As regras de firewall da nuvem privada virtual (VPC) se aplicam a um determinado projeto e rede. Se você quiser aplicar regras de firewall a várias redes VPC em uma organização, consulte Políticas de firewall. O restante desta página abrange apenas as regras de firewall da VPC. Show
As regras de firewall da VPC possibilitam permitir ou negar conexões de instâncias de máquina virtual (VM, na sigla em inglês) com base em uma configuração especificada. As regras de firewall da VPC que estão ativadas sempre são aplicadas. Isso garante a proteção das instâncias independentemente da configuração e do sistema operacional, mesmo que elas não tenham sido inicializadas. Toda rede VPC funciona como um firewall distribuído. Enquanto as regras de firewall são definidas no nível da rede, as conexões são permitidas ou negadas por instância. Pense nas regras de firewall da VPC como existentes não apenas entre suas instâncias e outras redes, mas também entre instâncias individuais dentro da mesma rede. Para mais informações sobre firewalls, consulte Firewall. Práticas recomendadas para regras de firewallAo criar e avaliar suas regras de firewall, lembre-se das seguintes práticas recomendadas:
Regras de firewall no Google CloudAo criar uma regra de firewall da VPC, você especifica uma rede VPC e um conjunto de componentes que definem as atribuições da regra. Com os componentes, é possível especificar determinados tipos de tráfego com base no protocolo, portas, origens e destinos. Para mais informações, consulte Componentes de regra de firewall. Crie ou modifique regras de firewall da VPC usando o Console do Google Cloud, a Google Cloud CLI e a API REST. Quando você cria ou modifica uma regra de firewall, é possível especificar as instâncias às quais ela precisa ser aplicada usando o componente de meta da regra. Além das regras de firewall criadas, o Google Cloud tem outras regras que podem afetar as conexões de entrada (saída) ou de saída (saída):
EspecificaçõesAs regras de firewall da VPC têm as seguintes características:
Regras implícitasToda rede VPC tem duas regras implícitas de firewall IPv4. Se o IPv6 estiver ativado em uma rede VPC, a rede também terá duas regras implícitas de firewall do IPv6. Essas regras não são mostradas no console do Google Cloud. As regras de firewall implícitas estão presentes em todas as redes VPC, independentemente de como as redes são criadas e se elas são redes VPC de modo automático ou modo personalizado. A rede padrão tem as mesmas regras implícitas.
Se o IPv6 estiver ativado, a rede VPC também terá estas duas regras implícitas:
As regras implícitas não podem ser removidas, mas têm as prioridades mais baixas possíveis. É possível criar regras que as substituam, desde que suas regras tenham prioridades mais altas (números de prioridade menores que Regras predefinidas na rede padrãoA rede padrão tem regras de firewall predefinidas que permitem conexões de entrada nas instâncias. Essas regras podem ser excluídas ou modificadas conforme necessário:
É possível criar regras de firewall semelhantes para redes diferentes da rede padrão. Consulte Configurar regras de firewall para casos de uso comuns para mais informações. Tráfego bloqueado e limitadoSeparados das regras de firewall da VPC e das políticas hierárquicas de firewall, o Google Cloud bloqueia ou limita determinado tráfego, conforme descrito na tabela a seguir.
Tráfego sempre permitidoPara instâncias de VM, as regras de firewall da VPC e as políticas hierárquicas de firewall não se aplicam ao seguinte:
Servidor de metadados do Google CloudO Google Cloud executa um servidor de metadados local para cada instância em
Interações com o produtoAs seções a seguir descrevem como as regras de firewall e as políticas hierárquicas de firewall interagem com outros produtos do Google Cloud. Regras de firewall e balanceadores de carga de passagemAs regras de firewall da VPC e as políticas hierárquicas de firewall controlam quais dos protocolos e portas compatíveis com a regra de encaminhamento são permitidos para os back-ends de balanceamento de carga de rede e de balanceamento de carga TCP/UDP interno. Veja mais detalhes em:
Regras de firewall e balanceadores de carga de proxyPara o balanceamento de carga HTTP(S) externo, HTTP(S) interno, de proxy SSL, de proxy TCP, regras de firewall VPC e políticas hierárquicas de firewall não controlar quais protocolos e portas são aceitos pelo endereço IP da regra de encaminhamento do balanceador de carga de proxy. Apenas a regra de encaminhamento determina quais protocolos e portas são aceitos pelo balanceador de carga do proxy. As regras de firewall da VPC e as políticas hierárquicas de firewall controlam como esses balanceadores de carga do proxy se comunicam com os back-ends. Veja mais detalhes em:
Regras de firewall e VPN do CloudAs regras de firewall e as políticas hierárquicas de firewall não controlam quais protocolos e portas são aceitos pelo gateway do Cloud VPN. Os gateways do Cloud VPN aceitam apenas pacotes para os protocolos e portas descritos nas especificações do Cloud VPN. Regras de firewall e GKEO Google Kubernetes Engine cria e gerencia regras de firewall automaticamente quando você cria um cluster ou recursos no cluster, incluindo serviços e entradas. Para mais informações, consulte Regras de firewall criadas automaticamente na documentação do Google Kubernetes Engine. Componentes da regra de firewallCada regra de firewall tem os seguintes componentes de configuração:
Resumo dos componentes
Direção do tráfegoÉ possível criar regras de firewall que se apliquem ao tráfego de entrada ou saída. Uma única regra não pode ser aplicada ao tráfego de entrada e saída. No entanto, é possível criar várias regras para definir o tráfego de entrada e saída que você permite ou nega pelo firewall.
PrioridadeA prioridade
da regra de firewall é um número inteiro de A prioridade relativa de uma regra de firewall determina se ela é aplicável quando avaliada em relação a outras. A lógica de avaliação funciona desta maneira:
Considere o exemplo a seguir onde há duas regras de firewall:
A prioridade da segunda regra determina se o tráfego TCP na porta 80 é permitido para as metas de
O exemplo anterior demonstra como é possível usar as prioridades para criar regras Ação se houver correspondênciaO componente de ação de uma regra de firewall determina se ele permite ou bloqueia o tráfego, sujeito aos outros componentes da regra:
AplicaçãoÉ possível alterar a aplicação das regras de firewall definindo o estado como Se você não definir um estado de aplicação ao criar uma nova regra de firewall, ela será Casos de usoA ativação e desativação são úteis para solucionar problemas e realizar manutenções. Altere a aplicação de uma regra de firewall nas seguintes situações:
Efeitos no tráfego existenteQuando você altera o estado de aplicação de uma regra de firewall ou cria uma nova regra Origem, destino e metaÉ possível especificar os parâmetros de origem e de destino que se aplicam às origens ou aos destinos do pacote para regras de firewall de entrada e saída. A direção da regra de firewall determina os valores possíveis para os parâmetros de origem e destino. As metas identificam as interfaces de rede das instâncias a que a regra de firewall se aplica. Parâmetro de metaO parâmetro de meta identifica as interfaces de rede das instâncias do Compute Engine, incluindo nós do GKE e instâncias do ambiente flexível do App Engine. É possível definir as seguintes metas para as regras de entrada ou saída. Os parâmetros de meta, origem e destino funcionam juntos, conforme descrito em Origem, destino e meta.
Para informações sobre os benefícios e as limitações das tags de meta e contas de serviço de meta, consulte Filtragem por conta de serviço versus tag de rede. Metas e endereços IP para regras de entradaOs pacotes roteados para a interface de rede de uma VM de destino são processados com base nas seguintes condições:
Metas e endereços IP para regras de saídaO processamento de pacotes emitidos da interface de rede de uma meta depende da configuração de encaminhamento de IP na VM de meta. O encaminhamento de IP é desativado por padrão.
OrigensOs valores de parâmetro de origem dependem da direção da regra de firewall. Origens das regras de entradaÉ possível usar as origens a seguir para as regras de firewall de entrada:
Como as tags de origem e as contas de serviço de origem implicam origens de pacote Quando uma regra de firewall de entrada usa uma tag de origem, os pacotes precisam ser emitidos em uma interface de rede que atenda aos seguintes critérios:
Quando uma regra de firewall de entrada usa uma conta de serviço de origem, os pacotes precisam ser emitidos em uma interface de rede que atenda aos seguintes critérios:
Além de especificar uma interface de rede, quando uma regra de firewall de entrada usa uma tag de origem ou uma conta de serviço de origem, os pacotes emitidos pela interface de rede da VM precisam usar um dos seguintes endereços IP de origem válidos:
Nenhum outro endereço IP de origem do pacote está implícito ao usar tags de origem ou contas de serviço de origem. Por exemplo, os intervalos de IP do alias e o endereço IPv4 externo associado à interface de rede são excluídos. Se você precisar criar regras de firewall de entrada com origens que incluam intervalos de endereços IP de alias ou endereços IPv4 externos, use intervalos IPv4 de origem. Origens para regras de saídaÉ possível usar as origens a seguir para as regras de saída do firewall:
DestinosOs destinos podem ser especificados usando intervalos de endereços IP, que são compatíveis com regras de entrada e saída. O comportamento de destino padrão depende da direção da regra. Destinos para regras de entradaÉ possível usar os seguintes destinos para regras de firewall de entrada:
Destinos para regras de saídaÉ possível usar os seguintes destinos para regras de firewall de saída:
Protocolos e portasÉ possível restringir o escopo de uma regra de firewall especificando protocolos (ou protocolos e portas). Também é possível especificar um protocolo ou uma combinação de protocolos e as respectivas portas. Se você omitir os protocolos e as portas, a regra de firewall será aplicável a todo o tráfego em qualquer protocolo e em qualquer porta. Regras com base em portas de origem não são compatíveis. Nem todos os protocolos são compatíveis com portas. Por exemplo, há portas para TCP e UDP, mas não para ICMP. O ICMP tem diferentes tipos de ICMP, mas eles não são portas e não podem ser especificados em uma regra de firewall. Você pode usar os seguintes nomes de protocolo em regras de firewall: Muitos protocolos usam o mesmo nome e número no IPv4 e no IPv6, mas alguns protocolos, como o ICMP, não. O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall. A tabela a seguir é um resumo das combinações válidas de especificação de porta e protocolo para as regras de firewall do Google Cloud.
Filtragem de origem e meta por conta de serviçoÉ possível usar contas de serviço para criar regras de firewall que são mais específicas por natureza:
A conta de serviço precisa ser criada no mesmo projeto que a regra de firewall antes de criar uma regra de firewall que dependa dela. O sistema não impede que você criar uma regra que use uma conta de serviço de um projeto diferente, mas a regra não será aplicada se a conta de serviço não existir no projeto da regra de firewall. As regras de firewall que usam contas de serviço para identificar instâncias se aplicam a novas instâncias criadas e associadas à conta de serviço e a instâncias já existentes se você alterar as contas de serviço delas. É necessário parar e reiniciar a instância para alterar a conta de serviço associada a ela. É possível associar contas de serviço a instâncias individuais e a modelos de instâncias usados por grupos de instâncias gerenciadas. Filtragem por conta de serviço versus tag de redeNesta seção, destacaremos os principais pontos a serem considerados ao decidir se você vai usar contas de serviço ou tags de rede para definir metas e origens (para regras de entrada). Se você precisar de um controle rigoroso sobre como as regras de firewall são aplicadas às VMs, use contas de serviço de meta e contas de serviço de origem em vez de tags de meta e tags de origem:
Não é possível combinar contas de serviço e tags de rede em qualquer regra de firewall:
Veja a seguir considerações operacionais para contas de serviço e tags de rede.
Papéis e permissõesA tabela a seguir descreve as permissões do Identity and Access Management (IAM) necessárias para trabalhar com regras de firewall da VPC.
Casos de usoOs casos de uso a seguir demonstram como as regras de firewall funcionam. Nos exemplos, todas as regras de firewall estão ativadas. Casos de entradaAs regras de firewall de entrada controlam as conexões recebidas de uma origem para as instâncias de meta na sua rede VPC. A origem de uma regra de entrada pode ser definida como uma das seguintes opções:
A origem padrão é qualquer endereço IPv4 ( Regras de entrada com uma ação Exemplos de entradaO diagrama a seguir ilustra alguns exemplos em que as regras de firewall podem controlar as conexões de entrada. Os exemplos usam o parâmetro meta nas atribuições de regras para aplicar regras a instâncias específicas. Exemplo de regras de firewall de entrada (clique para ampliar)
Casos de saídaAs regras de firewall de saída controlam as conexões de saída de instâncias de meta na rede VPC. As regras de saída
com uma ação Cada
regra de saída precisa de um destino. O destino padrão é qualquer endereço IPv4 ( Exemplos de saídaO diagrama a seguir ilustra alguns exemplos em que as regras de firewall podem controlar as conexões de saída. Os exemplos usam o parâmetro meta nas atribuições de regras para aplicar regras a instâncias específicas. Exemplo de regras de firewall de saída (clique para ampliar)
A seguir
Faça um testeSe você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho da VPC em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho. Faça uma avaliação gratuita da VPC Qual firewall filtra o tráfego de acordo com o aplicativo programa ou serviço?Firewall de aplicação (proxy services)
Os Firewalls de servidor proxy são os tipos de firewall mais seguros. Eles podem proteger os recursos de rede de forma eficaz filtrando as mensagens, mascarando seu endereço IP e limitando os tipos de tráfego.
Quais os 3 principais tipos de firewall existentes no mercado?packet filtering firewall (firewall de filtragem de pacotes) circuit-level gateway (gateway de nível de circuito) application-level gateway (gateway de nível de aplicativo – também conhecido como proxy) stateful inspection firewall (firewall de inspeção estado)
Qual ativo de segurança é responsável por filtrar o tráfego na camada de rede?Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas.
Qual é a função do firewall quais os tipos que existem?Basicamente um firewall tem como função filtrar todo tráfego de dados entre dois pontos, que podem ser duas redes, uma rede interna e a Internet e até mesmo dois computadores dentro de uma mesma rede e assim, este tráfego tem que atravessar o firewall, para que ele seja efetivo.
|