Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Políticas y reglas de firewall

Una regla de firewall en Cloud Next Generation Firewall determina si se permite o se rechaza el tráfico dentro de una red de nube privada virtual (VPC) según los criterios definidos. Una política de firewall del NGFW de Cloud te permite agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de Identity and Access Management (IAM).

En este documento, se proporciona una descripción general de los diferentes tipos de políticas de firewall y reglas de políticas de firewall.

Políticas de firewall

Cloud NGFW admite los siguientes tipos de políticas de firewall:

Políticas jerárquicas de firewall
Políticas de firewall de red globales
Políticas de firewall de redes regionales
Políticas de firewall del sistema regionales

Políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten agrupar reglas en un objeto de política que puede aplicarse a muchas redes de VPC en uno o más proyectos. Puedes asociar políticas de firewall jerárquicas con una organización completa o carpetas individuales.

Para obtener más información sobre las especificaciones y las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.

Políticas de firewall de redes globales

Las políticas de firewall de red globales te permiten agrupar reglas en un objeto de política que se puede aplicar a todas las regiones de una red de VPC.

Para obtener más información sobre las especificaciones de las políticas de firewall de la red globales, consulta la políticas de firewall de red globales.

Políticas de firewall de redes regionales

Las políticas de firewall de red regionales te permiten agrupar reglas en un objeto de política que se puede aplicar a una región específica de una red de VPC.

Para obtener más información sobre las especificaciones y las políticas de los firewalls regionales, consulta las políticas de firewall de red regionales.

Políticas de firewall del sistema regionales

Las políticas de firewall del sistema regionales son similares a las políticas de firewall de red regionales, pero Google las administra. Las políticas de firewall del sistema regionales tienen las siguientes características:

Google Cloud evalúa las reglas en las políticas de firewall del sistema regionales inmediatamente después de evaluar las reglas en las políticas de firewall jerárquicas. Para obtener más información, consulta Proceso de evaluación de reglas de firewall.
No puedes modificar una regla en una política de firewall del sistema regional, excepto para habilitar o inhabilitar el registro de reglas de firewall.
Google Cloud crea una política de firewall del sistema regional en una región de una red de VPC cuando un servicio de Google requiere reglas en esa región de la red. Google Cloud puede asociar más de una política de firewall del sistema regional con una región de una red de VPC según los requisitos de los servicios de Google.
No se te cobra por la evaluación de reglas en las políticas de firewall del sistema regionales.

Interacción con el perfil de red

Las redes de VPC normales admiten reglas de firewall en políticas de firewall jerárquicas, políticas de firewall de red globales, políticas de firewall de red regionales y reglas de firewall de VPC. Todas las reglas de firewall se programan como parte de la pila de virtualización de red de Andromeda.

Las redes de VPC que usan ciertos perfiles de red restringen las políticas de firewall y los atributos de reglas que puedes usar. En el caso de las redes de VPC de RoCE, consulta Cloud NGFW para redes de VPC de RoCE en lugar de esta página.

Reglas de la política de firewall

En Google Cloud, una regla de política de firewall tiene una dirección que determina si controla el tráfico que entra a tu red o el tráfico que sale de ella. Cada regla de política de firewall se aplica a las conexiones entrantes (entrada) o salientes (salida).

Reglas de entrada

La dirección de entrada se refiere a las conexiones entrantes que se envían desde orígenes específicos a Google Cloud objetivos. Las reglas de entrada se aplican a los paquetes entrantes que llegan a los siguientes tipos de objetivos:

Interfaces de red de instancias de máquina virtual (VM)
Proxies de Envoy administrados que potencian los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos

Una regla de entrada con una acción deny protege los destinos cuando bloquea las conexiones entrantes a ellos. Si una regla con mayor prioridad permite el tráfico, el firewall lo permite y, luego, ignora cualquier regla de menor prioridad que pueda denegar ese mismo tráfico. Recuerda que las reglas de mayor prioridad siempre tienen precedencia.

Una red predeterminada creada automáticamente incluye algunas reglas de firewall de VPC prepropagadas, que permiten la entrada para ciertos tipos de tráfico.

Reglas de salida

La dirección de salida se refiere al tráfico saliente que se envía desde un recursoGoogle Cloud de destino, como una interfaz de red de VM, a un destino.

Una regla de salida con una acción allow permite que una instancia envíe tráfico a los destinos especificados en la regla. El tráfico de salida se bloquea si coincide con una regla deny de alta prioridad. Esta acción tiene prioridad sobre cualquier regla de menor prioridad que pueda permitir el tráfico. Google Cloud también bloquea o limita ciertos tipos de tráfico.

¿Qué sigue?

Para crear y modificar reglas y políticas de firewall jerárquicas, consulta Usa reglas y políticas de firewall jerárquicas.
Para crear y modificar reglas y políticas de firewall de red globales, consulta Usa reglas y políticas de firewall de red globales.
Para crear y modificar reglas y políticas de firewall de red regionales, consulta Usa reglas y políticas de firewall de red regionales.

Políticas y reglas de firewall Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.