En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Descripción general de las políticas de firewall de red globales.
Tareas de políticas de firewall
En esta sección, se describe cómo crear y administrar políticas de firewall de red globales.
Crea una política de firewall de red global
Cuando creas una política de firewall de red global con la consola de Google Cloud , puedes asociar la política a una red de nube privada virtual (VPC) durante la creación. Si creas la política con Google Cloud CLI, debes asociarla a una red después de crearla.
La red de VPC con la que se asocia la política de firewall de red global debe estar en el mismo proyecto que la política de firewall de red global.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En la lista de selección de proyectos, selecciona tu proyecto dentro de tu organización.
Haz clic en Crear política de firewall.
En el campo Nombre de la política, ingresa un nombre para la política.
En Permiso de la implementación, selecciona Global.
Si deseas crear reglas para tu política, haz clic en Continuar.
En la sección Agregar reglas, haz clic en Crear regla de firewall.
Para obtener más información, consulta Crea una regla.
Si deseas asociar la política a una red, haz clic en Continuar.
En la sección Asociar política con redes, haz clic en Asociar.
Para obtener más información, consulta Asocia una política con una red.
Haz clic en Crear.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION --global
Reemplaza lo siguiente:
NETWORK_FIREWALL_POLICY_NAME: un nombre para la políticaDESCRIPTION: una descripción de la política
Asocia una política con una red
Cuando asocias una política de firewall con una red de VPC, todas las reglas de la política de firewall, excepto las inhabilitadas, se aplican a la red de VPC.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el proyecto que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociación.
Selecciona las redes dentro del proyecto.
Haz clic en Associate.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
Reemplaza lo siguiente:
POLICY_NAME: Es el nombre corto o el nombre generado por el sistema de la política.NETWORK_NAME: Es el nombre de tu red.ASSOCIATION_NAME: Es un nombre opcional para la asociación. Si no se especifica, el nombre se configura comonetwork-NETWORK_NAME.
Borra una asociación
Si necesitas cambiar la política de firewall de red global asociada a una red de VPC, te recomendamos que primero asocies una política nueva en lugar de borrar una política asociada existente. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que siempre haya una política de firewall de red global asociada a la red de VPC.
Para borrar una asociación entre una política de firewall de red global y una red de VPC, sigue los pasos que se mencionan en esta sección. Las reglas de la política de firewall de red global no se aplican a las conexiones nuevas después de que se borra su asociación.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige tu proyecto o la carpeta que contiene la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociación.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Describe una política de firewall de red global
Puedes ver detalles sobre una política de firewall de red global, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se incluyen en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de regla por política de firewall de red global" en la tabla Por política de firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política de firewall de red global.
Haz clic en tu política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
Actualiza la descripción de la política de firewall de red global
El único campo de una política que se puede actualizar es el campo Descripción.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política de firewall de red global.
Haz clic en tu política.
Haz clic en Editar.
En el campo Descripción, cambia el texto.
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
Enumera las políticas de firewall de red globales
Puedes ver una lista de las políticas disponibles en tu proyecto.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
En la sección Políticas de firewall de red, se muestran las políticas disponibles en tu proyecto.
gcloud
gcloud compute network-firewall-policies list --global
Borra una política de firewall de red global
Antes de borrar una política de firewall de red global, debes borrar todas sus asociaciones.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.
gcloud
Usa el siguiente comando para borrar la política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
Tareas de reglas de políticas de firewall
En esta sección, se describe cómo crear y administrar reglas de políticas de firewall de red globales.
Crear una norma
Cada regla de una política de firewall de red global es una regla de entrada o una regla de salida con una prioridad única. Para obtener detalles sobre los demás parámetros de una regla, incluidas las combinaciones de origen y destino válidas, consulta Reglas de política de firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el proyecto que contenga la política.
Haz clic en el nombre de tu política global.
En la pestaña Reglas de firewall, haz clic en Crear regla de firewall.
Completa los campos de la regla:
- En el campo Prioridad, establece el número de pedido de la regla, en el que
0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante. - Para Dirección del tráfico, elige entrada o salida.
- En Acción si hay coincidencia, elige una de las siguientes opciones:
- Permitir: Permite las conexiones que coinciden con la regla.
- Rechazar: Rechaza las conexiones que coinciden con la regla.
- Ir a siguiente: Pasa la evaluación de la conexión a la siguiente regla de firewall inferior en la jerarquía.
- Aplicar grupo de perfiles de seguridad: Envía los paquetes al extremo de firewall configurado para la inspección y prevención de la capa 7.
- En la lista Grupo de perfil de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
- Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
- Establece la recopilación de Registros como Activada o Desactivada.
Especifica el objetivo de la regla. Elige una de las siguientes opciones para el campo Objetivo:
- Si quieres que la regla se aplique a todas las instancias de la red, elige Aplicar a todas.
- Si deseas que la regla se aplique a instancias seleccionadas por la cuenta de servicio asociada, primero elige Cuentas de servicio y, luego, en Permiso de la cuenta de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro y, en el campo Cuenta de servicio de destino, elige o escribe el nombre de la cuenta de servicio.
Si quieres que la regla se aplique a instancias seleccionadas por etiquetas seguras, elige Etiquetas seguras.
- Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto en el que deseas crear etiquetas seguras. Ingresa los pares clave-valor a los que se aplicará la regla.
- Para agregar más pares clave-valor, haz clic en Agregar etiqueta.
Para una regla de entrada, especifica el tipo de red de origen:
- Para filtrar el tráfico entrante que pertenece a cualquier tipo de red, selecciona Todos los tipos de redes.
- Para filtrar el tráfico entrante que pertenece a un tipo de red específico, selecciona Tipo de red específico.
- Para filtrar el tráfico entrante que pertenece al tipo de red de Internet (
INTERNET), selecciona Internet. - Para filtrar el tráfico entrante que pertenece al tipo de red que no es de Internet (
NON-INTERNET), selecciona Non-internet. - Para filtrar el tráfico entrante que pertenece al tipo de red de VPC interna (
INTRA_VPC), selecciona VPC interna. - Para filtrar el tráfico entrante que pertenece al tipo de redes de VPC (
VPC_NETWORKS), selecciona Redes de VPC y, luego, especifica una o más redes con el siguiente botón:- Seleccionar proyecto actual: Te permite agregar una o más redes del proyecto actual.
- Ingresar red de forma manual: Te permite ingresar un proyecto y una red de forma manual.
- Seleccionar proyecto: Te permite elegir un proyecto desde el que puedes elegir una red. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.
- Para filtrar el tráfico entrante que pertenece al tipo de red de Internet (
Para una regla de salida, especifica el tipo de red de destino:
- Para filtrar el tráfico saliente que pertenece a cualquier tipo de red, selecciona Todos los tipos de redes.
- Para filtrar el tráfico saliente que pertenece a un tipo de red específico, selecciona Tipo de red específico.
- Para filtrar el tráfico saliente que pertenece al tipo de red de Internet (
INTERNET), selecciona Internet. - Para filtrar el tráfico saliente que pertenece al tipo de red que no es de Internet (
NON-INTERNET), selecciona Non-internet. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.
- Para filtrar el tráfico saliente que pertenece al tipo de red de Internet (
Para una regla de entrada, especifica el filtro de origen:
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier origen IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier origen IPv6. Para limitar los orígenes por etiquetas seguras, en la sección Etiquetas seguras, haz clic en Seleccionar el alcance de las etiquetas.
- Selecciona la organización o el proyecto para el que deseas crear etiquetas. Ingresa los pares clave-valor a los que se aplicará la regla.
- Para agregar más pares clave-valor, haz clic en Agregar etiqueta.
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Para una regla de salida, especifica el filtro de destino:
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier destino de IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier destino de IPv6.
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Opcional: Si creas una regla de entrada, especifica los FQDN de origen a los que se aplica esta regla. Si creas una regla de salida, selecciona los FQDN de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombres de dominio, consulta Objetos FQDN.
Opcional: Si creas una regla de entrada, selecciona las ubicaciones geográficas de origen a las que se aplica esta regla. Si creas una regla de salida, selecciona las ubicaciones geográficas de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de ubicación geográfica, consulta Objetos de ubicación geográfica.
Opcional: Si creas una regla de entrada, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si creas una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.
Opcional: Si creas una regla de entrada, selecciona las listas de Threat Intelligence de Google Cloud de origen a las que se aplica esta regla. Si creas una regla de salida, selecciona las listas de Threat Intelligence de Google Cloud de destino a las que se aplica esta regla. Si deseas obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para las reglas de políticas de firewall.
Opcional: Para una regla de entrada, especifica los filtros de destino:
- Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier destino de IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de destino, selecciona Rangos de IPv6 e ingresa los bloques de CIDR en el campo Rangos de IPv6 de destino. Usa
::/0para cualquier destino de IPv6. Si deseas obtener más información, consulta Destinos para las reglas de entrada.
- Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Opcional: Para una regla de salida, especifica el filtro de origen:
- Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier origen IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier origen IPv6. Para obtener más información, consulta Fuentes para las reglas de salida.
- Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica la regla.
Haz clic en Crear.
- En el campo Prioridad, establece el número de pedido de la regla, en el que
Haz clic en Crear regla de firewall para agregar otra regla.
gcloud
Para crear una regla de entrada, usa el siguiente comando:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red global que contiene la regla nueva.DESCRIPTION: Es una descripción opcional para la regla nueva.ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.apply_security_profile_group: envía de forma transparente los paquetes al extremo de firewall configurado para la inspección de la capa 7. Cuando la acción esapply_security_profile_group, sucede lo siguiente:- Debes incluir
--security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. - Incluye
--tls-inspecto--no-tls-inspectpara habilitar o inhabilitar la inspección de TLS.
- Debes incluir
goto_next: Continúa con el siguiente paso del proceso de evaluación de reglas de firewall.
- Los parámetros
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Los parámetros
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). - Especifica un objetivo:
TARGET_SECURE_TAGS: Es una lista de etiquetas seguras separadas por comas.TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas.- Si omites los parámetros
--target-secure-tagsy--target-service-accounts, la regla se aplica al objetivo más amplio.
LAYER_4_CONFIGS: Es una lista separada por comas de configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de un protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de un protocolo IP (
- Especifica un origen para la regla de entrada:
SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.SRC_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.SRC_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.SRC_SECURE_TAGS: Es una lista de etiquetas separadas por comas. No puedes usar el parámetro--src-secure-tagssi--src-network-typeesINTERNET.SRC_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica. No puedes usar el parámetro--src-region-codessi--src-network-typeesNON_INTERNET,VPC_NETWORKoINTRA_VPC.SRC_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall. No puedes usar el parámetro--src-threat-intelligencesi--src-network-typeesNON_INTERNET,VPC_NETWORKoINTRA_VPC.SRC_NETWORK_TYPE: Define los tipos de redes de origen que se usarán junto con otro parámetro de destino admitido para producir una combinación de destino específica. Los valores válidos sonINTERNET,NON_INTERNET,VPC_NETWORKoINTRA_VPC. Para obtener más información, consulta Tipos de redes.SRC_VPC_NETWORK: Es una lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica este parámetro solo cuando--src-network-typeesVPC_NETWORKS.
- De manera opcional, especifica un destino para la regla de entrada:
DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDR IPv4 o CIDR IPv6, no una combinación de ambos.
Para crear una regla de salida, usa el siguiente comando:
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red global que contiene la regla nueva.DESCRIPTION: Es una descripción opcional para la regla nueva.ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.apply_security_profile_group: envía de forma transparente los paquetes al extremo de firewall configurado para la inspección de la capa 7. Cuando la acción esapply_security_profile_group, sucede lo siguiente:- Debes incluir
--security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. - Incluye
--tls-inspecto--no-tls-inspectpara habilitar o inhabilitar la inspección de TLS.
- Debes incluir
goto_next: Continúa con el siguiente paso del proceso de evaluación de reglas de firewall.
- Los parámetros
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Los parámetros
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). - Especifica un objetivo:
TARGET_SECURE_TAGS: Es una lista de etiquetas seguras separadas por comas.TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas.- Si omites los parámetros
--target-secure-tagsy--target-service-accounts, la regla se aplica al objetivo más amplio.
LAYER_4_CONFIGS: Es una lista separada por comas de configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de un protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de un protocolo IP (
- De manera opcional, especifica un origen para la regla de salida:
SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- Especifica un destino para la regla de salida:
DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDR IPv4 o CIDR IPv6, no una combinación de ambos.DEST_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.DEST_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.DEST_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.DEST_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.DEST_NETWORK_TYPE: Define los tipos de redes de destino que se usarán junto con otro parámetro de destino admitido para producir una combinación de destino específica. Los valores válidos sonINTERNETyNON_INTERNET. Para obtener más información, consulta Tipos de redes.
Actualiza una regla
Para obtener descripciones de las marcas, consulta Crea una regla.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los parámetros que deseas cambiar.
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
[...flags you want to modify...]
Describe una regla
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME --global-firewall-policy
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.
Borrar una regla
Si borras una regla de una política, esta dejará de aplicarse a las conexiones nuevas hacia el destino de la regla o desde él.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: La política que contiene la regla
Clona reglas de una política a otra
La clonación copia las reglas de una política de origen a una política de destino y reemplaza todas las reglas existentes en la política de destino.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en la política desde la que deseas copiar las reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Si deseas asociar la política nueva de inmediato, haz clic en Continuar > Asociar.
En la página Asociar política con redes de VPC, selecciona las redes y haz clic en Asociar.
Haz clic en Continuar.
Haz clic en Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
Reemplaza lo siguiente:
TARGET_POLICY: Es el nombre de la política de destino.SOURCE_POLICY: La URL de la política de origen
Obtén reglas de firewall efectivas para una red
Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a todas las regiones de una red de VPC.
Console
En la consola de Google Cloud , ve a la página Redes de VPC.
Haz clic en la red para la que deseas ver las reglas de la política de firewall.
En la página Detalles de la red de VPC, haz clic en la pestaña Firewalls.
Para ver las reglas que se aplican a esta red, haz clic en la pestaña Vista de reglas de firewall.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Reemplaza lo siguiente:
NETWORK_NAME: Es la red para la que deseas ver las reglas efectivas.
También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.
Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.
Obtén reglas de firewall efectivas para una interfaz de VM
Puedes ver todas las reglas de firewall (de todas las políticas de firewall aplicables y las reglas de firewall de VPC) que se aplican a una interfaz de red de una VM de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Instancias de VM.
En el menú de selección de proyectos, selecciona el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en el nombre de la interfaz.
En la sección Análisis de configuración de red, haz clic en la pestaña Firewalls.
Para ver las reglas de firewall efectivas, haz clic en la pestaña Vista de reglas de firewall.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Reemplaza lo siguiente:
INSTANCE_NAME: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0).INTERFACE: Es la interfaz de la VM para la que deseas ver las reglas efectivas; el valor predeterminado esnic0.ZONE: la zona de la VM. Esta línea es opcional si la zona deseada ya está configurada como predeterminada.