Saiba como criar e configurar uma política de firewall de rede global para permitir o tráfego de saída para um nome de domínio totalmente qualificado (FQDN, na sigla em inglês) específico usando o console do Google Cloud. A política de firewall bloqueia todo o outro tráfego de saída proveniente da sua rede. Este guia de início rápido cria uma rede de nuvem privada virtual (VPC) com uma sub-rede, cria uma instância de máquina virtual (VM) na rede VPC, configura uma política de firewall que usa regras de saída e testa a política de firewall da VM.
Antes de começar
- Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
-
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative as APIs Compute Engine and Identity-Aware Proxy (IAP) .
-
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative as APIs Compute Engine and Identity-Aware Proxy (IAP) .
- Verifique se você tem o papel de administrador de rede do Compute (
roles/compute.networkAdmin).
Criar uma rede VPC personalizada com uma sub-rede IPv4
Criar uma rede VPC de modo personalizado com uma sub-rede IPv4.
No Console do Google Cloud, acesse a página Redes VPC.
Clique em Criar rede VPC.
Em Nome, insira
vpc-fw-policy-egress.Em Modo de criação da sub-rede, selecione Personalizado.
Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:
- Nome: insira
subnet-1. - Região: selecione us-central1.
- Intervalo IPv4:insira
10.0.0.0/24.
- Nome: insira
Clique em Concluído.
Clique em Criar.
criar uma VM
Crie uma VM na sub-rede que você configurou na seção anterior.
No Console do Google Cloud, acesse a página Criar uma instância.
Em Nome, insira
instance-1-us.Em Região, selecione
us-central1 (Iowa).Expanda Opções avançadas e depois Rede.
Na seção Interfaces de rede, expanda a interface de rede atual e especifique os seguintes parâmetros de configuração:
- Rede: selecione vpc-fw-policy-egress.
- Sub-rede: selecione subnet-1 IPv4 (10.0.0.0/24).
- Endereço IPv4 externo: selecione Nenhum.
Clique em Concluído.
Clique em Criar.
Criar um Cloud Router e um gateway NAT do Cloud
Na seção anterior, você criou uma VM sem nenhum endereço IP externo. Para permitir que a VM acesse a Internet pública, crie um Cloud Router e um gateway do Cloud NAT para a mesma região e sub-rede em que você criou a VM.
No Console do Google Cloud, acesse a página do Cloud NAT.
Clique em Primeiros passos ou Criar gateway Cloud NAT.
Observação: se este for o primeiro gateway do Cloud NAT que você está criando, clique em Primeiros passos. Se você já tiver gateways, o Google Cloud exibirá o botão Criar gateway do Cloud NAT. Para criar outro gateway, clique em Criar gateway do Cloud NAT.
Em Nome do gateway, digite
fw-egress-nat-gw.Em Tipo de NAT, selecione Public.
Na seção Selecionar o Cloud Router, especifique os seguintes parâmetros de configuração:
- Rede: selecione vpc-fw-policy-egress.
- Região: selecione us-central1 (Iowa).
- Cloud Router: clique em Criar novo roteador.
- Em Nome, insira
fw-egress-router. - Clique em Criar.
- Em Nome, insira
Clique em Criar.
Criar uma política de firewall de rede global para ativar o IAP
Para ativar o Identity-Aware Proxy para as VMs em sua rede, crie uma política de firewall de rede global e adicione uma regra de firewall à política. O IAP permite acesso administrativo às VMs.
A regra de firewall precisa ter as seguintes propriedades:
- Aplica-se a todas as VMs que você quer acessar usando o encaminhamento de TCP do IAP.
- permite o tráfego de entrada do intervalo de IP
35.235.240.0/20. Esse intervalo contém todos os endereços IP que o IAP usa para o encaminhamento de TCP. - Uma conexão com todas as portas que você quer que estejam acessíveis usando o encaminhamento de TCP do IAP. Por exemplo, a porta
22para SSH.
Para ativar o acesso do IAP a todas as VMs na rede vpc-fw-policy-egress, siga estas etapas:
No Console do Google Cloud, acesse a página políticas de Firewall.
Clique em Criar política de firewall.
Na seção Configurar política, em Nome da política, digite
fw-egress-policy.Em Escopo da implantação, selecione Global e clique em Continuar.
Para criar regras para sua política, na seção Adicionar regras, clique em Adicionar regra.
- Em Prioridade, digite
100. - Em Direção de tráfego, selecione Entrada.
- Em Ação se houver correspondência, selecione Permitir.
- Em Registros, selecione Ativado.
- Na seção Destino, em Tipo de destino, selecione Todas as instâncias na rede.
- Na seção Origem, em Intervalos de IP, insira
35.235.240.0/20. - Na seção Protocolo e portas, selecione Portas e protocolos especificados.
- Marque a caixa de seleção TCP e, em Portas, insira
22. - Clique em Criar.
- Em Prioridade, digite
Clique em Continuar.
Para associar uma rede VPC à política, na seção Associar política a redes VPC, clique em Associar.
Marque a caixa de seleção vpc-fw-policy-egress e clique em vpc-fw-policy-egress.
Clique em Continuar.
Clique em Criar.
Adicione uma regra de firewall para negar o tráfego de saída a todos os destinos
Para negar o tráfego de saída a todos os destinos, adicione uma regra de firewall a
fw-egress-policy.
No Console do Google Cloud, acesse a página políticas de Firewall.
Na seção Políticas de firewall da rede, clique em fw-egress-policy.
Clique em Criar regra.
Em Prioridade, digite
700.Em Direção do tráfego, selecione Saída.
Em Ação se houver correspondência, selecione Negar.
Em Registros, selecione Ativado.
Na seção Destino, em Intervalos de IP, digite
0.0.0.0/0.Clique em Criar.
Adicione uma regra de firewall para permitir o tráfego de saída apenas para um FQDN específico
Para permitir o tráfego de saída para apenas um FQDN específico, ads.google.com, adicione uma regra de firewall em fw-egress-policy.
No Console do Google Cloud, acesse a página políticas de Firewall.
Na seção Políticas de firewall da rede, clique em fw-egress-policy.
Clique em Criar regra.
Em Prioridade, digite
600.Em Direção do tráfego, selecione Saída.
Em Ação se houver correspondência, selecione Permitir.
Em Registros, selecione Ativado.
Na seção Destino, em FQDNs, digite
ads.google.com.Clique em Criar.
Testar a política de firewall de rede global
Depois de configurar a política de firewall da rede global, siga estas etapas para testá-la:
No console do Google Cloud, acesse a página Instâncias de VMs.
Na coluna Conectar da VM
instance-1-us, clique em SSH.Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde a conexão ser estabelecida.
Para verificar se o tráfego de saída para https://ads.google.com é permitido, execute o seguinte comando:
curl -I https://ads.google.com
O comando anterior retorna as informações de cabeçalho de https://ads.google.com, o que significa que as conexões de saída são permitidas.
Para verificar se o tráfego de saída está bloqueado para qualquer outro destino, especifique um FQDN e execute o seguinte comando:
curl -m 2 -I https://mail.yahoo.com
O comando acima retorna uma mensagem
Connection timed out, o que é esperado porque você criou uma regra de firewall para negar o tráfego de saída a todos os destinos, exceto https://ads.google.com. ,
Visualize os registros
Para verificar se as regras de firewall foram aplicadas ao tráfego de saída, acesse os registros. Para ver o registro, siga estas etapas:
No Console do Google Cloud, acesse a página políticas de Firewall.
Na seção Políticas de firewall da rede, clique em fw-egress-policy.
Na coluna Contagem de hits, clique no número da regra que você criou na seção Criar uma política de firewall da rede global. A página Análise de registros abre.
Para ver a regra de firewall aplicada ao tráfego de saída, expanda o registro individual. Expanda as seções relevantes para visualizar os detalhes de conexão, disposição, local remoto e regra.
Limpar
Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que contém eles ou mantenha o projeto e exclua os recursos individuais.
Para excluir os recursos criados neste guia de início rápido, conclua as tarefas a seguir.
Excluir a política de firewall
No Console do Google Cloud, acesse a página políticas de Firewall.
Na seção Políticas de firewall da rede, clique em fw-egress-policy.
Clique na guia Associações.
Marque a caixa de seleção de
vpc-fw-policy-egresse clique em Remover associação.Na caixa de diálogo Remover uma associação de política de firewall, clique em Remover.
Clique em Excluir.
Na caixa de diálogo Excluir uma política de firewall, clique em Excluir.
Excluir a VM
No console do Google Cloud, acesse a página Instâncias de VMs.
Marque a caixa de seleção da VM
instance-1-us.Clique em Excluir.
Na caixa de diálogo Excluir instance-1-us, clique em Excluir.
Excluir o gateway do Cloud NAT e o Cloud Router
No Console do Google Cloud, acesse a página do Cloud Routers.
Marque a caixa de seleção de
fw-egress-router.Clique em Excluir.
Na caixa de diálogo Excluir fw-egress-router, clique em Excluir.
Quando você exclui um Cloud Router, o gateway do Cloud NAT associado também é excluído.
Excluir a rede VPC e as sub-redes dela
No Console do Google Cloud, acesse a página Redes VPC.
Na coluna Nome, clique em vpc-fw-policy-egress.
Clique em Excluir rede VPC.
Na caixa de diálogo Excluir uma rede, clique em Excluir.
Quando você exclui uma VPC, as sub-redes dela também são excluídas.
A seguir
- Para conceitos de políticas de firewall, consulte a Visão geral das políticas de firewall.
- Para conceitos de regras da política de firewall, consulte a Visão geral das regras da política de firewall.
- Para criar, atualizar, monitorar e excluir regras de firewall da VPC, consulte Usar regras de firewall da VPC.
- Para determinar os custos, consulte Preços do Cloud NGFW.