Orden de evaluación de políticas y reglas de firewall

Cada red de nube privada virtual (VPC) normal tiene un orden de aplicación de la política de firewall de red que determina el orden en el que Cloud NGFW evalúa las reglas de la política de firewall.

Orden de aplicación de la política de firewall de red

Una red de VPC puede usar uno de los siguientes órdenes de aplicación de políticas de firewall de red:

  • AFTER_CLASSIC_FIREWALL (predeterminado): Cloud NGFW evalúa las políticas y reglas de firewall en el siguiente orden:

    1. Políticas jerárquicas de firewall
    2. Políticas de firewall del sistema regionales
    3. Reglas de firewall de VPC
    4. Políticas de firewall de redes globales
    5. Políticas de firewall de redes regionales
    6. Acciones implícitas

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW evalúa las políticas y reglas de firewall en el siguiente orden:

    1. Políticas jerárquicas de firewall
    2. Políticas de firewall del sistema regionales
    3. Políticas de firewall de redes globales
    4. Políticas de firewall de redes regionales
    5. Reglas de firewall de VPC
    6. Acciones implícitas

Para cambiar el orden de aplicación de la política de firewall de red, realiza una de las siguientes acciones:

  • Usa el método networks.patch y configura el atributo networkFirewallPolicyEnforcementOrder de la red de VPC.

  • Usa el comando gcloud compute networks update con la marca --network-firewall-policy-enforcement-order.

    Por ejemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Proceso de evaluación de reglas de firewall

En esta sección, se describe el orden en el que Cloud NGFW evalúa las reglas que se aplican a los recursos de destino en las redes de VPC normales.

Cada regla de firewall es una regla de entrada o una regla de salida, según la dirección del tráfico:

  • Las reglas de entrada se aplican a los paquetes de una conexión nueva que recibe un recurso de destino. Los recursos de destino admitidos para las reglas de entrada son los siguientes:

    • Son las interfaces de red de las instancias de máquina virtual (VM).

    • Proxies de Envoy administrados que usan los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos (vista previa)

  • Las reglas de salida se aplican a los paquetes de una conexión nueva que envía una interfaz de red de VM de destino.

Cloud NGFW siempre evalúa las reglas en las políticas de firewall jerárquicas y las políticas de firewall del sistema regionales antes de evaluar cualquier otra regla de firewall. Puedes controlar el orden en el que Cloud NGFW evalúa otras reglas de firewall eligiendo un orden de aplicación de la política de firewall de red. El orden de aplicación de la política de firewall de red puede ser AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

Orden de aplicación de la política de firewall de red AFTER_CLASSIC_FIREWALL

Cuando el orden de aplicación de la política de firewall de red es AFTER_CLASSIC_FIREWALL, Cloud NGFW evalúa las reglas en las políticas de firewall de red globales y regionales después de evaluar las reglas de firewall de VPC. Este es el orden de evaluación predeterminado.

En una red de VPC normal que usa el orden de aplicación AFTER_CLASSIC_FIREWALL, el orden de evaluación completo de las reglas de firewall es el siguiente:

  1. Políticas jerárquicas de firewall

    Cloud NGFW evalúa las políticas de firewall jerárquicas en el siguiente orden:

    1. Es la política de firewall jerárquica asociada a la organización que contiene el recurso de destino.
    2. Políticas de firewall jerárquicas asociadas con carpetas superiores, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.

    Cuando evalúa las reglas en cada política de firewall jerárquica, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
    • goto_next: La evaluación de la regla continúa con una de las siguientes opciones:
      • Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
      • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.

    Si ninguna regla de una política de firewall jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en uno de los siguientes casos:

    • Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
    • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.

  2. Políticas de firewall del sistema regionales

    Cuando evalúa las reglas de políticas de firewall del sistema regionales, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall del sistema regional, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: La evaluación de la regla continúa en
      • Una política de firewall del sistema regional con la siguiente prioridad de asociación más alta, si existe.
      • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall del sistema regionales.

    Si ninguna regla de una política de firewall del sistema regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en uno de los siguientes casos:

    • Una política de firewall del sistema regional con la siguiente prioridad de asociación más alta, si existe.
    • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall del sistema regionales.

  3. Reglas de firewall de VPC.

    Cuando evalúa las reglas de firewall de VPC, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    Cuando una o dos reglas de firewall de VPC coinciden con el tráfico, la acción en caso de coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.

    Si coinciden dos reglas, deben tener la misma prioridad, pero acciones diferentes. En este caso, Cloud NGFW aplica la regla de firewall de VPC deny y omite la regla de firewall de VPC allow.

    Si ninguna regla de firewall de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.

  4. Política de firewall de red global.

    Cuando evalúa reglas en una política de firewall de red global, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall de red global, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
    • goto_next: La evaluación de la regla continúa con el paso de la política de firewall de red regional en el orden de evaluación.

    Si ninguna regla de una política de firewall de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de firewall de red regional en el orden de evaluación.

  5. Políticas de firewall de red regionales

    Cloud NGFW evalúa las reglas en las políticas de firewall de red regionales que están asociadas con la región y la red de VPC del recurso de destino.

    Cuando evalúa reglas en una política de firewall de red regional, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall de red regional, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: La evaluación de la regla continúa con el siguiente paso en el orden de evaluación.

    Si ninguna regla de una política de firewall de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el siguiente paso en el orden de evaluación.

  6. Último paso: Acción implícita.

    Cloud NGFW aplica una acción implícita si la evaluación de la regla de firewall continuó en cada paso anterior siguiendo acciones goto_next explícitas o implícitas. La acción implícita depende de la dirección del tráfico:

    • En el caso del tráfico de entrada, la acción implícita también depende del recurso de destino:

      • Si el recurso de destino es una interfaz de red de una instancia de VM, la acción de entrada implícita es deny.

      • Si el recurso de destino es una regla de reenvío de un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno, la acción de entrada implícita es allow.

    • Para el tráfico de salida, la acción implícita es allow.

Diagrama de AFTER_CLASSIC_FIREWALL

En el siguiente diagrama, se ilustra el orden de aplicación de la política de firewall de red AFTER_CLASSIC_FIREWALL:

Flujo de resolución de las reglas de firewall.
Figura 1. Flujo de resolución de reglas de firewall si el orden de aplicación de la política de firewall de red es AFTER_CLASSIC_FIREWALL (haz clic para ampliar).

Orden de aplicación de la política de firewall de red BEFORE_CLASSIC_FIREWALL

Cuando el orden de aplicación de la política de firewall de red es BEFORE_CLASSIC_FIREWALL, Cloud NGFW evalúa las reglas en las políticas de firewall de red globales y regionales antes de evaluar las reglas de firewall de VPC.

En una red de VPC normal que usa el orden de aplicación BEFORE_CLASSIC_FIREWALL, el orden de evaluación completo de las reglas de firewall es el siguiente:

  1. Políticas jerárquicas de firewall

    Cloud NGFW evalúa las políticas de firewall jerárquicas en el siguiente orden:

    1. Es la política de firewall jerárquica asociada a la organización que contiene el recurso de destino.
    2. Políticas de firewall jerárquicas asociadas con carpetas superiores, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.

    Cuando evalúa las reglas en cada política de firewall jerárquica, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
    • goto_next: La evaluación de la regla continúa con una de las siguientes opciones:
      • Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
      • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.

    Si ninguna regla de una política de firewall jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en uno de los siguientes casos:

    • Una política de firewall jerárquica asociada a un ancestro de carpeta más cercano al recurso de destino, si existe.
    • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall jerárquicas.

  2. Políticas de firewall del sistema regionales

    Cuando evalúa las reglas de políticas de firewall del sistema regionales, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall del sistema regional, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: La evaluación de la regla continúa en
      • Una política de firewall del sistema regional con la siguiente prioridad de asociación más alta, si existe.
      • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall del sistema regionales.

    Si ninguna regla de una política de firewall del sistema regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en uno de los siguientes casos:

    • Una política de firewall del sistema regional con la siguiente prioridad de asociación más alta, si existe.
    • Es el siguiente paso en el orden de evaluación, si se evaluaron todas las políticas de firewall del sistema regionales.

  3. Política de firewall de red global.

    Cuando evalúa reglas en una política de firewall de red global, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall de red global, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • apply_security_profile_group: La regla reenvía el tráfico a un extremo de firewall configurado y se detiene toda la evaluación de reglas. La decisión de permitir o descartar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
    • goto_next: La evaluación de la regla continúa con el paso de la política de firewall de red regional en el orden de evaluación.

    Si ninguna regla de una política de firewall de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de firewall de red regional en el orden de evaluación.

  4. Políticas de firewall de red regionales

    Cloud NGFW evalúa las reglas en las políticas de firewall de red regionales que están asociadas con la región y la red de VPC del recurso de destino.

    Cuando evalúa reglas en una política de firewall de red regional, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de firewall de red regional, como máximo, una regla puede coincidir con el tráfico. La acción si hay coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: La evaluación de la regla continúa con el siguiente paso en el orden de evaluación.

    Si ninguna regla de una política de firewall de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el siguiente paso en el orden de evaluación.

  5. Reglas de firewall de VPC.

    Cuando evalúa las reglas de firewall de VPC, Cloud NGFW realiza los siguientes pasos:

    1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de mayor a menor prioridad.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    Cuando una o dos reglas de firewall de VPC coinciden con el tráfico, la acción en caso de coincidencia de la regla de firewall puede ser una de las siguientes:

    • allow: La regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: La regla rechaza el tráfico y se detiene toda la evaluación de reglas.

    Si coinciden dos reglas, deben tener la misma prioridad, pero acciones diferentes. En este caso, Cloud NGFW aplica la regla de firewall de VPC deny y omite la regla de firewall de VPC allow.

    Si ninguna regla de firewall de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.

  6. Último paso: Acción implícita.

    Cloud NGFW aplica una acción implícita si la evaluación de la regla de firewall continuó en cada paso anterior siguiendo acciones goto_next explícitas o implícitas. La acción implícita depende de la dirección del tráfico:

    • En el caso del tráfico de entrada, la acción implícita también depende del recurso de destino:

      • Si el recurso de destino es una interfaz de red de una instancia de VM, la acción de entrada implícita es deny.

      • Si el recurso de destino es una regla de reenvío de un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno, la acción de entrada implícita es allow.

    • Para el tráfico de salida, la acción implícita es allow.

Diagrama de BEFORE_CLASSIC_FIREWALL

En el siguiente diagrama, se ilustra el orden de aplicación de la política de firewall de red BEFORE_CLASSIC_FIREWALL:

Flujo de resolución de las reglas de firewall.
Figura 2. Flujo de resolución de reglas de firewall si el orden de aplicación de la política de firewall de red es BEFORE_CLASSIC_FIREWALL (haz clic para ampliar).

Reglas de firewall vigentes

Las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales y regionales controlan las conexiones. Puede resultarte útil ver todas las reglas de firewall que afectan a una red individual o a una interfaz de VM.

Reglas de firewall vigentes de la red

Puedes ver todas las reglas de firewall que se aplican a una red de VPC. La lista incluye todos los tipos de reglas que se indican a continuación:

  • Reglas heredadas de políticas de firewall jerárquicas
  • Reglas de firewall de VPC
  • Reglas aplicadas desde las políticas de firewall de red globales y regionales

Reglas de firewall vigentes de la instancia

Puedes ver todas las reglas de firewall que se aplican a la interfaz de red de una VM. La lista incluye todos los tipos de reglas que se indican a continuación:

  • Reglas heredadas de políticas de firewall jerárquicas
  • Reglas aplicadas desde el firewall de VPC de la interfaz
  • Reglas aplicadas desde las políticas de firewall de red globales y regionales

Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de VM. No se muestran las reglas de otras políticas.

Para ver las reglas de políticas de firewall efectivas dentro de una región, consulta Obtén políticas de firewall regionales efectivas para una red.

¿Qué sigue?