Usar políticas e regras hierárquicas de firewall

Nesta página, consideramos que você esteja familiarizado com os conceitos descritos na Visão geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.

Limitações

  • As regras de política hierárquica de firewall não permitem o uso de tags de rede para definir metas. Em vez disso, use uma rede VPC de destino ou uma conta de serviço de destino.
  • As políticas de firewall podem ser aplicadas no nível da pasta e da organização, mas não no nível da rede VPC. As regras de firewall da VPC regulares são compatíveis com redes VPC.
  • Somente uma política de firewall pode ser associada a um recurso (pasta ou organização), embora as instâncias de máquina virtual (VM) em uma pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
  • A geração de registros de regras de firewall é compatível com regras allow e deny, mas não com regras goto_next.
  • O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Tarefas de política de firewall

Nesta seção, descrevemos como criar e gerenciar políticas de firewall hierárquicas.

Para verificar o progresso de uma operação resultante de uma tarefa listada nesta seção, confira se o principal do IAM tem as seguintes permissões ou papéis além de aqueles necessários para cada tarefa.

Criar uma política de firewall

Ao criar uma política hierárquica de firewall, é possível definir a organização ou uma pasta dentro dela como o pai. Depois de criar a política, é possível associá-la à organização ou a uma pasta dela.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou uma pasta na organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome da política, insira um nome para a política.

  5. Opcional: se você quiser criar regras para sua política, clique em Continuar.

  6. Na seção Adicionar regras, clique em Criar regra de firewall.

    Para mais informações, consulte Criar uma regra.

  7. Opcional: se quiser associar a política a um recurso, clique em Continuar.

  8. Na seção Associar política a recursos, clique em Adicionar.

    Para mais informações, consulte Associar uma política à organização ou pasta.

  9. Clique em Criar.

gcloud

Execute estes comandos para criar uma política de firewall hierárquica cuja organização seja a principal:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Execute estes comandos para criar uma política de firewall hierárquica cujo pai é uma pasta em uma organização:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Substitua:

  • ORG_ID: ID da sua organização

    Especifique um ID da organização para criar uma política cuja organização mãe seja uma organização. A política pode ser associada à organização ou a uma pasta dentro dela.

  • SHORT_NAME: um nome para a política.

    Uma política criada usando a Google Cloud CLI tem dois nomes: um gerado pelo sistema e um curto fornecido por você. Ao usar a CLI gcloud para atualizar uma política, é possível fornecer o nome gerado pelo sistema ou o nome curto e o ID da organização. Ao usar a API para atualizar a política, é preciso informar o nome gerado pelo sistema.

  • FOLDER_ID: o ID de uma pasta

    Especifique um ID de pasta para criar uma política cujo pai é uma pasta. A política pode ser associada à organização que contém a pasta ou a qualquer pasta dentro dessa organização.

Associar uma política à organização ou pasta

Quando você associa uma política hierárquica de firewall a uma organização ou pasta em uma organização, as regras da política de firewall, exceto as regras desativadas e sujeitas ao destino de cada regra, se aplicam aos recursos em redes VPC em projetos da organização ou pasta associada.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique na guia Associações.

  5. Clique em Adicionar associação.

  6. Selecione a raiz da organização ou as pastas da organização.

  7. Clique em Adicionar.

gcloud

Por padrão, se você tentar inserir uma associação a uma organização ou pasta que já tenha uma associação, o método vai falhar. Se você especificar a flag --replace-association-on-target, a associação atual será excluída ao mesmo tempo que a nova for criada. Isso impede que o recurso não tenha uma política durante a transição.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Substitua:

  • POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema
  • ORG_ID: ID da sua organização
  • FOLDER_ID: se você estiver associando a política a uma pasta, especifique-a aqui. Omita se você estiver associando a política ao nível da organização
  • ASSOCIATION_NAME: um nome opcional para a associação. Se não for especificado, o nome será definido como "organização ORG_ID" ou "pasta FOLDER_ID"

Mover uma política de um recurso para outro

Mover uma política só muda o pai dela. Mudar o pai da política pode alterar quais principais do IAM podem criar e atualizar regras na política e quais principais podem criar associações futuras.

Mover uma política não muda nenhuma associação de política ou a avaliação de regras na política.

Console

Use a Google Cloud CLI para este procedimento.

gcloud

Execute estes comandos para mover a política de firewall hierárquica para uma organização:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Execute estes comandos para mover a política de firewall hierárquica para uma pasta em uma organização:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Substitua:

  • POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema que você está movendo
  • ORG_ID: o ID da organização para onde a política é movida
  • FOLDER_ID: o ID da pasta para onde a política é movida

Atualizar uma descrição da política

O único campo de política que pode ser atualizado é Descrição.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique em Editar.

  5. Modifique a descrição.

  6. Clique em Salvar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Políticas de lista

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

    Para uma organização, a seção Políticas de firewall associadas a esta organização mostra as políticas associadas. A seção Políticas de firewall localizadas nesta organização lista as políticas que são de propriedade da organização.

    Para uma pasta, a seção Políticas de firewall associadas a esta pasta ou herdadas por ela mostra as políticas associadas ou herdadas por ela. A seção Políticas de firewall localizadas nesta pasta lista as políticas que são de propriedade da pasta.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Descrever uma política

É possível conferir detalhes sobre uma política de firewall hierárquica, incluindo as regras da política e os atributos de regra associados. Todos esses atributos são contados como parte da cota. Para mais informações, consulte "Atributos de regra por política hierárquica de firewall" na tabela Por política de firewall.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Excluir uma política

Antes de excluir uma política de firewall hierárquica, exclua todas as associações dela.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na política que você quer excluir.

  4. Clique na guia Associações.

  5. Selecione todas as associações.

  6. Clique em Remover associação.

  7. Depois que todas as associações forem removidas, clique em Excluir.

gcloud

Use o comando a seguir para excluir a política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Listar associações para um recurso

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Uma lista de políticas associadas e herdadas é exibida para o recurso selecionado (organização ou pasta).

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Excluir uma associação

Se você precisar mudar a política hierárquica de firewall associada a uma organização ou pasta, recomendamos associar uma nova política em vez de excluir uma política associada. É possível associar uma nova política em uma etapa, o que ajuda a garantir que uma política hierárquica de firewall esteja sempre associada à organização ou pasta.

Para excluir uma associação entre uma política de firewall hierárquica e uma organização ou pasta, siga as etapas mencionadas nesta seção. As regras da política de firewall hierárquica não se aplicam a novas conexões depois que a associação é excluída.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique na guia Associações.

  5. Selecione a associação que você quer excluir.

  6. Clique em Remover associação.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tarefas de regras de política de firewall

Nesta seção, descrevemos como criar e gerenciar regras de política hierárquica de firewall.

Criar uma regra

As regras de política de firewall hierárquicas precisam ser criadas em uma política de firewall hierárquica. As regras não estarão ativas até que você associe a política a um recurso.

Cada regra de política hierárquica de firewall pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique no nome da sua política.

  4. Clique em Criar regra de firewall.

  5. Preencha os campos da regra:

    1. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
    2. Defina a coleção Registros como Ativado ou Desativado.
    3. Em Direção do tráfego, especifique se essa regra é de Entrada ou Saída.
    4. Em Ação se houver correspondência, escolha uma das seguintes opções:
      1. Permitir: permite as conexões que correspondem à regra.
      2. Negar: nega as conexões que correspondem à regra.
      3. Ir para a próxima: transmite a avaliação da conexão para a próxima regra de firewall inferior na hierarquia.
      4. Aplicar grupo de perfis de segurança: envia os pacotes ao endpoint de firewall configurado para a inspeção da camada 7.
        • Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
        • Para ativar a inspeção da TLS dos pacotes, selecione Ativar inspeção da TLS. Para saber mais sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte Ordem de avaliação de políticas e regras.
    5. Opcional: é possível restringir a regra a determinadas redes especificando-as no campo Rede de destino. Clique em Adicionar rede e selecione o Projeto e a Rede. É possível adicionar várias redes de destino a uma regra.
    6. Opcional: é possível restringir a regra a VMs que estão sendo executadas com acesso a determinadas contas de serviço especificando-as no campo Conta de serviço de destino.

    7. Opcional: selecione Tags seguras para especificar origens de regras de entrada e destinos de regras de entrada ou saída em uma política. Para mais informações, consulte Criar e gerenciar tags seguras.

    8. Para uma regra de entrada, especifique o tipo de rede de origem:

      • Para filtrar o tráfego de entrada pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
      • Para filtrar o tráfego de entrada pertencente a um tipo de rede específico, selecione Tipo de rede específico.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede da Internet (INTERNET), selecione Internet.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede não Internet (NON-INTERNET), selecione Não Internet.
        • Para filtrar o tráfego de entrada pertencente ao tipo de rede intra VPC (INTRA_VPC), selecione Intra VPC.
        • Para filtrar o tráfego de entrada pertencente ao tipo de redes VPC (VPC_NETWORKS), selecione Redes VPC e especifique uma ou mais redes usando o seguinte botão:
          • Selecionar projeto atual: permite adicionar uma ou mais redes do projeto atual.
          • Inserir rede manualmente: permite inserir um projeto e uma rede manualmente.
          • Selecionar projeto: permite escolher um projeto e, depois, uma rede. Para mais informações sobre os tipos de rede, consulte Tipos de rede.

    9. Para uma regra de saída, especifique o tipo de rede de destino:

      • Para filtrar o tráfego de saída pertencente a qualquer tipo de rede, selecione Todos os tipos de rede.
      • Para filtrar o tráfego de saída pertencente a um tipo de rede específico, selecione Tipo de rede específico.
        • Para filtrar o tráfego de saída pertencente ao tipo de rede da Internet (INTERNET), selecione Internet.
        • Para filtrar o tráfego de saída pertencente ao tipo de rede não Internet (NON-INTERNET), selecione Não Internet. Para mais informações sobre os tipos de rede, consulte Tipos de rede.

    10. Para uma regra de entrada, especifique o Filtro de origem:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6.

    11. Para uma regra de saída, especifique o filtro de destino:

      • Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer destino IPv6.

    12. Opcional: se você estiver criando uma regra de entrada, especifique os FQDNs de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os FQDNs de destino a que essa regra se aplica. Para mais informações sobre objetos de nome de domínio, consulte Objetos FQDN.

    13. Opcional: se você estiver criando uma regra de entrada, selecione as geolocalizações de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as geolocalizações de destino a que essa regra se aplica. Para mais informações sobre objetos de geolocalização, consulte Objetos de geolocalização.

    14. Opcional: se você estiver criando uma regra de entrada, selecione os grupos de endereços de origem a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione os grupos de endereços de destino a que essa regra se aplica. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

    15. Opcional: se você estiver criando uma regra de entrada, selecione as listas de origem do Google Cloud Threat Intelligence a que essa regra se aplica. Se você estiver criando uma regra de saída, selecione as listas de destino do Google Cloud Threat Intelligence a que essa regra se aplica. Para mais informações sobre o Google Threat Intelligence, consulte Google Threat Intelligence para regras de política de firewall.

    16. Opcional: para uma regra de entrada, especifique os filtros de destino:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e insira os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte Destinos das regras de entrada.

    17. Opcional: para uma regra de saída, especifique o filtro de origem:

      • Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e insira os blocos CIDR no campo Intervalos de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e insira os blocos CIDR no campo Intervalos IPv6. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte Origens das regras de saída.

    18. Em Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a quais protocolos e portas de destino a regra se aplica.

      Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para especificar o ICMP em IPv6, use o número de protocolo 58. Para mais informações sobre protocolos, consulte Protocolos e portas.

    19. Clique em Criar.

  6. Clique em Criar regra de firewall para adicionar outra regra.

gcloud

Para criar uma regra de entrada, use o seguinte comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Substitua:

  • PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
  • POLICY_NAME: o nome da política de firewall de rede hierárquica que contém a nova regra.
  • ORG_ID: o ID da organização que contém a política de firewall hierárquica.
  • DESCRIPTION: uma descrição opcional para a nova regra
  • ACTION: especifique uma das seguintes ações:
    • allow: permite conexões que correspondem à regra.
    • deny: nega conexões que correspondem à regra.
    • apply_security_profile_group: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7. Quando a ação é apply_security_profile_group:
      • Você precisa incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7.
      • Inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção de TLS.
    • goto_next: continua para a próxima etapa do processo de avaliação de regras de firewall.
  • Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam a geração de registros de regras de firewall.
  • Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
  • Especifique um destino:
    • TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
    • TARGET_SECURE_TAGS: uma lista separada por vírgulas de tags seguras. Os valores de tag segura de destino precisam vir de uma chave de tag segura com dados de finalidade da organização.
    • TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
    • Se você omitir os parâmetros target-resources, --target-secure-tags e --target-service-accounts, a regra será aplicada ao destino mais amplo.
  • LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
    • Um nome de protocolo IP (tcp) ou número de protocolo IP da IANA (17) sem uma porta de destino.
    • Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
    • Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos usando um traço para separar as portas de destino inicial e final (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
  • Especifique uma origem para a regra de entrada:
    • SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Os intervalos na lista precisam ser todos CIDRs IPv4 ou IPv6, não uma combinação de ambos.
    • SRC_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL. Os grupos de endereços na lista precisam conter todos os endereços IPv4 ou todos os endereços IPv6, não uma combinação dos dois.
    • SRC_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
    • SRC_SECURE_TAGS: uma lista de tags separadas por vírgulas. Não é possível usar o parâmetro --src-secure-tags se o --src-network-type for INTERNET.
    • SRC_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização. Não é possível usar o parâmetro --src-region-codes se o --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall. Não é possível usar o parâmetro --src-threat-intelligence se o --src-network-type for NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • SRC_NETWORK_TYPE: define tipos de rede de origem a serem usados em conjunto com outro parâmetro de destino compatível para produzir uma combinação de destino específica. Os valores válidos são INTERNET, NON_INTERNET, VPC_NETWORK ou INTRA_VPC. Para mais informações, consulte Tipos de rede.
    • SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC especificadas pelos identificadores de URL. Especifique esse parâmetro apenas quando o --src-network-type for VPC_NETWORKS.
  • Opcionalmente, especifique um destino para a regra de entrada:
    • DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação de ambos.

Para criar uma regra de saída, use o seguinte comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Substitua:

  • PRIORITY: a ordem de avaliação numérica da regra na política. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta. As prioridades precisam ser exclusivas para cada regra. Recomendamos que você separe os valores de prioridade das regras por mais do que apenas uma diferença de um (por exemplo, 100, 200, 300) para que seja possível criar novas regras entre as atuais mais tarde.
  • POLICY_NAME: o nome da política de firewall de rede hierárquica que contém a nova regra.
  • ORG_ID: o ID da organização que contém a política de firewall hierárquica.
  • DESCRIPTION: uma descrição opcional para a nova regra
  • ACTION: especifique uma das seguintes ações:
    • allow: permite conexões que correspondem à regra.
    • deny: nega conexões que correspondem à regra.
    • apply_security_profile_group: envia os pacotes de maneira transparente para o endpoint de firewall configurado para a inspeção da camada 7. Quando a ação é apply_security_profile_group:
      • Você precisa incluir --security-profile-group SECURITY_PROFILE_GROUP, em que SECURITY_PROFILE_GROUP é o nome de um grupo de perfis de segurança usado para a inspeção da camada 7.
      • Inclua --tls-inspect ou --no-tls-inspect para ativar ou desativar a inspeção de TLS.
    • goto_next: continua para a próxima etapa do processo de avaliação de regras de firewall.
  • Os parâmetros --enable-logging e --no-enable-logging ativam ou desativam a geração de registros de regras de firewall.
  • Os parâmetros --disabled e --no-disabled controlam se a regra está desativada (não aplicada) ou ativada (aplicada).
  • Especifique um destino:
    • TARGET_NETWORKS: uma lista separada por vírgulas de redes VPC especificadas pelos URLs de recursos de rede no formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
    • TARGET_SECURE_TAGS: uma lista separada por vírgulas de tags seguras. Os valores de tag segura de destino precisam vir de uma chave de tag segura com dados de finalidade da organização.
    • TARGET_SERVICE_ACCOUNTS: uma lista separada por vírgulas de contas de serviço.
    • Se você omitir os parâmetros target-resources, --target-secure-tags e --target-service-accounts, a regra será aplicada ao destino mais amplo.
  • LAYER_4_CONFIGS: uma lista separada por vírgulas de configurações da camada 4. Cada configuração da camada 4 pode ser uma das seguintes:
    • Um nome de protocolo IP (tcp) ou número de protocolo IP da IANA (17) sem uma porta de destino.
    • Um nome de protocolo IP e uma porta de destino separados por dois pontos (tcp:80).
    • Um nome de protocolo IP e um intervalo de portas de destino separados por dois pontos usando um traço para separar as portas de destino inicial e final (tcp:5000-6000). Para mais informações, consulte Protocolos e portas.
  • Opcionalmente, especifique uma origem para a regra de saída:
    • SRC_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação dos dois.
  • Especifique um destino para a regra de saída:
    • DEST_IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP no formato CIDR. Todos os intervalos na lista precisam ser CIDRs IPv4 ou IPv6, não uma combinação de ambos.
    • DEST_ADDRESS_GROUPS: uma lista separada por vírgulas de grupos de endereços especificados pelos identificadores exclusivos de URL.
    • DEST_DOMAIN_NAMES: uma lista separada por vírgulas de objetos FQDN especificados no formato do nome de domínio.
    • DEST_COUNTRY_CODES: uma lista separada por vírgulas de códigos de países com duas letras. Para mais informações, consulte Objetos de geolocalização.
    • DEST_THREAT_LIST_NAMES: uma lista separada por vírgulas de nomes de listas do Google Threat Intelligence. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
    • DEST_NETWORK_TYPE: define um tipo de rede de destino a ser usado com outro parâmetro de destino compatível para produzir uma combinação de destino específica. Os valores válidos são INTERNET e NON_INTERNET. Para mais informações, consulte Tipos de rede.

Listar todas as regras em uma política

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política. As regras são listadas na guia Regras de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Descrever uma regra

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Substitua:

  • PRIORITY: a prioridade da regra que você quer visualizar. Como cada regra precisa ter uma prioridade única, essa configuração identifica exclusivamente uma regra
  • ORG_ID: ID da sua organização
  • POLICY_NAME: o nome curto ou gerado pelo sistema da política que contém a regra

Atualizar uma regra

Para descrições de campos, consulte Criar uma regra.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

  5. Clique em Editar.

  6. Modifique os campos que você quer alterar.

  7. Clique em Salvar.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonar regras de uma política para outra

Remova todas as regras da política de destino e as substitua pelas regras da política de origem.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na política da qual você quer copiar as regras.

  4. Clique em Clonar na parte superior da tela.

  5. Informe o nome de uma política de destino.

  6. Se você quiser associar a nova política imediatamente, clique em Continuar para abrir a seção Associar política a recursos.

  7. Clique em Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Substitua:

  • POLICY_NAME: a política que deve receber as regras copiadas
  • ORG_ID: ID da sua organização
  • SOURCE_POLICY: a política da qual copiar as regras. Precisa ser o URL do recurso

Excluir uma regra

A exclusão de uma regra de uma política faz com que ela não seja mais aplicada a novas conexões com ou do destino da regra.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que você quer excluir.

  5. Clique em Excluir.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Substitua:

  • PRIORITY: a prioridade da regra que você quer excluir da política
  • ORG_ID: ID da sua organização
  • POLICY_NAME: a política que contém a regra

Receber regras de firewall eficazes para uma rede

É possível ver todas as regras de política de firewall hierárquica, de VPC e de rede global que se aplicam a todas as regiões de uma rede VPC.

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na rede para ver as regras de política de firewall.

  3. Clique em Firewalls.

  4. Expanda cada política de firewall para visualizar as regras que se aplicam a esta rede.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua NETWORK_NAME pela rede em que você quer ver as regras efetivas.

Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.

  3. Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Receber regras de firewall em vigor para uma interface de VM

É possível conferir todas as regras de firewall (de todas as políticas de firewall e regras de firewall de VPC aplicáveis) que se aplicam a uma interface de rede de uma VM do Compute Engine.

Console

  1. No console do Google Cloud , acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. No menu do seletor de projetos, selecione o projeto que contém a VM.

  3. Clique na VM.

  4. Em Interfaces de rede, clique na interface.

  5. As regras de firewall em vigor aparecem na guia Firewalls, disponível na seção Análise da configuração de rede.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua:

  • INSTANCE_NAME: a VM que tem as regras efetivas que você quer ver. Se nenhuma interface for especificada, o comando retornará regras para a interface principal (nic0).
  • INTERFACE: a interface de VM cujas regras vigentes você quer visualizar. O valor padrão é nic0.
  • ZONE: a zona da VM. Essa linha é opcional quando a zona selecionada já está definida como padrão.

Solução de problemas

Esta seção contém explicações para mensagens de erro que podem ser encontradas.

  • FirewallPolicy may not specify a name. One will be provided.

    Não é possível especificar um nome de política. Os "nomes" de políticas de firewall hierárquicas são IDs numéricos gerados pelo Google Cloud quando a política é criada. No entanto, é possível especificar um nome curto mais específico que funcione como um alias em muitos contextos.

  • FirewallPolicy may not specify associations on creation.

    As associações só podem ser criadas depois que políticas de firewall hierárquicas são criadas.

  • Can not move firewall policy to a different organization.

    As migrações de política de firewall hierárquica precisam permanecer na mesma organização.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Se um recurso já estiver anexado a uma política de firewall hierárquica, a operação do anexo falhará, a menos que a opção de substituir as associações esteja definida como verdadeira.

  • Cannot have rules with the same priorities.

    As prioridades das regras precisam ser exclusivas dentro de uma política de firewall hierárquica.

  • Direction must be specified on firewall policy rule.

    Ao criar regras da política de firewall hierárquica enviando solicitações REST diretamente, a direção da regra precisa ser especificada. Quando você usa a Google Cloud CLI e nenhuma direção é especificada, o padrão é INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    A geração de registros de firewall não é permitida para regras com a ação goto_next, já que essas ações são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações de terminal, como ALLOW ou DENY.

  • Must specify at least one destination on Firewall policy rule.

    A flag layer4Configs na regra da política de firewall precisa especificar pelo menos um protocolo ou um protocolo e uma porta de destino.

    Para mais informações sobre como resolver problemas de regras de política de firewall, consulte Solução de problemas de regras de firewall da VPC.

A seguir