Componentes de las reglas de las políticas de firewall

En esta página, se describen los componentes de las reglas de firewall que creas en una de las siguientes políticas de firewall que se aplican a una red de nube privada virtual (VPC) normal:

• Políticas jerárquicas de firewall
• Políticas de firewall de red globales
• Políticas de firewall de redes regionales

Para obtener detalles sobre las reglas de firewall y los perfiles de red de acceso directo a memoria remoto (RDMA), consulta Cloud NGFW para redes de VPC con RoCE.

Cada regla de política del firewall se aplica a las conexiones entrantes (entrada) o salientes (salida), pero no a ambas. Cuando creas una regla de política de firewall, debes especificar los componentes que definen lo que hace la regla. Además de la dirección, puedes especificar el origen, el destino y las características de la capa 4, como el protocolo y el puerto de destino (si el protocolo usa puertos).

Prioridad

La prioridad de una regla en una política de firewall es un número entero de 0 a 2,147,483,547, inclusive. Los números enteros más bajos indican prioridades más altas. La prioridad de una regla en una política de firewall es similar a la prioridad de una regla de firewall de VPC, con las siguientes diferencias:

• Cada regla en una política de firewall debe tener una prioridad única.
• La prioridad de una regla en una política de firewall funciona como el identificador único de la regla. Las reglas en las políticas de firewall no usan nombres para la identificación.
• La prioridad de una regla en una política de firewall define el orden de evaluación dentro de la política de firewall. Las reglas de firewall de VPC y las reglas en las políticas de firewall jerárquicas, las políticas de firewall de red globales y las políticas de firewall de red regionales se evalúan como se describe en Cómo aplicar políticas y reglas de firewall a una red.

Acción en caso de coincidencia

Una regla en una política de firewall puede tener una de las siguientes acciones:

Parámetro de acción	Descripción
allow	Permite paquetes para una conexión nueva. Detiene la evaluación de las reglas en la política de firewall que contiene la regla coincidente. No evalúa ninguna otra regla de firewall. Independientemente de la dirección de la regla, si el protocolo de paquetes y el tipo de política de firewall admiten el seguimiento de conexiones, una regla de permiso crea una entrada de tabla de seguimiento de conexiones de firewall que permite los paquetes de entrada y salida.
deny	No permite paquetes para una conexión nueva. Detiene la evaluación de las reglas en la política de firewall que contiene la regla coincidente. No evalúa ninguna otra regla de firewall. Cloud NGFW siempre verifica si hay una entrada en la tabla de seguimiento de conexiones del firewall antes de evaluar las reglas del firewall. Por lo tanto, si una regla de permiso creó una entrada de la tabla de seguimiento de conexiones, esa entrada de la tabla de seguimiento de conexiones tiene prioridad.
apply_security_profile_group	Intercepta paquetes para una conexión nueva y los envía a un extremo de firewall o a un grupo de extremos de intercepción. Detiene la evaluación de las reglas en la política de firewall que contiene la regla coincidente. No evalúa ninguna otra regla de firewall. Independientemente de la dirección de la regla, si el protocolo de paquetes y el tipo de política de firewall admiten el seguimiento de conexiones, una regla con la acción apply_security_profile_group crea una entrada de tabla de seguimiento de conexiones del firewall para que el extremo del firewall o el grupo de extremos de intercepción intercepten los paquetes de entrada y salida. No puedes crear reglas con la acción apply_security_profile_group en las políticas de firewall de red regionales. Las políticas de firewall del sistema regionales no admiten reglas con esta acción.
goto_next	Detiene la evaluación de otras reglas en la política de firewall y evalúa las reglas en el siguiente paso del orden de evaluación de reglas y políticas de firewall. El siguiente paso del orden de evaluación de reglas y políticas de firewall podría ser la evaluación de reglas en otra política de firewall o las reglas de firewall implícitas.

Aplicación

Puedes cambiar si una regla de política de firewall se aplica configurando su estado como habilitada o inhabilitada. Establece el estado de aplicación cuando creas una regla o cuando actualizas una regla.

Si no configuras un estado de aplicación cuando creas una regla de firewall nueva, la regla de firewall se habilita de forma automática.

Protocolos y puertos

Al igual que con las reglas de firewall de VPC, debes especificar una o más restricciones de protocolos y puertos cuando creas una regla. Cuando especificas TCP o UDP en una regla, puedes especificar el protocolo, el protocolo y un puerto de destino, o el protocolo y un rango de puertos de destino. No puedes especificar solo un puerto o rango de puertos. Además, solo puedes especificar puertos de destino. No se admiten reglas basadas en puertos de origen.

Puedes usar los siguientes nombres de protocolo en reglas de firewall: tcp, udp, icmp (en ICMP para IPv4), esp, ah, sctp y ipip. Para todos los demás protocolos, usa los números de protocolo de IANA.

Muchos protocolos usan el mismo nombre y número en IPv4 y en IPv6, pero algunos protocolos, como ICMP, no. Para especificar ICMP de IPv4, usa icmp o el número de protocolo 1. Para especificar ICMP de IPv6, usa el número de protocolo 58.

Las reglas de firewall no admiten la especificación de códigos y tipos de ICMP, solo el protocolo.

El protocolo IPv6 de salto por salto no es compatible con las reglas de firewall.

Si no especificas los parámetros de protocolo y puerto, la regla se aplica a todos los protocolos y puertos de destino.

Logging

El registro de las reglas de políticas de firewall funciona igual que el registro de reglas de firewall de VPC, excepto por las siguientes diferencias:

• El campo de referencia incluye el ID de la política de firewall y un número que indica el nivel del recurso al que se adjunta la política. Por ejemplo, 0 significa que la política se aplica a una organización, y 1 significa que la política se aplica a una carpeta de nivel superior en la organización.

• Los registros de las reglas de políticas de firewall incluyen un campo target_resource que identifica las redes de VPC a las que se aplica la regla.

• El registro solo se puede habilitar para las reglas allow, deny y apply_security_profile_group. No se puede habilitar en reglas goto_next.

• Cuando habilitas el registro para una regla que usa la acción apply_security_profile_group, Cloud NGFW genera una sola entrada de registro cuando intercepta una sesión de tráfico y redirecciona el tráfico al extremo de firewall para la inspección profunda de paquetes. Esta entrada de registro confirma que la regla de firewall coincidió con el tráfico y lo redireccionó correctamente al extremo de firewall. Para obtener más información, consulta la Descripción general del registro de reglas de políticas de firewall.

• El extremo del firewall realiza una inspección profunda de paquetes, como el servicio de detección y prevención de intrusiones y el servicio de filtrado de URLs, y genera su propio conjunto de registros. Estos registros proporcionan información detallada sobre las conexiones dentro de la sesión interceptada y enumeran las amenazas detectadas o las acciones de filtrado de URL. Estos registros de inspección profunda de paquetes pueden generar varias entradas de registro por sesión.

Objetivo, origen y destino

Los parámetros de objetivo, origen y destino funcionan juntos para determinar el alcance de una regla de firewall.

• Parámetros de destino: Identifican los recursos a los que se aplica la regla de firewall.

• Parámetros de origen y destino: Definen los criterios de tráfico. Puedes especificar ambos para las reglas de entrada y salida. Las opciones válidas para los parámetros de origen y destino dependen de los parámetros de destino y la dirección de la regla de firewall.

Destinos

El parámetro tipo de destino y uno o más parámetros destino definen los destinos de una regla de firewall. Estos destinos de una regla de firewall son los recursos que protege la regla de firewall.

• Si se omite el tipo de destino o se establece en INSTANCES, la regla de firewall se aplica a las interfaces de red de las instancias de Compute Engine, incluidos los nodos de Google Kubernetes Engine y las instancias del entorno flexible de App Engine. Se admiten las reglas de entrada y salida.

  Para especificar a qué interfaces de red de VM se aplica la regla de firewall, usa los parámetros de destino:

  • Si omites todos los parámetros de destino, la regla de firewall se aplica a los destinos de instancia más amplios.

  • Para obtener detalles sobre los parámetros de segmentación y las combinaciones de parámetros de segmentación, consulta Segmentos específicos y Combinaciones de segmentos específicos.

• Si el tipo de destino se establece en INTERNAL_MANAGED_LB (versión preliminar), la regla de firewall se aplica a los proxies de Envoy administrados que usan los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos. Solo se admiten reglas de entrada.

  • Si omites el parámetro reglas de reenvío de destino, la regla de firewall se aplica a los destinos más amplios del balanceador de cargas.

  • Para restringir la regla de firewall a un solo balanceador de cargas, usa el parámetro de reglas de reenvío de destino. Para obtener más información, consulta Objetivos específicos.

Objetivos de instancias más amplios

Los objetivos de instancia más amplios dependen del tipo de política de firewall:

• Objetivos de instancia más amplios para una regla en una política de firewall jerárquica: Todas las interfaces de red de VM en una subred en cualquier región de cualquier red de VPC que se encuentre en un proyecto en el nodo de Resource Manager (organización o carpeta) asociado con la política de firewall jerárquica.

• Objetivos de instancia más amplios para una regla en una política de firewall de red global: Todas las interfaces de red de VM en una subred en cualquier región de la red de VPC asociada con la política de firewall de red global.

• Destinos de instancias más amplios para una regla en la política de firewall de red regional: Todas las interfaces de red de VM en una subred dentro de la región y la red de VPC que están asociadas con la política de firewall de red regional.

Destinos más amplios del balanceador de cargas

Las políticas de firewall de red regionales son las únicas políticas cuyas reglas admiten objetivos de balanceador de cargas. Los destinos más amplios del balanceador de cargas son las reglas de reenvío para los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos en la región de la política y la red de VPC asociada.

Segmentos específicos

En la siguiente tabla, se enumeran los parámetros de destino, las políticas de firewall que admiten reglas con cada parámetro y los tipos de destino de reglas admitidos. Si no especificas un parámetro de destino, la regla usa los destinos de instancia más amplios o los destinos de balanceador de cargas más amplios, según el tipo de destino de la regla. La marca de verificación indica que el parámetro es compatible, y el símbolo indica que el parámetro no es compatible.

Parámetro de destino	Compatibilidad con políticas de firewall			Compatibilidad con el tipo de destino de la regla
	Jerárquicas	Red global	Red regional	INSTANCES	INTERNAL_MANAGED_LB
Recursos de la red de VPC de destino Es una lista de una o más redes de VPC especificadas con el parámetro target-resources. Esta lista reduce los objetivos de instancias más amplios a las interfaces de red de VM que se encuentran en al menos una de las redes de VPC especificadas.
Cuentas de servicio objetivo Es una lista de una o más cuentas de servicio especificadas con el parámetro target-service-accounts. Esta lista reduce los objetivos de instancias más amplios a las interfaces de red de VM que pertenecen a instancias de VM asociadas con al menos una de las cuentas de servicio especificadas.
Cómo segmentar valores de etiquetas seguras a partir de una clave de etiqueta con datos de propósito de red Es una regla que usa el parámetro target-secure-tags y contiene una lista de uno o más valores de etiquetas de una clave de etiqueta cuyo purpose-data especifica una sola red de VPC. Esta lista reduce los objetivos de instancias más amplios a las interfaces de red de la VM que cumplen ambos de los siguientes criterios: La interfaz está en la red de VPC que coincide con el purpose-data de la clave de la etiqueta. La interfaz pertenece a una VM que está vinculada al valor de la etiqueta. Para obtener más información, consulta Etiquetas seguras para firewalls.
Segmenta los valores de etiquetas seguras de una clave de etiqueta con datos de propósito de la organización Es una regla que usa el parámetro target-secure-tags y contiene una lista de uno o más valores de etiqueta de una clave de etiqueta cuyo purpose-data es organization=auto. Esta lista reduce los objetivos de instancias más amplios a las interfaces de red de la VM que cumplen ambos de los siguientes criterios: La interfaz se encuentra en cualquier red de VPC de la organización. La interfaz pertenece a una VM que está vinculada al valor de la etiqueta. Para obtener más información, consulta Etiquetas seguras para firewalls.
Reglas de reenvío de destino Vista previa Es una sola regla de reenvío para un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno especificado en el formato de reglas de reenvío de destino. Este parámetro reduce los objetivos más amplios del balanceador de cargas a un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno específicos.

Combinaciones de segmentación específicas

Las reglas que admiten el parámetro target-resources pueden combinarlo con otro parámetro de segmentación para crear una combinación de parámetros de segmentación. En la siguiente tabla, se enumeran las combinaciones de parámetros de destino admitidas, las políticas de firewall que admiten reglas con cada parámetro y los tipos de destino de regla admitidos. Si no especificas un parámetro de destino, la regla usa los destinos de instancia más amplios o los destinos de balanceador de cargas más amplios, según el tipo de destino de la regla.

La marca de verificación indica que el parámetro es compatible, y el símbolo indica que no lo es.

Combinación de parámetros de segmentación	Compatibilidad con políticas de firewall			Compatibilidad con el tipo de destino de la regla
	Jerárquicas	Red global	Red regional	INSTANCES	INTERNAL_MANAGED_LB
Combinación de recursos de red de VPC de destino y cuentas de servicio de destino Una regla que usa los parámetros target-resources y target-service-accounts. Esta combinación reduce los objetivos de instancias más amplios a las interfaces de red de VM que cumplen ambos de los siguientes criterios: La interfaz se encuentra en al menos una de las redes de VPC especificadas en target-resources. La interfaz pertenece a una instancia de VM asociada con al menos una de las cuentas de servicio especificadas.
Combinación de recursos de red de VPC de destino y valores de etiquetas seguras de destino Una regla que usa los parámetros target-resources y target-secure-tags. Los valores de las etiquetas deben provenir de una clave de etiqueta cuyo purpose-data sea organization=auto. Esta combinación reduce los objetivos de instancias más amplios a las interfaces de red de VM que cumplen ambos de los siguientes criterios: La interfaz se encuentra en al menos una de las redes de VPC especificadas en target-resources. La interfaz pertenece a una VM que está vinculada al valor de la etiqueta.

Formato de las reglas de reenvío de destino

Cuando el tipo de destino de una regla de firewall se establece en INTERNAL_MANAGED_LB (versión preliminar), el parámetro de reglas de reenvío de destino acepta valores en los siguientes formatos:

• Para balanceadores de cargas de aplicaciones internos regionales y balanceadores de cargas de red del proxy internos regionales:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

• Para los balanceadores de cargas de aplicaciones internos entre regiones y los balanceadores de cargas de red de proxy internos entre regiones, haz lo siguiente:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Objetivos y direcciones IP para reglas de entrada

Cuando se omite el tipo de destino de una regla de firewall o se establece en INSTANCES, la regla se aplica a los paquetes que se enrutan a las interfaces de red de las VMs de destino.

• Si la regla de firewall de entrada incluye un rango de direcciones IP de destino, el destino del paquete debe ajustarse a uno de los rangos de direcciones IP de destino definidos de forma explícita.

• Si la regla de firewall de entrada no incluye un rango de direcciones IP de destino, el destino del paquete debe coincidir con una de las siguientes direcciones IP de cada VM de destino:

  • La dirección IPv4 interna principal que se asigna a la NIC de la instancia.

  • Cualquier rango de direcciones IP que se configura en la NIC de la instancia.

  • La dirección IPv4 externa que está asociada a la NIC de la instancia.

  • Si se configura IPv6 en la subred, cualquiera de las direcciones IPv6 asignadas a la NIC.

  • Una dirección IP interna o externa asociada con una regla de reenvío que se usa para el balanceo de cargas de transferencia, en la que la instancia es un backend de un balanceador de cargas de red de transferencia interno o un balanceador de cargas de red de transferencia externo.

  • Una dirección IP interna o externa asociada con una regla de reenvío que se usa para el reenvío de protocolos, en la que una instancia de destino hace referencia a la instancia.

  • Una dirección IP dentro del rango de destino de una ruta estática personalizada que usa la instancia (next-hop-instance o next-hop-address) como una VM de siguiente salto.

  • Una dirección IP dentro del rango de destino de una ruta estática personalizada que usa un balanceador de cargas de red de transferencia interno (next-hop-ilb) como próximo salto si la VM es un backend para ese balanceador de cargas.

Cuando el tipo de destino de una regla de firewall se establece en INTERNAL_MANAGED_LB (versión preliminar), la regla filtra los paquetes que se enrutan a los proxies de Envoy administrados asociados con los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos. Cuando uses rangos de IP de destino en una regla de entrada, asegúrate de que el rango incluya la dirección IP de la regla de reenvío del balanceador de cargas pertinente.

Objetivos y direcciones IP para reglas de salida

Cuando se omite el tipo de destino de una regla de firewall o se establece en INSTANCES, la regla se aplica a los paquetes que emiten las interfaces de red de las VMs de destino.

• Si la VM de destino tiene inhabilitado el reenvío de IP (opción predeterminada), la VM solo puede emitir paquetes con los siguientes orígenes:

  • La dirección IPv4 interna principal de la NIC de una instancia.

  • Cualquier rango de direcciones IP que se configura en la NIC de una instancia.

  • Si se configura IPv6 en la subred, cualquiera de las direcciones IPv6 asignadas a la NIC.

  • Una dirección IP interna o externa asociada con una regla de reenvío para el balanceo de cargas de transferencia o el reenvío de protocolos. Esto es válido si la instancia es un backend de un balanceador de cargas de red de transferencia interno, un balanceador de cargas de red de transferencia externo o si una instancia objetivo hace referencia a ella.

  Si la regla de firewall de salida incluye rangos de direcciones IP de origen, las VMs de destino aún están limitadas a las direcciones IP de origen mencionadas antes, pero se puede usar un parámetro de origen para definir mejor los orígenes. El uso de un parámetro de origen sin habilitar el reenvío de IP nunca expande el conjunto de direcciones de origen de paquetes posibles.

  Si la regla de firewall de salida no incluye un rango de direcciones IP de origen, se permiten todas las direcciones IP de origen mencionadas antes.

• Si la VM de destino tiene habilitado el reenvío de IP, la VM puede emitir paquetes con direcciones de origen arbitrarias. Puedes usar el parámetro de origen para definir con mayor precisión el conjunto de orígenes de paquetes permitidos.

Fuentes

Los valores del parámetro de origen dependen de la dirección de la regla de firewall.

Orígenes para reglas de entrada

En esta tabla, se enumeran los parámetros de origen para las reglas de entrada, las políticas de firewall que admiten cada parámetro y los tipos de destino de reglas que son compatibles con cada parámetro. Debes especificar al menos un parámetro de fuente. La marca de verificación indica que el parámetro es compatible, y el símbolo indica que el parámetro no es compatible.

Parámetro de origen de la regla de entrada	Compatibilidad con políticas de firewall			Compatibilidad con el tipo de destino de la regla
	Jerárquicas	Red global	Red regional	INSTANCES	INTERNAL_MANAGED_LB
Rangos de direcciones IP de origen Es una lista que consta de direcciones IPv4 en formato CIDR o direcciones IPv6 en formato CIDR. La lista se almacena dentro de la regla de política de firewall.
Grupos de direcciones de origen Colecciones reutilizables de direcciones IPv4 en formato CIDR o direcciones IPv6 en formato CIDR. La regla de firewall hace referencia a la colección. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
Nombres de dominio de origen Es una lista de uno o más nombres de dominio de origen. Para obtener más información, incluida la forma en que los nombres de dominio se convierten en direcciones IP, consulta Objetos FQDN.
Obtén valores de etiquetas seguros de una clave de etiqueta con datos de propósito de red Es una lista de uno o más valores de etiquetas de una clave de etiqueta cuyos datos de propósito especifican una sola red de VPC. Para obtener más información, consulta Etiquetas seguras para firewalls y Cómo las etiquetas seguras de origen implican los orígenes de los paquetes.
Cómo obtener valores de etiquetas seguras de una clave de etiqueta con datos de propósito de la organización Es una lista de uno o más valores de etiqueta de una clave de etiqueta cuyos datos de propósito son organization=auto. Para obtener más información, consulta Etiquetas seguras para firewalls y Cómo las etiquetas seguras de origen implican los orígenes de los paquetes.
Ubicaciones geográficas de origen Es una lista de una o más ubicaciones geográficas de origen especificadas como códigos de país o región de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.
Listas de origen de Google Threat Intelligence Es una lista de uno o más nombres predefinidos de listas de Google Threat Intelligence. Para obtener más información, consulta Inteligencia ante amenazas de Google para las reglas de políticas de firewall.
Contexto de la red de origen Es una restricción que define un límite de seguridad. Los valores válidos dependen del tipo de destino de la regla. Para obtener más información, consulta Contextos de red.

Combinaciones de fuentes de reglas de entrada

En una sola regla de ingreso, puedes usar dos o más parámetros de origen para producir una combinación de fuentes. Cloud NGFW aplica las siguientes restricciones a las combinaciones de fuentes de cada regla de entrada:

• Los rangos de direcciones IP de origen deben contener CIDR de IPv4 o IPv6, no una combinación de ambos.
• No se puede usar un grupo de direcciones de origen que contenga CIDRs IPv4 con un grupo de direcciones de origen que contenga CIDRs IPv6.
• No se puede usar un rango de direcciones IP de origen que contenga CIDRs IPv4 con un grupo de direcciones de origen que contenga CIDRs IPv6.
• No se puede usar un rango de direcciones IP de origen que contenga CIDRs IPv6 con un grupo de direcciones de origen que contenga CIDRs IPv4.
• El contexto de la red de Internet no se puede usar con las etiquetas de red de origen.
• El contexto sin Internet, el contexto de redes de VPC y el contexto entre VPC no se pueden usar con las listas de Inteligencia sobre amenazas de Google de origen ni con las ubicaciones geográficas de origen .

Cloud NGFW aplica la siguiente lógica para hacer coincidir los paquetes con una regla de entrada que usa una combinación de origen:

• Si la combinación de origen no incluye un contexto de red de origen, los paquetes coinciden con la regla de entrada si coinciden con al menos un parámetro de origen en la combinación de origen.

• Si la combinación de origen incluye un contexto de red de origen, los paquetes coinciden con la regla de entrada si coinciden con el contexto de red de origen y con al menos uno de los otros parámetros de origen de la combinación de origen.

Cómo las etiquetas seguras de origen implican los orígenes de los paquetes

Una regla de firewall de entrada puede usar valores de etiquetas seguras de origen cuando se omite su tipo de destino o se establece en INSTANCES. Los valores de etiquetas seguros identifican interfaces de red, no características de paquetes, como direcciones IP.

Los paquetes enviados desde una interfaz de red de una instancia de VM coinciden con una regla de entrada que usa un valor de etiqueta segura de origen según las siguientes reglas:

• Si la regla de entrada está en una política de red regional, la instancia de VM debe estar ubicada en una zona de la misma región que la política de firewall de red regional. De lo contrario, la instancia de VM puede ubicarse en cualquier zona.

• La instancia de VM debe estar asociada con el mismo valor de etiqueta segura que se usa como etiqueta segura de origen en una regla de firewall de entrada.

• El valor de la etiqueta segura asociado a la instancia de VM y que usa la regla de firewall de entrada debe provenir de una clave de etiqueta cuyo atributo purpose-data identifique al menos una red de VPC que contenga una interfaz de red de la instancia de VM:

  • Si los datos de propósito de la clave de la etiqueta especifican una sola red de VPC, las reglas de firewall de entrada que usan el valor de la etiqueta de seguridad de origen se aplican a las interfaces de red de la instancia de VM que se encuentran en esa red de VPC.

  • Si los datos de propósito de la clave de etiqueta especifican la organización, las reglas de firewall de entrada que usan el valor de la etiqueta segura de origen se aplican a las interfaces de red de la instancia de VM que se encuentran en cualquier red de VPC de la organización.

• La interfaz de red de la VM identificada debe cumplir con uno de los siguientes criterios:

  • La interfaz de red de la VM se encuentra en la misma red de VPC a la que se aplica la política de firewall.

  • La interfaz de red de la VM está en una red de VPC conectada, a través del intercambio de tráfico entre redes de VPC, a la red de VPC a la que se aplica la política de firewall.

  • La red de VPC que usa la interfaz de red de la VM y la red de VPC a la que se aplica la política de firewall son radios de VPC en el mismo concentrador de NCC.

Para obtener más información sobre las etiquetas seguras para firewalls, consulta Especificaciones.

Orígenes para las reglas de salida

Puedes usar los siguientes orígenes para reglas de salida en las políticas de firewall jerárquicas y en las políticas de firewall de red:

• Predeterminado: Implicado por el objetivo: Si omites el parámetro de origen de una regla de salida, las fuentes de paquetes se definen de forma implícita como se describe en Objetivos y direcciones IP para reglas de salida.

• Rangos de IPv4 de origen: Una lista de direcciones IPv4 en formato CIDR.

• Rangos de direcciones IPv6 de origen: Una lista de direcciones IPv6 en formato CIDR.

Sigue estos lineamientos a fin de agregar rangos de direcciones IP de origen para reglas de salida:

• Si una interfaz de VM tiene direcciones IPv4 internas y externas asignadas, solo se usa la dirección IPv4 interna durante la evaluación de la regla.

• Si tienes un rango de direcciones IP de origen y parámetros de destino en la regla de salida, los parámetros de destino se resuelven en la misma versión de IP que la versión de IP de origen.

  Por ejemplo, en una regla de salida, tienes un rango de direcciones IPv4 en el parámetro de origen y un objeto FQDN en el parámetro de destino. Si el FQDN se resuelve tanto en direcciones IPv4 como en direcciones IPv6, solo se usa la dirección IPv4 resuelta durante la aplicación de la regla.

Destinos

Los valores del parámetro de destino dependen de la dirección de la regla de firewall.

Destinos para las reglas de entrada

Puedes usar los siguientes destinos para las reglas de firewall de entrada en las políticas jerárquicas y de firewall de red:

• Predeterminado: Implicado por el objetivo: Si omites el parámetro de destino de una regla de entrada, los destinos del paquete se definen de forma implícita como se describe en Objetivos y direcciones IP para reglas de entrada.

• Rangos de direcciones IPv4 de destino: Una lista de direcciones IPv4 en formato CIDR.

• Rangos de direcciones IPv6 de destino: Una lista de direcciones IPv6 en formato CIDR.

Sigue estos lineamientos a fin de agregar rangos de direcciones IP de destino para las reglas de entrada:

• Si una interfaz de VM tiene direcciones IPv4 internas y externas asignadas, solo se usa la dirección IPv4 interna durante la evaluación de la regla.

• Si tienes parámetros de origen y destino definidos en una regla de entrada, los parámetros de origen se resuelven en la misma versión de IP que la versión de IP de destino. Para obtener más información sobre cómo definir un origen para las reglas de entrada, consulta Orígenes para reglas de entrada en políticas de firewall jerárquicas y Orígenes para reglas de entrada en políticas de firewall de red.

  Por ejemplo, en una regla de entrada, tienes un rango de direcciones IPv6 en el parámetro de destino y un código de país de ubicación geográfica en el parámetro de origen. Durante la aplicación de la regla, solo se usa la dirección IPv6 asignada para el código de país de origen especificado.

Destinos para las reglas de salida

En esta tabla, se enumeran los parámetros de destino para las reglas de salida, las políticas de firewall que admiten cada parámetro y los tipos de destino de reglas que son compatibles con cada parámetro. Debes especificar al menos un parámetro de destino. La marca de verificación indica que el parámetro es compatible, y el símbolo indica que no lo es.

Parámetro de destino de la regla de salida	Compatibilidad con políticas de firewall			Compatibilidad con el tipo de destino de la regla
	Jerárquicas	Red global	Red regional	INSTANCES	INTERNAL_MANAGED_LB
Rangos de direcciones IP de destino Es una lista que consta de direcciones IPv4 en formato CIDR o direcciones IPv6 en formato CIDR. La lista se almacena dentro de la regla de política de firewall.
Grupos de direcciones de destino Colecciones reutilizables de direcciones IPv4 en formato CIDR o direcciones IPv6 en formato CIDR. La regla de política de firewall hace referencia a la colección. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
Nombres de dominio de destino Es una lista de uno o más nombres de dominio de destino. Para obtener más información, incluida la forma en que los nombres de dominio se convierten en direcciones IP, consulta Objetos FQDN.
Ubicaciones geográficas de destino Es una lista de una o más ubicaciones geográficas de origen especificadas como códigos de país o región de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.
Listas de Google Threat Intelligence de destino Es una lista de uno o más nombres predefinidos de listas de Google Threat Intelligence. Para obtener más información, consulta Inteligencia ante amenazas de Google para las reglas de políticas de firewall.
Contexto de la red de destino Es una restricción que define un límite de seguridad.

Combinaciones de destinos de reglas de salida

En una sola regla de salida, puedes usar dos o más parámetros de destino para producir una combinación de destinos. Cloud NGFW aplica las siguientes restricciones a las combinaciones de destinos de cada regla de salida:

• Los rangos de direcciones IP de destino deben contener CIDR IPv4 o IPv6, no una combinación de ambos.
• No se puede usar un grupo de direcciones de destino que contenga CIDR de IPv4 con un grupo de direcciones de destino que contenga CIDR de IPv6.
• No se puede usar un rango de direcciones IP de destino que contenga CIDRs IPv4 con un grupo de direcciones de destino que contenga CIDRs IPv6.
• No se puede usar un rango de direcciones IP de destino que contenga CIDRs IPv6 con un grupo de direcciones de destino que contenga CIDRs IPv4. 8 No se pueden usar las listas de Inteligencia de amenazas de Google ni las ubicaciones geográficas de destino con el contexto de red de destino que no es de Internet.

Cloud NGFW aplica la siguiente lógica para hacer coincidir los paquetes con una regla de salida que usa una combinación de destino:

• Si la combinación de destinos no incluye un contexto de red de destino, los paquetes coinciden con la regla de salida si coinciden con al menos un parámetro de destino en la combinación de destinos.

• Si la combinación de destino incluye un contexto de red de destino, los paquetes coinciden con la regla de salida si coinciden con el contexto de red de destino y con al menos uno de los otros parámetros de destino en la combinación de destino.

¿Qué sigue?

• Google Threat Intelligence para reglas de políticas de firewall
• Descripción general de los objetos de nombres de dominio completamente calificados
• Grupos de direcciones para políticas de firewall