Crea extremos de firewall y asociaciones de extremos

En esta página, se explica cómo configurar un extremo de firewall y asociarlo con una red de nube privada virtual (VPC) con la Google Cloud consola, Google Cloud CLI o Terraform.

Debes crear un extremo de firewall al nivel de la zona y, luego, asociarlo con una o más redes de VPC en la misma zona. Si la inspección de la capa 7 está habilitada en la política de firewall asociada con tu red de VPC, el tráfico coincidente se intercepta y se reenvía al extremo del firewall con transparencia.

Puedes crear un extremo de firewall con o sin compatibilidad con tramas jumbo. Para obtener información sobre los tamaños de paquetes admitidos por los extremos de firewall, consulta Tamaño de paquete admitido.

Antes de comenzar

Antes de configurar los extremos de firewall y las asociaciones, completa lo siguiente:

  1. Asegúrate de tener una red de VPC y una subred.
  2. Habilita las APIs requeridas:
  3. Instala gcloud CLI si deseas ejecutar gcloud ejemplos de la línea de comandos.

Funciones y permisos

Para obtener los permisos que necesitas para crear extremos de firewall, pídele a tu administrador que te otorgue los roles de Identity and Access Management (IAM) necesarios en tu organización o proyecto. Para obtener más información, consulta Administra el acceso.

Para verificar el progreso de las operaciones enumeradas en esta página, asegúrate de que tu cuenta de usuario tenga el rol de Usuario de la red de Compute (roles/compute.networkUser), que incluye los siguientes permisos:

  • networksecurity.operations.get
  • networksecurity.operations.list

Cuotas

Para ver las cuotas de las asociaciones y los extremos de firewall, consulta Cuotas y límites.

Crea un extremo de firewall

Crea un extremo de firewall en una zona específica.

Extremo a nivel de la organización

Puedes crear un extremo de firewall a nivel de la organización. Estos extremos solo admiten grupos de perfiles de seguridad a nivel de la organización.

Console

  1. En la Google Cloud consola, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en Crear.

  4. En la lista Región, selecciona la región en la que deseas crear el extremo del firewall.

  5. En la lista Zona, selecciona la zona en la que deseas crear el extremo del firewall.

  6. Escribe un nombre en el campo Nombre.

  7. En la lista Proyecto de facturación, selecciona el Google Cloud proyecto que deseas usar para facturar el extremo del firewall.

  8. Haz clic en Continuar.

  9. Si deseas que el extremo admita tramas jumbo, selecciona la casilla de verificación Habilitar la compatibilidad con tramas jumbo ; de lo contrario, desmarca esta casilla de verificación.

  10. Haz clic en Continuar.

  11. Si deseas agregar una asociación de extremo de firewall, haz clic en Agregar asociación de extremo; de lo contrario, salta este paso.

    1. En la lista Proyecto, elige el Google Cloud proyecto en el que deseas crear la asociación de extremo de firewall.
    2. Si la API de Compute Engine o la API de Network Security no están habilitadas para el Google Cloud proyecto, haz clic en Habilitar.
    3. En la lista Red, elige la red que deseas asociar al extremo del firewall.
    4. En la lista Política de inspección de TLS, elige la política de inspección de TLS que deseas agregar a esta red de VPC.
    5. Para agregar otra asociación, haz clic en Agregar asociación de extremo.

  12. Haz clic en Crear.

gcloud

Para crear un extremo de firewall, usa el gcloud network-security firewall-endpoints create comando:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

Reemplaza lo siguiente:

  • NAME: es el nombre del extremo de firewall.

  • ORGANIZATION_ID: es la organización en la que se activa el extremo.

  • ZONE: es la zona donde está activado el extremo.

  • BILLING_PROJECT_ID: es el ID del Google Cloud proyecto que se usará para la facturación del extremo del firewall.

Para crear un extremo de firewall que admita tramas jumbo de hasta 8,500 bytes de tamaño, usa la marca opcional --enable-jumbo-frames. Omite esta marca para crear un extremo sin compatibilidad con tramas jumbo. Para obtener información sobre los tamaños de paquetes admitidos por los extremos de firewall, consulta Tamaño de paquete admitido.

Para asociar el extremo de firewall a una red de VPC, consulta Crea asociaciones de extremos de firewall.

Terraform

Usa el recurso de Terraform google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Para crear un extremo de firewall que admita tramas jumbo de hasta 8,500 bytes de tamaño, establece el campo enable_jumbo_frames en true. Para crear un extremo de firewall que no admita tramas jumbo, establece este campo en false. Para obtener información sobre los tamaños de paquetes admitidos por los extremos de firewall, consulta Tamaño de paquete admitido.

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Extremo a nivel de proyecto

Puedes crear un extremo de firewall a nivel de proyecto. Estos extremos admiten grupos de perfiles de seguridad a nivel de la organización y a nivel de proyecto.

gcloud

Para crear un extremo de firewall, usa el gcloud beta network-security firewall-endpoints create comando:

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

Reemplaza lo siguiente:

  • NAME: es el nombre del extremo de firewall.

  • PROJECT_ID: es el proyecto en el que se activa el extremo.

  • ZONE: es la zona donde está activado el extremo.

Para crear un extremo de firewall que admita tramas jumbo de hasta 8,500 bytes de tamaño, usa la marca opcional --enable-jumbo-frames. Omite esta marca para crear un extremo sin compatibilidad con tramas jumbo. Para obtener información sobre los tamaños de paquetes admitidos por los extremos de firewall, consulta Tamaño de paquete admitido.

Para asociar el extremo de firewall a una red de VPC, consulta Crea asociaciones de extremos de firewall.

Crear una asociación de extremo de firewall

Una asociación de extremo de firewall conecta un extremo de firewall a una red de VPC en una zona específica. Esta asociación garantiza que el extremo de firewall inspeccione el tráfico que coincide con una regla de intercepción para la red asociada en esa zona.

Asegúrate de tener un extremo de firewall antes de crear una asociación.

Requisitos de asociación

Cuando configures asociaciones de extremos, sigue estos requisitos:

  • Restricciones de zona: Debes crear la asociación en la misma zona que el extremo de firewall. Para una inspección de tráfico eficaz, crea asociaciones en zonas en las que se implementen tus instancias de procesamiento.
  • Un extremo por zona: En una sola zona, puedes asociar una red de VPC con un solo extremo de firewall (ya sea a nivel de proyecto (vista previa) o a nivel de la organización). Sin embargo, puedes asociar una sola red de VPC con diferentes extremos de firewall en varias zonas diferentes.
  • Asociaciones entre proyectos: Puedes asociar una red de VPC con un extremo de firewall en un proyecto independiente.
    • Si usas un extremo a nivel de proyecto (vista previa), el proyecto del extremo debe residir en la misma organización que la red de VPC.
  • Asignación de recursos: Una asociación es un recurso a nivel de proyecto. Creas la asociación dentro del proyecto específico en el que se implementan tus instancias de procesamiento, incluso si la asociación apunta a un extremo de firewall a nivel de la organización.

Un extremo de firewall con compatibilidad con tramas jumbo solo puede aceptar paquetes de hasta 8,500 bytes. Como alternativa, un extremo de firewall sin compatibilidad con tramas jumbo solo puede aceptar paquetes de hasta 1,460 bytes. Si necesitas el servicio de filtrado de URL o el servicio de detección y prevención de intrusiones, te recomendamos que configures las redes de VPC asociadas para usar los límites de la unidad de transmisión máxima (MTU) de 8,500 bytes y 1,460 bytes. Para obtener más información, consulta Tamaño de paquete admitido.

Console

  1. En la Google Cloud consola, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu Google Cloud proyecto.

  3. Haz clic en Crear asociación de extremo.

  4. En la lista Región, selecciona la región en la que deseas crear la asociación de extremo de firewall.

  5. En la lista Zona, selecciona la zona en la que deseas crear la asociación de extremo de firewall.

  6. En la lista Extremo de firewall, elige el extremo de firewall que deseas agregar a la asociación.

  7. En la lista Red, elige la red que deseas agregar a la asociación.

  8. En la lista Política de inspección de TLS, elige la política de inspección de TLS que deseas agregar a esta red de VPC.

  9. Haz clic en Crear.

gcloud

Para crear una asociación de extremo de firewall, usa el gcloud network-security firewall-endpoint-associations create comando.

Extremo de firewall a nivel de la organización

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Extremo de firewall a nivel de proyecto

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ORGANIZATION_ID: es el identificador de la organización en la que se crea el extremo de firewall a nivel de la organización.

  • ENDPOINT_PROJECT_ID: es el ID del proyecto en el que se crea el extremo de firewall a nivel de proyecto. Google Cloud

  • ZONE: es la zona del extremo de firewall.

  • FIREWALL_ENDPOINT_NAME: es el nombre del extremo de firewall.

  • PROJECT_NAME: es el Google Cloud nombre del proyecto de la red.

  • NETWORK_NAME: el nombre de la red

  • PROJECT_ID: es el ID del proyecto en el que se crea la asociación. Google Cloud Debe ser el proyecto en el que deseas interceptar el tráfico.

  • TLS_PROJECT_NAME: es el Google Cloud nombre del proyecto de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

    Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.

¿Qué sigue?