Se usó la API de Cloud Translation para traducir esta página.

Políticas de firewall

Las políticas de firewall te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de Identity and Access Management (IAM). Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de la nube privada virtual (VPC).

Políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten agrupar reglas en un objeto de política que puede aplicarse a muchas redes de VPC en uno o más proyectos. Puedes asociar políticas de firewall jerárquicas con una organización completa o carpetas individuales.

Para obtener más información sobre las especificaciones y las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.

Políticas de firewall de redes globales

Las políticas de firewall de red globales te permiten agrupar reglas en un objeto de política que es aplicable a todas las regiones (global). Una política de firewall no entra en vigencia hasta que se asocia con una red de VPC. Para asociar una política de firewall de red global a una red, consulta Asocia una política con la red. Después de asociar una política de firewall de red global con una red de VPC, las reglas de la política pueden aplicarse a los recursos en la red de VPC. Solo puedes asociar una política de firewall de red con una red de VPC.

Para obtener más información sobre las especificaciones de las políticas de firewall de la red globales, consulta la políticas de firewall de red globales.

Políticas de firewall de red regionales

Las políticas de firewall de red regionales te permiten agrupar reglas en un objeto de política aplicable a una región específica. Una política de firewall de red regional no entra en vigencia hasta que se asocia con una red de VPC en la misma región. Para asociar una política de firewall de red regional con una red, consulta Asocia una política con la red. Después de asociar una política de firewall de red regional con una red de VPC, las reglas de la política pueden aplicarse a los recursos dentro de esa región de la red de VPC.

Para obtener más información sobre las especificaciones y las políticas de los firewalls regionales, consulta las políticas de firewall de red regionales.

Aplica políticas y reglas de firewall a una red

Las redes de VPC normales admiten reglas de firewall en políticas de firewall jerárquicas, políticas de firewall de red globales, políticas de firewall de red regionales y reglas de firewall de VPC. Todas las reglas de firewall se programan como parte de la pila de virtualización de red de Andromeda.

En el caso de las redes de VPC de RoCE, consulta Cloud NGFW para redes de VPC de RoCE en lugar de esta sección.

Orden de aplicación de la política de firewall de red

Cada red de VPC normal tiene un orden de aplicación de la política de firewall de red que controla cuándo se evalúan las reglas en las políticas de firewall de red globales y las políticas de firewall de red regionales.

AFTER_CLASSIC_FIREWALL (predeterminado): Cloud NGFW evalúa las reglas de firewall de VPC antes de evaluar las reglas en las políticas de firewall de red globales y las políticas de firewall de red regionales.
BEFORE_CLASSIC_FIREWALL: Cloud NGFW evalúa las reglas en las políticas de firewall de red globales y las políticas de firewall de red regionales antes de evaluar las reglas de firewall de VPC.

Para cambiar el orden de aplicación de la política de firewall de red, realiza una de las siguientes acciones:

Usa el método networks.patch y configura el atributo networkFirewallPolicyEnforcementOrder de la red de VPC.

Usa el comando gcloud compute networks update con la marca --network-firewall-policy-enforcement-order.

Por ejemplo:

gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Proceso de evaluación de reglas de firewall

Para un paquete determinado, Cloud NGFW evalúa las siguientes reglas exclusivamente según la dirección del tráfico:

Reglas de firewall de entrada si un recurso de destino recibe el paquete
Reglas de firewall de salida si un recurso de destino envía el paquete

Cloud NGFW evalúa las reglas de firewall en un orden específico. El orden depende del orden de aplicación de la política de firewall de red, que puede ser AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

Orden de evaluación de reglas en el orden de aplicación de la `AFTER_CLASSIC_FIREWALL`

En el orden de aplicación de la política de firewall de red AFTER_CLASSIC_FIREWALL, el NGFW de Cloud evalúa las reglas de firewall de VPC después de evaluar las reglas en las políticas de firewall jerárquicas. Este es el orden de evaluación predeterminado.

Las reglas de firewall se evalúan en el siguiente orden:

Políticas jerárquicas de firewall

Cloud NGFW evalúa las políticas de firewall jerárquicas en el siguiente orden:
1. Es la política de firewall jerárquica asociada a la organización que contiene el recurso de destino.
2. Políticas de firewall jerárquicas asociadas con los ancestros de la carpeta, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.
Cuando evalúa las reglas en cada política de firewall jerárquica, Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de firewall jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: La evaluación de la regla continúa con una de las siguientes opciones:
  - Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
  - Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.
Si ninguna regla de una política de firewall jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en uno de los siguientes casos:
- Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
- Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.
Reglas de firewall de VPC.

Cuando evalúa las reglas de firewall de VPC, el Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
Cuando una o dos reglas de firewall de VPC coinciden con el tráfico, la acción en caso de coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
Si coinciden dos reglas, deben tener la misma prioridad, pero acciones diferentes. En este caso, el NGFW de Cloud aplica la regla de firewall de VPC deny y omite la regla de firewall de VPC allow.

Si ninguna regla de firewall de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.
Política de firewall de red global.

Cuando evalúa reglas en una política de firewall de red global, Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de firewall de red global, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: La evaluación de la regla continúa con el paso de la política de firewall de red regional en el orden de evaluación.
Si ninguna regla de una política de firewall de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de firewall de red regional en el orden de evaluación.
Políticas de firewall de red regionales

Cloud NGFW evalúa las reglas en las políticas de firewall de red regionales que están asociadas con la región y la red de VPC del recurso de destino.

Cuando evalúa reglas en una política de firewall de red regional, Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de firewall de red regional, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
- goto_next: La evaluación de la regla continúa con el siguiente paso en el orden de evaluación.
Si ninguna regla de una política de firewall de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el siguiente paso en el orden de evaluación.
Reglas de firewall implícitas

Cloud NGFW aplica las siguientes reglas de firewall implícitas cuando todas las reglas que coincidieron con el tráfico tenían una acción goto_next explícita o cuando la evaluación de reglas continuó siguiendo acciones goto_next implícitas.
- Permiso de salida implícito
- Denegación de entrada implícita

En el siguiente diagrama, se muestra el orden de evaluación cuando el orden de aplicación de la política de firewall de red es AFTER_CLASSIC_FIREWALL:

Flujo de resolución de las reglas de firewall. — **Figura 1.** Flujo de resolución de reglas de firewall si el orden de aplicación de la política de firewall de red es `AFTER_CLASSIC_FIREWALL` (haz clic para ampliar).

Orden de evaluación de reglas en el orden de aplicación de la `BEFORE_CLASSIC_FIREWALL`

En el orden de aplicación de la política de firewall de red BEFORE_CLASSIC_FIREWALL, Cloud NGFW evalúa las reglas de firewall de VPC después de evaluar las reglas en las políticas de firewall de red.

Las reglas de firewall se evalúan en el siguiente orden:

Políticas jerárquicas de firewall

Cloud NGFW evalúa las políticas de firewall jerárquicas en el siguiente orden:
1. Es la política de firewall jerárquica asociada a la organización que contiene el recurso de destino.
2. Son las políticas de firewall jerárquicas asociadas con los ancestros de la carpeta, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.
Cuando evalúa las reglas en cada política de firewall jerárquica, Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de firewall jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: La evaluación de la regla continúa con una de las siguientes opciones:
  - Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
  - Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.
Si ninguna regla de una política de firewall jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en uno de los siguientes casos:
- Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
- Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.
Política de firewall de red global.

Cuando evalúa reglas en una política de firewall de red global, Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de firewall de red global, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: La evaluación de la regla continúa con el paso de la política de firewall de red regional en el orden de evaluación.
Si ninguna regla de una política de firewall de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de firewall de red regional en el orden de evaluación.
Políticas de firewall de red regionales

El NGFW de Cloud evalúa las reglas en las políticas de firewall de red regionales que están asociadas con la región y la red de VPC del recurso de destino. Si varias políticas están asociadas con la misma región y red, primero se evalúa la que tiene la prioridad de asociación más alta.

Cuando evalúa reglas en una política de firewall de red regional, Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de firewall de red regional, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
- goto_next: La evaluación de la regla continúa con el siguiente paso en el orden de evaluación.
Si ninguna regla de una política de firewall de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el siguiente paso en el orden de evaluación.
Reglas de firewall de VPC.

Cuando evalúa las reglas de firewall de VPC, el Cloud NGFW realiza los siguientes pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de mayor a menor prioridad.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
Cuando una o dos reglas de firewall de VPC coinciden con el tráfico, la acción en caso de coincidencia de la regla de firewall puede ser una de las siguientes:
- allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
Si coinciden dos reglas, deben tener la misma prioridad, pero acciones diferentes. En este caso, el NGFW de Cloud aplica la regla de firewall de VPC deny y omite la regla de firewall de VPC allow.

Si ninguna regla de firewall de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.
Reglas de firewall implícitas

Cloud NGFW aplica las siguientes reglas de firewall implícitas cuando todas las reglas que coincidieron con el tráfico tenían una acción goto_next explícita o cuando la evaluación de reglas continuó siguiendo acciones goto_next implícitas.
- Permiso de salida implícito
- Denegación de entrada implícita

En el siguiente diagrama, se muestra el orden de evaluación cuando el orden de aplicación de la política de firewall de red es BEFORE_CLASSIC_FIREWALL:

Reglas de firewall vigentes

Las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales y regionales controlan las conexiones. Puede resultarte útil ver todas las reglas de firewall que afectan a una red individual o a una interfaz de VM.

Reglas de firewall vigentes de la red

Puedes ver todas las reglas de firewall que se aplican a una red de VPC. La lista incluye todos los tipos de reglas que se indican a continuación:

Reglas heredadas de políticas de firewall jerárquicas
Reglas de firewall de VPC
Reglas aplicadas desde las políticas de firewall de red globales y regionales

Reglas de firewall vigentes de la instancia

Puedes ver todas las reglas de firewall que se aplican a la interfaz de red de una VM. La lista incluye todos los tipos de reglas que se indican a continuación:

Reglas heredadas de políticas de firewall jerárquicas
Reglas aplicadas desde el firewall de VPC de la interfaz
Reglas aplicadas desde las políticas de firewall de red globales y regionales

Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de VM. No se muestran las reglas de otras políticas.

Para ver las reglas de políticas de firewall efectivas dentro de una región, consulta Obtén políticas de firewall regionales efectivas para una red.

Reglas predefinidas

Cuando creas una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional, Cloud NGFW agrega reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW agrega a la política dependen de cómo creas la política.

Si creas una política de firewall con la Google Cloud consola, Cloud NGFW agrega las siguientes reglas a la política nueva:

Reglas ir al siguiente para los rangos de IPv4 privados
Reglas de denegación predefinidas de Google Threat Intelligence
Reglas de denegación de ubicación geográfica predefinidas
Reglas de Ir a la siguiente prioridad más baja posible

Si creas una política de firewall con Google Cloud CLI o la API, Cloud NGFW solo agrega las reglas ir a la siguiente menor prioridad posible a la política.

Todas las reglas predefinidas en una política de firewall nueva usan intencionalmente las prioridades bajas (números de prioridad grande) para que puedas anularlas con la creación de reglas con prioridades más altas. Excepto por las reglas ir a la siguiente menor prioridad posible, también puedes personalizar las reglas predefinidas.

Reglas goto-next para los rangos de IPv4 privados

Una regla de salida con rangos de IPv4 de destino que tienen el valor 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1000 y la acción goto_next.
Una regla de entrada con los rangos IPv4 de origen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1001 y la acción goto_next.

Reglas de denegación predefinidas de Google Threat Intelligence

Una regla de entrada con la lista de origen de Google Threat Intelligence iplist-tor-exit-nodes, la prioridad 1002 y la acción deny.
Una regla de entrada con la lista de origen de Google Threat Intelligence iplist-known-malicious-ips, la prioridad 1003 y la acción deny.
Una regla de salida con la lista de destino de Google Threat Intelligence iplist-known-malicious-ips, la prioridad 1004 y la acción deny.

Si deseas obtener más información sobre la Inteligencia ante amenazas de Google, consulta Inteligencia ante amenazas de Google para las reglas de políticas de firewall.

Reglas de denegación de ubicación geográfica predefinidas

Una regla de entrada con ubicaciones geográficas de origen que coinciden con CU, IR, KP, SY, XC y XD, prioridad 1005 y acción deny.

Para obtener más información sobre las ubicaciones geográficas, consulta Objetos de ubicación geográfica.

Reglas ir a la siguiente menor prioridad posible

No puedes modificar o borrar las siguientes reglas:

Una regla de salida con el rango de IPv6 de destino ::/0, la prioridad 2147483644 y la acción goto_next.
Una regla de entrada con el rango de IPv6 de origen ::/0, la prioridad 2147483645 y la acción goto_next.
Una regla de salida con el rango de IPv4 de destino 0.0.0.0/0, la prioridad 2147483646 y la acción goto_next.
Una regla de entrada con el rango de IPv4 de origen 0.0.0.0/0, la prioridad 2147483647 y la acción goto_next.

¿Qué sigue?

Para crear y modificar reglas y políticas de firewall jerárquicas, consulta Usa reglas y políticas de firewall jerárquicas.
Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.
Para crear y modificar reglas y políticas de firewall de red globales, consulta Usa reglas y políticas de firewall de red globales.
Para crear y modificar reglas y políticas de firewall de red regionales, consulta Usa reglas y políticas de firewall de red regionales.