El extremo de firewall es un recurso de Cloud Next Generation Firewall que habilita las funciones avanzadas de protección de la capa 7, como el servicio de filtrado de URL y el servicio de detección y prevención de intrusiones, en tu red.
En esta página, se proporciona una descripción general detallada de los extremos de firewall y sus capacidades.
Especificaciones
Un extremo de firewall es un recurso organizativo creado a nivel zonal.
Los extremos de firewall llevan a cabo una inspección de firewall de capa 7 en el tráfico interceptado.
Cloud Next Generation Firewall usa la tecnología de interceptación de paquetes de Google Cloudpara redireccionar el tráfico con transparencia desde las cargas de trabajo de Google Cloud en una red de nube privada virtual (VPC) a los extremos del firewall.
La interceptación de paquetes es una Google Cloud capacidad que inserta de manera transparente dispositivos de red en la ruta del tráfico de red seleccionado sin modificar sus políticas de enrutamiento existentes.
Cloud NGFW redirecciona el tráfico de carga de trabajo en una red de VPC al extremo del firewall solo si la inspección de la capa 7 está configurada para aplicarse a este flujo.
Cloud NGFW agrega un identificador de red de VPC a cada paquete redireccionado al extremo de firewall para la inspección de la capa 7. Si tienes varias redes de VPC con rangos de direcciones IP superpuestos, este identificador de red ayuda a garantizar que cada paquete redireccionado esté asociado de forma correcta con su red de VPC.
Puedes crear un extremo de firewall en una zona y adjuntarlo a una o más redes de VPC para supervisar las cargas de trabajo en la misma zona. Si tu red de VPC abarca varias zonas, puedes conectar un extremo de firewall en cada zona. Si no conectas un extremo de firewall a una red de VPC en una zona específica, no se realiza ninguna inspección de capa 7 en el tráfico de carga de trabajo para esa zona.
Usa la asociación de extremo de firewall para conectar un extremo de firewall a una red de VPC.
El extremo y las cargas de trabajo para las que deseas habilitar la inspección de capa 7 deben estar en la misma zona. Crear el extremo de firewall en la misma zona que las cargas de trabajo tiene los siguientes beneficios:
Menor latencia. Debido a que los extremos de firewall pueden interceptar, inspeccionar y restablecer el tráfico en la red, la latencia es menor que la de los extremos de firewall en diferentes zonas.
No hay tráfico entre zonas. Mantener el tráfico dentro de la misma zona garantiza costos más bajos.
Tráfico más confiable. Mantener el tráfico dentro de la misma zona quita el riesgo de interrupciones interzonales.
Los extremos de firewall pueden procesar hasta 2 Gbps de tráfico con una inspección de seguridad de la capa de transporte (TLS) y 10 Gbps de tráfico sin inspección de TLS. Enviar más tráfico puede provocar la pérdida de paquetes. Para supervisar el uso de capacidad del extremo de firewall, consulta las métricas de seguridad de red de
firewall_endpoint.Los extremos de firewall pueden tener un máximo de capacidad de procesamiento por conexión de 250 Mbps de tráfico con inspección de TLS y 1.25 Gbps de tráfico sin inspección de TLS.
Puedes crear un extremo de firewall que procese tramas jumbo de hasta 8,500 bytes de tamaño. Como alternativa, puedes crear un extremo sin compatibilidad con tramas jumbo. Para obtener más información, consulta Tamaño de paquete admitido.
Solo puedes borrar un extremo de firewall cuando no haya redes de VPC asociadas.
Google administra la infraestructura, el balanceo de cargas, el ajuste de escala automático y el ciclo de vida de los extremos del firewall. Cuando creas un extremo de firewall, Google proporciona un conjunto de instancias de máquina virtual (VM) dedicadas, lo que garantiza la confiabilidad, el rendimiento y el aislamiento de seguridad para el tráfico, junto con la administración de certificados.
Google proporciona alta disponibilidad mediante el uso de mecanismos de conmutación por error adecuados para los extremos de firewall, lo que garantiza una protección de firewall confiable para todas las instancias de VM cubiertas dentro de la red de VPC conectada.
Asociaciones de extremo de firewall
La asociación del extremo de firewall vincula un extremo de firewall a una red de VPC en la misma zona. Después de definir esta asociación, Cloud NGFW reenvía el tráfico de carga de trabajo zonal en tu red de VPC que requiere la inspección de la capa 7 al extremo del firewall adjunto.
Tamaño de paquete admitido
Un extremo de firewall admite o no las tramas jumbo.
Un extremo de firewall con compatibilidad con tramas jumbo puede aceptar paquetes de hasta 8,500 bytes.
Cloud NGFW reserva 396 bytes adicionales para la encapsulación de GENEVE (necesaria para la inspección de datos) y otras extensiones. Por lo tanto, el tamaño total del paquete de 8,896 bytes coincide con la unidad de transmisión máxima (MTU) más alta posible que admite Google Cloud .
Un extremo de firewall sin compatibilidad con tramas jumbo puede aceptar paquetes de hasta 1,460 bytes.
Cuando un extremo recibe paquetes más grandes, Cloud NGFW no ejecuta el servicio de detección y prevención de intrusiones. Por lo tanto, para ejecutar correctamente el servicio de prevención y detección de intrusiones y realizar la inspección de la capa 7, configura las redes de VPC asociadas con el extremo para que sigan estos límites de MTU:
En el caso de un extremo que admita marcos jumbo, asegúrate de que las redes de VPC usen una MTU de 8,500 bytes o menos.
Para un extremo sin compatibilidad con tramas jumbo, asegúrate de que las redes de VPC usen una MTU de 1,460 bytes o menos.
Puedes crear un extremo de firewall con o sin compatibilidad con tramas jumbo. Sin embargo, no puedes reconfigurar un extremo existente para agregar o quitar la compatibilidad con tramas jumbo. Para agregar o quitar la compatibilidad con tramas jumbo, borra el extremo y vuelve a crearlo. Para obtener más información, consulta Crea un extremo de firewall.
Roles de Identity and Access Management
Las funciones de Identity and Access Management (IAM) rigen las siguientes acciones para administrar los extremos de firewall:
- Crea un extremo de firewall en una organización
- Modifica o borra un extremo de firewall
- Visualiza los detalles de un extremo de firewall
- Visualiza todos los extremos de firewall configurados en una organización
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crea un nuevo extremo de firewall | Cualquiera de los siguientes roles en la organización en la que se crea el extremo de firewall:
Administrador de red de Compute ( |
| Modifica un extremo de firewall existente | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
| Visualiza detalles sobre el extremo de firewall en una organización | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
| Visualiza todos los extremos de firewall en una organización | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
Los roles de IAM rigen las siguientes acciones para las asociaciones de extremos de firewall:
- Crea una asociación de extremo de firewall en un proyecto
- Modifica o borra una asociación de extremo de firewall
- Visualiza los detalles de una asociación de extremo de firewall
- Visualiza todas las asociaciones de extremos de firewall configuradas en un proyecto
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear una asociación de extremo de firewall | Cualquiera de los siguientes roles en el proyecto en el que se crea la asociación del extremo de firewall:
Rol de Administrador de red de Compute ( |
| Modifica (actualiza o borra) las asociaciones del extremo de firewall | Cualquiera de los siguientes roles en el proyecto en el que existe la red de VPC:
Administrador de red de Compute ( |
| Visualiza los detalles de la asociación de extremos de firewall en un proyecto | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
| Visualiza todas las asociaciones de extremos de firewall en un proyecto. | Cualquiera de los siguientes roles en la organización:
Administrador de red de Compute ( |
Cuotas
Para ver las cuotas asociadas con los extremos de firewall, consulta Cuotas y límites.
Precios
Los precios de los extremos de firewall se describen en los precios de Cloud NGFW.
¿Qué sigue?
- Configura el servicio de filtrado de URLs
- Configura el servicio de detección y prevención de intrusiones
- Crea y administra extremos de firewall
- Crea y administra asociaciones de extremos de firewall