Reglas predefinidas para políticas de firewall

Cuando creas una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional, Cloud NGFW agrega reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW agrega a la política dependen de cómo creas la política.

Tipos de reglas predefinidas

Si creas una política de firewall con la Google Cloud consola, Cloud NGFW agrega las siguientes reglas a la política nueva:

1. Reglas de Ir a la siguiente para los rangos de IPv4 privados
2. Reglas de denegación predefinidas de Google Threat Intelligence
3. Reglas de denegación de ubicación geográfica predefinidas
4. Reglas de Ir a la siguiente prioridad más baja posible

Si creas una política de firewall con Google Cloud CLI o la API, Cloud NGFW solo agrega las reglas ir a la siguiente menor prioridad posible a la política.

Todas las reglas predefinidas en una política de firewall nueva usan intencionalmente las prioridades bajas (números de prioridad grande) para que puedas anularlas con la creación de reglas de entrada o salida con prioridades más altas. Excepto por las reglas ir a la siguiente menor prioridad posible, también puedes personalizar las reglas predefinidas.

Reglas goto-next para los rangos de IPv4 privados

• Una regla de salida con rangos de IPv4 de destino que tienen el valor 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1000 y la acción goto_next.

• Una regla de entrada con los rangos IPv4 de origen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1001 y la acción goto_next.

Reglas de denegación predefinidas de Google Threat Intelligence

• Una regla de entrada con la lista de origen de Google Threat Intelligence iplist-tor-exit-nodes, la prioridad 1002 y la acción deny.

• Una regla de entrada con la lista de origen de Google Threat Intelligence iplist-known-malicious-ips, la prioridad 1003 y la acción deny.

• Una regla de salida con la lista de destino de Google Threat Intelligence iplist-known-malicious-ips, la prioridad 1004 y la acción deny.

Si deseas obtener más información sobre la Inteligencia ante amenazas de Google, consulta Inteligencia ante amenazas de Google para las reglas de políticas de firewall.

Reglas de denegación de ubicación geográfica predefinidas

• Una regla de entrada con ubicaciones geográficas de origen que coinciden con CU, IR, KP, SY, XC y XD, prioridad 1005 y acción deny.

Para obtener más información sobre las ubicaciones geográficas, consulta Objetos de ubicación geográfica.

Reglas ir a la siguiente menor prioridad posible

No puedes modificar o borrar las siguientes reglas:

• Una regla de salida con el rango de IPv6 de destino ::/0, la prioridad 2147483644 y la acción goto_next.

• Una regla de entrada con el rango de IPv6 de origen ::/0, la prioridad 2147483645 y la acción goto_next.

• Una regla de salida con el rango de IPv4 de destino 0.0.0.0/0, la prioridad 2147483646 y la acción goto_next.

• Una regla de entrada con el rango de IPv4 de origen 0.0.0.0/0, la prioridad 2147483647 y la acción goto_next.

¿Qué sigue?

• Modificar reglas predefinidas Para obtener más información, consulta cómo actualizar una regla de política de firewall de red global, cómo actualizar una regla de política de firewall de red regional y cómo actualizar una regla de política de firewall jerárquica.
• Agrega tus propias reglas. Para obtener más información, consulta Crea una política de firewall de red global, Crea una política de firewall de red regional y Crea una política de firewall.