En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en las políticas de firewall de red regionales.
Tareas de políticas de firewall
En esta sección, se describe cómo crear, asociar y administrar políticas de firewall de red regionales.
Crea una política de firewall de red regional
Cuando creas una política de firewall de red regional con la consola de Google Cloud , puedes asociar la política con una región y una red de nube privada virtual (VPC) durante la creación. Si creas la política con Google Cloud CLI, debes asociarla con una región y una red después de crearla.
La red de VPC con la que se asocia la política de firewall de red regional debe estar en el mismo proyecto que la política de firewall de red regional.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona tu proyecto dentro de tu organización.
Haz clic en Crear política de firewall.
En el campo Nombre de la política, ingresa un nombre de política.
En Permiso de la implementación, selecciona Regional. Selecciona la región en la que deseas crear esta política de firewall.
Si deseas crear reglas para tu política, haz clic en Continuar.
En la sección Agregar reglas, haz clic en Crear regla de firewall. Para obtener más información sobre cómo crear reglas de firewall, consulta los siguientes vínculos:
Si deseas asociar la política a una red, haz clic en Continuar.
En la sección Asociar política con redes, haz clic en Asociar.
Para obtener más información, consulta Asocia una política con una red.
Haz clic en Crear.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Reemplaza lo siguiente:
NETWORK_FIREWALL_POLICY_NAME: un nombre para la políticaDESCRIPTION: una descripción de la políticaREGION_NAME: Es la región de la política.
Asocia una política con una red
Puedes asociar una política de firewall de red regional con una región de una red de VPC y aplicar las reglas de la política a esa región de la red.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociación.
Selecciona las redes dentro del proyecto.
Haz clic en Associate.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--network NETWORK_NAME \
--name ASSOCIATION_NAME
Reemplaza lo siguiente:
POLICY_NAME: Es el nombre corto o el nombre generado por el sistema de la política.POLICY_REGION: Es la región de la política que contiene la regla.NETWORK_NAME: Es el nombre de la red asociada.ASSOCIATION_NAME: Es un nombre opcional para la asociación. Si no se especifica, el nombre se establece ennetwork-NETWORK_NAME.
Borra una asociación
Para detener la aplicación de la política de firewall en una red, borra la asociación.
Sin embargo, si quieres intercambiar una política de firewall por otra, no es necesario que borres la asociación existente primero. Si borras esa asociación, habrá un período en el que no se aplicará ninguna política. En su lugar, reemplaza la política existente cuando asocias una política nueva.
Para borrar una asociación entre una política de firewall de red regional y una región de una red de VPC, sigue los pasos que se mencionan en esta sección. Las reglas de la política de firewall de red regional no se aplican a las conexiones nuevas después de que se borra su asociación.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige tu proyecto o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociación.
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Describe una política de firewall de red regional
Puedes ver detalles sobre una política de firewall de red regional, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se incluyen en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de regla por política de firewall de red regional" en la tabla Por política de firewall. Además, puedes ver las prioridades de las asociaciones de redes de VPC existentes.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el proyecto que contenga la política de firewall de red regional.
Haz clic en tu política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
Actualiza la descripción de la política de firewall de red regional
El único campo de una política que se puede actualizar es el campo Descripción.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el proyecto que contenga la política de firewall de red regional.
Haz clic en tu política.
Haz clic en Editar.
En el campo Descripción, modifica la descripción.
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Enumera las políticas de firewall de red regionales
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
En la sección Políticas de firewall de red, se muestran las políticas disponibles en tu proyecto.
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
Borra una política de firewall de red regional
Antes de borrar una política de firewall de red regional, debes borrar todas sus asociaciones.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.
gcloud
Usa el siguiente comando para borrar la política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
Tareas de reglas de políticas de firewall
En esta sección, se describe cómo crear y administrar reglas de políticas de firewall de red regionales.
Crea una regla de entrada para los objetivos de VM
En esta sección, se describe cómo crear una regla de entrada que se aplica a las interfaces de red de las instancias de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En la lista del selector de proyectos, selecciona un proyecto que contenga una política de firewall de red regional.
En la sección Políticas de firewall de red, haz clic en el nombre de una política de firewall de red regional en la que quieras crear una regla.
En la sección Reglas de firewall, haz clic en Crear regla de firewall y especifica los siguientes parámetros de configuración:
Prioridad: El orden de evaluación numérico de la regla.
Las reglas se evalúan de mayor a menor prioridad, en la que
0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.Descripción: Proporciona una descripción opcional.
Dirección del tráfico: Selecciona Ingress.
Acción si hay coincidencia: Selecciona una de las siguientes opciones:
- Permitir: Para permitir las conexiones que coinciden con los parámetros de la regla.
- Rechazar: Para bloquear las conexiones que coinciden con los parámetros de la regla.
- Ir a siguiente: Para continuar con el proceso de evaluación de reglas de firewall
Registros: Selecciona Activado para habilitar el registro de reglas de firewall o Desactivado para inhabilitar el registro de reglas de firewall para esta regla.
Objetivo: Selecciona una de las siguientes opciones:
- Aplicar a todos: Cloud NGFW usa los objetivos de instancia más amplios.
-
Cuentas de servicio: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especificas:
- En la sección Alcance de la cuenta de servicio, selecciona En este proyecto > Cuenta de servicio de destino. Esto es para especificar una cuenta de servicio en el mismo proyecto que la política de firewall de red regional.
- En la sección Permiso de la cuenta de servicio, selecciona En otro proyecto > Cuenta de servicio de destino. Esto es para especificar una cuenta de servicio en un proyecto de servicio de VPC compartida.
- Etiquetas seguras: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especificas. Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto que contiene los valores de etiqueta que coinciden. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
Tipo de red de origen: Especifica un tipo de red:
- Para omitir el filtrado del tráfico entrante por tipo de red, selecciona Todos los tipos de redes.
- Para filtrar el tráfico entrante a un tipo de red específico, selecciona Tipo de red específico y, luego, elige un tipo de red:
- Internet: El tráfico entrante debe coincidir con el tipo de red de Internet para los paquetes entrantes.
- Non-internet: El tráfico entrante debe coincidir con el tipo de red Non-internet para los paquetes de entrada.
- Intra VPC: El tráfico entrante debe coincidir con los criterios para el tipo de red intra-VPC.
- Redes de VPC: El tráfico entrante debe coincidir con el tipo Criterios para redes de VPC.
Debes seleccionar al menos una red de VPC:
- Seleccionar proyecto actual: Te permite agregar una o más redes de VPC del proyecto que contiene la política de firewall.
- Ingresar red de forma manual: Te permite ingresar manualmente un proyecto y una red de VPC.
- Seleccionar proyecto: Te permite seleccionar un proyecto desde el que puedes seleccionar una red de VPC.
Filtros de origen: Especifica parámetros de origen adicionales. Algunos parámetros de fuente no se pueden usar juntos, y tu elección del tipo de red de fuente limita los parámetros de fuente que puedes usar. Para obtener más información, consulta Fuentes para reglas de entrada y Combinaciones de fuentes de reglas de entrada.
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier origen IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier origen IPv6. - Para filtrar el tráfico entrante por valores de etiquetas seguras de origen, selecciona Seleccionar alcance para las etiquetas en la sección Etiquetas seguras. Luego, proporciona las claves y los valores de etiqueta. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
- Para filtrar el tráfico entrante por FQDN de origen, ingresa los FQDN en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
- Para filtrar el tráfico entrante por ubicación geográfica de origen, selecciona una o más ubicaciones en el campo Ubicaciones geográficas. Para obtener más información, consulta Objetos de ubicación geográfica.
- Para filtrar el tráfico entrante por grupo de direcciones de origen, selecciona uno o más grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
- Para filtrar el tráfico entrante por las listas de Threat Intelligence de Google de origen, selecciona una o más listas de Threat Intelligence de Google en el campo Google Cloud Threat Intelligence. Si deseas obtener más información, consulta Inteligencia ante amenazas de Google para las reglas de políticas de firewall.
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Destino: Especifica parámetros de destino opcionales. Para obtener más información, consulta Destinos para las reglas de entrada.
- Para omitir el filtrado del tráfico entrante por dirección IP de destino, selecciona Ninguno.
- Para filtrar el tráfico entrante por dirección IP de destino, selecciona IPv4 o IPv6 y, luego, ingresa uno o más CIDR con el mismo formato que se usa para los rangos de IPv4 de origen o los rangos de IPv6 de origen.
Protocolos y puertos: Especifica los protocolos y los puertos de destino para que el tráfico coincida con la regla. Para obtener más información, consulta Protocolos y puertos.
Aplicación: Especifica si se aplica la regla de firewall:
- Habilitada: Crea la regla y comienza a aplicarla en las conexiones nuevas.
- Inhabilitada: Crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red regional en la que deseas crear la regla.PROJECT_ID: Es el ID del proyecto que contiene la política de firewall de red regional.POLICY_REGION: Es la región de la política.DESCRIPTION: Es una descripción opcional para la regla nueva.-
ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.goto_next: Continúa el proceso de evaluación de la regla de firewall.
- Las marcas
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Las marcas
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). -
Especifica un destino:
- Si omites las marcas
--target-secure-tagsy--target-service-accounts, Cloud NGFW usa los objetivos de instancia más amplios. TARGET_SECURE_TAGS: Es una lista separada por comas de valores de etiquetas seguras que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
- Si omites las marcas
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de protocolo IP (
-
Especifica una fuente para la regla de entrada.
Para obtener más información, consulta Combinaciones de fuentes de reglas de entrada:
SRC_NETWORK_TYPE: Define los tipos de redes de origen que se usarán junto con otro parámetro de origen admitido para producir una combinación de origen. Los valores válidos cuando--target-type=INSTANCESsonINTERNET,NON_INTERNET,VPC_NETWORKSoINTRA_VPC. Para obtener más información, consulta Tipos de redes.SRC_VPC_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando--src-network-typeesVPC_NETWORKS.SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.SRC_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.SRC_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.SRC_SECURE_TAGS: Es una lista de etiquetas separadas por comas. No puedes usar la marca--src-secure-tagssi--src-network-typeesINTERNET.SRC_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica. No puedes usar la marca--src-region-codessi--src-network-typeesNON_INTERNET,VPC_NETWORKSoINTRA_VPC.SRC_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall. No puedes usar la marca--src-threat-intelligencesi--src-network-typeesNON_INTERNET,VPC_NETWORKSoINTRA_VPC.
-
De manera opcional, especifica un destino para la regla de entrada:
DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
Crea una regla de entrada para los destinos del balanceador de cargas interno
Para restringir el acceso a una o más reglas de reenvío del balanceador de cargas de aplicaciones interno o del balanceador de cargas de red del proxy interno, crea al menos dos reglas de entrada con --target-type=INTERNAL_MANAGED_LB. Esto es necesario porque la acción implícita para los destinos del balanceador de cargas de aplicaciones interno y del balanceador de cargas de red de proxy interno permite la entrada.
Las reglas necesarias para restringir el acceso son las siguientes:
- Una regla de firewall de entrada de denegación de menor prioridad con
--src-ip-ranges=0.0.0.0/0. - Una regla de firewall de entrada con mayor prioridad que permite el acceso con los parámetros de origen que especificas.
En esta sección, se describe cómo crear una regla de entrada para los balanceadores de cargas de aplicaciones internos y los destinos de los balanceadores de cargas de red de proxy internos.
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
--target-type=INTERNAL_MANAGED_LB \
[--target-forwarding-rules=TARGET_FORWARDING_RULES] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red regional en la que deseas crear la regla.PROJECT_ID: Es el ID del proyecto que contiene la política de firewall de red regional.POLICY_REGION: Es la región de la política.DESCRIPTION: Es una descripción opcional para la regla nueva.-
ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.goto_next: Continúa el proceso de evaluación de la regla de firewall.
- Las marcas
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Las marcas
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). -
Especifica un destino:
- Si omites la marca
--target-forwarding-rules, Cloud NGFW usa los objetivos de balanceador de cargas más amplios. TARGET_FORWARDING_RULES: Es una sola regla de reenvío para un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno especificado en el formato de reglas de reenvío de destino. Este parámetro reduce los objetivos más amplios del balanceador de cargas a un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno específicos.
- Si omites la marca
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de protocolo IP (
-
Especifica una fuente para la regla de entrada.
Para obtener más información, consulta Combinaciones de fuentes de reglas de entrada:
SRC_NETWORK_TYPE: Define los tipos de redes de origen que se usarán junto con otro parámetro de origen admitido para producir una combinación de origen. Los valores válidos cuando--target-type=INTERNAL_MANAGED_LBsonVPC_NETWORKSoINTRA_VPC. Para obtener más información, consulta Tipos de redes.SRC_VPC_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando--src-network-typeesVPC_NETWORKS.SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.SRC_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.SRC_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.
-
De manera opcional, especifica un destino para la regla de entrada:
DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
Crea una regla de salida para los objetivos de VM
En las siguientes instrucciones, se muestra cómo crear una regla de salida. Las reglas de salida solo se aplican a los destinos que son interfaces de red de instancias de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En la lista del selector de proyectos, selecciona un proyecto que contenga una política de firewall de red regional.
En la sección Políticas de firewall de red, haz clic en el nombre de una política de firewall de red regional en la que quieras crear una regla.
En la sección Reglas de firewall, haz clic en Crear regla de firewall y especifica los siguientes parámetros de configuración:
Prioridad: El orden de evaluación numérico de la regla.
Las reglas se evalúan de mayor a menor prioridad, en la que
0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.Descripción: Proporciona una descripción opcional.
Dirección del tráfico: Selecciona Salida.
Acción si hay coincidencia: Selecciona una de las siguientes opciones:
- Permitir: Para permitir las conexiones que coinciden con los parámetros de la regla.
- Rechazar: Para bloquear las conexiones que coinciden con los parámetros de la regla.
- Ir a siguiente: Para continuar con el proceso de evaluación de reglas de firewall
Registros: Selecciona Activado para habilitar el registro de reglas de firewall o Desactivado para inhabilitar el registro de reglas de firewall para esta regla.
Objetivo: Selecciona una de las siguientes opciones:
- Aplicar a todos: Cloud NGFW usa los objetivos de instancia más amplios.
-
Cuentas de servicio: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especificas:
- En la sección Alcance de la cuenta de servicio, selecciona En este proyecto > Cuenta de servicio de destino. Esto es para especificar una cuenta de servicio en el mismo proyecto que la política de firewall de red regional.
- En la sección Permiso de la cuenta de servicio, selecciona En otro proyecto > Cuenta de servicio de destino. Esto es para especificar una cuenta de servicio en un proyecto de servicio de VPC compartida.
- Etiquetas seguras: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especificas. Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto que contiene los valores de etiqueta que coinciden. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
Tipo de red de destino: Especifica un tipo de red:
- Para omitir el filtrado del tráfico saliente por tipo de red, selecciona Todos los tipos de redes.
- Para filtrar el tráfico saliente a un tipo de red específico, selecciona Tipo de red específico y, luego, elige un tipo de red:
- Internet: El tráfico saliente debe coincidir con el tipo de red de Internet para los paquetes de salida.
- Non-internet: El tráfico saliente debe coincidir con el tipo de red Non-internet para los paquetes de salida.
Filtros de destino: Especifica parámetros de destino adicionales. Algunos parámetros de destino no se pueden usar juntos, y tu elección del tipo de red de destino limita los filtros de destino que puedes usar. Para obtener más información, consulta Destinos para las reglas de salida y Combinaciones de destinos de reglas de salida.
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier destino de IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier destino de IPv6. - Para filtrar el tráfico saliente por FQDN de destino, ingresa los FQDN en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
- Para filtrar el tráfico saliente por ubicación geográfica de destino, selecciona una o más ubicaciones en el campo Ubicaciones geográficas. Para obtener más información, consulta Objetos de ubicación geográfica.
- Para filtrar el tráfico saliente por grupo de direcciones de destino, selecciona uno o más grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
- Para filtrar el tráfico saliente por listas de Google Threat Intelligence de destino, selecciona una o más listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Fuente: Especifica parámetros de origen opcionales. Para obtener más información, consulta Fuentes para las reglas de salida.
- Para omitir el filtrado del tráfico saliente por dirección IP de origen, selecciona Ninguno.
- Para filtrar el tráfico saliente por dirección IP de origen, selecciona IPv4 o IPv6 y, luego, ingresa uno o más CIDR con el mismo formato que se usa para los rangos de IPv4 de destino o los rangos de IPv6 de destino.
Protocolos y puertos: Especifica los protocolos y los puertos de destino para que el tráfico coincida con la regla. Para obtener más información, consulta Protocolos y puertos.
Aplicación: Especifica si se aplica la regla de firewall:
- Habilitada: Crea la regla y comienza a aplicarla en las conexiones nuevas.
- Inhabilitada: Crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--firewall-policy-region=POLICY_REGION \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red regional en la que deseas crear la regla.PROJECT_ID: Es el ID del proyecto que contiene la política de firewall de red regional.POLICY_REGION: Es la región de la política.DESCRIPTION: Es una descripción opcional para la regla nueva.-
ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.goto_next: Continúa el proceso de evaluación de la regla de firewall.
- Las marcas
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Las marcas
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). -
Especifica un destino:
- Si omites las marcas
--target-secure-tagsy--target-service-accounts, Cloud NGFW usa los objetivos de instancia más amplios. TARGET_SECURE_TAGS: Es una lista separada por comas de valores de etiquetas seguras que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiquetas seguras.TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
- Si omites las marcas
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de protocolo IP (
-
Especifica un destino para la regla de salida.
Para obtener más información, consulta Combinaciones de destinos de reglas de salida:
DEST_NETWORK_TYPE: Define los tipos de redes de destino que se usarán junto con otro parámetro de destino admitido para producir una combinación de destino. Los valores válidos sonINTERNETyNON_INTERNET. Para obtener más información, consulta Tipos de redes.DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.DEST_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.DEST_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.DEST_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.DEST_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
-
De manera opcional, especifica una fuente para la regla de salida:
SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
Actualiza una regla
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el proyecto que contenga la política de firewall de red regional.
Haz clic en el nombre de la política de firewall de red regional que contiene la regla que deseas actualizar.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos de la regla de firewall que deseas cambiar. Para obtener descripciones sobre cada campo, consulta uno de los siguientes recursos:
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
[...other flags that you want to modify...]
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.POLICY_REGION: Es la región de la política que contiene la regla.
Proporciona las marcas que deseas modificar. Para ver las descripciones de las marcas, consulta una de las siguientes opciones:
Describe una regla
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.POLICY_REGION: Es la región de la política que contiene la regla.
Borrar una regla
Si borras una regla de una política, esta dejará de aplicarse a las conexiones nuevas hacia el destino de la regla o desde él.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--firewall-policy-region=POLICY_REGION
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.POLICY_REGION: Es la región de la política que contiene la regla.
Clona reglas de una política a otra
La clonación copia las reglas de una política de origen a una política de destino y reemplaza todas las reglas existentes en la política de destino.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en la política de la que deseas copiar reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Si deseas asociar la política nueva de inmediato, haz clic en Continuar > Asociar.
En la página Asociar política con redes de VPC, selecciona las redes y haz clic en Asociar.
Haz clic en Continuar.
Haz clic en Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy=SOURCE_POLICY
Reemplaza lo siguiente:
TARGET_POLICY: Es el nombre de la política de destino.TARGET_POLICY_REGION: Es la región de la política de destino.SOURCE_POLICY: Es la URL de la política de origen.
Obtén reglas de firewall efectivas para una región de una red
Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC, las reglas de políticas de firewall de red globales y las reglas de políticas de firewall de red regionales que se aplican a una región específica de una red de VPC.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
Reemplaza lo siguiente:
REGION_NAME: la región para la que deseas ver las reglas efectivas.NETWORK_NAME: la red para la que deseas ver las reglas efectivas.