En esta página se explica cómo configurar y gestionar un endpoint de cortafuegos, así como asociarlo a una red de nube privada virtual (VPC) mediante laGoogle Cloud consola y la CLI de Google Cloud.
Crea un endpoint de cortafuegos a nivel de zona y, a continuación, asócialo a una o varias redes de VPC de la misma zona. Si has habilitado la inspección de la capa 7 en la política de cortafuegos asociada a tu red VPC, el tráfico coincidente se intercepta de forma transparente y se reenvía al endpoint del cortafuegos.
Puedes crear un endpoint de cortafuegos con o sin compatibilidad con jumbo frames. Para obtener información sobre los tamaños de paquetes admitidos por los endpoints de firewall, consulta Tamaño de paquete admitido.
Antes de empezar
Necesitas una red de VPC y una subred.
Debes habilitar la API Compute Engine en tu proyecto Google Cloud .
Debes habilitar la API Network Security en el Google Cloud proyecto que quieras usar para la facturación.
Debes habilitar la API Certificate Authority Service en tu Google Cloud proyecto.
Instala la CLI de gcloud si quieres ejecutar los ejemplos de línea de comandos
gcloudde esta guía.
Roles
Para obtener los permisos que necesitas para crear, ver, actualizar o eliminar endpoints de firewall, pide a tu administrador que te conceda los roles de gestión de identidades y accesos necesarios en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.
Cuotas
Para ver las cuotas de los endpoints y las asociaciones de cortafuegos, consulta Cuotas y límites.
Crear un endpoint de cortafuegos
Crea un endpoint de cortafuegos en una zona específica.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en Crear.
En la lista Región, selecciona la región en la que quieras crear el endpoint de firewall.
En la lista Zona, selecciona la zona en la que quieras crear el endpoint de firewall.
Escribe un nombre en el campo Nombre.
En la lista Proyecto de facturación, selecciona el proyecto que quieras usar para facturar el endpoint de firewall. Google Cloud
Haz clic en Continuar.
Si quieres que el endpoint admita tramas jumbo, selecciona la casilla Habilitar compatibilidad con tramas jumbo. De lo contrario, desmárcala.
Haz clic en Continuar.
Si quieres añadir una asociación de endpoint de firewall, haz clic en Añadir asociación de endpoint. De lo contrario, omite este paso.
- En la lista Proyecto, selecciona el Google Cloud proyecto en el que quieras crear la asociación de endpoint de firewall.
- Si las APIs Compute Engine o Network Security no están habilitadas en el proyecto Google Cloud , haz clic en Habilitar.
- En la lista Red, selecciona la red que quieras asociar al endpoint del cortafuegos.
- En la lista Política de inspección TLS, selecciona la política de inspección TLS que quieras añadir a esta asociación.
- Para añadir otra asociación, haz clic en Añadir asociación de endpoint.
Haz clic en Crear.
gcloud
Para crear un endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoints create
comando:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Haz los cambios siguientes:
NAME: el nombre del endpoint del cortafuegos.ORGANIZATION_ID: la organización en la que se activa el endpoint.ZONE: la zona en la que se activa el endpoint.BILLING_PROJECT_ID: un ID de proyecto que se usará para facturar el endpoint del firewall. Google Cloud
Para crear un endpoint de firewall que admita tramas jumbo de hasta 8500 bytes, usa la marca opcional --enable-jumbo-frames. Omite esta marca para crear un endpoint sin compatibilidad con jumbo frames. Para obtener información sobre los tamaños de paquetes admitidos por los endpoints de firewall, consulta Tamaño de paquete admitido.
Para asociar el endpoint de cortafuegos a una red de VPC, consulta Crear asociaciones de endpoints de cortafuegos.
Terraform
Usa el google_network_security_firewall_endpoint recurso de Terraform.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Para crear un endpoint de firewall que admita tramas jumbo de hasta 8500 bytes, asigna el valor True al campo enable_jumbo_frames. Para crear un endpoint de firewall que no admita tramas jumbo, define este campo como False. Para obtener información sobre los tamaños de paquetes admitidos por los endpoints de firewall, consulta Tamaño de paquete admitido.
Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform.
Ver un endpoint de cortafuegos
Puede ver los detalles de un endpoint de cortafuegos específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
En la página Puntos finales de cortafuegos se muestran todos los puntos finales de cortafuegos configurados en la organización.
Haga clic en el nombre del endpoint de firewall para ver sus detalles.
gcloud
Para ver los detalles de un endpoint de cortafuegos, usa el comando gcloud network-security
firewall-endpoints describe:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Haz los cambios siguientes:
NAME: el nombre del endpoint del cortafuegos.ORGANIZATION_ID: la organización en la que se activa el endpoint.ZONE: la zona en la que se activa el endpoint.
Mostrar endpoints de firewall
Puedes enumerar todos los endpoints de cortafuegos de una organización.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En la página Endpoints de cortafuegos se muestran todos los endpoints de cortafuegos configurados en la organización.
gcloud
Para mostrar todos los endpoints de cortafuegos, usa el gcloud network-security
firewall-endpoints list
comando:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Haz los cambios siguientes:
ORGANIZATION_ID: la organización en la que se activa el endpoint.ZONE: la zona en la que se activa el endpoint. Para listar los endpoints de todas las zonas, usa-.BILLING_PROJECT_ID: ID de proyecto opcionalGoogle Cloud al que se le cobrará la cuota de la operación.
Editar un endpoint de cortafuegos
Puedes actualizar el proyecto de facturación de un endpoint de cortafuegos de una organización.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
En la página Puntos finales de cortafuegos se muestran todos los puntos finales de cortafuegos configurados en la organización.
Haga clic en el nombre del endpoint de firewall para ver sus detalles.
Haz clic en Editar.
En la lista Proyecto de facturación, selecciona el proyecto que quieras usar para facturar el endpoint de firewall. Google Cloud
Haz clic en Guardar.
gcloud
Para editar un endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoints edit
comando:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Haz los cambios siguientes:
NAME: el nombre del endpoint del cortafuegos.ORGANIZATION_ID: la organización en la que se activa el endpoint.ZONE: la zona en la que se activa el endpoint.BILLING_PROJECT_ID: el Google Cloud ID de proyecto que quieres asociar a este endpoint de cortafuegos para la facturación.
Para obtener información sobre los tamaños de paquete admitidos por los endpoints de firewall, consulta Tamaño de paquete admitido.
Eliminar un endpoint de cortafuegos
Puedes eliminar un endpoint de cortafuegos especificando su nombre, zona y organización.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
Seleccione el endpoint del cortafuegos y, a continuación, haga clic en Eliminar.
Haz clic en Eliminar de nuevo para confirmar la acción.
gcloud
Para eliminar un endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoints deletecomando:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Haz los cambios siguientes:
NAME: el nombre del endpoint del cortafuegos.ORGANIZATION_ID: la organización en la que se activa el endpoint.ZONE: la zona en la que se activa el endpoint.
Siguientes pasos
- Crear y gestionar asociaciones de endpoints de cortafuegos
- Utilizar reglas y políticas de cortafuegos jerárquicas
- Usar reglas y políticas de cortafuegos de red globales