Use regras e políticas de firewall de rede globais

Esta página pressupõe que conhece os conceitos descritos na Vista geral das políticas de firewall de rede global.

Tarefas da política de firewall

Crie uma política de firewall de rede global

Pode criar uma política para qualquer rede da nuvem privada virtual (VPC) no seu projeto. Depois de criar uma política, pode associá-la a qualquer rede VPC no seu projeto. Depois de a política ser associada a uma rede VPC, as regras da política ficam ativas para instâncias de máquinas virtuais (VM) na rede associada.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. Na lista do seletor de projetos, selecione o seu projeto na sua organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome, introduza um nome para a política.

  5. Para Âmbito de implementação, selecione Global.

  6. Para criar regras para a sua política, clique em Continuar e, de seguida, em Adicionar regra.

    Para mais informações, consulte o artigo Crie regras de firewall de rede global.

  7. Se quiser associar a política a uma rede, clique em Continuar e, de seguida, em Associar política a redes VPC.

    Para mais informações, consulte o artigo Associe uma política à rede.

  8. Clique em Criar.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Substitua o seguinte:

  • NETWORK_FIREWALL_POLICY_NAME: um nome para a política
  • DESCRIPTION: uma descrição da política

Associe uma política à rede

Associe uma política a uma rede para ativar as regras da política para todas as VMs nessa rede.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a sua política.

  3. Clique na sua política.

  4. Clique no separador Associações.

  5. Clique em Adicionar associações.

  6. Selecione as redes no projeto.

  7. Clique em Associar.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Substitua o seguinte:

  • POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política.
  • NETWORK_NAME: o nome da sua rede.
  • ASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido como network-NETWORK_NAME.

Descreva uma política de firewall de rede global

Pode ver todos os detalhes de uma política, incluindo todas as respetivas regras de firewall. Além disso, pode ver muitos atributos em todas as regras da política. Estes atributos contam para o limite de cada limite de política.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.

  3. Clique na sua política.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Atualize a descrição de uma política de firewall de rede global

O único campo de política que pode ser atualizado é o campo Description.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política de firewall de rede global.

  3. Clique na sua política.

  4. Clique em Edit.

  5. No campo Descrição, altere o texto.

  6. Clique em Guardar.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Apresente as políticas de firewall de rede globais

Pode ver uma lista das políticas disponíveis no seu projeto.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

    A secção Políticas de firewall de rede mostra as políticas disponíveis no seu projeto.

gcloud 

gcloud compute network-firewall-policies list --global

Elimine uma política de firewall de rede global

Tem de eliminar todas as associações numa política de firewall de rede global antes de a poder eliminar.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política que quer eliminar.

  4. Clique no separador Associações.

  5. Selecione todas as associações.

  6. Clique em Remover associações.

  7. Depois de remover todas as associações, clique em Eliminar.

gcloud

  1. Liste todas as redes associadas a uma política de firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

  2. Elimine associações individuais. Para remover a associação, tem de ter a função compute.SecurityAdmin na política de firewall de rede global e a função compute.networkAdmin na rede VPC associada.

    gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

  3. Elimine a política:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Elimine uma associação

Para parar a aplicação de uma política de firewall numa rede, elimine a associação.

No entanto, se pretender substituir uma política de firewall por outra, não tem de eliminar primeiro a associação existente. A eliminação dessa associação deixaria um período em que nenhuma política seria aplicada. Em alternativa, substitua a política existente quando associar uma nova política.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o seu projeto ou a pasta que contém a política.

  3. Clique na sua política.

  4. Clique no separador Associações.

  5. Selecione a associação que quer eliminar.

  6. Clique em Remover associações.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tarefas de regras de políticas de firewall

Crie regras de firewall de rede global

As regras de política de firewall de rede global têm de ser criadas numa política de firewall de rede global. As regras não estão ativas até associar a política que contém essas regras a uma rede VPC.

Cada regra de política de firewall de rede global pode incluir intervalos IPv4 ou IPv6, mas não ambos.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a sua política.

  3. Clique no nome da política global.

  4. No separador Regras de firewall, clique em Criar.

  5. Preencha os campos da regra:

    1. No campo Prioridade, defina o número de ordem da regra, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Uma boa prática é atribuir números de prioridade às regras que permitam a inserção posterior (como 100, 200 e 300).
    2. Para Direção do tráfego, escolha entrada ou saída.
    3. Em Ação na correspondência, escolha uma das seguintes opções:
      1. Permitir: permite as ligações que correspondem à regra.
      2. Recusar: recusa as ligações que correspondem à regra.
      3. Ir para o seguinte: passa a avaliação da ligação para a regra de firewall inferior seguinte na hierarquia.
      4. Avançar para a inspeção L7: envia os pacotes para o ponto final da firewall configurado para inspeção e prevenção da camada 7.
        • Na lista Grupo de perfis de segurança, selecione o nome de um grupo de perfis de segurança.
        • Para ativar a inspeção TLS dos pacotes, selecione Ativar inspeção TLS.
    4. Defina a recolha de Registos como Ativada ou Desativada.
    5. Especifique o destino da regra. Escolha uma das seguintes opções para o campo Tipo de alvo:
      • Se quiser aplicar a regra a todas as instâncias na rede, escolha Todas as instâncias na rede.
      • Se quiser que a regra se aplique a instâncias selecionadas por Etiquetas, escolha Etiquetas seguras. Clique em SELECIONAR ÂMBITO e selecione a organização ou o projeto no qual quer criar etiquetas. Introduza os pares de chaves-valores aos quais a regra se aplica. Para adicionar mais pares de chave-valor, clique em ADICIONAR ETIQUETA.
      • Se quiser que a regra se aplique a instâncias selecionadas pela conta de serviço associada, primeiro, escolha Conta de serviço e, de seguida, em Âmbito da conta de serviço, indique se a conta de serviço está no projeto atual ou noutro e, no campo Conta de serviço de destino, escolha ou escreva o nome da conta de serviço.

    6. Para uma regra de entrada, especifique o filtro de origem:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer origem IPv6.
      • Para limitar a origem por etiquetas, na secção Etiquetas, clique em SELECIONAR ÂMBITO. Selecione a organização ou o projeto para o qual quer criar etiquetas. Introduza os pares de chave-valor aos quais a regra se aplica. Para adicionar mais pares de chave-valor, clique em ADICIONAR ETIQUETA.

    7. Para uma regra de saída, especifique o filtro de destino:

      • Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer destino IPv6.

    8. Opcional: se estiver a criar uma regra de entrada, especifique os FQDNs de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os FQDNs de destino aos quais esta regra se aplica. Para mais informações sobre objetos de nomes de domínios, consulte os objetos FQDN.

    9. Opcional: se estiver a criar uma regra de entrada, selecione as geolocalizações de origem às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as geolocalizações de destino às quais esta regra se aplica. Para mais informações sobre objetos de geolocalização, consulte o artigo Objetos de geolocalização.

    10. Opcional: se estiver a criar uma regra de entrada, selecione os grupos de endereços de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os grupos de endereços de destino aos quais esta regra se aplica. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.

    11. Opcional: se estiver a criar uma regra de entrada, selecione as listas de Google Cloud Threat Intelligence às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as listas de Google Cloud Threat Intelligence de destino às quais esta regra se aplica. Para mais informações acerca do Google Threat Intelligence, consulte o artigo Google Threat Intelligence para regras de políticas de firewall.

    12. Opcional: para uma regra de entrada, especifique os filtros de destino:

      • Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione IPv4 e introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer destino IPv4.
      • Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione Intervalos IPv6 e introduza os blocos CIDR no campo Intervalos IPv6 de destino. Use ::/0 para qualquer destino IPv6. Para mais informações, consulte o artigo Destinos para regras de entrada.

    13. Opcional: para uma regra de saída, especifique o filtro de origem:

      • Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use 0.0.0.0/0 para qualquer origem IPv4.
      • Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use ::/0 para qualquer origem IPv6. Para mais informações, consulte o artigo Fontes para regras de saída.

    14. Para Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a que protocolos e portas de destino a regra se aplica.

    15. Clique em Criar.

  6. Clique em Adicionar regra para adicionar outra regra.

  7. Para associar a política a uma rede, clique em Continuar > Associar política a redes VPC, ou clique em Criar para criar a política.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Substitua o seguinte:

  • PRIORITY: a ordem de avaliação numérica da regra

    As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Uma boa prática é atribuir números de prioridade às regras que permitam a inserção posterior (como 100, 200 e 300).

  • ACTION: uma das seguintes ações:

    • allow: permite ligações que correspondem à regra
    • deny: nega associações que correspondam à regra
    • apply_security_profile_group: envia os pacotes de forma transparente para o ponto final da firewall para inspeção da camada 7.
    • goto_next: passa a avaliação da associação para o nível seguinte na hierarquia, que pode ser uma pasta ou a rede

  • POLICY_NAME: o nome da política de firewall de rede global

  • SECURITY_PROFILE_GROUP: o nome de um grupo de perfis de segurança usado para inspeção da camada 7; especifique este argumento apenas quando a ação apply_security_profile_group estiver selecionada

  • --tls-inspect: inspeciona o tráfego TLS através da política de inspeção TLS quando a ação apply_security_profile_group é selecionada na regra; por predefinição, a inspeção TLS está desativada, ou pode especificar --no-tls-inspect

  • TARGET_SECURE_TAG: uma lista separada por vírgulas de etiquetas seguras para definir destinos

  • SERVICE_ACCOUNT: uma lista separada por vírgulas de contas de serviço para definir alvos

  • DIRECTION: indica se a regra é uma regra INGRESS ou EGRESS; a predefinição é INGRESS

    • Inclua --src-ip-ranges para especificar intervalos de endereços IP para a origem do tráfego.
    • Inclua --dest-ip-ranges para especificar intervalos de endereços IP para o destino do tráfego.

    Para mais informações, consulte os artigos alvos, origem e destino.

  • SRC_NETWORK_TYPE: indica o tipo de tráfego de rede de origem ao qual a regra de entrada é aplicada. Pode definir este argumento para um dos seguintes valores:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Para limpar o valor deste argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte o artigo Tipos de redes.

  • SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPC

    Só pode usar o --src-networks quando o --src-network-type estiver definido como VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica o tipo de tráfego de rede de destino ao qual a regra de saída é aplicada. Pode definir este argumento para um dos seguintes valores:

    • INTERNET
    • NON_INTERNET

    Para limpar o valor deste argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte o artigo Tipos de redes.

  • IP_RANGES: uma lista separada por vírgulas de intervalos de endereços IP formatados em CIDR, todos os intervalos de endereços IPv4 ou todos os intervalos de endereços IPv6, por exemplo:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: uma lista separada por vírgulas de etiquetas.

    Não pode usar etiquetas seguras de origem se o tipo de rede estiver definido como INTERNET.

  • COUNTRY_CODE: uma lista separada por vírgulas de códigos de países de duas letras

    • Para a direção de entrada, especifique os códigos de países na flag --src-region-code. Não pode usar a flag --src-region-code para a direção de saída nem quando o --src-network-type está definido como NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Para a direção de saída, os códigos de país são especificados na flag --dest-region-code. Não pode usar a flag --dest-region-code para a direção de entrada.

  • LIST_NAMES: uma lista separada por vírgulas dos nomes das listas do Google Threat Intelligence

    • Para a direção de entrada, especifique as listas de inteligência contra ameaças da Google de origem na flag --src-threat-intelligence. Não pode usar a flag --src-threat-intelligence para a direção de saída nem quando o --src-network-type está definido como NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Para a direção de saída, especifique as listas de inteligência contra ameaças da Google de destino na flag --dest-threat-intelligence. Não pode usar a flag --dest-threat-intelligence para a direção de entrada.

  • ADDR_GRP_URL: um identificador de URL exclusivo para o grupo de moradas

    • Para a direção de entrada, especifique os grupos de endereços de origem na flag --src-address-groups; não pode usar a flag --src-address-groups para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-address-groups. Não pode usar o parâmetro --dest-address-groups para a direção de entrada

  • DOMAIN_NAME: uma lista de nomes de domínios separados por vírgulas no formato descrito em Formato do nome de domínio

    • Para a direção de entrada, especifique os nomes dos domínios de origem na flag --src-fqdns. Não pode usar a flag --src-fqdns para a direção de saída
    • Para a direção de saída, especifique os grupos de endereços de destino no parâmetro --dest-fqdns. Não pode usar o parâmetro --dest-fqdns para a direção de entrada

  • PROTOCOL_PORT: uma lista separada por vírgulas de nomes ou números de protocolos (tcp,17), protocolos e portas de destino (tcp:80) ou protocolos e intervalos de portas de destino (tcp:5000-6000)

    Não pode especificar uma porta ou um intervalo de portas sem um protocolo. Para o ICMP, não pode especificar uma porta nem um intervalo de portas. Por exemplo: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Para mais informações, consulte os protocolos e as portas.

  • --enable-logging e --no-enable-logging: ativa ou desativa o registo de regras de firewall para a regra especificada

  • --disabled: indica que a regra de firewall, embora exista, não deve ser considerada ao processar ligações. Se omitir esta flag, a regra é ativada. Em alternativa, pode especificar --no-disabled

Atualize uma regra

Para ver descrições dos campos, consulte o artigo Crie regras de firewall de rede global.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

  5. Clique em Edit.

  6. Modifique os campos que quer alterar.

  7. Clique em Guardar.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Descreva uma regra

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Clique na prioridade da regra.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Substitua o seguinte:

  • PRIORITY: a prioridade da regra que quer ver. Uma vez que cada regra tem de ter uma prioridade única, esta definição identifica uma regra de forma exclusiva
  • POLICY_NAME: o nome da política que contém a regra

Elimine uma regra de uma política

A eliminação de uma regra de uma política remove a regra de todas as VMs que estão a herdar a regra.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na sua política.

  4. Selecione a regra que quer eliminar.

  5. Clique em Eliminar.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Substitua o seguinte:

  • PRIORITY: a prioridade da regra que quer eliminar da política
  • POLICY_NAME: a política que contém a regra

Clone regras de uma política para outra

Remova todas as regras da política de destino e substitua-as pelas regras da política de origem.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique na política a partir da qual quer copiar as regras.

  4. Clique em Clonar na parte superior do ecrã.

  5. Indique o nome de uma política de segmentação.

  6. Se quiser associar a nova política imediatamente, clique em Continuar > Associar política de rede a recursos.

  7. Clique em Clonar.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Substitua o seguinte:

  • POLICY_NAME: a política de destino na qual quer substituir as regras pelas regras clonadas.
  • SOURCE_POLICY: o URL do recurso da política de origem a partir do qual quer clonar as regras.

Obtenha regras de firewall eficazes para uma rede

Pode ver todas as regras da política de firewall hierárquica, as regras de firewall da VPC e a política de firewall de rede global aplicada a uma rede de VPC especificada.

Consola

  1. Na Google Cloud consola, aceda à página Redes VPC.

    Aceda a redes de VPC

  2. Clique na rede para a qual quer ver as regras da política de firewall.

  3. Clique em Políticas de firewall.

  4. Expanda cada política de firewall para ver as regras que se aplicam a esta rede.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Substitua o seguinte:

  • NETWORK_NAME: a rede para a qual quer ver as regras eficazes.

Também pode ver as regras de firewall eficazes para uma rede na página Firewall.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. As políticas de firewall são apresentadas na secção Políticas de firewall herdadas por este projeto.

  3. Clique em cada política de firewall para ver as regras que se aplicam a esta rede.

Obtenha regras de firewall eficazes para uma interface de VM

Pode ver todas as regras da política de firewall hierárquica, as regras de firewall de VPC e as regras da política de firewall de rede global aplicadas a uma interface de VM do Compute Engine especificada.

Consola

  1. Na Google Cloud consola, aceda à página Instâncias de VM.

    Aceder às instâncias de VM

  2. No menu do seletor de projetos, selecione o projeto que contém a VM.

  3. Clique na VM.

  4. Para Interfaces de rede, clique na interface.

  5. Veja as regras de firewall em vigor em Detalhes da firewall e dos trajetos.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Substitua o seguinte:

  • INSTANCE_NAME: a VM para a qual quer ver as regras eficazes; se não for especificada nenhuma interface, o comando devolve regras para a interface principal (nic0).
  • INTERFACE: a interface de VM para a qual quer ver as regras eficazes; o valor predefinido é nic0.
  • ZONE: a zona da VM; esta linha é opcional se a zona escolhida já estiver definida como predefinição.