En esta página, se describe cómo las reglas de políticas de firewall protegen tu red, ya que permiten o bloquean el tráfico según los datos de Google Threat Intelligence. Los datos de Google Threat Intelligence incluyen listas de direcciones IP basadas en las siguientes categorías:
- Nodos de salida de Tor: Tor es un software de código abierto que habilita la comunicación anónima. Para excluir a los usuarios que ocultan su identidad, bloquea las direcciones IP de los nodos de salida de Tor (extremos en los que el tráfico sale de la red de Tor).
- Direcciones IP maliciosas conocidas: Direcciones IP que se sabe que son el origen de ataques de aplicaciones web. Para mejorar la posición de seguridad de tu aplicación, bloquea estas direcciones IP.
- Motores de búsqueda: Direcciones IP que pueden habilitar la indexación de sitios.
- Rangos de direcciones IP de la nube pública: Esta categoría puede bloquearse para evitar que las herramientas maliciosas automatizadas exploren aplicaciones web, o bien se permite si el servicio usa otras nubes públicas. Esta categoría se divide aún más en
las siguientes subcategorías:
- Rangos de direcciones IP que usa Amazon Web Services
- Rangos de direcciones IP que usa Microsoft Azure
- Rangos de direcciones IP que usa Google Cloud
- Rangos de direcciones IP que usan los servicios de Google
Las listas de datos de Google Threat Intelligence pueden incluir direcciones IPv4, direcciones IPv6 o ambas. Para configurar Google Threat Intelligence en tus reglas de políticas de firewall, usa los nombres de lista predefinidos de Google Threat Intelligence según la categoría que desees permitir o bloquear. Estas listas se actualizan de forma continua, lo que protege los servicios de amenazas nuevas sin pasos de configuración adicionales. Los nombres de las listas válidos son los siguientes.
| Nombre de la lista | Descripción |
|---|---|
| IP maliciosas conocidas ( iplist-known-malicious-ips) |
Coincide con las direcciones IP que se sabe que atacan aplicaciones web |
| Rastreadores de motores de búsqueda ( iplist-search-engines-crawlers) |
Coincide con las direcciones IP de los rastreadores de los motores de búsqueda |
| Nodos de salida de TOR ( iplist-tor-exit-nodes) |
Coincide con las direcciones IP de los nodos de salida TOR |
| IP de nubes públicas ( iplist-public-clouds) |
Coincide con las direcciones IP que pertenecen a nubes públicas |
| Nubes públicas: AWS ( iplist-public-clouds-aws) |
Coincide con los rangos de direcciones IP que usa Amazon Web Services |
| Nubes públicas: Azure ( iplist-public-clouds-azure) |
Coincide con los rangos de direcciones IP que usa Microsoft Azure |
| Nubes públicas: Google Cloud ( iplist-public-clouds-gcp) |
Coincide con los rangos de direcciones IP que usan los recursos del cliente, como las VMs de Compute Engine y los clústeres de GKE. Estos rangos incluyen los rangos de IP asignados por el cliente que usan todos los clientes de Google Cloud y no se limitan a tu propio proyecto u organización. |
| Nubes públicas: Servicios de Google ( iplist-public-clouds-google-services) |
Coincide con los rangos de direcciones IP que se usan para el acceso web y a la API de todos los servicios de Google, incluidos Google Cloud, Google Workspace, Maps y YouTube. Esta lista abarca la infraestructura de servicios propiedad de Google, como el DNS público de Google, y representa el subconjunto de rangos de IP públicas de Google distintos de las IPs asignadas por el cliente en la lista de Google Cloud . |
| Proveedores de VPN ( iplist-vpn-providers) |
Hace coincidir las direcciones IP que pertenecen a proveedores de VPN de baja reputación |
| Proxies anónimos ( iplist-anon-proxies) |
Coincide con las direcciones IP que pertenecen a proxies anónimos abiertos |
| Sitios de minería criptográfica ( iplist-crypto-miners) |
Coincide con las direcciones IP que pertenecen a los sitios de minería de criptomonedas |
Usa Google Threat Intelligence con otros filtros de reglas de políticas de firewall
Para definir una regla de política de firewall con Google Threat Intelligence, sigue estos lineamientos:
Para las reglas de salida, especifica el destino con una o más listas de Google Threat Intelligence de destino.
Para las reglas de entrada, especifica el origen con una o más listas de Google Threat Intelligence.
Puedes configurar listas de Google Threat Intelligence para políticas de firewall jerárquicas, políticas de firewall de red globales y políticas de firewall de red regionales.
Puedes usar estas listas junto con otros componentes del filtro de reglas de origen o destino.
Para obtener información sobre cómo funcionan las listas de Google Threat Intelligence con otros filtros de origen en las reglas de entrada, consulta Orígenes para reglas de entrada en políticas de firewall jerárquicas y Orígenes para reglas de entrada en políticas de firewall de red.
Para obtener información sobre cómo funcionan las listas de Google Threat Intelligence con otros filtros de destino en las reglas de salida, consulta Destinos para reglas de salida.
El registro de firewall se realiza a nivel de la regla. Para que sea más fácil depurar y analizar el efecto de tus reglas de firewall, no incluyas varias listas de Google Threat Intelligence en una sola regla de firewall.
Puedes agregar varias listas de Inteligencia de amenazas de Google a una regla de política de firewall. Cada nombre de lista incluido en la regla se cuenta como un atributo, sin importar la cantidad de direcciones IP o rangos de direcciones IP incluidos en esa lista. Por ejemplo, si incluiste los nombres de las listas
iplist-tor-exit-nodes,iplist-known-malicious-ipsyiplist-search-engines-crawlersen tu regla de política de firewall, el recuento de atributos de la regla por política de firewall aumenta en tres. Para obtener más información sobre el recuento de atributos de la regla, consulta Detalles del recuento de atributos de la regla.
Crea excepciones a las listas de Google Threat Intelligence
Si tienes reglas que se aplican a las listas de Google Threat Intelligence, puedes usar las siguientes técnicas para crear reglas de excepción aplicables a ciertas direcciones IP dentro de una lista de Google Threat Intelligence:
Regla de firewall de permiso selectivo: Supongamos que tienes una regla de firewall de entrada o salida que rechaza los paquetes desde o hacia una lista de Google Threat Intelligence. Para permitir paquetes desde o hacia una dirección IP seleccionada dentro de esa lista de Google Threat Intelligence, crea una regla de firewall de permiso de entrada o salida de prioridad más alta que especifique la dirección IP de excepción como fuente o destino.
Regla de firewall de denegación selectiva: Supongamos que tienes una regla de firewall de entrada o salida que permite paquetes desde o hacia una lista de Google Threat Intelligence. Para rechazar paquetes desde o hacia una dirección IP seleccionada dentro de esa lista de Google Threat Intelligence, crea una regla de firewall de denegación de entrada o salida de mayor prioridad que especifique la dirección IP de excepción como un origen o un destino.
¿Qué sigue?
- Componentes de las reglas de las políticas de firewall
- Objetos de nombre de dominio completamente calificado
- Grupos de direcciones para políticas de firewall