As políticas de firewall hierárquicas oferecem controle granular sobre o tráfego de rede. Nesta página, descrevemos como gerenciar políticas de firewall hierárquicas e regras para proteger seus recursos do Google Cloud .
Antes de ler esta página, confira se você conhece os conceitos descritos na Visão geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.
Tarefas de política de firewall
Nesta seção, descrevemos como gerenciar políticas hierárquicas de firewall.
Para verificar o progresso de uma operação resultante de uma tarefa listada nesta seção, confira se o principal do IAM tem as seguintes permissões ou papéis além de aqueles necessários para cada tarefa.
Descrever uma política
É possível conferir detalhes sobre uma política de firewall hierárquica, incluindo as regras da política e os atributos de regra associados. Todos esses atributos são contados como parte da cota. Para mais informações, consulte "Atributos de regra por política hierárquica de firewall" na tabela Por política de firewall.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
Políticas de lista
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Para uma organização, a seção Políticas de firewall associadas a esta organização mostra as políticas associadas. A seção Políticas de firewall localizadas nesta organização lista as políticas que são de propriedade da organização.
Para uma pasta, a seção Políticas de firewall associadas a esta pasta ou herdadas por ela mostra as políticas associadas ou herdadas por ela. A seção Políticas de firewall localizadas nesta pasta lista as políticas que são de propriedade da pasta.
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
Listar associações para um recurso
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Uma lista de políticas associadas e herdadas é exibida para o recurso selecionado (organização ou pasta).
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
Mover uma política de um recurso para outro
Mover uma política só muda o pai dela. Mudar o pai da política pode alterar quais principais do IAM podem criar e atualizar regras na política e quais principais podem criar associações futuras.
Mover uma política não muda nenhuma associação de política ou a avaliação de regras na política.
Console
Use a Google Cloud CLI para este procedimento.
gcloud
Execute estes comandos para mover a política de firewall hierárquica para uma organização:
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID
Execute estes comandos para mover a política de firewall hierárquica para uma pasta em uma organização:
gcloud compute firewall-policies move POLICY_NAME \
--folder FOLDER_ID
Substitua:
POLICY_NAME: o nome curto ou o nome da política gerado pelo sistema que você está movendoORG_ID: o ID da organização para onde a política é movidaFOLDER_ID: o ID da pasta para onde a política é movida
Atualizar uma descrição da política
O único campo de política que pode ser atualizado é Descrição.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique em Editar.
Modifique a descrição.
Clique em Salvar.
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
Excluir uma associação
Se você precisar mudar a política hierárquica de firewall associada a uma organização ou pasta, recomendamos associar uma nova política em vez de excluir uma política associada. É possível associar uma nova política em uma etapa, o que ajuda a garantir que uma política hierárquica de firewall esteja sempre associada à organização ou pasta.
Para excluir uma associação entre uma política de firewall hierárquica e uma organização ou pasta, siga as etapas mencionadas nesta seção. As regras da política de firewall hierárquica não se aplicam a novas conexões depois que a associação é excluída.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na guia Associações.
Selecione a associação que você quer excluir.
Clique em Remover associação.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
Excluir uma política
Antes de excluir uma política de firewall hierárquica, é necessário excluir todas as associações dela.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política que você quer excluir.
Clique na guia Associações.
Selecione todas as associações.
Clique em Remover associação.
Depois que todas as associações forem removidas, clique em Excluir.
gcloud
Use o comando a seguir para excluir a política:
gcloud compute firewall-policies delete POLICY_NAME \
--organization ORG_ID
Tarefas de regras de política de firewall
Esta seção descreve como gerenciar regras de política de firewall hierárquicas.
Clonar regras de uma política para outra
Remova todas as regras da política de destino e as substitua pelas regras da política de origem.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na política da qual você quer copiar as regras.
Clique em Clonar na parte superior da tela.
Informe o nome de uma política de destino.
Opcional: se você quiser associar a nova política imediatamente, clique em Continuar para abrir a seção Associar política a recursos.
Clique em Clonar.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--source-firewall-policy=SOURCE_POLICY \
--organization=ORG_ID \
Substitua:
POLICY_NAME: a política que deve receber as regras copiadasSOURCE_POLICY: a política da qual copiar as regras. Precisa ser o URL do recursoORG_ID: o ID da organização que contém a política de firewall hierárquica.
Descrever uma regra
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID
Substitua:
POLICY_NAME: o nome da política de firewall hierárquica que contém a nova regra.ORG_ID: o ID da organização que contém a política de firewall hierárquica.
Listar todas as regras em uma política
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política. As regras são listadas na guia Regras de firewall.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization=ORG_ID
Substitua:
POLICY_NAME: o nome da política de firewall hierárquica que contém a regra.ORG_ID: o ID da organização que contém a política de firewall hierárquica.
Atualizar uma regra
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione a organização ou pasta que contém a política de firewall hierárquica.
Clique no nome da política de firewall hierárquica que contém a regra a ser atualizada.
Clique na prioridade da regra.
Clique em Editar.
Modifique os campos da regra de firewall que você quer mudar. Para descrições sobre cada campo, consulte uma das seguintes opções:
Clique em Salvar.
gcloud
gcloud compute firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--organization ORG_ID \
[...other flags that you want to modify...]
Substitua:
PRIORITY: o número de prioridade que identifica exclusivamente a regra.POLICY_NAME: o nome da política que contém a regra.ORG_ID: o ID da organização que contém a política de firewall hierárquica.
Forneça as flags que você quer modificar. Para conferir as descrições das flags, consulte uma das seguintes opções:
Excluir uma regra
A exclusão de uma regra de uma política faz com que ela não seja mais aplicada a novas conexões com ou do destino da regra.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID
Substitua:
PRIORITY: a prioridade da regra que você quer excluir da política.POLICY_NAME: o nome da política de firewall hierárquica que contém a regra.ORG_ID: o ID da organização que contém a política de firewall hierárquica.
Receber regras de firewall eficazes para uma rede
É possível ver todas as regras de política de firewall hierárquica, regras de firewall de VPC e regras de política de firewall de rede global que se aplicam a todas as regiões de uma rede VPC.
Console
No console do Google Cloud , acesse a página Redes VPC.
Clique na rede para ver as regras de política de firewall.
Clique em Firewalls.
Expanda cada política de firewall para visualizar as regras que se aplicam a esta rede.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Substitua NETWORK_NAME pela rede em que você quer
ver as regras efetivas.
Também é possível ver as regras de firewall em vigor para uma rede na página Firewall.
Console
No console do Google Cloud , acesse a página Políticas de firewall.
As políticas de firewall são listadas na seção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.
Receber regras de firewall em vigor para uma interface de VM
É possível conferir todas as regras de firewall (de todas as políticas de firewall e regras de firewall de VPC aplicáveis) que se aplicam a uma interface de rede de uma VM do Compute Engine.
Console
No console do Google Cloud , acesse a página Instâncias de VM.
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Em Interfaces de rede, clique na interface.
As regras de firewall em vigor aparecem na guia Firewalls, disponível na seção Análise da configuração de rede.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Substitua:
INSTANCE_NAME: a VM que tem as regras efetivas que você quer ver. Se nenhuma interface for especificada, o comando retornará regras para a interface principal (nic0).INTERFACE: a interface de VM cujas regras vigentes você quer visualizar. O valor padrão énic0.ZONE: a zona da VM. Essa linha é opcional quando a zona selecionada já está definida como padrão.
Solução de problemas
Esta seção contém explicações para mensagens de erro que podem ser encontradas ao criar políticas de firewall hierárquicas.
FirewallPolicy may not specify a name. One will be provided.Não é possível especificar um nome de política. Os "nomes" de políticas de firewall hierárquicas são IDs numéricos gerados pelo Google Cloud quando a política é criada. No entanto, é possível especificar um nome curto mais específico que funcione como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.As associações só podem ser criadas depois que políticas de firewall hierárquicas são criadas.
Can't move firewall policy to a different organization.As migrações de política de firewall hierárquica precisam permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.Se um recurso já estiver anexado a uma política de firewall hierárquica, a operação do anexo falhará, a menos que a opção de substituir as associações esteja definida como verdadeira.
Can't have rules with the same priorities.As prioridades das regras precisam ser exclusivas dentro de uma política de firewall hierárquica.
Direction must be specified for a firewall policy rule.Ao criar regras da política de firewall hierárquica enviando solicitações REST diretamente, a direção da regra precisa ser especificada. Quando você usa a Google Cloud CLI e nenhuma direção é especificada, o padrão é
INGRESS.Can't specify enable_logging on a goto_next rule.A geração de registros de firewall não é permitida para regras com a ação goto_next, já que essas ações são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações de terminal, como ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.A flag
layer4Configsna regra da política de firewall precisa especificar pelo menos um protocolo ou um protocolo e uma porta de destino.Para mais informações sobre como resolver problemas de regras de política de firewall, consulte Solução de problemas de regras de firewall da VPC.