regional, exceto para ativar ou desativar o registo de regras de firewall. Em alternativa, os serviços Google, como o Google Kubernetes Engine (GKE), gerem regras nas políticas de firewall do sistema regional através de APIs internas.

  • Google Cloud Cria uma política de firewall do sistema regional numa região de uma rede da VPC quando um serviço Google requer regras nessa região da rede. Google Cloud Pode associar mais do que uma política de firewall do sistema regional a uma região de uma rede da VPC com base nos requisitos dos serviços Google.

  • Não lhe é cobrada a avaliação das regras nas políticas de firewall do sistema regional.

Interação com o perfil de rede

As redes VPC normais suportam regras de firewall em políticas de firewall hierárquicas, políticas de firewall de rede global, políticas de firewall de rede regional e regras de firewall de VPC. Todas as regras de firewall são programadas como parte da pilha de virtualização de rede Andromeda.

As redes VPC que usam determinados perfis de rede restringem os atributos das regras e políticas de firewall que pode usar. Para redes VPC RoCE, consulte o artigo Cloud NGFW para redes VPC RoCE em vez desta página.

Ordem de aplicação da política de firewall de rede

Cada rede VPC normal tem uma ordem de aplicação da política de firewall de rede que controla quando as regras nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais são avaliadas.

  • AFTER_CLASSIC_FIREWALL (predefinição): o NGFW da nuvem avalia as regras de firewall da VPC antes de avaliar as regras nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais.

  • BEFORE_CLASSIC_FIREWALL: o NGFW na nuvem avalia as regras nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais antes de avaliar as regras de firewall da VPC.

Para alterar a ordem de aplicação da política de firewall de rede, faça uma das seguintes ações:

  • Use o networks.patch método e defina o atributo networkFirewallPolicyEnforcementOrder da rede VPC.

  • Use o comando gcloud compute networks update com a flag--network-firewall-policy-enforcement-order.

    Por exemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo de avaliação de regras de firewall

Esta secção descreve a ordem pela qual o Cloud NGFW avalia as regras que se aplicam aos recursos de destino em redes VPC normais.

Cada regra de firewall é uma regra de entrada ou uma regra de saída, com base na direção do tráfego:

  • As regras de entrada aplicam-se a pacotes para uma nova ligação que um recurso de destino recebe. Os recursos alvo suportados para regras de entrada são os seguintes:

    • Interfaces de rede de instâncias de máquinas virtuais (VMs).

    • Proxies Envoy geridos usados por balanceadores de carga de aplicações internos e balanceadores de carga de rede de proxy internos (pré-visualização).

  • As regras de saída aplicam-se a pacotes para uma nova ligação que uma interface de rede de VM de destino envia.

O NGFW na nuvem avalia sempre as regras nas políticas de firewall hierárquicas e nas políticas de firewall do sistema regional antes de avaliar quaisquer outras regras de firewall. Controla a ordem pela qual o Cloud NGFW avalia outras regras de firewall escolhendo uma ordem de aplicação da política de firewall de rede. A ordem de aplicação da política de firewall de rede pode ser AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede

Quando a ordem de aplicação da política de firewall de rede é AFTER_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras nas políticas de firewall de rede globais e regionais depois de avaliar as regras de firewall de VPC. Esta é a ordem de avaliação predefinida.

Numa rede VPC normal que usa a ordem de aplicação AFTER_CLASSIC_FIREWALL, a ordem de avaliação completa das regras de firewall é a seguinte:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas de firewall hierárquicas pela ordem seguinte:

    1. A política de firewall hierárquica associada à organização que contém o recurso de destino.
    2. Políticas de firewall hierárquicas associadas a antecessores de pastas, desde a pasta de nível superior até à pasta que contém o projeto do recurso de destino.

    Quando avalia as regras em cada política de firewall hierárquica, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall hierárquica, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall no caso de correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
      • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

    Se nenhuma regra numa política de firewall hierárquica corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
    • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

  2. Políticas de firewall do sistema regionais.

    Quando avalia as regras de política de firewall do sistema regional, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall do sistema regional, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall no caso de correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua a
      • Uma política de firewall do sistema regional com a prioridade de associação mais elevada seguinte, se existir.
      • O passo seguinte na ordem de avaliação, se todas as políticas de firewall do sistema regional tiverem sido avaliadas.

    Se nenhuma regra numa política de firewall do sistema regional corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall do sistema regional com a prioridade de associação mais elevada seguinte, se existir.
    • O passo seguinte na ordem de avaliação, se todas as políticas de firewall do sistema regional tiverem sido avaliadas.

  3. Regras de firewall de VPC.

    Quando avalia as regras de firewall da VPC, o NGFW do Google Cloud executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação em caso de correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras corresponderem, têm de ter a mesma prioridade, mas ações diferentes. Neste caso, o Cloud NGFW aplica a regra de firewall da denyVPC e ignora a regra de firewall da allowVPC.

    Se nenhuma regra de firewall de VPC corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita para continuar para o passo seguinte na ordem de avaliação.

  4. Política de firewall de rede global.

    Quando avalia regras numa política de firewall de rede global, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede global, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall no caso de correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para o passo da política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo da política de firewall de rede regional na ordem de avaliação.

  5. Políticas de firewall de rede regionais.

    O NGFW da nuvem avalia as regras nas políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Quando avalia regras numa política de firewall de rede regional, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede regional, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall no caso de correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para o passo seguinte na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo seguinte na ordem de avaliação.

  6. Último passo: ação implícita.

    O NGFW da nuvem aplica uma ação implícita se a avaliação da regra de firewall tiver continuado em todos os passos anteriores seguindo ações explícitas ou implícitas.goto_next A ação implícita depende da direção do tráfego:

    • Para o tráfego de entrada, a ação implícita também depende do recurso de destino:

      • Se o recurso de destino for uma interface de rede de uma instância de VM, a ação de entrada implícita é deny.

      • Se o recurso de destino for uma regra de encaminhamento de um balanceador de carga de aplicações interno ou um balanceador de carga de rede de proxy interno, a entrada implícita é allow.

    • Para o tráfego de saída, a ação implícita é allow.

AFTER_CLASSIC_FIREWALL diagrama

O diagrama seguinte ilustra a ordem de aplicação das políticas da firewall de rede AFTER_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall.
Figura 1. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for AFTER_CLASSIC_FIREWALL (clique para aumentar).

BEFORE_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede

Quando a ordem de aplicação da política de firewall de rede é BEFORE_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras nas políticas de firewall de rede globais e regionais antes de avaliar as regras de firewall de VPC.

Numa rede VPC normal que usa a ordem de aplicação BEFORE_CLASSIC_FIREWALL, a ordem de avaliação completa das regras de firewall é a seguinte:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas de firewall hierárquicas pela ordem seguinte:

    1. A política de firewall hierárquica associada à organização que contém o recurso de destino.
    2. Políticas de firewall hierárquicas associadas a antecessores de pastas, desde a pasta de nível superior até à pasta que contém o projeto do recurso de destino.

    Quando avalia as regras em cada política de firewall hierárquica, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall hierárquica, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall no caso de correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
      • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

    Se nenhuma regra numa política de firewall hierárquica corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
    • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

  2. Políticas de firewall do sistema regionais.

    Quando avalia as regras de política de firewall do sistema regional, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall do sistema regional, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua a
      • Uma política de firewall do sistema regional com a prioridade de associação mais elevada seguinte, se existir.
      • O passo seguinte na ordem de avaliação, se todas as políticas de firewall do sistema regional tiverem sido avaliadas.

    Se nenhuma regra numa política de firewall do sistema regional corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall do sistema regional com a prioridade de associação mais elevada seguinte, se existir.
    • O passo seguinte na ordem de avaliação, se todas as políticas de firewall do sistema regional tiverem sido avaliadas.

  3. Política de firewall de rede global.

    Quando avalia regras numa política de firewall de rede global, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede global, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para o passo da política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo da política de firewall de rede regional na ordem de avaliação.

  4. Políticas de firewall de rede regionais.

    O NGFW da nuvem avalia as regras nas políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Quando avalia regras numa política de firewall de rede regional, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede regional, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall no caso de correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para o passo seguinte na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo seguinte na ordem de avaliação.

  5. Regras de firewall de VPC.

    Quando avalia as regras de firewall da VPC, o NGFW do Google Cloud executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação em caso de correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras corresponderem, têm de ter a mesma prioridade, mas ações diferentes. Neste caso, o Cloud NGFW aplica a regra de firewall da denyVPC e ignora a regra de firewall da allowVPC.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita para continuar para o passo seguinte na ordem de avaliação.

  6. Último passo: ação implícita.

    O NGFW da nuvem aplica uma ação implícita se a avaliação da regra de firewall tiver continuado em todos os passos anteriores seguindo ações explícitas ou implícitas.goto_next A ação implícita depende da direção do tráfego:

    • Para o tráfego de entrada, a ação implícita também depende do recurso de destino:

      • Se o recurso de destino for uma interface de rede de uma instância de VM, a ação de entrada implícita é deny.

      • Se o recurso de destino for uma regra de encaminhamento de um balanceador de carga de aplicações interno ou um balanceador de carga de rede de proxy interno, a entrada implícita é allow.

    • Para o tráfego de saída, a ação implícita é allow.

BEFORE_CLASSIC_FIREWALL diagrama

O diagrama seguinte ilustra a ordem de aplicação das políticas da firewall de rede BEFORE_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall.
Figura 2. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for BEFORE_CLASSIC_FIREWALL (clique para aumentar).

Regras de firewall em vigor

As regras de políticas de firewall hierárquicas, as regras de firewall da VPC e as regras de políticas de firewall de rede globais e regionais controlam as ligações. Pode ser útil ver todas as regras de firewall que afetam uma rede individual ou uma interface de VM.

Regras de firewall eficazes da rede

Pode ver todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os seguintes tipos de regras:

  • Regras herdadas de políticas de firewall hierárquicas
  • Regras de firewall da VPC
  • Regras aplicadas a partir das políticas de firewall de rede globais e regionais

Regras de firewall eficazes da instância

Pode ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os seguintes tipos de regras:

  • Regras herdadas de políticas de firewall hierárquicas
  • Regras aplicadas a partir do firewall da VPC da interface
  • Regras aplicadas a partir das políticas de firewall de rede globais e regionais

As regras são ordenadas do nível da organização para baixo até à rede de VPC. Apenas são apresentadas as regras aplicáveis à interface da VM. As regras noutras políticas não são apresentadas.

Para ver as regras de política de firewall em vigor numa região, consulte o artigo Obtenha políticas de firewall regionais em vigor para uma rede.

Regras predefinidas

Quando cria uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem da forma como cria a política.

Se criar uma política de firewall através da Google Cloud consola, o Cloud NGFW adiciona as seguintes regras à nova política:

  1. Regras de encaminhamento para intervalos IPv4 privados
  2. Regras de recusa predefinidas do Google Threat Intelligence
  3. Regras de recusa de geolocalização predefinidas
  4. Regras de encaminhamento para o passo seguinte com a prioridade mais baixa possível

Se criar uma política de firewall através da CLI Google Cloud ou da API, o Cloud NGFW adiciona apenas as regras goto-next com a prioridade mais baixa possível à política.

Todas as regras predefinidas numa nova política de firewall usam intencionalmente prioridades baixas (números de prioridade elevados) para que as possa substituir criando regras com prioridades mais elevadas. Exceto para as regras de redirecionamento para o passo seguinte com a prioridade mais baixa possível, também pode personalizar as regras predefinidas.

Regras de encaminhamento para intervalos de IPv4 privados

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de recusa predefinidas do Google Threat Intelligence

  • Uma regra de entrada com a lista de origem do Google Threat Intelligence iplist-tor-exit-nodes, prioridade 1002 e ação deny.

  • Uma regra de entrada com a lista de origens do Google Threat Intelligence iplist-known-malicious-ips, a prioridade 1003 e a ação deny.

  • Uma regra de saída com a lista de Google Threat Intelligence de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.

Regras de recusa de geolocalização predefinidas

  • Uma regra de entrada com geolocalizações de correspondência de origem CU,IR, KP, SY, XC, e XD, prioridade 1005 e ação deny.

Para saber mais acerca das geolocalizações, consulte o artigo Objetos de geolocalização.

Regras de encaminhamento para a seguinte com a prioridade mais baixa possível

Não pode modificar nem eliminar as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, a prioridade 2147483644 e a goto_next ação.

  • Uma regra de entrada com o intervalo IPv6 de origem ::/0, a prioridade 2147483645 e a goto_next ação.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, a prioridade 2147483646 e a ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, a prioridade 2147483647 e a goto_next ação.

O que se segue?