Usar reglas y políticas de cortafuegos de red globales

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En la lista del selector de proyectos, selecciona el proyecto de tu organización.

3. Haz clic en Crear política de cortafuegos.

4. En el campo Nombre de la política, introduce un nombre para la política.

5. En Ámbito de implementación, selecciona Global (Global).

6. Para crear reglas para su política, haga clic en Continuar.

7. En la sección Añadir reglas, haga clic en Crear regla de cortafuegos.

   Para obtener más información, consulta el artículo Crear una regla.

8. Si quieres asociar la política a una red, haz clic en Continuar.

9. En la sección Asociar política a redes, haga clic en Asociar.

   Para obtener más información, consulta Asociar una política a una red.

10. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Haz los cambios siguientes:

• NETWORK_FIREWALL_POLICY_NAME: nombre de la política
• DESCRIPTION: una descripción de la política

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

3. Haz clic en tu política.

4. Haz clic en la pestaña Asociaciones.

5. Haz clic en Añadir asociación.

6. Selecciona las redes del proyecto.

7. Haz clic en Asociar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Haz los cambios siguientes:

• POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política.
• NETWORK_NAME: el nombre de tu red.
• ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se asigna a network-NETWORK_NAME.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto o la carpeta que contenga la política.

3. Haz clic en tu política.

4. Haz clic en la pestaña Asociaciones.

5. Selecciona la asociación que quieras eliminar.

6. Haz clic en Quitar asociación.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política de firewall de red global.

3. Haz clic en tu política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política de firewall de red global.

3. Haz clic en tu política.

4. Haz clic en Editar.

5. En el campo Descripción, cambia el texto.

6. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

   En la sección Políticas de cortafuegos de red se muestran las políticas disponibles en tu proyecto.

gcloud

gcloud compute network-firewall-policies list --global

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en la política que quieras eliminar.

4. Haz clic en la pestaña Asociaciones.

5. Selecciona todas las asociaciones.

6. Haz clic en Quitar asociación.

7. Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

Usa el siguiente comando para eliminar la política:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

3. Haz clic en el nombre de tu política global.

4. En la pestaña Reglas de cortafuegos, haga clic en Crear regla de cortafuegos.

5. Rellena los campos de la regla:

   1. En el campo Prioridad, define el número de orden de la regla, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear nuevas reglas entre las que ya tienes.
   2. En Dirección del tráfico, elige entrada o salida.
   3. En Acción tras coincidencia, elija una de las siguientes opciones:
      1. Permitir: permite las conexiones que coincidan con la regla.
      2. Deny (Denegar): deniega las conexiones que coincidan con la regla.
      3. Ir al siguiente: pasa la evaluación de la conexión a la siguiente regla de cortafuegos inferior de la jerarquía.
      4. Aplicar grupo de perfiles de seguridad: envía los paquetes al endpoint de firewall configurado para la inspección y la prevención de la capa 7.
         • En la lista Grupo de perfiles de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
         • Para habilitar la inspección TLS de los paquetes, selecciona Habilitar inspección TLS.
   4. En Recogida de registros, selecciona Activado o Desactivado.

   5. Especifica el objetivo de la regla. Elige una de las siguientes opciones para el campo Objetivo:

      • Si quiere que la regla se aplique a todas las instancias de la red, elija Aplicar a todas.
      • Si quieres que la regla se aplique a instancias concretas por cuenta de servicio asociada, primero elige Cuentas de servicio y, a continuación, en Ámbito de cuenta de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro. En el campo Cuenta de servicio de destino, elige o escribe el nombre de la cuenta de servicio.

      • Si quieres que la regla se aplique a instancias concretas por etiquetas seguras, elige Etiquetas seguras.

        • Haga clic en Seleccionar ámbito de las etiquetas y elija la organización o el proyecto en el que quiera crear etiquetas seguras. Introduzca los pares clave-valor a los que se aplicará la regla.
        • Para añadir más pares clave-valor, haga clic en Añadir etiqueta.

   6. En el caso de una regla de entrada, especifica el tipo de red de origen:

      • Para filtrar el tráfico entrante que pertenezca a cualquier tipo de red, selecciona Todos los tipos de red.
      • Para filtrar el tráfico entrante que pertenece a un tipo de red específico, selecciona Tipo de red específico.
        • Para filtrar el tráfico entrante que pertenece al tipo de red de Internet (INTERNET), seleccione Internet.
        • Para filtrar el tráfico entrante que pertenece al tipo de red no de Internet (NON-INTERNET), seleccione No de Internet.
        • Para filtrar el tráfico entrante que pertenece al tipo de red intra-VPC (INTRA_VPC), seleccione Intra-VPC.
        • Para filtrar el tráfico entrante que pertenece al tipo de redes de VPC (VPC_NETWORKS), selecciona Redes de VPC y, a continuación, especifica una o varias redes con el siguiente botón:
          • Seleccionar proyecto actual: te permite añadir una o varias redes del proyecto actual.
          • Introducir red manualmente: te permite introducir un proyecto y una red manualmente.
          • Seleccionar proyecto: te permite elegir un proyecto desde el que puedes elegir una red. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.

   7. En el caso de una regla de salida, especifica el tipo de red de destino:

      • Para filtrar el tráfico saliente que pertenezca a cualquier tipo de red, selecciona Todos los tipos de red.
      • Para filtrar el tráfico saliente que pertenece a un tipo de red específico, selecciona Tipo de red específico.
        • Para filtrar el tráfico saliente que pertenece al tipo de red de Internet (INTERNET), seleccione Internet.
        • Para filtrar el tráfico saliente que pertenece al tipo de red no de Internet (NON-INTERNET), selecciona No de Internet. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.

   8. En el caso de una regla de entrada, especifique el filtro de origen:

      • Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6.

      • Para limitar la fuente por etiquetas seguras, en la sección Etiquetas seguras, haga clic en Seleccionar ámbito de las etiquetas.

        • Selecciona la organización o el proyecto para los que quieras crear etiquetas. Introduzca los pares clave-valor a los que se debe aplicar la regla.
        • Para añadir más pares clave-valor, haga clic en Añadir etiqueta.

   9. En el caso de una regla de salida, especifica el filtro de destino:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de destino, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier destino IPv6.

   10. Opcional: Si vas a crear una regla de entrada, especifica los FQDNs de origen a los que se aplica esta regla. Si está creando una regla de salida, seleccione los FQDNs de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombre de dominio, consulta Objetos de FQDN.

   11. Opcional: Si vas a crear una regla de entrada, selecciona las geolocalizaciones de origen a las que se aplica esta regla. Si vas a crear una regla de salida, selecciona las geolocalizaciones de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de geolocalización, consulta Objetos de geolocalización.

   12. Opcional: Si vas a crear una regla de entrada, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones de políticas de cortafuegos.

   13. Opcional: Si vas a crear una regla de entrada, selecciona las listas de Inteligencia de amenazas de Google Cloud de origen a las que se aplica esta regla. Si va a crear una regla de salida, seleccione las listas de Inteligencia frente a amenazas de Google Cloud de destino a las que se aplica esta regla. Para obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.

   14. Opcional: En el caso de una regla de entrada, especifica los filtros de destino:

       • Para filtrar el tráfico entrante por intervalos de IPv4 de destino, selecciona IPv4 e introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
       • Para filtrar el tráfico entrante por intervalos de IPv6 de destino, selecciona Intervalos de IPv6 e introduce los bloques CIDR en el campo Intervalos de IPv6 de destino. Usa ::/0 para cualquier destino IPv6. Para obtener más información, consulta Destinos de las reglas de entrada.

   15. Opcional: En el caso de una regla de salida, especifica el filtro de origen:

       • Para filtrar el tráfico saliente por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
       • Para filtrar el tráfico saliente por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6. Para obtener más información, consulta Fuentes de reglas de salida.

   16. En Protocolos y puertos, especifique si la regla se aplica a todos los protocolos y puertos de destino o a qué protocolos y puertos de destino se aplica.

   17. Haz clic en Crear.

6. Haz clic en Crear regla de cortafuegos para añadir otra regla.

gcloud

Para crear una regla de entrada, usa el siguiente comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Haz los cambios siguientes:

• PRIORITY: el orden de evaluación numérica de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes más adelante.
• POLICY_NAME: el nombre de la política de cortafuegos de red global que contiene la nueva regla.
• DESCRIPTION: descripción opcional de la nueva regla
• ACTION: especifica una de las siguientes acciones:
  • allow: permite las conexiones que coincidan con la regla.
  • deny: deniega las conexiones que coincidan con la regla.
  • apply_security_profile_group: envía los paquetes de forma transparente al endpoint del cortafuegos configurado para la inspección de la capa 7. Cuando la acción es apply_security_profile_group:
    • Debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7.
    • Incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección TLS.
  • goto_next: continúa con el siguiente paso del proceso de evaluación de reglas de cortafuegos.
• Los parámetros --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
• Los parámetros --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
• Especifica un objetivo:
  • TARGET_SECURE_TAGS: una lista de etiquetas seguras separadas por comas.
  • TARGET_SERVICE_ACCOUNTS: lista de cuentas de servicio separada por comas.
  • Si omite los parámetros --target-secure-tags y --target-service-accounts, la regla se aplicará a la orientación más amplia.
• LAYER_4_CONFIGS: una lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
  • Nombre de protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
  • Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
  • Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
• Especifique una fuente para la regla de entrada:
  • SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, pero no una combinación de ambos.
  • SRC_ADDRESS_GROUPS: lista de grupos de direcciones separados por comas especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.
  • SRC_DOMAIN_NAMES: una lista de objetos FQDN separados por comas especificados en el formato de nombre de dominio.
  • SRC_SECURE_TAGS: una lista de etiquetas separadas por comas. No puedes usar el parámetro --src-secure-tags si --src-network-type es INTERNET.
  • SRC_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización. No puedes usar el parámetro --src-region-codes si el valor de --src-network-type es NON_INTERNET, VPC_NETWORK o INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall. No puedes usar el parámetro --src-threat-intelligence si el valor de --src-network-type es NON_INTERNET, VPC_NETWORK o INTRA_VPC.
  • SRC_NETWORK_TYPE: define los tipos de redes de origen que se van a usar junto con otro parámetro de destino admitido para generar una combinación de destino específica. Los valores válidos son INTERNET, NON_INTERNET, VPC_NETWORK o INTRA_VPC. Para obtener más información, consulta Tipos de redes.
  • SRC_VPC_NETWORK: lista de VPCs separadas por comas especificadas por sus identificadores de URL. Especifica este parámetro solo cuando --src-network-type sea VPC_NETWORKS.
• También puede especificar un destino para la regla de entrada:
  • DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Para crear una regla de salida, usa el siguiente comando:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Haz los cambios siguientes:

• PRIORITY: el orden de evaluación numérica de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes más adelante.
• POLICY_NAME: el nombre de la política de cortafuegos de red global que contiene la nueva regla.
• DESCRIPTION: descripción opcional de la nueva regla
• ACTION: especifica una de las siguientes acciones:
  • allow: permite las conexiones que coincidan con la regla.
  • deny: deniega las conexiones que coincidan con la regla.
  • apply_security_profile_group: envía los paquetes de forma transparente al endpoint del cortafuegos configurado para la inspección de la capa 7. Cuando la acción es apply_security_profile_group:
    • Debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7.
    • Incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección TLS.
  • goto_next: continúa con el siguiente paso del proceso de evaluación de reglas de cortafuegos.
• Los parámetros --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
• Los parámetros --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
• Especifica un objetivo:
  • TARGET_SECURE_TAGS: una lista de etiquetas seguras separadas por comas.
  • TARGET_SERVICE_ACCOUNTS: lista de cuentas de servicio separada por comas.
  • Si omite los parámetros --target-secure-tags y --target-service-accounts, la regla se aplicará a la orientación más amplia.
• LAYER_4_CONFIGS: una lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
  • Nombre de protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
  • Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
  • Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
• Si quieres, especifica una fuente para la regla de salida:
  • SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
• Especifica un destino para la regla de salida:
  • DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
  • DEST_ADDRESS_GROUPS: lista de grupos de direcciones separados por comas especificados por sus identificadores de URL únicos.
  • DEST_DOMAIN_NAMES: una lista de objetos FQDN separados por comas especificados en el formato de nombre de dominio.
  • DEST_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización.
  • DEST_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall.
  • DEST_NETWORK_TYPE: define los tipos de red de destino que se van a usar junto con otro parámetro de destino admitido para generar una combinación de destino específica. Los valores válidos son INTERNET y NON_INTERNET. Para obtener más información, consulta Tipos de redes.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en tu política.

4. Haz clic en la prioridad de la regla.

5. Haz clic en Editar.

6. Modifica las marcas que quieras cambiar.

7. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...flags you want to modify...]

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en tu política.

4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Haz los cambios siguientes:

• PRIORITY: número de prioridad que identifica de forma exclusiva la regla.
• POLICY_NAME: el nombre de la política que contiene la regla

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en tu política.

4. Selecciona la regla que quieras eliminar.

5. Haz clic en Eliminar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Haz los cambios siguientes:

• PRIORITY: número de prioridad que identifica de forma exclusiva la regla.
• POLICY_NAME: la política que contiene la regla

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haga clic en la política de la que quiera copiar las reglas.

4. En la parte superior de la pantalla, haz clic en Clonar.

5. Indica el nombre de una política de destino.

6. Si quieres asociar la nueva política inmediatamente, haz clic en Continuar > Asociar.

7. En la página Asociar política con redes de VPC, selecciona las redes y haz clic en Asociar.

8. Haz clic en Continuar.

9. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Haz los cambios siguientes:

• TARGET_POLICY: el nombre de la política de destino
• SOURCE_POLICY: la URL de la política de origen

Consola

1. En la Google Cloud consola, ve a la página Redes de VPC.

   Ir a redes de VPC

2. Haga clic en la red de la que quiera ver las reglas de la política de cortafuegos.

3. En la página Detalles de la red de VPC, haz clic en la pestaña Cortafuegos.

4. Para ver las reglas que se aplican a esta red, haga clic en la pestaña Vista de reglas de cortafuegos.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Haz los cambios siguientes:

• NETWORK_NAME: la red de la que quieres ver las reglas efectivas.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. Las políticas de cortafuegos se muestran en la sección Políticas de cortafuegos que ha heredado este proyecto.

3. Haga clic en cada política de cortafuegos para ver las reglas que se aplican a esta red.

Consola

1. En la consola de Google Cloud , ve a la página Instancias de VM.

   Ir a instancias de VM

2. En el menú de selección de proyectos, elige el proyecto que contiene la VM.

3. Haz clic en la VM.

4. En Interfaces de red, haz clic en el nombre de la interfaz.

5. En la sección Análisis de la configuración de red, haga clic en la pestaña Firewalls.

6. Para ver las reglas de cortafuegos efectivas, haga clic en la pestaña Vista de reglas de cortafuegos.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Haz los cambios siguientes:

• INSTANCE_NAME: la VM de la que quieres ver las reglas efectivas. Si no se especifica ninguna interfaz, el comando devuelve las reglas de la interfaz principal (nic0).
• INTERFACE: la interfaz de la VM de la que quieres ver las reglas vigentes. El valor predeterminado es nic0.
• ZONE: la zona de la VM. Esta línea es opcional si la zona elegida ya está definida como predeterminada.