Esta página foi traduzida pela API Cloud Translation.

Use regras e políticas de firewall hierárquicas

Esta página pressupõe que está familiarizado com os conceitos descritos na Vista geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.

Limitações

As regras da política de firewall hierárquica não suportam a utilização de etiquetas de rede para definir alvos. Em alternativa, tem de usar uma rede de nuvem privada virtual (VPC) de destino ou uma conta de serviço de destino.
As políticas de firewall podem ser aplicadas ao nível da pasta e da organização, mas não ao nível da rede de VPC. As regras de firewall da VPC normais são suportadas para redes da VPC.
Só é possível associar uma política de firewall a um recurso (pasta ou organização), embora as instâncias de máquinas virtuais (VMs) numa pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
O registo de regras de firewall é suportado para regras allow e deny, mas não para regras goto_next.
O protocolo IPv6 Hop-by-Hop não é suportado nas regras de firewall.

Tarefas da política de firewall

Esta secção descreve como criar e gerir políticas de firewall hierárquicas.

Para verificar o progresso de uma operação resultante de uma tarefa listada nesta secção, certifique-se de que o seu principal de IAM tem as seguintes autorizações ou funções além das autorizações ou funções necessárias para cada tarefa.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na organização

Crie uma política de firewall

Quando cria uma política de firewall hierárquica, pode definir o respetivo elemento principal como a organização ou uma pasta na organização. Depois de criar a política, pode associá-la à organização ou a uma pasta na organização.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.create

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na organização ou na pasta onde quer criar a política
Administrador de segurança do Compute (roles/compute.securityAdmin) na organização ou na pasta onde quer criar a política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou uma pasta na sua organização.
Clique em Criar política de firewall.
No campo Nome da política, introduza um nome para a política.
Opcional: se quiser criar regras para a sua política, clique em Continuar.
Na secção Adicionar regras, clique em Criar regra de firewall.

Para mais informações, consulte Crie uma regra.
Opcional: se quiser associar a política a um recurso, clique em Continuar.
Na secção Associar política a recursos, clique em Adicionar.

Para mais informações, consulte o artigo Associe uma política à organização ou à pasta.
Clique em Criar.

gcloud

Execute estes comandos para criar uma política de firewall hierárquica cuja organização principal seja uma organização:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Execute estes comandos para criar uma política de firewall hierárquica cuja principal seja uma pasta numa organização:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Substitua o seguinte:

ORG_ID: o ID da sua organização

Especifique um ID da organização para criar uma política cuja organização principal seja uma organização. A política pode ser associada à organização ou a uma pasta na organização.
SHORT_NAME: um nome para a política

Uma política criada através da CLI do Google Cloud tem dois nomes: um nome gerado pelo sistema e um nome abreviado fornecido por si. Quando usar a CLI gcloud para atualizar uma política existente, pode fornecer o nome gerado pelo sistema ou o nome abreviado e o ID da organização. Quando usar a API para atualizar a política, tem de indicar o nome gerado pelo sistema.
FOLDER_ID: o ID de uma pasta

Especifique um ID da pasta para criar uma política cuja principal seja uma pasta. A política pode ser associada à organização que contém a pasta ou a qualquer pasta nessa organização.

Associe uma política à organização ou à pasta

Quando associa uma política de firewall hierárquica a uma organização ou uma pasta numa organização, as regras da política de firewall, exceto as regras desativadas e sujeitas ao destino de cada regra, aplicam-se aos recursos nas redes VPC em projetos da organização ou da pasta associada.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Funções

Administrador de recursos da organização do Compute (roles/compute.orgSecurityResourceAdmin) na organização ou na pasta à qual a política de firewall deve ser aplicada
E uma das seguintes funções:
- Administrador de rede de computação (roles/compute.networkAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Utilizador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyUser ) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador da política de segurança da organização do Compute (roles/compute.orgSecurityPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall
- Utilizador da política de segurança da organização do Compute (roles/compute.orgSecurityPolicyUser) na política de firewall ou na organização ou pasta que contém a política de firewall
- Administrador de segurança da computação (roles/compute.securityAdmin) na política de firewall ou na organização ou pasta que contém a política de firewall

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique na sua política.
Clique no separador Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou selecione pastas na organização.
Clique em Adicionar.

gcloud

Por predefinição, se tentar inserir uma associação a uma organização ou uma pasta que já tenha uma associação, o método falha. Se especificar a flag --replace-association-on-target, a associação existente é eliminada ao mesmo tempo que a nova associação é criada. Isto impede que o recurso fique sem uma política durante a transição.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Substitua o seguinte:

POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política
ORG_ID: o ID da sua organização
FOLDER_ID: se estiver a associar a política a uma pasta, especifique-a aqui; omita se estiver a associar a política ao nível da organização
ASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido como "organização ORG_ID" ou "pasta FOLDER_ID"

Mova uma política de um recurso para outro

A movimentação de uma política só altera o elemento principal da política. A alteração do elemento principal da política pode alterar os principais do IAM que podem criar e atualizar regras na política e os principais do IAM que podem criar associações futuras.

A mudança de uma política não altera as associações de políticas existentes nem a avaliação das regras na política.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.move

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no novo recurso principal (organização ou pasta) e no recurso principal anterior ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no novo recurso principal (organização ou pasta) e no recurso principal anterior ou na própria política

Consola

Use a Google Cloud CLI para este procedimento.

gcloud

Execute estes comandos para mover a política de firewall hierárquica para uma organização:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Execute estes comandos para mover a política de firewall hierárquica para uma pasta numa organização:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Substitua o seguinte:

POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política que está a mover
ORG_ID: o ID da organização para a qual a política é movida
FOLDER_ID: o ID da pasta para a qual a política é movida

Atualize uma descrição da política

O único campo de política que pode ser atualizado é o campo Descrição.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique em Edit.
Modifique a descrição.
Clique em Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Indicar políticas

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.list

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Utilizador da política de firewall da organização de computação (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.

Para uma organização, a secção Políticas de firewall associadas a esta organização mostra as políticas associadas. A secção Políticas de firewall localizadas nesta organização apresenta uma lista de políticas detidas pela organização.

Para uma pasta, a secção Políticas de firewall associadas a esta pasta ou herdadas por esta pasta mostra as políticas associadas ou herdadas pela pasta. A secção Políticas de firewall localizadas nesta pasta lista as políticas que são detidas pela pasta.

Nota: as políticas pertencentes a um recurso (organização ou pasta) podem não estar associadas a esse recurso, mas estão disponíveis para associação a esse ou outros recursos.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descreva uma política

Pode ver detalhes sobre uma política de firewall hierárquica, incluindo as regras da política e os atributos das regras associados. Todos estes atributos de regras são contabilizados como parte da quota de atributos de regras. Para mais informações, consulte "Atributos das regras por política de firewall hierárquica" na tabela Por política de firewall.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.get

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Compute Organization Firewall Policy User (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Elimine uma política

Antes de poder eliminar uma política de firewall hierárquica, tem de eliminar todas as respetivas associações.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.delete

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política que quer eliminar.
Clique no separador Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois de remover todas as associações, clique em Eliminar.

gcloud

Use o seguinte comando para eliminar a política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Associações de listas para um recurso

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.organizations.listAssociations

Funções

Administrador de recursos da organização de computação (roles/compute.orgSecurityResourceAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Para o recurso selecionado (organização ou pasta), é apresentada uma lista das políticas associadas e herdadas.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Elimine uma associação

Se precisar de alterar a política de firewall hierárquica associada a uma organização ou uma pasta, recomendamos que associe uma nova política em vez de eliminar uma política associada existente. Pode associar uma nova política num único passo, o que ajuda a garantir que uma política de firewall hierárquica está sempre associada à organização ou à pasta.

Para eliminar uma associação entre uma política de firewall hierárquica e uma organização ou uma pasta, siga os passos mencionados nesta secção. As regras na política de firewall hierárquica não se aplicam a novas ligações após a eliminação da respetiva associação.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.organizations.setFirewallPolicy

Funções

Administrador de recursos da organização do Compute (roles/compute.orgSecurityResourceAdmin) no recurso principal (organização ou pasta) ao qual a política está associada

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique no separador Associações.
Selecione a associação que quer eliminar.
Clique em Remover associação.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tarefas de regras de políticas de firewall

Esta secção descreve como criar e gerir regras de políticas de firewall hierárquicas.

Criar uma regra

As regras de políticas de firewall hierárquicas têm de ser criadas numa política de firewall hierárquica. As regras não estão ativas até associar a política que as contém a um recurso.

Cada regra de política de firewall hierárquica pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) na política de firewall ou na organização ou pasta que contém a política
Administrador de segurança de computação (roles/compute.securityAdmin) na política de firewall ou na organização ou pasta que contém a política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique no nome da política.
Clique em Criar regra de firewall.
Preencha os campos da regra:
1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
2. Defina a recolha de Registos como Ativada ou Desativada.
3. Para Direção do tráfego, especifique se esta regra é uma regra de entrada ou de saída.
4. Em Ação na correspondência, escolha uma das seguintes opções:
  1. Permitir: permite as ligações que correspondem à regra.
  2. Recusar: recusa as ligações que correspondem à regra.
  3. Ir para o seguinte: passa a avaliação da ligação para a regra de firewall inferior seguinte na hierarquia.
  4. Aplicar grupo de perfis de segurança: envia os pacotes para o ponto final da firewall configurado para inspeção da camada 7.
    - Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
    - Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS. Para mais informações sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte o artigo Ordem de avaliação das políticas e regras.
5. Opcional: pode restringir a regra a determinadas redes especificando-as no campo Redes de destino. Clique em Adicionar rede e, de seguida, selecione o Projeto e a Rede. Pode adicionar várias redes de destino a uma regra.
6. Opcional: pode restringir a regra a VMs que estão a ser executadas com acesso a determinadas contas de serviço especificando as contas no campo Contas de serviço de destino.
7. Opcional: pode selecionar Etiquetas seguras para especificar origens para regras de entrada e destinos para regras de entrada ou saída numa política. Para mais informações, consulte o artigo Crie e faça a gestão de etiquetas seguras.
8. Para uma regra de entrada, especifique o tipo de rede de origem:
  - Para filtrar o tráfego recebido pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
  - Para filtrar o tráfego recebido pertencente a um tipo de rede específico, selecione Tipo de rede específico.
    - Para filtrar o tráfego recebido pertencente ao tipo de rede da Internet (INTERNET), selecione Internet.
    - Para filtrar o tráfego recebido pertencente ao tipo de rede não Internet (NON-INTERNET), selecione Não Internet.
    - Para filtrar o tráfego de entrada pertencente ao tipo de rede intra VPC (INTRA_VPC), selecione Intra VPC.
    - Para filtrar o tráfego de entrada pertencente ao tipo de redes VPC (VPC_NETWORKS), selecione Redes VPC e, em seguida, especifique uma ou mais redes através do seguinte botão:
      - Selecionar projeto atual: permite-lhe adicionar uma ou mais redes do projeto atual.
      - Introduzir rede manualmente: permite-lhe introduzir manualmente um projeto e uma rede.
      - Selecionar projeto: permite-lhe escolher um projeto a partir do qual pode escolher uma rede. Para mais informações sobre os tipos de redes, consulte o artigo Tipos de redes.
9. Para uma regra de saída, especifique o tipo de rede de destino:
  - Para filtrar o tráfego de saída pertencente a qualquer tipo de rede, selecione Todos os tipos de redes.
  - Para filtrar o tráfego de saída pertencente a um tipo de rede específico, selecione Tipo de rede específico.
    - Para filtrar o tráfego de saída pertencente ao tipo de rede de Internet (INTERNET), selecione Internet.
    - Para filtrar o tráfego de saída pertencente ao tipo de rede sem Internet (NON-INTERNET), selecione Sem Internet. Para mais informações sobre os tipos de redes, consulte o artigo Tipos de redes.
10. Para uma regra de entrada, especifique o filtro de origem:
  - Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
  - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.
11. Para uma regra de saída, especifique o filtro de destino:
  - Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
  - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.
12. Opcional: se estiver a criar uma regra de entrada, especifique os FQDNs de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os FQDNs de destino aos quais esta regra se aplica. Para mais informações sobre objetos de nomes de domínios, consulte os objetos FQDN.
13. Opcional: se estiver a criar uma regra de entrada, selecione as geolocalizações de origem às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as geolocalizações de destino às quais esta regra se aplica. Para mais informações sobre objetos de geolocalização, consulte o artigo Objetos de geolocalização.
14. Opcional: se estiver a criar uma regra de entrada, selecione os grupos de endereços de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os grupos de endereços de destino aos quais esta regra se aplica. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.
15. Opcional: se estiver a criar uma regra de entrada, selecione as listas de Google Cloud Threat Intelligence às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as listas de Google Cloud Threat Intelligence de destino às quais esta regra se aplica. Para mais informações acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.
16. Opcional: para uma regra de entrada, especifique os filtros de destino:
  - Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
  - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e introduza os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte o artigo Destinos para regras de entrada.
17. Opcional: para uma regra de Saída, especifique o filtro Origem:
  - Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
  - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte o artigo Fontes para regras de saída.
18. Para Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a que protocolos e portas de destino a regra se aplica.
  
  Para especificar o ICMP IPv4, use icmp ou o número do protocolo 1. Para especificar o ICMP IPv6, use o número do protocolo 58. Para mais informações acerca dos protocolos, consulte o artigo Protocolos e portas.
19. Clique em Criar.
Clique em Criar regra de firewall para adicionar outra regra.

gcloud

Para criar uma regra de entrada, use o seguinte comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Substitua o seguinte:

PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
POLICY_NAME: o nome da política de firewall de rede hierárquica que contém a nova regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.
DESCRIPTION: uma descrição opcional para a nova regra
ACTION: especifique uma das seguintes ações:
- allow: permite ligações que correspondam à regra.
- deny: nega as ligações que correspondem à regra.
- apply_security_profile_group: envia os pacotes de forma transparente para o ponto final da firewall configurado para inspeção da camada 7. Quando a ação é apply_security_profile_group:
  - Tem de incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7.
  - Inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção TLS.
- goto_next: continua para o passo seguinte do processo de avaliação das regras de firewall.
Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam o registo de regras de firewall.
Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
Especifique um alvo:
- TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
- TARGET_SECURE_TAGS: uma lista separada por vírgulas de etiquetas seguras. Os valores das etiquetas seguras têm de ser provenientes de uma chave de etiqueta segura com dados de finalidade da organização.
- TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
- Se omitir os parâmetros target-resources, --target-secure-tags e --target-service-accounts, a regra aplica-se à segmentação mais ampla.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
- Um nome do protocolo IP (tcp) ou um número do protocolo IP da IANA (17) sem qualquer porta de destino.
- Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
- Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos com um traço para separar as portas de destino de início e fim (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
Especifique uma origem para a regra de entrada:
- SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.
- SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores URL únicos. Os grupos de endereços na lista têm de conter todos os endereços IPv4 ou todos os endereços IPv6, e não uma combinação de ambos.
- SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
- SRC_SECURE_TAGS: uma lista separada por vírgulas de etiquetas. Não pode usar o parâmetro --src-secure-tags se o parâmetro --src-network-type for INTERNET.
- SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização. Não pode usar o parâmetro --src-region-codes se o --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
- SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall. Não pode usar o parâmetro --src-threat-intelligence se o valor de --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
- SRC_NETWORK_TYPE: define os tipos de rede de origem a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino específica. Os valores válidos são INTERNET, NON_INTERNET, VPC_NETWORK ou INTRA_VPC. Para mais informações, consulte o artigo Tipos de redes.
- SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos identificadores de URL. Especifique este parâmetro apenas quando o elemento --src-network-type for VPC_NETWORKS.
Opcionalmente, especifique um destino para a regra de entrada:
- DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.

Para criar uma regra de saída, use o seguinte comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Substitua o seguinte:

PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Recomendamos que separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que possa criar novas regras entre as regras existentes mais tarde.
POLICY_NAME: o nome da política de firewall de rede hierárquica que contém a nova regra.
ORG_ID: o ID da organização que contém a política de firewall hierárquica.
DESCRIPTION: uma descrição opcional para a nova regra
ACTION: especifique uma das seguintes ações:
- allow: permite ligações que correspondam à regra.
- deny: nega as ligações que correspondem à regra.
- apply_security_profile_group: envia os pacotes de forma transparente para o ponto final da firewall configurado para inspeção da camada 7. Quando a ação é apply_security_profile_group:
  - Tem de incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7.
  - Inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção TLS.
- goto_next: continua para o passo seguinte do processo de avaliação das regras de firewall.
Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam o registo de regras de firewall.
Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
Especifique um alvo:
- TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos respetivos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
- TARGET_SECURE_TAGS: uma lista separada por vírgulas de etiquetas seguras. Os valores das etiquetas seguras têm de ser provenientes de uma chave de etiqueta segura com dados de finalidade da organização.
- TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
- Se omitir os parâmetros target-resources, --target-secure-tags e --target-service-accounts, a regra aplica-se à segmentação mais ampla.
LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
- Um nome do protocolo IP (tcp) ou um número do protocolo IP da IANA (17) sem qualquer porta de destino.
- Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
- Um nome do protocolo IP e um intervalo de portas de destino separados por dois pontos com um traço para separar as portas de destino de início e fim (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
Opcionalmente, especifique uma origem para a regra de saída:
- SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, e não uma combinação de ambos.
Especifique um destino para a regra de saída:
- DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista têm de ser CIDRs IPv4 ou CIDRs IPv6, não uma combinação de ambos.
- DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos respetivos identificadores URL únicos.
- DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato de nome do domínio.
- DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países de duas letras. Para mais informações, consulte os objetos de geolocalização.
- DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence. Para mais informações, consulte o artigo Inteligência contra ameaças da Google para regras da política de firewall.
- DEST_NETWORK_TYPE: define os tipos de rede de destino a usar em conjunto com outro parâmetro de destino suportado para produzir uma combinação de destino específica. Os valores válidos são INTERNET e NON_INTERNET. Para mais informações, consulte o artigo Tipos de redes.

Apresenta todas as regras de uma política.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.get

Funções

Administrador de rede de computação (roles/compute.networkAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Utilizador da política de firewall da organização de computação (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política. As regras são apresentadas no separador Regras de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Descreva uma regra

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.get

Funções

Administrador de rede de computação (roles/compute.networkAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Utilizador da política de firewall da organização de computação (roles/compute.orgFirewallPolicyUser) no recurso principal (organização ou pasta) que contém a política ou na própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Substitua o seguinte:

PRIORITY: a prioridade da regra que quer ver. Uma vez que cada regra tem de ter uma prioridade única, esta definição identifica uma regra de forma exclusiva
ORG_ID: o ID da sua organização
POLICY_NAME: o nome abreviado ou o nome gerado pelo sistema da política que contém a regra

Atualize uma regra

Para ver descrições dos campos, consulte o artigo Crie uma regra.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Edit.
Modifique os campos que quer alterar.
Clique em Guardar.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clone regras de uma política para outra

Remova todas as regras da política de destino e substitua-as pelas regras da política de origem.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.copyRules

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política da qual quer copiar regras.
Clique em Clonar na parte superior do ecrã.
Indique o nome de uma política de segmentação.
Se quiser associar a nova política imediatamente, clique em Continuar para abrir a secção Associar política a recursos.
Clique em Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Substitua o seguinte:

POLICY_NAME: a política para receber as regras copiadas
ORG_ID: o ID da sua organização
SOURCE_POLICY: a política a partir da qual copiar as regras; tem de ser o URL do recurso

Elimine uma regra

A eliminação de uma regra de uma política faz com que a regra deixe de se aplicar a novas ligações de ou para o destino da regra.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.firewallPolicies.update

Funções

Administrador da política de firewall da organização do Compute (roles/compute.orgFirewallPolicyAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política
Administrador de segurança do Compute (roles/compute.securityAdmin) no recurso principal (organização ou pasta) que contém a política ou a própria política

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Selecione a regra que quer eliminar.
Clique em Eliminar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Substitua o seguinte:

PRIORITY: a prioridade da regra que quer eliminar da política
ORG_ID: o ID da sua organização
POLICY_NAME: a política que contém a regra

Obtenha regras de firewall eficazes para uma rede

Pode ver todas as regras de políticas de firewall hierárquicas, regras de firewall da VPC e regras de políticas de firewall de rede global que se aplicam a todas as regiões de uma rede VPC.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Funções

Administrador de rede de computação (roles/compute.networkAdmin) no projeto que contém a rede ou
Utilizador da rede de computação (roles/compute.networkUser) no projeto que contém a rede ou
Leitor de rede do Compute (roles/compute.networkViewer) no projeto que contém a rede ou
Administrador de segurança de Calcular (roles/compute.securityAdmin) no projeto que contém a rede ou
Leitor do Compute (roles/compute.viewer) no projeto que contém a rede

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Clique na rede para a qual quer ver as regras da política de firewall.
Clique em Firewalls.
Expanda cada política de firewall para ver as regras que se aplicam a esta rede.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua NETWORK_NAME pela rede para a qual quer ver as regras eficazes.

Também pode ver as regras de firewall eficazes para uma rede na página Firewall.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.organizations.listAssociations na rede
Opcional: resourcemanager.folders.get e resourcemanager.organizations.get para ver informações nas colunas Herdado de e Localizado em

Funções

Para ver as regras de firewall:

compute.orgSecurityResourceAdmin
compute.viewer

Opcional: para ver informações nas colunas Herdado de e Localizado em:

browser
resourcemanager.organizationAdmin

Consola

Na Google Cloud consola, aceda à página Políticas de firewall.

Aceder a Políticas de firewall
As políticas de firewall são apresentadas na secção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Obtenha regras de firewall eficazes para uma interface de VM

Pode ver todas as regras de firewall, de todas as políticas de firewall aplicáveis e regras de firewall da VPC, que se aplicam a uma interface de rede de uma VM do Compute Engine.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

compute.instances.getEffectiveFirewalls

Funções

Administrador de instância de Calcular (roles/compute.instanceAdmin) no projeto que contém a instância de VM ou
Agente de serviço do gestor de grupos de instâncias (roles/compute.instanceGroupManagerServiceAgent) no projeto que contém a instância de VM ou
Administrador de segurança do Compute (roles/compute.securityAdmin) no projeto que contém a instância de VM ou
Leitor do Compute (roles/compute.viewer) no projeto que contém a instância de VM

Consola

Na Google Cloud consola, aceda à página Instâncias de VM.

Aceder às instâncias de VM
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Para Interfaces de rede, clique na interface.
As regras de firewall eficazes aparecem no separador Firewalls disponível na secção Análise da configuração de rede.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua o seguinte:

INSTANCE_NAME: a VM para a qual quer ver as regras eficazes. Se não for especificada nenhuma interface, o comando devolve regras para a interface principal (nic0).
INTERFACE: a interface de VM para a qual quer ver as regras eficazes; o valor predefinido é nic0.
ZONE: a zona da VM; esta linha é opcional se a zona escolhida já estiver definida como predefinição.

Resolução de problemas

Esta secção contém explicações para as mensagens de erro que pode encontrar.

FirewallPolicy may not specify a name. One will be provided.

Não pode especificar um nome de política. Os "nomes" das políticas de firewall hierárquicas são IDs numéricos gerados pelo Google Cloud quando a política é criada. No entanto, pode especificar um diminutivo mais amigável que funciona como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.

As associações só podem ser criadas depois de as políticas de firewall hierárquicas serem criadas.
Can not move firewall policy to a different organization.

As movimentações de políticas de firewall hierárquicas têm de permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Se um recurso já estiver associado a uma política de firewall hierárquica, a operação de associação falha, a menos que a opção de substituição das associações existentes esteja definida como verdadeira.
Cannot have rules with the same priorities.

As prioridades das regras têm de ser exclusivas numa política de firewall hierárquica.
Direction must be specified on firewall policy rule.

Quando cria regras de políticas de firewall hierárquicas enviando pedidos REST diretamente, tem de especificar a direção da regra. Quando usa a Google Cloud CLI e não é especificada nenhuma direção, a predefinição é INGRESS.
Can not specify enable_logging on a goto_next rule.

O registo do firewall não é permitido para regras com a ação goto_next porque as ações goto_next são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações terminais, por exemplo, ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.

A flag layer4Configs na regra da política de firewall tem de especificar, pelo menos, um protocolo ou um protocolo e uma porta de destino.

Para mais informações sobre a resolução de problemas de regras de políticas de firewall, consulte o artigo Resolução de problemas de regras de firewall da VPC.

Use regras e políticas de firewall hierárquicas Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Limitações

Tarefas da política de firewall

Autorizações necessárias para esta tarefa

Crie uma política de firewall

Autorizações necessárias para esta tarefa

Consola

gcloud

Associe uma política à organização ou à pasta

Autorizações necessárias para esta tarefa

Consola

gcloud

Mova uma política de um recurso para outro

Autorizações necessárias para esta tarefa

Consola

gcloud

Atualize uma descrição da política

Autorizações necessárias para esta tarefa

Consola

gcloud

Indicar políticas

Autorizações necessárias para esta tarefa

Consola

gcloud

Descreva uma política

Autorizações necessárias para esta tarefa

Consola

gcloud

Elimine uma política

Autorizações necessárias para esta tarefa

Consola

gcloud

Associações de listas para um recurso

Autorizações necessárias para esta tarefa

Consola

gcloud

Elimine uma associação

Autorizações necessárias para esta tarefa

Consola

gcloud

Tarefas de regras de políticas de firewall

Criar uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Apresenta todas as regras de uma política.

Autorizações necessárias para esta tarefa

Consola

gcloud

Descreva uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Atualize uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Clone regras de uma política para outra

Autorizações necessárias para esta tarefa

Consola

gcloud

Elimine uma regra

Autorizações necessárias para esta tarefa

Consola

gcloud

Obtenha regras de firewall eficazes para uma rede

Autorizações necessárias para esta tarefa

Consola

gcloud

Autorizações necessárias para esta tarefa

Consola

Obtenha regras de firewall eficazes para uma interface de VM

Autorizações necessárias para esta tarefa

Consola

gcloud

Resolução de problemas

O que se segue?

Use regras e políticas de firewall hierárquicas