GSP608

Informações gerais

O Cloud Next Generation Firewall (Cloud NGFW) é um serviço de firewall com priorização da nuvem que oferece proteção avançada contra ameaças, microssegmentação e cobertura abrangente para proteger suas cargas de trabalho do Google Cloud contra ataques internos e externos.

Com as políticas globais de firewall de rede, é possível atualizar todas as regras de firewall em lote, agrupando-as em um único objeto de política. Uma opção é atribuir políticas de firewall de rede a uma rede de nuvem privada virtual (VPC), já que elas contêm regras que podem negar ou permitir conexões explicitamente.

Se você já tem regras de firewall da rede VPC, pode usar uma ferramenta de migração para transferir as regras legadas da VPC para as políticas de firewall do Cloud NGFW. A ferramenta de migração cria uma política de firewall de rede global, convertendo as regras de firewall da VPC para as regras da política, além de adicionar as novas regras à política.

Neste laboratório, você vai migrar uma regra de firewall da VPC de uma rede para uma política de rede global. Depois, vai aplicar essa política a duas redes VPC no seu projeto do Google Cloud.

Pré-requisitos

Para concluir este laboratório, é preciso saber criar redes e aplicar regras de firewall. Se você não tem familiaridade com o assunto, primeiro faça o laboratório Criar uma rede personalizada e aplicar regras de firewall e depois volte para este.

O que você vai aprender

Neste laboratório, você vai aprender a:

• Identificar regras de firewall da VPC em um projeto do Google Cloud
• Migrar regras de firewall da VPC para uma política de firewall de rede global
• Testar e verificar se a migração funcionou conferindo os registros

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima (recomendado) ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.

Observação: use apenas a conta de estudante neste laboratório. Se usar outra conta do Google Cloud, você poderá receber cobranças nela.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

   • O botão Abrir Console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Username"}}}

   Você também encontra o nome de usuário no painel Detalhes do Laboratório.

4. Clique em Próxima.

5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

   {{{user_0.password | "Password"}}}

   Você também encontra a senha no painel Detalhes do Laboratório.

6. Clique em Próxima.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

2. Clique nas seguintes janelas:

   • Continue na janela de informações do Cloud Shell.
   • Autorize o Cloud Shell a usar suas credenciais para fazer chamadas de APIs do Google Cloud.

Depois de se conectar, você verá que sua conta já está autenticada e que o projeto está configurado com seu Project_ID, . A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

3. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

4. Clique em Autorizar.

Saída:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Observação: consulte a documentação completa da gcloud no Google Cloud no guia de visão geral da gcloud CLI.

Configurar a região e zona

Alguns recursos do Compute Engine estão em regiões e zonas. Região é a localização geográfica específica onde você executa seus recursos. As zonas ficam dentro das regiões.

1. Execute os comandos gcloud a seguir no Cloud Shell para definir a região e a zona padrão do laboratório:

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone) gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

2. Defina o ID do projeto como uma variável de ambiente usando o comando a seguir:

export PROJECT_ID=$(gcloud config get-value project)

Este laboratório usa restrições no nível da rede para controlar o acesso, em vez de contas de usuário individuais. Portanto, se você estiver usando uma rede externa/de parceiros "aprovada", poderá participar sem problemas. Caso contrário, o acesso será bloqueado.

Tarefa 1: avaliar o ambiente

Identificar o número de regras de firewall da VPC na sua rede

1. No console, acesse o Menu de navegação, selecione Rede VPC e confira as redes disponíveis para este laboratório.
2. Abra cada rede e observe as regras de firewall.
3. Anote as prioridades associadas a cada regra de firewall da VPC.

Tarefa 2: criar regras de firewall globais

As regras das políticas globais de firewall de rede precisam ser criadas em uma política de firewall de rede global. Para ativar essas regras, associe a política em questão a uma rede VPC.

Cada regra da política de firewall de rede global pode incluir intervalos IPv4 ou IPv6, mas não pode ter os dois.

• Crie algumas regras globais de firewall:

gcloud compute firewall-rules create allow-ssh-for-admins --direction=INGRESS --action=ALLOW --rules=tcp:22 --source-ranges=10.1.0.0/24,10.2.0.0/24 --description="allow only SSH access for their system administrators" --network=external-network gcloud compute firewall-rules create allow-iap-ssh --direction=INGRESS --action=ALLOW --rules=tcp:22 --source-ranges=35.235.240.0/20 --description="allow traffic from IAP" --network=external-network gcloud compute firewall-rules create allow-health-checks --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:80,tcp:443 --source-ranges=35.191.0.0/16,130.211.0.0/22 --description="allow health checks from Google Cloud Load Balancing" --network=external-network gcloud compute firewall-rules create allow-internal-vpc --direction INGRESS --priority=65534 --allow all --source-ranges=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 --description="allow any intra-vpc traffic" --network=external-network Observação: como as regras do Cloud Next Generation Firewall têm uma regra implícita de negação de entrada, você precisa definir o que é permitido.

Clique em Verificar meu progresso para conferir o objetivo. Criar regras de firewall globais

Tarefa 3: migrar as regras de firewall da VPC

Depois de avaliar o ambiente, migre as regras de firewall da VPC para uma política de firewall de rede global usando o comando "compute firewall-rules migrate". A ferramenta de migração vai criar a política de firewall da rede global com base nas regras de firewall da VPC.

Substituições:

NETWORK_NAME: o nome da sua rede VPC que contém as regras de firewall da VPC que você quer migrar. Para este laboratório, use external-network.

POLICY_NAME: dê um nome à política de firewall de rede global que será criada durante a migração.

gcloud beta compute firewall-rules migrate \ --source-network="NETWORK_NAME" --target-firewall-policy="POLICY_NAME" Observação: a flag --replace-association-on-target especifica que as associações atuais serão excluídas quando você criar uma nova associação. Observação: o comando de migração não afeta as regras de firewall da VPC criadas automaticamente pelo Google Kubernetes Engine (GKE).

Observe a saída para saber quando os firewalls da VPC são encontrados, quando a nova política de firewall de rede global é criada e quando ocorre a migração das regras de firewall da VPC para ela. Depois desta associação, as regras da política de firewall global serão ativadas para as VMs na rede.

Saída:

Procurando firewalls de VPC e políticas de firewall de rede associadas à rede VPC "external-network". Não foram encontradas políticas de firewall de rede associadas à rede VPC "external-network". Foram encontrados 2 firewalls de VPC associados à rede VPC "external-network". ... Foram encontrados 2 firewalls de VPC selecionados. prioridade: nome 'descrição' 1000: external-allow-http 'external-allow-http' 1010: external-allow-http-2 'external-allow-http' Criando a nova política de firewall de rede 'my-fw-policy'...concluído. Migrando os seguintes firewalls da VPC: old-priority: rule-name 'rule-description' 1000: external-allow-http 'external-allow-http' 1010: external-allow-http-2 'external-allow-http' Migrando...concluído.

Clique em Verificar meu progresso para conferir o objetivo. Migrar as regras de firewall da VPC

Tarefa 4: associar a política de firewall de rede global à sua rede

A ferramenta de migração vai criar a política de firewall da rede global com base nas regras de firewall da VPC. Você vai precisar associar manualmente a política à rede VPC necessária. Isso vai ativar as regras de política de todas as VMs nessa rede. Para associar a política de firewall de rede global, use o comando compute network-firewall-policies associations create.

1. Para associar a política de firewall de rede global, use o comando "compute network-firewall-policies associations create".

Substituições:

NETWORK_NAME: o nome da sua rede VPC que contém as regras de firewall a serem migradas. Substitua por external-network.

POLICY_NAME: use a política de firewall de rede global que você acabou de criar.

gcloud compute network-firewall-policies associations create --firewall-policy=POLICY_NAME --network=NETWORK_NAME --global-firewall-policy --replace-association-on-target --project=$PROJECT_ID

A sinalização --replace-association-on-target especifica que qualquer associação atual será excluída quando você criar uma nova.

2. Agora liste todas as políticas globais de firewall de rede no seu projeto:

gcloud compute network-firewall-policies list --global

A saída vai confirmar que você tem apenas uma política de firewall global.

Clique em Verificar meu progresso para conferir o objetivo. Associar uma política de firewall de rede global à sua própria rede

Tarefa 5: alterar a ordem de avaliação de políticas e regras

Por padrão, o Cloud Next Generation Firewall avalia as regras de firewall da VPC antes de avaliar uma política de firewall de rede global. Para garantir que as políticas globais de firewall de rede tenham precedência sobre as regras de firewall da VPC, use o comando compute networks update para alterar a ordem de avaliação da regra.

Priorizar a política de firewall em relação às regras de firewall da VPC legadas.

1. Substitua NETWORK_NAME pelo nome da sua rede VPC external-network:

gcloud compute networks update NETWORK_NAME --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

2. Para verificar se a política de firewall de rede global será avaliada antes das regras de firewall da VPC, use o comando compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME | grep "TYPE:"

Na saída do comando anterior, se TYPE: network-firewall-policy estiver posicionado antes de TYPE: network-firewall, significa que a política de firewall de rede global será avaliada primeiro.

Clique em Verificar meu progresso para conferir o objetivo. Alterar a ordem de avaliação de políticas e regras

Tarefa 6: ativar a geração de registros de regras de firewall

Com o recurso de geração de registros de regras de firewall é possível auditar, verificar e analisar os efeitos dessas regras. Por exemplo, você pode determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. Também pode determinar o número de conexões afetadas por uma determinada regra de firewall.

Os registros também ajudam a determinar se a regra de firewall está funcionando conforme o esperado. Quando a ferramenta de migração criar a nova política de firewall de rede global, vai manter o status dos registros das regras de firewall da VPC. Para ativar a geração de registros para regras de política de firewall, use o comando compute network-firewall-policies rules update e adicione uma ordem de prioridade para garantir que a política global tenha precedência sobre as regras de firewall da VPC legadas.

FIREWALL-POLICY: substitua esta entrada pelo nome da sua política de firewall global

gcloud compute network-firewall-policies rules update 1000 --firewall-policy=POLICY_NAME --enable-logging --global-firewall-policy

Para verificar se a política de firewall está anexada à rede, volte à Rede VPC no console do Cloud e clique em external-network > Firewalls.

Observação: você vai ver a política de firewall hierárquica válida para a organização.

Clique em Verificar meu progresso para conferir o objetivo. Ativar a geração de registros de regras de firewall

Tarefa 7: testar a política de firewall de rede global

O monitoramento contínuo da contagem de hits revela a mudança gradual para as novas regras, até que as regras legadas não apresentem mais hits. A essa altura, você já pode desativar as regras antigas, validar os possíveis impactos negativos e, depois, excluir as regras de firewall da VPC legada.

Agora, teste o acesso no nível da rede. Se você estiver nas redes externas "aprovadas", está tudo certo. Caso contrário, o acesso será bloqueado.

Envie tráfego para a rede que tem a regra de firewall global. Você precisa ter o endereço IP externo das VMs que estão na sua rede VPC.

1. No Menu de navegação, clique em Compute Engine > Instâncias de VM.
2. Copie o IP externo do external-server-1
3. Dê um ping no IP externo para enviar tráfego:

ping -c 20 <Enter a external IP here>

Agora acesse a Análise de Registros para conferir os resultados.

Verificar os registros

1. Na barra de pesquisa do Google Cloud, insira "geração de registros". Em seguida, clique com o botão direito do mouse em Análise de registros para abrir uma nova guia.
2. Clique em Todos os recursos > Recurso auditado e clique em Aplicar.

3. Analise os resultados e procure o nome dos firewalls. Você vai notar que o nome vai mudar do firewall da VPC para a política de firewall global. O resultado seá parecido com este:

Verificar a conectividade

Para este teste, você vai usar o Network Intelligence Center.

1. Na barra de pesquisa do Google Cloud, procure "conectividade" e selecione Teste de conectividade nos resultados.
2. Ative a API Network Management.
3. Você precisa ter o endereço IP externo das VMs que estão na sua rede VPC. No Menu de navegação, clique com o botão direito do mouse em Compute Engine para abrir uma nova janela e clique em Instâncias de VM.
4. Copie o IP externo do external-server-1.
5. Na tela "Criar teste de conectividade", clique em Criar teste de conectividade.
6. Dê um nome ao teste e cole o endereço IP no campo IP de origem.
7. Volte para a guia Instâncias da VM e copie o IP externo de internal-server-1.
8. Na tela "Criar teste de conectividade", cole o endereço IP no campo Destino.
9. Clique em Criar.

Você vai perceber que o teste não será bem-sucedido, porque não tem uma política de regra de firewall que permita o tráfego TCP para o internal-server-1.

Agora repita o teste, mudando a direção. Adicione o IP internal-server-1 como o IP de origem e o external-server-1 como o Destino.

Clique em Verificar meu progresso para conferir o objetivo. Testar a política de firewall de rede global

Tarefa 8: excluir as regras de firewall da VPC da sua rede

É recomendável desativar as regras de firewall da VPC antes de excluí-las completamente. Caso a política de firewall de rede global criada pela ferramenta de migração não forneça os resultados esperados, é possível reverter para as regras da VPC. Neste laboratório, você vai remover as regras de firewall da VPC depois de elas serem migradas para a política de firewall global.

Não se esqueça de usar os nomes de cada uma das regras de firewall.

1. Para desativar a regra de firewall da VPC, use o comando compute firewall-rules update.

Substitua RULE_NAME pelo nome da regra de firewall da VPC que será desativada.

gcloud compute firewall-rules update RULE_NAME --disabled

2. Use o comando compute firewall-rules delete para excluir a regra de firewall da VPC.

gcloud compute firewall-rules delete RULE_NAME

Opcional: excluir regras de firewall no console

1. Volte ao console e acesse Redes VPC.
2. Clique em external-network e, em seguida, na guia Firewalls.
3. Abra a opção para alternar Regras de rede VPC.
4. Selecione as quatro regras de firewall e clique em Excluir.

Clique em Verificar meu progresso para conferir o objetivo. Excluir as regras de firewall da VPC da sua rede

Parabéns!

Você aprendeu a migrar uma regra de firewall da VPC para uma política de firewall global, aplicou essa política a duas redes, verificou se ela está funcionando e desativou as regras de firewall legadas antes de excluí-las.

Próximas etapas

• Leia o post no blog do Google Cloud Networking sobre a migração de regras de firewall da VPC legadas para o Cloud NGFW.
• Saiba mais sobre como criar uma regra de firewall de última geração aqui.
• Salve esta página nos favoritos para consultar a ferramenta de migração de regras de firewall da VPC no futuro.
• Adicione aos favoritos este artigo sobre os papéis do Identity and Access Management (IAM) necessários para políticas globais de firewall de rede.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 4 de abril de 2025.

Laboratório testado em 4 de abril de 2025.

Copyright 2026 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.