Esta página pressupõe que está familiarizado com os conceitos descritos na Vista geral das políticas de firewall hierárquicas. Para ver exemplos de implementações de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.
Limitações
- As regras da política de firewall hierárquica não suportam a utilização de etiquetas de rede para definir alvos. Em alternativa, tem de usar uma rede de nuvem privada virtual (VPC) de destino ou uma conta de serviço de destino.
- As políticas de firewall podem ser aplicadas ao nível da pasta e da organização, mas não ao nível da rede de VPC. As regras de firewall da VPC normais são suportadas para redes da VPC.
- Só é possível associar uma política de firewall a um recurso (pasta ou organização), embora as instâncias de máquinas virtuais (VMs) numa pasta possam herdar regras de toda a hierarquia de recursos acima da VM.
- O registo de regras de firewall é suportado para regras
allowedeny, mas não para regrasgoto_next. - O protocolo IPv6 Hop-by-Hop não é suportado nas regras da firewall.
Tarefas da política de firewall
Crie uma política de firewall
Pode criar uma política em qualquer recurso (organização ou pasta) da hierarquia da sua organização. Depois de criar uma política, pode associá-la a qualquer recurso da sua organização. Depois de associada, as regras da política ficam ativas para as VMs no recurso associado na hierarquia.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou uma pasta na sua organização.
Clique em Criar política de firewall.
No campo Nome, introduza um nome para a política.
Se quiser criar regras para a sua política, clique em Continuar > Adicionar regra.
Para mais informações, consulte o artigo Crie regras de firewall.
Se quiser associar a política a um recurso, clique em Continuar > Associar política a recursos.
Para mais informações, consulte o artigo Associe uma política à organização ou à pasta.
Clique em Criar.
gcloud
gcloud compute firewall-policies create \
[--organization ORG_ID] | --folder FOLDER_ID] \
--short-name SHORT_NAME
Substitua o seguinte:
ORG_ID: o ID da sua organizaçãoEspecifique este ID se estiver a criar a política ao nível da organização. Este ID indica apenas onde a política reside. Não associa automaticamente a política ao recurso da organização.
FOLDER_ID: o ID de uma pastaEspecifique este ID se estiver a criar a política numa determinada pasta. Este ID indica apenas onde a política reside. Não associa automaticamente a política a essa pasta.
SHORT_NAME: um nome para a políticaUma política criada através da CLI do Google Cloud tem dois nomes: um nome gerado pelo sistema e um nome abreviado fornecido por si. Quando usar a CLI gcloud para atualizar uma política existente, pode fornecer o nome gerado pelo sistema ou o nome abreviado e o ID da organização. Quando usar a API para atualizar a política, tem de indicar o nome gerado pelo sistema.
Crie regras de firewall
As regras de políticas de firewall hierárquicas têm de ser criadas numa política de firewall hierárquica. As regras não estão ativas até associar a política que as contém a um recurso.
Cada regra de política de firewall hierárquica pode incluir intervalos IPv4 ou IPv6, mas não ambos.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique no nome da política.
Clique em Adicionar regra.
Preencha os campos da regra:
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Uma boa prática é atribuir números de prioridade às regras que permitam a inserção posterior (como100,200e300). - Defina a recolha de Registos como Ativada ou Desativada.
- Para Direção do tráfego, especifique se esta regra é uma regra de entrada ou de saída.
- Em Ação na correspondência, escolha uma das seguintes opções:
- Permitir: permite as ligações que correspondem à regra.
- Recusar: recusa as ligações que correspondem à regra.
- Ir para seguinte: passa a avaliação da ligação para a regra de firewall inferior seguinte na hierarquia. Para mais informações sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte o artigo Ordem de avaliação das políticas e regras.
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que
- Opcional: pode restringir a regra a determinadas redes especificando-as no campo Redes de destino. Clique em ADICIONAR REDE e, de seguida, selecione o Projeto e a Rede. Pode adicionar várias redes de destino a uma regra.
- Opcional: pode restringir a regra a VMs que estão a ser executadas com acesso a determinadas contas de serviço especificando as contas no campo Contas de serviço de destino.
Para uma regra de entrada, especifique o filtro de origem:
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
::/0para qualquer origem IPv6.
- Para filtrar o tráfego de entrada por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
Para uma regra de saída, especifique o filtro de destino:
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de destino, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
::/0para qualquer destino IPv6.
- Para filtrar o tráfego de saída por intervalos IPv4 de destino, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
Opcional: se estiver a criar uma regra de entrada, especifique os FQDNs de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os FQDNs de destino aos quais esta regra se aplica. Para mais informações sobre objetos de nomes de domínios, consulte os objetos FQDN.
Opcional: se estiver a criar uma regra de entrada, selecione as geolocalizações de origem às quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione as geolocalizações de destino às quais esta regra se aplica. Para mais informações sobre objetos de geolocalização, consulte o artigo Objetos de geolocalização.
Opcional: se estiver a criar uma regra de entrada, selecione os grupos de endereços de origem aos quais esta regra se aplica. Se estiver a criar uma regra de saída, selecione os grupos de endereços de destino aos quais esta regra se aplica. Para mais informações sobre grupos de endereços, consulte o artigo Grupos de endereços para políticas de firewall.
Opcional: para uma regra de entrada, especifique os filtros de destino:
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e introduza os blocos CIDR no campo
Intervalo de IP. Use
0.0.0.0/0para qualquer destino IPv4. - Para filtrar o tráfego de entrada por intervalos IPv6 de destino, selecione
Intervalos IPv6 e introduza os blocos CIDR no campo
Intervalos IPv6 de destino. Use
::/0para qualquer destino IPv6. Para mais informações, consulte o artigo Destinos para regras de entrada.
- Para filtrar o tráfego de entrada por intervalos IPv4 de destino, selecione
IPv4 e introduza os blocos CIDR no campo
Intervalo de IP. Use
Opcional: para uma regra de Saída, especifique o filtro Origem:
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
0.0.0.0/0para qualquer origem IPv4. - Para filtrar o tráfego de saída por intervalos IPv6 de origem, selecione IPv6 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
::/0para qualquer origem IPv6. Para mais informações, consulte o artigo Fontes para regras de saída.
- Para filtrar o tráfego de saída por intervalos IPv4 de origem, selecione IPv4 e, de seguida, introduza os blocos CIDR no campo Intervalo de IP. Use
Para Protocolos e portas, especifique que a regra se aplica a todos os protocolos e a todas as portas de destino ou especifique a que protocolos e portas de destino a regra se aplica.
Para especificar o ICMP IPv4, use
icmpou o número do protocolo1. Para especificar o ICMP IPv6, use o número do protocolo58. Para mais informações acerca dos protocolos, consulte o artigo Protocolos e portas.Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Clique em Continuar > Associar política a recursos para associar a política a recursos ou clique em Criar para criar a política.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
[--organization ORG_ID] \
--firewall-policy POLICY_NAME \
[--direction DIRECTION] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
[--dest-network-type DEST_NETWORK_TYPE] \
[--src-ip-ranges IP_RANGES] \
[--dest-ip-ranges IP_RANGES ] \
[--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
[--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
[--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
[--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
[--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
[--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
--action ACTION \
[--layer4-configs PROTOCOL_PORT] \
[--target-resources NETWORKS] \
[--target-service-accounts SERVICE_ACCOUNTS] \
[--enable-logging | --no-enable-logging] \
[--disabled]
Substitua o seguinte:
PRIORITY: a ordem de avaliação numérica da regraAs regras são avaliadas da prioridade mais elevada para a mais baixa, em que
0é a prioridade mais elevada. As prioridades têm de ser únicas para cada regra. Uma boa prática é atribuir números de prioridade às regras que permitam a inserção posterior (como100,200e300).ORG_ID: o ID da sua organizaçãoPOLICY_NAME: o diminutivo ou o nome gerado pelo sistema da políticaDIRECTION: indica se a regra é uma regraINGRESS(a predefinição) ouEGRESS- Inclua
--src-ip-rangespara especificar intervalos de IP para a origem do tráfego. - Inclua
--dest-ip-rangespara especificar intervalos de IP para o destino do tráfego.
Para mais informações, consulte os alvos, as origens e os destinos.
- Inclua
SRC_NETWORK_TYPE: indica o tipo de tráfego de rede de origem ao qual a regra de entrada é aplicada. Pode definir este argumento para um dos seguintes valores:INTERNETNON_INTERNETVPC_NETWORKSINTRA_VPC
Para limpar o valor deste argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte o artigo Tipos de redes.
SRC_VPC_NETWORK: uma lista separada por vírgulas de redes VPCSó pode usar o
--src-networksquando o--src-network-typeestiver definido comoVPC_NETWORKS.DEST_NETWORK_TYPE: indica o tipo de tráfego de rede de destino ao qual a regra de saída é aplicada. Pode definir este argumento para um dos seguintes valores:INTERNETNON_INTERNET
Para limpar o valor deste argumento, use uma string vazia. Um valor vazio indica todos os tipos de rede. Para mais informações, consulte o artigo Tipos de redes.
IP_RANGES: uma lista separada por vírgulas de intervalos de IP formatados em CIDR, todos os intervalos IPv4 ou todos os intervalos IPv6. Exemplos:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96COUNTRY_CODE: uma lista separada por vírgulas de códigos de países de duas letras- Para a direção de entrada, especifique os códigos de países de origem na flag
--src-region-code. Não pode usar a flag--src-region-codepara a direção de saída nem quando o--src-network-typeestá definido comoNON_INTERNET,VPC_NETWORKouINTRA_VPC. - Para a direção de saída, especifique os códigos dos países de destino na flag
--dest-region-code. Não pode usar a flag--dest-region-codepara a direção de entrada.
- Para a direção de entrada, especifique os códigos de países de origem na flag
ADDR_GRP_URL: um identificador de URL exclusivo para o grupo de moradas- Para a direção de entrada, especifique os grupos de endereços de origem na flag
--src-address-groups; não pode usar a flag--src-address-groupspara a direção de saída - Para a direção de saída, especifique os grupos de endereços de destino no parâmetro
--dest-address-groups. Não pode usar o parâmetro--dest-address-groupspara a direção de entrada
- Para a direção de entrada, especifique os grupos de endereços de origem na flag
DOMAIN_NAME: uma lista de nomes de domínios separados por vírgulas no formato descrito em Formato do nome de domínio- Para a direção de entrada, especifique os nomes dos domínios de origem na flag
--src-fqdns. Não pode usar a flag--src-fqdnspara a direção de saída - Para a direção de saída, especifique os grupos de endereços de destino no parâmetro
--dest-fqdns. Não pode usar o parâmetro--dest-fqdnspara a direção de entrada
- Para a direção de entrada, especifique os nomes dos domínios de origem na flag
ACTION: uma das seguintes ações:allow: permite ligações que correspondem à regradeny: nega associações que correspondam à regragoto_next: passa a avaliação da associação para o nível seguinte na hierarquia, que pode ser uma pasta ou a rede
Para mais informações sobre como as regras e as ações correspondentes são avaliadas para cada interface de rede da VM, consulte Ordem de avaliação de políticas e regras.
PROTOCOL_PORT: uma lista separada por vírgulas de nomes ou números de protocolos (tcp,17), protocolos e portas de destino (tcp:80) ou protocolos e intervalos de portas de destino (tcp:5000-6000)Não pode especificar uma porta ou um intervalo de portas sem um protocolo. Para o ICMP, não pode especificar uma porta nem um intervalo de portas. Por exemplo:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.Para especificar o ICMP IPv4, use
icmpou o número do protocolo1. Para especificar o ICMP IPv6, use o número do protocolo58. Para mais informações, consulte o artigo Protocolos e portas.NETWORKS: uma lista separada por vírgulas de URLs de recursos de rede VPC no formatohttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.Substitua o seguinte:
PROJECT_ID: o ID do projeto que contém a rede VPCNETWORK_NAME: o nome da rede; se for omitido, a regra aplica-se a todas as redes VPC no recurso
Para mais informações, consulte a secção Alvos.
SERVICE_ACCOUNTS: uma lista de contas de serviço separadas por vírgulas; a regra é aplicada apenas a VMs que estão a ser executadas com acesso à conta de serviço especificadaPara mais informações, consulte a secção Alvos.
--enable-logginge--no-enable-logging: ativa ou desativa o registo de regras de firewall para a regra especificada--disabled: indica que a regra de firewall, embora exista, não deve ser considerada ao processar ligações; omitir esta flag ativa a regra ou pode especificar--no-disabled
Associe uma política à organização ou à pasta
Associe uma política a um recurso para ativar as regras da política para todas as VMs no recurso na hierarquia.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique na sua política.
Clique no separador Associações.
Clique em Adicionar associação.
Selecione a raiz da organização ou selecione pastas na organização.
Clique em Adicionar.
gcloud
Por predefinição, se tentar inserir uma associação a uma organização ou uma pasta que já tenha uma associação, o método falha. Se especificar a flag --replace-association-on-target, a associação existente é eliminada ao mesmo tempo que a nova associação é criada. Isto
impede que o recurso fique sem uma política durante a transição.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
Substitua o seguinte:
POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da políticaORG_ID: o ID da sua organizaçãoFOLDER_ID: se estiver a associar a política a uma pasta, especifique-a aqui; omita se estiver a associar a política ao nível da organizaçãoASSOCIATION_NAME: um nome opcional para a associação; se não for especificado, o nome é definido como "organizaçãoORG_ID" ou "pastaFOLDER_ID"
Mova uma política de um recurso para outro
A movimentação de uma política altera o recurso que detém a política. Para mover uma política,
tem de ter autorizações move nos recursos anteriores e novos.
A movimentação de uma política não afeta as associações de políticas existentes nem a avaliação das regras existentes, mas pode afetar quem tem autorizações para modificar ou associar a política após a movimentação.
Consola
Use a Google Cloud CLI para este procedimento.
gcloud
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID \
[--folder FOLDER_ID]
Substitua o seguinte:
POLICY_NAME: o diminutivo ou o nome gerado pelo sistema da política que está a moverORG_ID: o ID da sua organização. Se estiver a mover a política para a organização, especifique este ID, mas não especifique uma pastaFOLDER_ID: se estiver a associar a política a uma pasta, especifique-a aqui; omita se estiver a associar a política à organização
Atualize a descrição de uma política
O único campo de política que pode ser atualizado é o campo Description.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique em Edit.
Modifique a descrição.
Clique em Guardar.
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
Indicar políticas
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Para uma organização, a secção Políticas de firewall associadas a esta organização mostra as políticas associadas. A secção Políticas de firewall localizadas nesta organização apresenta uma lista de políticas detidas pela organização.
Para uma pasta, a secção Políticas de firewall associadas a esta pasta ou herdadas por esta pasta mostra as políticas associadas ou herdadas pela pasta. A secção Políticas de firewall localizadas nesta pasta lista as políticas que são propriedade da pasta.
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
Descreva uma política
Pode ver todos os detalhes de uma política, incluindo todas as respetivas regras de firewall. Além disso, pode ver muitos atributos que estão em todas as regras na política. Estes atributos contam para um limite por política.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
Elimine uma política
Tem de eliminar todas as associações numa política de firewall da organização antes de a poder eliminar.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política que quer eliminar.
Clique no separador Associações.
Selecione todas as associações.
Clique em Remover associações.
Depois de remover todas as associações, clique em Eliminar.
gcloud
Liste todos os recursos associados a uma política de firewall:
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_IDElimine associações individuais. Para remover a associação, tem de ter a função de administrador de recursos da organização do Compute (
roles/compute.orgSecurityResourceAdmin) no recurso associado ou no ancestral desse recurso.gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAMEElimine a política:
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
Associações de listas para um recurso
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Para o recurso selecionado (organização ou pasta), é apresentada uma lista das políticas associadas e herdadas.
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
Liste associações para uma política
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique no separador Associações.
As associações são apresentadas na tabela.
gcloud
gcloud compute firewall-policies describe POLICY_ID
Elimine uma associação
Para parar a aplicação de uma política de firewall na organização ou numa pasta, elimine a associação.
No entanto, se pretender substituir uma política de firewall por outra, não tem de eliminar primeiro a associação existente. A eliminação dessa associação deixaria um período em que nenhuma política seria aplicada. Em alternativa, substitua a política existente quando associar uma nova política.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique no separador Associações.
Selecione a associação que quer eliminar.
Clique em Remover associações.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
Tarefas de regras de políticas de firewall
Crie uma regra numa política de firewall existente
Consulte o artigo Crie regras de firewall.
Apresenta todas as regras de uma política.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política. As regras são apresentadas no separador Regras de firewall.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
Descreva uma regra
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
Substitua o seguinte:
PRIORITY: a prioridade da regra que quer ver. Uma vez que cada regra tem de ter uma prioridade única, esta definição identifica uma regra de forma exclusivaORG_ID: o ID da sua organizaçãoPOLICY_NAME: o nome abreviado ou o nome gerado pelo sistema da política que contém a regra
Atualize uma regra
Para ver descrições dos campos, consulte o artigo Crie regras de firewall.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Clique na prioridade da regra.
Clique em Edit.
Modifique os campos que quer alterar.
Clique em Guardar.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
Clone regras de uma política para outra
Remova todas as regras da política de destino e substitua-as pelas regras da política de origem.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na política da qual quer copiar regras.
Clique em Clonar na parte superior do ecrã.
Indique o nome de uma política de segmentação.
Clique em Continuar > Associar política a recursos se quiser associar a nova política imediatamente.
Clique em Clonar.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
Substitua o seguinte:
POLICY_NAME: a política para receber as regras copiadasORG_ID: o ID da sua organizaçãoSOURCE_POLICY: a política a partir da qual copiar as regras; tem de ser o URL do recurso
Elimine uma regra de uma política
A eliminação de uma regra de uma política remove a regra de todas as VMs que estão a herdar a regra.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a política.
Clique na sua política.
Selecione a regra que quer eliminar.
Clique em Eliminar.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
Substitua o seguinte:
PRIORITY: a prioridade da regra que quer eliminar da políticaORG_ID: o ID da sua organizaçãoPOLICY_NAME: a política que contém a regra
Obtenha regras de firewall eficazes para uma rede
Apresenta todas as regras da política de firewall hierárquica, as regras de firewall da VPC e as regras da política de firewall de rede global aplicadas a uma rede de VPC especificada.
Consola
Na Trusted Cloud consola, aceda à página Redes VPC.
Clique na rede para a qual quer ver as regras da política de firewall.
Clique em Políticas de firewall.
Expanda cada política de firewall para ver as regras que se aplicam a esta rede.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Substitua o seguinte:
NETWORK_NAME: a rede para obter regras eficazes
Também pode ver as regras de firewall eficazes para uma rede na página Firewall.
Consola
Na Trusted Cloud consola, aceda à página Políticas de firewall.
As políticas de firewall são apresentadas na secção Políticas de firewall herdadas por este projeto.
Clique em cada política de firewall para ver as regras que se aplicam a esta rede.
Obtenha regras de firewall eficazes para uma interface de VM
Apresenta todas as regras de política de firewall hierárquica, regras de firewall de VPC e regras de política de firewall de rede global aplicadas a uma interface de VM do Compute Engine especificada.
Consola
Na Trusted Cloud consola, aceda à página Instâncias de VM.
No menu do seletor de projetos, selecione o projeto que contém a VM.
Clique na VM.
Para Interfaces de rede, clique na interface.
As regras de firewall eficazes aparecem em Detalhes de firewall e rotas.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Substitua o seguinte:
INSTANCE_NAME: a VM para a qual obter regras eficazes; se não for especificada nenhuma interface, devolve regras para a interface principal (nic0)INTERFACE: a interface de VM para obter regras eficazes; o valor predefinido énic0ZONE: a zona da VM; opcional se a zona escolhida já estiver definida como predefinição
Resolução de problemas
Esta secção contém explicações para as mensagens de erro que pode encontrar.
FirewallPolicy may not specify a name. One will be provided.Não pode especificar um nome de política. Os "nomes" das políticas de firewall hierárquicas são IDs numéricos gerados pelo Trusted Cloud by S3NS quando a política é criada. No entanto, pode especificar um diminutivo mais amigável que funciona como um alias em muitos contextos.
FirewallPolicy may not specify associations on creation.Só é possível criar associações depois de criar políticas de firewall hierárquicas.
Can not move firewall policy to a different organization.As movimentações de políticas de firewall hierárquicas têm de permanecer na mesma organização.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.Se um recurso já estiver associado a uma política de firewall hierárquica, a operação de associação falha, a menos que a opção de substituição das associações existentes esteja definida como verdadeira.
Cannot have rules with the same priorities.As prioridades das regras têm de ser exclusivas numa política de firewall hierárquica.
Direction must be specified on firewall policy rule.Quando cria regras de políticas de firewall hierárquicas enviando pedidos REST diretamente, tem de especificar a direção da regra. Quando usa a Google Cloud CLI e não é especificada nenhuma direção, a predefinição é
INGRESS.Can not specify enable_logging on a goto_next rule.O registo do firewall não é permitido para regras com a ação goto_next porque as ações goto_next são usadas para representar a ordem de avaliação de diferentes políticas de firewall e não são ações terminais, por exemplo, ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.A flag
layer4Configsna regra da política de firewall tem de especificar, pelo menos, um protocolo ou um protocolo e uma porta de destino.Para mais informações sobre a resolução de problemas de regras de políticas de firewall, consulte o artigo Resolução de problemas de regras de firewall da VPC.