Configura el servicio de filtrado de URLs en tu red

El servicio de filtrado de URLs te permite filtrar el tráfico de tu carga de trabajo Google Cloud con la información de indicación de nombre de servidor (SNI) y dominio que está disponible en los mensajes HTTP o HTTPS de salida. El servicio protege tu red contra amenazas bloqueando la comunicación con una lista configurada de URLs maliciosas. Para habilitar este servicio en tu red, debes configurar varios componentes de Cloud Next Generation Firewall. En este instructivo, se describe el flujo de trabajo de extremo a extremo para configurar el servicio de filtrado de URLs en tu red.

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Crear una red de nube privada virtual (VPC) con dos subredes.
  • Crea una instancia de máquina virtual (VM) de servidor en la primera subred de la red de VPC y, luego, instala el servidor Apache en la VM.
  • Crea una instancia de VM de cliente en la segunda subred de la red de VPC.
  • Crea un perfil de seguridad de filtrado de URL junto con un grupo de perfiles de seguridad.
  • Crea un extremo de firewall y asócialo con la red de VPC.
  • Agrega una política de firewall de red global con las siguientes reglas de firewall:
    • Una regla de firewall para habilitar el acceso de Identity-Aware Proxy (IAP) a las instancias de VM en la red de VPC.
    • Una regla de firewall para dirigir todo el tráfico de salida a la inspección de capa 7.
  • Verifica si se permite el tráfico a la instancia de VM del servidor.
  • Limpia los recursos.

En el siguiente diagrama, se muestra la arquitectura de alto nivel de la configuración de la implementación en este instructivo. La política de firewall fw-policy-urlf en la VPC vpc-urlf redirecciona todo el tráfico de salida al extremo de firewall endpoint-urlf en la zona asia-southeast1-a. El extremo inspecciona la información de dominio y SNI disponible en los mensajes HTTP o HTTPS de salida para verificar si coinciden con la URL que se indica en el perfil de seguridad de filtrado de URLs sec-profile-urlf. Si el extremo encuentra una coincidencia, permite el tráfico; de lo contrario, lo rechaza.

Servicio de filtrado de URLs en una red de VPC personalizada para evitar la comunicación con URLs maliciosas.
Servicio de filtrado de URLs en una red de VPC personalizada (haz clic para ampliar).

Costos

Hay un costo asociado con la creación de los extremos de firewall. Para obtener detalles sobre los precios, consulta los precios de Cloud Next Generation Firewall.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Habilita la API de Compute Engine para tu proyecto.
  7. Habilita la API de Network Security para tu proyecto.
  8. Habilita la API de Identity-Aware Proxy para tu proyecto.
  9. Debes tener el rol de IAM Administrador de red de Compute (roles/compute.networkAdmin) en tu organización.
  10. Si prefieres trabajar desde la línea de comandos, instala Google Cloud CLI. Para obtener información conceptual y de instalación sobre la herramienta, consulta Descripción general de gcloud CLI.

    Nota: Si no ejecutaste gcloud CLI antes, primero ejecuta gcloud init para inicializar el directorio de gcloud CLI.

Crea una red de VPC personalizada con subredes

En esta sección, crearás una red de VPC de modo personalizado con dos subredes IPv4.

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a Redes de VPC

  2. Haz clic en Crear red de VPC.

  3. En Nombre, ingresa vpc-urlf.

  4. En Descripción, ingresa VPC network to set up URL filtering service.

  5. En Modo de creación de subred, selecciona Personalizado.

  6. En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:

    • Nombre: subnet-server-urlf
    • Región: asia-southeast1
    • Rango IPv4: 10.0.0.0/24

  7. Haz clic en Listo.

  8. Haz clic en Agregar subred y especifica los siguientes parámetros de configuración:

    • Nombre: subnet-client-urlf
    • Región: us-central1
    • Rango IPv4: 192.168.10.0/24

  9. Haz clic en Listo.

  10. Haz clic en Crear.

gcloud

  1. Para crear una red de VPC, ejecuta el siguiente comando:

    gcloud compute networks create vpc-urlf \
  --subnet-mode custom \
  --description "VPC network to set up URL filtering service."

  2. En el diálogo Autorizar Cloud Shell, haz clic en Autorizar.

  3. Para crear una subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-server-urlf \
  --network vpc-urlf \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. Para crear otra subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-client-urlf \
  --network vpc-urlf \
  --region us-central1 \
  --range 192.168.10.0/24

Crea un Cloud Router y una puerta de enlace de Cloud NAT

Antes de crear instancias de VM de Linux del cliente y del servidor sin direcciones IPv4 públicas en la siguiente sección, debes crear un Cloud Router y una puerta de enlace de Cloud NAT, lo que permite que estas VMs accedan a la Internet pública.

Console

  1. En la consola de Google Cloud , ve a la página Cloud NAT.

    Ir a Cloud NAT

  2. Haz clic en Comenzar o Crear la puerta de enlace NAT.

  3. En Nombre de la puerta de enlace, ingresa gateway-urlf.

  4. Para Tipo de NAT, selecciona Pública.

  5. En la sección Seleccionar Cloud Router, especifica los siguientes parámetros de configuración:

    • Red: vpc-urlf
    • Región: asia-southeast1
    • Cloud Router: crear router nuevo.
      1. En Nombre, ingresa router-urlf.
      2. Haz clic en Crear.

  6. Haz clic en Crear.

gcloud

  1. Para crear un Cloud Router, ejecuta el siguiente comando:

    gcloud compute routers create router-urlf \
  --network=vpc-urlf \
  --region=asia-southeast1

  2. Para crear una puerta de enlace de Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers nats create gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Cree instancias de VM

En esta sección, crearás instancias de VM del servidor y del cliente. Para ver los permisos y roles necesarios para crear instancias de VM, consulta Roles obligatorios.

Crea la instancia de VM del servidor

En esta sección, crearás una instancia de VM en la subred subnet-server-urlf y, luego, instalarás el servidor Apache en ella.

Console

  1. En la consola de Google Cloud , ve a la página Crear una instancia.

    Ir a Crear una instancia

  2. En el panel Configuración de la máquina, haz lo siguiente:

    1. En Nombre, ingresa vm-server-urlf.
    2. En Región, selecciona asia-southeast1 (Singapore).
    3. En Zona, selecciona asia-southeast1-a.

  3. En el menú de navegación, haz clic en SO y almacenamiento.

    En la sección Sistema operativo y almacenamiento, verifica que Imagen sea Debian GNU/Linux 12 (bookworm). Si no es así, haz clic en Cambiar y configura el campo Sistema operativo en Debian y el campo Versión en Debian GNU/Linux 12 (bookworm).

  4. En el menú de navegación, haz clic en Herramientas de redes.

    1. En la sección Interfaces de red, especifica los siguientes parámetros de configuración:
      • Red: vpc-urlf
      • Subred: subnet-server-urlf IPv4 (10.0.0.0/24)
      • Dirección IPv4 externa: None
    2. Haz clic en Listo.

  5. En el menú de navegación, haz clic en Opciones avanzadas y, luego, ingresa la siguiente secuencia de comandos en el campo Secuencia de comandos de inicio disponible en la sección Automatización:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. Haz clic en Crear.

gcloud

Para crear la VM del servidor, ejecuta el siguiente comando:

gcloud compute instances create vm-server-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
    --image-project debian-cloud \
    --image-family debian-12 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

Sigue estos pasos para usar una URL de dominio para la VM del servidor:

Crea la instancia de VM del cliente

En esta sección, crearás una instancia de VM en la subred subnet-client-urlf.

Console

  1. En la consola de Google Cloud , ve a la página Crear una instancia.

    Ir a Crear una instancia

  2. En el panel Configuración de la máquina, haz lo siguiente:

    1. En Nombre, ingresa vm-client-urlf.
    2. En Región, selecciona us-central1 (Iowa).
    3. En Zona, selecciona us-central1-a.

  3. En el menú de navegación, haz clic en Herramientas de redes.

    1. En la sección Interfaces de red, especifica los siguientes parámetros de configuración:
      • Red: vpc-urlf
      • Subred: subnet-client-urlf IPv4 (192.168.10.0/24)
      • Dirección IPv4 externa: None
    2. Haz clic en Listo.

  4. Haz clic en Crear.

gcloud

Para crear la VM del cliente, ejecuta el siguiente comando:

gcloud compute instances create vm-client-urlf \
    --network vpc-urlf \
    --zone us-central1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \

Crea un perfil de seguridad de filtrado de URL

En esta sección, crearás un perfil de seguridad de tipo url-filtering en tu organización. Para ver los permisos y los roles necesarios para crear un perfil de seguridad de filtrado de URLs, consulta Crea un perfil de seguridad de filtrado de URLs.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Perfiles de seguridad.

  4. Haga clic en Crear perfil.

  5. En Nombre, ingresa sec-profile-urlf.

  6. En Descripción, ingresa Security profile to set up URL filtering service.

  7. En la sección Propósito, selecciona Cloud NGFW Enterprise para especificar que deseas crear un perfil de seguridad asociado con el firewall.

  8. En la sección Tipo, selecciona Filtrado de URL para especificar que deseas crear un perfil de seguridad de tipo url-filtering.

  9. En la sección Filtros de URL, haz clic en el botón Crear filtro de URL para crear un filtro de URL nuevo. En el panel Crear un filtro de URL, especifica los siguientes detalles:

    • Prioridad: Especifica la prioridad del filtro de URL. Por ejemplo, 1000
    • Acción: Especifica Permitir para permitir el tráfico hacia la instancia de VM del servidor.
    • Lista de URLs: Especifica la URL del dominio de la instancia de VM del servidor. Por ejemplo, www.example.com

  10. Haz clic en Crear.

gcloud

Crea un archivo YAML con el siguiente contenido para el perfil de seguridad:

name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
  urlFilters:
    - filteringAction: ALLOW
      priority: 1000
      urls: URL

Para crear un perfil de seguridad con el archivo YAML, ejecuta el siguiente comando:

gcloud network-security security-profiles import sec-profile-urlf \
    --location global \
    --source FILE_NAME \
    --organization ORGANIZATION_ID \

Reemplaza lo siguiente:

  • URL: Es la URL del dominio de la instancia de VM del servidor. Por ejemplo, www.example.com
  • FILE_NAME: Es el nombre del archivo YAML que creaste.
  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

Crear un grupo de perfil de seguridad

En esta sección, crearás un grupo de perfiles de seguridad para incluir el perfil de seguridad de filtrado de URLs que creaste en la sección anterior. Para ver los permisos y los roles necesarios para crear un grupo de perfiles de seguridad, consulta Crea un grupo de perfiles de seguridad.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Grupos de perfiles de seguridad.

  4. Haz clic en Crear grupo de perfiles.

  5. En Nombre, ingresa sec-profile-group-urlf.

  6. En Descripción, ingresa Security profile group to set up URL filtering service.

  7. Para crear un grupo de perfiles de seguridad para Cloud Next Generation Firewall Enterprise, en la sección Propósito, selecciona Cloud NGFW Enterprise.

  8. En la lista Perfil de filtrado de URL, selecciona sec-profile-urlf.

  9. Haz clic en Crear.

gcloud

Para crear un grupo de perfiles de seguridad, ejecuta el siguiente comando:

gcloud network-security security-profile-groups \
    create sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --url-filtering-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
    --description "Security profile group to set up URL filtering service."

Reemplaza lo siguiente:

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.
  • PROJECT_ID: Es un ID del proyecto que se usará para las cuotas y las restricciones de acceso en el grupo de perfil de seguridad.

Crea un extremo de firewall

En esta sección, crearás un extremo de firewall en una zona específica. Para ver los permisos y roles necesarios para crear un extremo de firewall, consulta Crea un extremo de firewall.

Nota: Cuando creas un extremo de firewall, el estado del extremo de firewall se establece en Creating. Una vez que el extremo del firewall está listo, el estado cambia a Active. Puedes ver un extremo para verificar su estado.

Console

  1. En la consola de Google Cloud , ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en Crear.

  4. En la lista Región, selecciona asia-southeast1 (Singapore).

  5. En la lista Zona, selecciona asia-southeast1-a.

  6. En Nombre, ingresa endpoint-urlf.

  7. En la lista Proyecto de facturación, selecciona el proyecto Google Cloud que deseas usar para facturar el extremo del firewall y, luego, haz clic en Continuar.

  8. Haz clic en Crear.

gcloud

Para crear un extremo de firewall, ejecuta el siguiente comando:

gcloud network-security firewall-endpoints \
    create endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

Reemplaza lo siguiente:

  • ORGANIZATION_ID en la organización en la que se crea el extremo de firewall.
  • PROJECT_ID: Es un ID del proyecto que se usa para la facturación de extremo de firewall.

Crear una asociación de extremo de firewall

En esta sección, asociarás el extremo de firewall a la red de VPC que creaste anteriormente. Para ver los permisos y los roles necesarios para crear una asociación de extremo de firewall, consulta Crea asociaciones de extremos de firewall.

Nota: Cuando creas una asociación de extremo de firewall, su estado se establece en Creating. Una vez que la asociación del extremo del firewall está lista, el estado cambia a Active. Puedes ver una asociación de extremo para verificar su estado.

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la red vpc-urlf para ver la página Detalles de la red de VPC.

  3. Elige la pestaña Extremos de firewall.

  4. Haz clic en Crear asociación de extremo.

  5. En la lista Región, selecciona asia-southeast1.

  6. En la lista Zona, selecciona asia-southeast1-a.

  7. En la lista Extremo de firewall, elige endpoint-urlf.

  8. Haz clic en Crear.

gcloud

Para crear una asociación de extremo de firewall, ejecuta el siguiente comando:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-urlf \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --project PROJECT_ID

Reemplaza lo siguiente:

  • ORGANIZATION_ID en la organización en la que se crea el extremo de firewall.
  • PROJECT_ID: Es un ID del proyecto en el que se crea la asociación.

Crea una política de firewall de red global

En esta sección, crearás una política de firewall de red global que contiene los con estas dos reglas de firewall:

  1. Una regla de firewall de entrada con una prioridad de 100 para permitir el tráfico de TCP en el puerto 22. Esta regla habilita el acceso de IAP a las instancias de VM en la red de VPC.
  2. Una regla de firewall de salida con prioridad 200 para hacer una inspección de capa 7 en el tráfico saliente a la VM del servidor en una zona específica.

Para ver los permisos y roles necesarios para crear una política de firewall de red global y sus reglas, consulta Crea una política de firewall de red global, Crea una regla de entrada para destinos de VM y Crea una regla de salida para destinos de VM.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la lista de elección de proyectos, elige tu proyecto dentro de tu organización.

  3. Haz clic en Crear política de firewall.

  4. En Nombre de la política, ingresa fw-policy-urlf.

  5. En Tipo de política, selecciona Política de VPC.

  6. En Permiso de la implementación, elige Global.

  7. Haz clic en Continuar y, luego, en Crear regla de firewall.

  8. En el campo Prioridad, ingresa 100.

  9. En Dirección del tráfico, selecciona Ingress.

  10. En Acción en caso de coincidencia, selecciona Permitir.

  11. En Registros, selecciona Habilitada.

  12. Para el filtro Fuente, selecciona IPv4 y, luego, en el campo Rangos de IP, ingresa 35.235.240.0/20.

  13. En la sección Protocolos y puertos, selecciona Protocolos y puertos especificados.

  14. Elige TCP y, en Puertos, escribe 22.

  15. Haz clic en Crear.

  16. Haz clic en Crear regla de firewall.

  17. En el campo Prioridad, ingresa 200.

  18. En Dirección del tráfico, selecciona Salida.

  19. En Acción en caso de coincidencia, selecciona Aplicar grupo de perfiles de seguridad.

  20. En la lista Grupo de perfiles de seguridad, elige sec-profile-group-urlf.

  21. En Registros, selecciona Habilitada.

  22. En el filtro Destino, selecciona IPv4 y, luego, en el campo Rangos de IP, ingresa 0.0.0.0/0.

  23. En la sección Protocolos y puertos, selecciona Protocolos y puertos especificados.

  24. Elige TCP y, en Puertos, escribe 80, 443.

  25. Haz clic en Crear.

  26. Haz clic en Continuar para ir a la sección Agregar reglas de duplicación.

  27. Vuelve a hacer clic en Continuar para abrir la sección Asociar política con redes.

  28. Elegir red de vpc-urlf.

  29. Haz clic en Associate.

  30. Haz clic en Crear.

gcloud

  1. Para crear una política de firewall de red global, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies \
  create fw-policy-urlf \
  --global \
  --project PROJECT_ID

    Reemplaza lo siguiente:

    • PROJECT_ID: Un ID del proyecto en el que la red global la política de firewall.

  2. Para agregar la regla de firewall para habilitar el acceso IAP, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-urlf \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22 \
  --global-firewall-policy \
  --enable-logging

  3. Para agregar la regla de firewall que habilita la inspección de capa 7 para el filtrado de URLs, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies rules create 200 \
  --direction EGRESS \
  --firewall-policy fw-policy-urlf \
  --action apply_security_profile_group \
  --dest-ip-ranges 0.0.0.0/0 \
  --layer4-configs tcp:80, tcp:443 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-urlf \
  --enable-logging

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: es la organización en la que se crea el grupo seguro de perfiles.

  4. Para asociar la política de firewall con la red de VPC, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-urlf \
 --network vpc-urlf \
 --name fw-pol-association-urlf \
 --global-firewall-policy \
 --project PROJECT_ID

    Reemplaza lo siguiente:

    • PROJECT_ID: El ID del proyecto en el que Se crea la asociación de VPC.

Prueba la configuración

En esta sección, probarás la configuración generando tráfico que intercepta el extremo, y se aplica la política de firewall de red global para realizar la inspección de capa 7.

Console

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la columna Conectar de la VM de vm-client-urlf, haz clic en SSH.

  3. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  4. Para verificar si se permite una solicitud a la instancia de VM del servidor, ejecuta el siguiente comando: 

    curl URL -m 2

    Reemplaza URL por la URL del dominio de la instancia de VM del servidor vm-server-urlf. Por ejemplo, www.example.com.

    La solicitud se realiza correctamente porque el filtro de URL (con prioridad 1000) permite el paquete.

  5. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Para conectarte a la VM de vm-client-urlf, ejecuta el siguiente comando:

    gcloud compute ssh vm-client-urlf \
   --zone=us-central1-a \
   --tunnel-through-iap

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para verificar si se permite una solicitud a la instancia de VM del servidor, ejecuta el siguiente comando: 

    curl URL -m 2

    Reemplaza URL por la URL del dominio de la instancia de VM del servidor vm-server-urlf. Por ejemplo, www.example.com.

    La solicitud se realiza correctamente porque el filtro de URL (con prioridad 1000) permite el paquete.

  3. Para cerrar el SSH en el navegador, ingresa exit.

Visualiza los registros del servicio de filtrado de URLs

  1. Ve al Explorador de registros.

  2. Ingresa la siguiente consulta en el panel Consulta. Reemplaza PROJECT_ID por el ID de tu proyecto.

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

Realiza una limpieza

Para evitar que se apliquen cargos a tu Google Cloud cuenta por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

En esta sección, borrarás los recursos que creaste en este instructivo.

Borra la asociación de extremo de firewall

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la red vpc-urlf para ver la página Detalles de la red de VPC.

  3. Elige la pestaña Extremos de firewall. En la pestaña se muestra una lista de asociaciones de extremos de firewall configuradas.

  4. Elige la casilla de verificación junto a endpoint-association-urlf y, luego, haz clic en Borrar.

  5. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar la asociación del extremo de firewall, ejecuta el siguiente comando:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-association-urlf \
    --zone asia-southeast1-a

Borra el extremo del firewall

Console

  1. En la consola de Google Cloud , ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. Elige endpoint-urlf y, luego, haz clic en Borrar.

  3. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar el extremo de firewall, ejecuta los siguientes comandos:

gcloud network-security firewall-endpoints delete endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

Reemplaza lo siguiente:

  • ORGANIZATION_ID: es la organización en la que se activa el extremo.

Borra la política de firewall de red global

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, elige el proyecto que contiene la política.

  3. Haz clic en fw-policy-urlf.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Quitar asociaciones.

  7. Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

  1. Para quitar la asociación entre la política de firewall y la red de VPC, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-urlf \
  --firewall-policy fw-policy-urlf \
  --global-firewall-policy

  2. Borra la política de firewall.

    gcloud compute network-firewall-policies delete fw-policy-urlf --global

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra el grupo de perfiles de seguridad

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Grupos de perfiles de seguridad.

  3. Elige sec-profile-group-urlf y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar el grupo de perfiles de seguridad, ejecuta el siguiente comando:

gcloud network-security security-profile-groups \
    delete sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global

Reemplaza lo siguiente:

  • ORGANIZATION_ID: es la organización en la que se crea el grupo de perfiles de seguridad.

Borra el perfil de seguridad de filtrado de URLs

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Elige sec-profile-urlf y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar el perfil de seguridad, ejecuta el siguiente comando:

gcloud network-security security-profiles url-filtering \
    delete sec-profile-urlf \
    --organization ORGANIZATION_ID \
    --location global

Reemplaza lo siguiente:

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

Borra las VMs

Console

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Elige las casillas de verificación de vm-client-urlf y vm-server-urlf VMs.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo Borrar 2 instancias, haz clic en Borrar.

gcloud

  1. Para borrar la VM de vm-client-urlf, ejecuta el siguiente comando:

    gcloud compute instances delete vm-client-urlf \
  --zone us-central1-a

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para borrar la VM de vm-server-urlf, ejecuta el siguiente comando:

    gcloud compute instances delete vm-server-urlf \
  --zone asia-southeast1-a

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra la puerta de enlace de Cloud NAT y Cloud Router

Console

  1. En la consola de Google Cloud , ve a la página Cloud NAT.

    Ir a Cloud NAT

  2. Selecciona la casilla de verificación junto a la configuración de la puerta de enlace gateway-urlf.

  3. En el menú, haz clic en Borrar.

  4. En la consola de Google Cloud , ve a la página Cloud Routers.

    Ir a Cloud Routers

  5. Selecciona la casilla de verificación junto al router router-urlf.

  6. Haz clic en Borrar.

gcloud

  1. Para borrar la puerta de enlace de Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers nats delete gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1

  2. Para borrar el Cloud Router, ejecuta el siguiente comando:

    gcloud compute routers delete router-urlf \
  --project=PROJECT_ID \
  --region=asia-southeast1

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene el Cloud Router.

Borra la red de VPC y sus subredes

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. En la columna Nombre, haz clic en vpc-urlf.

  3. Haz clic en Borrar la red de VPC.

  4. En el diálogo Borrar red, haz clic en Borrar.

Cuando borras una VPC, también se borran sus subredes.

gcloud

  1. Para borrar las subredes de la red de VPC subnet-client-urlf de vpc-urlf, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-client-urlf \
    --region us-central1

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para borrar las subredes de la red de VPC subnet-server-urlf de vpc-urlf, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-server-urlf \
    --region=asia-southeast1

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  3. Para borrar la red de VPC vpc-urlf, ejecuta el siguiente comando:

    gcloud compute networks delete vpc-urlf

Borra la zona DNS

Borra la zona DNS que creaste para la URL del dominio de la VM del servidor.

¿Qué sigue?