Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Global Secure Access (GSA) Cloud Firewall (CFW) protege os clientes contra acesso de saída de dados não autorizado aplicando políticas sobre o tráfego de rede. O firewall de nuvem fornece gerenciamento centralizado, visibilidade e políticas consistentes para branches.
O escopo atual dessa versão prévia é usar o Firewall de Nuvem GSA para impor políticas no tráfego da Internet de filiais usando redes remotas para acesso à Internet (também em versão prévia).
Com esta versão prévia, você pode:
Defina regras granulares de filtragem de Firewall, nas quais você definirá as condições de correspondência de tráfego e uma ação caso o tráfego atenda a essas condições.
Defina regras de 5 tuplas com base no IP de origem, porta de origem, IP de destino, porta de destino e protocolo de destino (TCP, UDP).
Defina e imponha uma ação entre Permitir e Bloquear.
Pré-requisitos
- Configure redes remotas para acesso à Internet.
Cenários com suporte
Esta versão prévia dá suporte a estes cenários:
| # | Cenário |
|---|---|
| 1 | O administrador pode criar uma política de firewall de nuvem com a ação Permitir padrão (não pode ser alterada). A ação padrão é aplicada a todo o tráfego que não corresponde a nenhuma das regras na política. |
| 2 | O administrador pode adicionar/atualizar regras em uma política de firewall de nuvem e atribuir prioridades a cada regra. Condições de correspondência de regras: em cada uma dessas regras, o administrador pode definir essas condições de correspondência de tráfego: IPv4 de origem, porta de origem, IPv4 de destino, porta de destino e protocolo (TCP, UDP ou ambos). A ação para cada regra pode ser definida como Permitir ou Bloquear. |
| 3 | O administrador pode habilitar ou desabilitar uma regra de política de firewall de nuvem individual. |
| 4 | O administrador pode excluir uma regra de política de firewall de nuvem individual. |
| 5 | O administrador pode vincular uma política de firewall de nuvem ao perfil de linha de base da rede remota. |
| 6 | O administrador pode habilitar ou desabilitar a política de firewall vinculada no perfil padrão (perfil de segurança com prioridade=65000) |
| 7 | O administrador pode excluir a política de firewall vinculada com o perfil de linha de base e vincular outra. |
Etapas de configuração do cenário
Crie uma política de firewall de nuvem com a ação Permitir padrão.
Entre no centro de administração do Entra.
Navegue até Acesso Seguro Global 🡪 Seguro 🡪 Políticas de firewall de nuvem 🡪 Criar política de firewall.
Na guia Noções básicas , forneça um nome e uma descrição e clique em Avançar >.
Nas configurações de política, verifique se a Ação Padrão está definida como Permitir e clique em Avançar >.
Em Examinar e criar, examine as informações fornecidas e clique em Criar.
Adicionar ou atualizar uma regra de firewall de nuvem, atribuir prioridade e habilitar ou desabilitar
Clique na política de firewall criada na etapa anterior.
Em Regras, selecione + Adicionar regra.
Configure a regra de 5 tuplas:
Forneça um nome e uma descrição.
Atribua uma prioridade à regra relevante para outras regras nesta política. A prioridade da regra deve ser maior ou igual a 100 e deve ser exclusiva dentro da política. Valor mais baixo significa prioridade mais alta.
Selecione configurações de Status para Habilitar ou Desabilitar. O status padrão é desabilitado e é recomendável iniciar a regra com o status desabilitado até que esteja pronto para ser aplicado.
Configure as condições de correspondência de origem e de destino. Observe estas limitações importantes:
Os IPs são definidos como IPs, intervalos IP ou CIDRs (roteamento entre domínios sem classe).
Não há suporte para FQDNs (Nomes de Domínio Totalmente Qualificados) de Destino no momento, portanto, recomendamos mantê-lo no valor Não definido (padrão).
Defina a ação para permitir ou bloquear.
Observação
Na regra, o IP de origem, a porta de origem, o IP de destino, a porta de destino e o protocolo são logicamente AND.
Por exemplo, você configura uma regra, conforme mostrado aqui:
- IP de origem = 10,0,0,5
- Porta de origem = 12345
- IP de destino = 192.168.1.20
- Porta de destino = 443
- Protocolo = TCP
Essa regra de firewall corresponde ao tráfego que atende simultaneamente às condições de IP de origem, porta de origem, porta de destino, IP de destino e protocolo. Os valores não definidos (padrão) nas condições de correspondência de origem e de destino são ignorados.
- (Opcional) Atualize todos os valores na regra e salve-os.
Excluir uma regra de firewall de nuvem
- Use o ícone de lixeira na coluna Ações para excluir permanentemente qualquer regra.
Dica
Você também pode desabilitar a regra se pretende usar a regra no futuro, em vez de excluí-la.
Vincular uma política de firewall de nuvem ao perfil de linha de base da rede remota
Importante
Como prática recomendada, recomendamos criar regras na política primeiro antes de vincular a política ao perfil de linha de base. A criação de regras na política garante que todas as alterações se apliquem coletivamente. A garantia de que alterações coletivas sejam feitas é importante se você criar uma regra de "bloqueio total" para todo o tráfego do ramo da rede, e depois adicionar regras para permitir determinado tráfego. Sem seguir essa prática recomendada, você pode se bloquear inadvertidamente para todo o tráfego de ramificação.
- No centro de administração do Entra, navegue até o Perfil de Linha de Base > de Perfis de Segurança > de Acesso Seguro > Global.
- Clique em Editar perfil e selecione Políticas > de link + Vincular uma política para vincular uma política de firewall de nuvem existente.
Somente uma política de firewall de nuvem pode ser vinculada a um perfil de linha de base. Vincular uma política de firewall de nuvem a um perfil de segurança diferente do perfil de linha de base não terá nenhum efeito.
Habilitar ou desabilitar a política de firewall vinculada no perfil de linha de base
- Use o ícone de lápis para alterar o Estado de uma política de firewall vinculada de habilitado para desabilitado ou vice-versa.
Excluir a política de firewall vinculada e vincular a outra
- Use o ícone de lixeira para excluir permanentemente qualquer política.
- Navegue até + Vincular uma política para vincular a outra política.
Limitações conhecidas
O FQDN de destino não tem suporte na regra de firewall de nuvem.
Pode levar de 15 a 20 minutos para que as atualizações de política de firewall entrem em vigor.
Atualmente, não há suporte para a funcionalidade de firewall de nuvem com clientes de Acesso Seguro Global.