Políticas de firewall

As políticas de firewall permitem-lhe agrupar várias regras de firewall para que possa atualizá-las todas de uma só vez, controladas eficazmente pelas funções de gestão de identidade e de acesso (IAM). Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, tal como as regras de firewall da nuvem virtual privada (VPC).

Políticas de firewall hierárquicas

As políticas de firewall hierárquicas permitem agrupar regras num objeto de política que pode ser aplicado a muitas redes VPC num ou mais projetos. Pode associar políticas de firewall hierárquicas a uma organização inteira ou a pastas individuais.

Para ver as especificações e os detalhes da política de firewall hierárquica, consulte o artigo Políticas de firewall hierárquicas.

Políticas de firewall de rede globais

As políticas de firewall de rede global permitem agrupar regras num objeto de política que é aplicável a todas as regiões (global). Uma política de firewall não entra em vigor até ser associada a uma rede da VPC. Para associar uma política de firewall de rede global a uma rede, consulte o artigo Associe uma política à rede. Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem aplicar-se a recursos na rede VPC. Só pode associar uma política de firewall de rede a uma rede VPC.

Para ver as especificações e os detalhes da política de firewall de rede global, consulte o artigo Políticas de firewall de rede global.

Políticas de firewall de rede regionais

As políticas de firewall de rede regionais permitem-lhe agrupar regras num objeto de política aplicável a uma região específica. Uma política de firewall de rede regional não entra em vigor até ser associada a uma rede da VPC na mesma região. Para associar uma política de firewall de rede regional a uma rede, consulte o artigo Associe uma política à rede. Depois de associar uma política de firewall de rede regional a uma rede de VPC, as regras na política podem aplicar-se a recursos nessa região da rede de VPC.

Para ver as especificações e os detalhes da política de firewall regional, consulte o artigo Políticas de firewall de rede regionais.

Aplique políticas e regras de firewall a uma rede

As redes VPC normais suportam regras de firewall em políticas de firewall hierárquicas, políticas de firewall de rede global, políticas de firewall de rede regional e regras de firewall de VPC. Todas as regras de firewall são programadas como parte da pilha de virtualização de rede Andromeda.

Para redes VPC RoCE, consulte o artigo NGFW da nuvem para redes VPC RoCE em vez desta secção.

Ordem de aplicação da política de firewall de rede

Cada rede VPC normal tem uma ordem de aplicação da política de firewall de rede que controla quando as regras nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais são avaliadas.

  • AFTER_CLASSIC_FIREWALL (predefinição): o Cloud NGFW avalia as regras de firewall de VPC antes de avaliar as regras nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais.

  • BEFORE_CLASSIC_FIREWALL: o NGFW da nuvem avalia as regras nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais antes de avaliar as regras de firewall da VPC.

Para alterar a ordem de aplicação da política de firewall de rede, faça qualquer uma das seguintes ações:

  • Use o networks.patch método e defina o atributo networkFirewallPolicyEnforcementOrder da rede VPC.

  • Use o comando gcloud compute networks update com a flag--network-firewall-policy-enforcement-order.

    Por exemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo de avaliação de regras de firewall

Para um determinado pacote, o NGFW da nuvem avalia as seguintes regras exclusivamente com base na direção do tráfego:

  • Regras de firewall de entrada se um recurso de destino receber o pacote.
  • Regras de firewall de saída se um recurso de destino enviar o pacote.

O NGFW da nuvem avalia as regras de firewall por uma ordem específica. A ordem depende da ordem de aplicação da política de firewall de rede, que pode ser AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

Ordem de avaliação das regras na AFTER_CLASSIC_FIREWALL ordem de aplicação

Na AFTER_CLASSIC_FIREWALL ordem de aplicação da política de firewall de rede, o Cloud NGFW avalia as regras de firewall da VPC depois de avaliar as regras nas políticas de firewall hierárquicas. Esta é a ordem de avaliação predefinida.

As regras de firewall são avaliadas pela seguinte ordem:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas de firewall hierárquicas pela ordem seguinte:

    1. A política de firewall hierárquica associada à organização que contém o recurso de destino.
    2. Políticas de firewall hierárquicas associadas a antecessores de pastas, desde a pasta de nível superior até à pasta que contém o projeto do recurso de destino.

    Quando avalia as regras em cada política de firewall hierárquica, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall hierárquica, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
      • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

    Se nenhuma regra numa política de firewall hierárquica corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
    • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

  2. Regras de firewall de VPC.

    Quando avalia as regras de firewall da VPC, o NGFW do Google Cloud executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação em caso de correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras corresponderem, têm de ter a mesma prioridade, mas ações diferentes. Neste caso, o Cloud NGFW aplica a regra de firewall da denyVPC e ignora a regra de firewall da allowVPC.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita para continuar para o passo seguinte na ordem de avaliação.

  3. Política de firewall de rede global.

    Quando avalia regras numa política de firewall de rede global, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede global, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para o passo da política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo da política de firewall de rede regional na ordem de avaliação.

  4. Políticas de firewall de rede regionais.

    O NGFW da nuvem avalia as regras nas políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Quando avalia regras numa política de firewall de rede regional, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede regional, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para o passo seguinte na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo seguinte na ordem de avaliação.

  5. Regras de firewall implícitas.

    O Cloud NGFW aplica as seguintes regras de firewall implícitas quando todas as regras que correspondiam ao tráfego tinham uma ação goto_next explícita ou quando a avaliação de regras continuou seguindo ações goto_next implícitas.

    • Permissão de saída implícita
    • Recusa implícita de entrada

O diagrama seguinte mostra a ordem de avaliação quando a ordem de aplicação da política de firewall de rede é AFTER_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall.
Figura 1. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for AFTER_CLASSIC_FIREWALL (clique para aumentar).

Ordem de avaliação das regras na BEFORE_CLASSIC_FIREWALL ordem de aplicação

Na ordem de aplicação da política de firewall de rede do BEFORE_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras de firewall da VPC depois de avaliar as regras nas políticas de firewall de rede.

As regras de firewall são avaliadas pela seguinte ordem:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas de firewall hierárquicas pela ordem seguinte:

    1. A política de firewall hierárquica associada à organização que contém o recurso de destino.
    2. As políticas de firewall hierárquicas associadas aos antecessores da pasta, desde a pasta de nível superior até à pasta que contém o projeto do recurso de destino.

    Quando avalia as regras em cada política de firewall hierárquica, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall hierárquica, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
      • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

    Se nenhuma regra numa política de firewall hierárquica corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para uma das seguintes opções:

    • Uma política de firewall hierárquica associada a um antepassado da pasta mais próximo do recurso de destino, se existir.
    • O passo seguinte na ordem de avaliação, se todas as políticas de firewall hierárquicas tiverem sido avaliadas.

  2. Política de firewall de rede global.

    Quando avalia regras numa política de firewall de rede global, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede global, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • apply_security_profile_group: a regra encaminha o tráfego para um ponto final de firewall> configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou rejeitar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para o passo da política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo da política de firewall de rede regional na ordem de avaliação.

  3. Políticas de firewall de rede regionais.

    O NGFW da nuvem avalia as regras nas políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino. Se várias políticas estiverem associadas à mesma região e rede, a política com a prioridade de associação mais elevada é avaliada primeiro.

    Quando avalia regras numa política de firewall de rede regional, o Cloud NGFW executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Numa política de firewall de rede regional, no máximo, uma regra pode corresponder ao tráfego. A ação da regra de firewall na correspondência pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.
    • goto_next: a avaliação da regra continua para o passo seguinte na ordem de avaliação.

    Se nenhuma regra numa política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita. Esta ação continua a avaliação para o passo seguinte na ordem de avaliação.

  4. Regras de firewall de VPC.

    Quando avalia as regras de firewall da VPC, o NGFW do Google Cloud executa os seguintes passos:

    1. Ignorar todas as regras cujos alvos não correspondam ao recurso de destino.
    2. Ignorar todas as regras que não correspondam à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando se cumpre uma das seguintes condições:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra que se aplique ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação em caso de correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra rejeita o tráfego e toda a avaliação de regras é interrompida.

    Se duas regras corresponderem, têm de ter a mesma prioridade, mas ações diferentes. Neste caso, o Cloud NGFW aplica a regra de firewall da denyVPC e ignora a regra de firewall da allowVPC.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usa uma ação goto_next implícita para continuar para o passo seguinte na ordem de avaliação.

  5. Regras de firewall implícitas.

    O Cloud NGFW aplica as seguintes regras de firewall implícitas quando todas as regras que correspondiam ao tráfego tinham uma ação goto_next explícita ou quando a avaliação de regras continuou seguindo ações goto_next implícitas.

    • Permissão de saída implícita
    • Recusa implícita de entrada

O diagrama seguinte mostra a ordem de avaliação quando a ordem de aplicação da política da firewall de rede é BEFORE_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall.
Figura 2. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for BEFORE_CLASSIC_FIREWALL (clique para aumentar).

Regras de firewall em vigor

As regras de políticas de firewall hierárquicas, as regras de firewall da VPC e as regras de políticas de firewall de rede globais e regionais controlam as ligações. Pode ser útil ver todas as regras de firewall que afetam uma rede individual ou uma interface de VM.

Regras de firewall eficazes da rede

Pode ver todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os seguintes tipos de regras:

  • Regras herdadas de políticas de firewall hierárquicas
  • Regras de firewall da VPC
  • Regras aplicadas a partir das políticas de firewall de rede globais e regionais

Regras de firewall eficazes da instância

Pode ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os seguintes tipos de regras:

  • Regras herdadas de políticas de firewall hierárquicas
  • Regras aplicadas a partir do firewall da VPC da interface
  • Regras aplicadas a partir das políticas de firewall de rede globais e regionais

As regras são ordenadas do nível da organização para baixo até à rede de VPC. Apenas são apresentadas as regras aplicáveis à interface da VM. As regras noutras políticas não são apresentadas.

Para ver as regras de política de firewall em vigor numa região, consulte o artigo Obtenha políticas de firewall regionais em vigor para uma rede.

Regras predefinidas

Quando cria uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem da forma como cria a política.

Se criar uma política de firewall através da Google Cloud consola, o Cloud NGFW adiciona as seguintes regras à nova política:

  1. Regras de encaminhamento para intervalos IPv4 privados
  2. Regras de recusa predefinidas do Google Threat Intelligence
  3. Regras de recusa de geolocalização predefinidas
  4. Regras de transição para o passo seguinte com a prioridade mais baixa possível

Se criar uma política de firewall através da CLI Google Cloud ou da API, o Cloud NGFW adiciona apenas as regras goto-next com a prioridade mais baixa possível à política.

Todas as regras predefinidas numa nova política de firewall usam intencionalmente prioridades baixas (números de prioridade elevados) para que as possa substituir criando regras com prioridades mais elevadas. Exceto para as regras de encaminhamento para o passo seguinte com a prioridade mais baixa possível, também pode personalizar as regras predefinidas.

Regras de encaminhamento para intervalos de IPv4 privados

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de recusa predefinidas do Google Threat Intelligence

  • Uma regra de entrada com a lista de origens do Google Threat Intelligence iplist-tor-exit-nodes, a prioridade 1002 e a ação deny.

  • Uma regra de entrada com a lista de origens do Google Threat Intelligence iplist-known-malicious-ips, a prioridade 1003 e a ação deny.

  • Uma regra de saída com a lista de Google Threat Intelligence de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.

Regras de recusa de geolocalização predefinidas

  • Uma regra de entrada com geolocalizações de correspondência de origem CU,IR, KP, SY, XC, e XD, prioridade 1005 e ação deny.

Para saber mais acerca das geolocalizações, consulte o artigo Objetos de geolocalização.

Regras de encaminhamento para a seguinte com a prioridade mais baixa possível

Não pode modificar nem eliminar as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, a prioridade 2147483644 e a ação goto_next.

  • Uma regra de entrada com o intervalo IPv6 de origem ::/0, a prioridade 2147483645 e a goto_next ação.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, a prioridade 2147483646 e a ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, a prioridade 2147483647 e a goto_next ação.

O que se segue?