Configura una política de firewall de red global para permitir el tráfico de salida a un FQDN

Obtén información para crear y configurar una política de firewall de red global para permitir el tráfico de salida a un nombre de dominio completamente calificado (FQDN) específico con la Google Cloud consola. La política de firewall bloquea todo el resto del tráfico de salida que se origina en tu red. En esta guía de inicio rápido, se crea una red de nube privada virtual (VPC) con una subred, se crea una instancia de máquina virtual (VM) en la red de VPC, se configura una política de firewall que usa reglas de salida y, luego, se prueba la política de firewall de la VM.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Si usas un proyecto existente en esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. Si usas un proyecto existente en esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.
  10. Asegúrate de conocer los conceptos de las políticas de firewall y las reglas de política de firewall.
  11. Asegúrate de conocer los precios de Cloud NGFW. Para obtener más información, consulta los precios de Cloud NGFW.

    12. Roles obligatorios

    Para obtener los permisos que necesitas para crear una red de VPC personalizada, una VM, un Cloud Router, un Cloud NAT, una política de firewall de red global y sus reglas, y para ver los registros, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

    Crea una red de VPC personalizada con una subred IPv4

    Crea una red de VPC en modo personalizado con una subred IPv4.

    1. En la consola de Google Cloud , ve a la página Redes de VPC.

      Ir a Redes de VPC

    2. Haz clic en Crear red de VPC.

    3. En Nombre, ingresa vpc-fw-policy-egress.

    4. En Modo de creación de subred, selecciona Personalizado.

    5. En la sección Subred nueva, especifica los siguientes parámetros de configuración para la subred:

      • Nombre: Ingresa subnet-1.
      • Región: selecciona us-central1.
      • Rango IPv4: ingresa 10.0.0.0/24.

    6. Haz clic en Listo.

    7. Haz clic en Crear.

    Cómo crear una VM

    Crea una VM en la subred que configuraste en la sección anterior.

    1. En la consola de Google Cloud , ve a la página Crear una instancia.

      Ir a Crear una instancia

    2. En el panel Configuración de la máquina, haz lo siguiente:

      1. En Nombre, ingresa instance-1-us.
      2. En Región, selecciona us-central1 (Iowa).

    3. En el menú de navegación, haz clic en Herramientas de redes.

      1. En la sección Interfaces de red, haz clic en default y especifica los siguientes parámetros de configuración:
        • Red: vpc-fw-policy-egress
        • Subred: subnet-1 IPv4 (10.0.0.0/24)
        • Dirección IPv4 externa: ninguna
      2. Haz clic en Listo.

    4. Haz clic en Crear.

    Crea un Cloud Router y una puerta de enlace de Cloud NAT

    En la sección anterior, creaste una VM sin ninguna dirección IP externa. Si deseas permitir que la VM acceda a la Internet pública, crea un Cloud Router y una puerta de enlace de Cloud NAT para la misma región y subred en la que creaste tu VM.

    1. En la consola de Google Cloud , ve a la página Cloud NAT.

      Ir a Cloud NAT

    2. Haz clic en Comenzar o Crear la puerta de enlace NAT.

      Nota: Si esta es la primera puerta de enlace de Cloud NAT que crearás, haz clic en Comenzar. Si ya tienes puertas de enlace existentes, Google Cloud muestra el botón Crear puerta de enlace de Cloud NAT. Para crear otra puerta de enlace, haz clic en Crear puerta de enlace de Cloud NAT.

    3. En Nombre de la puerta de enlace, ingresa fw-egress-nat-gw.

    4. Para Tipo de NAT, selecciona Pública.

    5. En la sección Seleccionar Cloud Router, especifica los siguientes parámetros de configuración:

      • Red: Selecciona vpc-fw-policy-egress.
      • Región: Selecciona us-central1 (Iowa).
      • Cloud Router: haz clic en Crear router nuevo.
        1. En Nombre, ingresa fw-egress-router.
        2. Haz clic en Crear.

    6. Haz clic en Crear.

    Crea una política de firewall de red global para permitir el uso de túneles TCP de IAP

    Para permitir la tunelización de Identity-Aware Proxy para las VMs de tu red, crea una política de firewall de red global y agrega una regla de firewall a la política. IAP permite el acceso de administrador a las VMs.

    La regla de firewall debe tener las siguientes características:

    • Se aplica a todas las VMs a las que deseas acceder mediante el reenvío IAP de TCP.
    • Permite el tráfico de entrada desde el rango de direcciones IP 35.235.240.0/20. Este rango contiene todas las direcciones IP que IAP usa para el reenvío de TCP.
    • Una conexión a todos los puertos a los que deseas acceder mediante el reenvío IAP de TCP, por ejemplo, el puerto 22 para SSH.

    Para habilitar el acceso de IAP a todas las VMs en la red vpc-fw-policy-egress, sigue estos pasos:

    1. En la consola de Google Cloud , ve a la página Políticas de firewall.

      Ir a Políticas de firewall

    2. Haz clic en Crear política de firewall.

    3. En la sección Configurar la política, en Nombre de la política, ingresa fw-egress-policy.

    4. En Permiso de la implementación, selecciona Global y haz clic en Continuar.

    5. Para crear reglas para tu política, en la sección Agregar reglas, haz clic en Agregar regla.

      1. En Prioridad, ingresa 100.
      2. En Dirección del tráfico, selecciona Ingress.
      3. En Acción en caso de coincidencia, selecciona Permitir.
      4. En Registros, selecciona Activar.
      5. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
      6. En la sección Origen, en Rangos de IP, ingresa 35.235.240.0/20.
      7. En la sección Protocol y puertos, selecciona Protocolos y puertos especificados.
      8. Selecciona la casilla de verificación TCP y, en Puertos, ingresa 22.
      9. Haz clic en Crear.

    6. Haz clic en Continuar.

    7. Para asociar su red de VPC con la política, en la sección Asociar política con redes de VPC, haz clic en Asociar.

    8. Selecciona la casilla de verificación vpc-fw-policy-egress y haz clic en vpc-fw-policy-egress.

    9. Haz clic en Continuar.

    10. Haz clic en Crear.

    Agrega una regla de firewall para rechazar el tráfico de salida a todos los destinos

    Para denegar el tráfico de salida a todos los destinos, agrega una regla de firewall a fw-egress-policy.

    1. En la consola de Google Cloud , ve a la página Políticas de firewall.

      Ir a Políticas de firewall

    2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

    3. Haz clic en Crear regla.

    4. En Prioridad, ingresa 700.

    5. En Dirección del tráfico, selecciona Salida.

    6. En Acción en caso de coincidencia, selecciona Rechazar.

    7. En Registros, selecciona Activar.

    8. En la sección Destino, para Rangos de IP, ingresa 0.0.0.0/0.

    9. Haz clic en Crear.

    Agrega una regla de firewall para permitir el tráfico de salida solo a un FQDN específico

    Para permitir el tráfico de salida solo a un FQDN específico, ads.google.com, agrega una regla de firewall en fw-egress-policy.

    1. En la consola de Google Cloud , ve a la página Políticas de firewall.

      Ir a Políticas de firewall

    2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

    3. Haz clic en Crear regla.

    4. En Prioridad, ingresa 600.

    5. En Dirección del tráfico, selecciona Salida.

    6. En Acción en caso de coincidencia, selecciona Permitir.

    7. En Registros, selecciona Activar.

    8. En la sección Destino, en FQDN, ingresa ads.google.com.

    9. Haz clic en Crear.

    Prueba la política de firewall de red global

    Después de configurar la política de firewall de red global, sigue estos pasos para probar la política:

    1. En la consola de Google Cloud , ve a la página Instancias de VM.

      Ir a Instancias de VM

    2. En la columna Conectar de la VM de instance-1-us, haz clic en SSH.

    3. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

    4. Para verificar que se permita el tráfico de salida a https://ads.google.com, ejecuta el siguiente comando:

        curl -I https://ads.google.com

      El comando anterior muestra la información del encabezado de https://ads.google.com, lo que significa que se permiten las conexiones de salida.

    5. Para verificar que el tráfico de salida esté bloqueado a cualquier otro destino, especifica cualquier FQDN y ejecuta el siguiente comando:

        curl -m 2 -I https://mail.yahoo.com

      El comando anterior muestra un mensaje de Connection timed out, como se espera, porque creaste una regla de firewall para denegar el tráfico de salida a todos los destinos, excepto https://ads.google.com.

    Consulta los registros

    Para verificar que las reglas de firewall se aplicaron al tráfico de salida, accede a los registros. Para ver los detalles del registro, sigue estos pasos:

    1. En la consola de Google Cloud , ve a la página Políticas de firewall.

      Ir a Políticas de firewall

    2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

    3. En la columna Recuento de aciertos, haz clic en el número de la regla que creaste en la sección Crea una política de firewall de red global. Se abrirá la página Explorador de registros.

    4. Para ver la regla de firewall aplicada al tráfico de salida, expande el registro individual. Puedes ver la conexión, la disposición, la ubicación remota y los detalles de la regla si expandes las secciones relevantes.

    Realiza una limpieza

    Para evitar que se apliquen cargos a tu Google Cloud cuenta por los recursos usados en esta guía de inicio rápido, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

    Para borrar los recursos que se crearon en esta guía de inicio rápido, completa las siguientes tareas.

    Borra la política de firewall

    1. En la consola de Google Cloud , ve a la página Políticas de firewall.

      Ir a Políticas de firewall

    2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

    3. Haz clic en la pestaña Asociaciones.

    4. Selecciona la casilla de verificación de vpc-fw-policy-egress y haz clic en Quitar asociación.

    5. En el cuadro de diálogo Quitar una asociación de política de firewall, haz clic en Quitar.

    6. Haz clic en Borrar.

    7. En el cuadro de diálogo Borrar una política de firewall, haz clic en Borrar.

    Borra la VM

    1. En la consola de Google Cloud , ve a la página Instancias de VM.

      Ir a Instancias de VM

    2. Selecciona la casilla de verificación de la VM instance-1-us.

    3. Haz clic en Borrar.

    4. En el cuadro de diálogo Borrar instance-1-us, haz clic en Borrar.

    Borra la puerta de enlace de Cloud NAT y Cloud Router

    1. En la consola de Google Cloud , ve a la página Cloud Routers.

      Ir a Cloud Routers

    2. Selecciona la casilla de verificación correspondiente a fw-egress-router.

    3. Haz clic en Borrar.

    4. En el cuadro de diálogo Delete fw-egress-router, haz clic en Borrar.

    Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.

    Borra la red de VPC y sus subredes

    1. En la consola de Google Cloud , ve a la página Redes de VPC.

      Ir a las redes de VPC

    2. En la columna Nombre, haz clic en vpc-fw-policy-egress.

    3. Haz clic en Borrar la red de VPC.

    4. En el diálogo Borrar una red, haz clic en Borrar.

    Cuando borras una red de VPC, también se borran sus subredes.

    ¿Qué sigue?