Usar reglas y políticas de cortafuegos de red regionales

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto de tu organización.

3. Haz clic en Crear política de cortafuegos.

4. En el campo Policy name (Nombre de la política), introduce un nombre.

5. En Ámbito de implementación, selecciona Regional. Selecciona la región en la que quieres crear esta política de cortafuegos.

6. Para crear reglas para su política, haga clic en Continuar.

7. En la sección Añadir reglas, haga clic en Crear regla de cortafuegos.

   Para obtener más información, consulta el artículo Crear reglas de cortafuegos de red.

8. Si quieres asociar la política a una red, haz clic en Continuar.

9. En la sección Asociar política a redes, haga clic en Asociar.

   Para obtener más información, consulta el artículo Asociar una política a la red.

10. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Haz los cambios siguientes:

• NETWORK_FIREWALL_POLICY_NAME: nombre de la política
• DESCRIPTION: una descripción de la política
• REGION_NAME: la región de la política

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

3. Haz clic en tu política.

4. Haz clic en la pestaña Asociaciones.

5. Haz clic en Añadir asociación.

6. Selecciona las redes del proyecto.

7. Haz clic en Asociar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

• POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política.
• NETWORK_NAME: el nombre de la red asociada.
• ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se define como network-NETWORK_NAME.
• REGION_NAME: la región de la política.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.

3. Haz clic en tu política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.

3. Haz clic en tu política.

4. Haz clic en Editar.

5. En el campo Descripción, modifica la descripción.

6. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

   En la sección Políticas de cortafuegos de red se muestran las políticas disponibles en tu proyecto.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en la política que quieras eliminar.

4. Haz clic en la pestaña Asociaciones.

5. Selecciona todas las asociaciones.

6. Haz clic en Quitar asociación.

7. Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

1. Lista de todas las redes asociadas a una política de cortafuegos:

   gcloud compute network-firewall-policies describe POLICY_NAME \
       --region=REGION_NAME
   

2. Eliminar asociaciones concretas. Para quitar la asociación, debes tener el rol Administrador de seguridad de Compute (roles/compute.SecurityAdmin) en la red de nube privada virtual (VPC) asociada.

   gcloud compute network-firewall-policies associations delete \
       --network-firewall-policy POLICY_NAME \
       --firewall-policy-region=REGION_NAME
   

3. Elimina la política:

   gcloud compute network-firewall-policies delete POLICY_NAME \
       --region=REGION_NAME
   

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto o la carpeta que contenga la política.

3. Haz clic en tu política.

4. Haz clic en la pestaña Asociaciones.

5. Selecciona la asociación que quieras eliminar.

6. Haz clic en Quitar asociación.

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

3. Haz clic en el nombre de tu política regional.

4. En Reglas de cortafuegos, haga clic en Crear regla de cortafuegos.

5. Rellena los campos de la regla:

   1. Prioridad: el orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Es recomendable asignar a las reglas números de prioridad que permitan insertar otras reglas más adelante (por ejemplo, 100, 200 y 300).
   2. En Recogida de registros, selecciona Activado o Desactivado.
   3. En Dirección del tráfico, elige entrada o salida.
   4. En Acción tras coincidencia, especifique si las conexiones que coincidan con la regla se permiten (Permitir) o se deniegan (Denegar), o si la evaluación de la conexión se transfiere a la siguiente regla de cortafuegos de nivel inferior en la jerarquía (Ir a la siguiente).

   5. Especifica el objetivo de la regla.

      • Si quiere que la regla se aplique a todas las instancias de la red, elija Aplicar a todas.
      • Si quieres que la regla se aplique a instancias concretas mediante una cuenta de servicio asociada, elige Cuentas de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro en Ámbito de la cuenta de servicio y elige o escribe el nombre de la cuenta de servicio en el campo Cuenta de servicio de destino.

      • Si quieres que la regla se aplique a instancias concretas por etiquetas seguras, elige Etiquetas seguras.

        • Haz clic en Seleccionar ámbito de las etiquetas y selecciona la organización o el proyecto en el que quieras crear pares clave-valor de etiquetas seguras. Introduzca los pares clave-valor a los que se aplicará la regla.
        • Para añadir más pares clave-valor, haga clic en Añadir etiqueta.

   6. En el caso de una regla Ingress, especifique el Source filter (Filtro de origen):

      • Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6.

      • Para limitar la fuente por etiquetas seguras, haga clic en Seleccionar ámbito de las etiquetas en la sección Etiquetas seguras.

        • Selecciona la organización o el proyecto en el que quieras crear etiquetas. Introduzca los pares clave-valor a los que se aplicará la regla.
        • Para añadir más pares clave-valor, haga clic en Añadir etiqueta.

   7. En el caso de una regla Salida, especifique el Filtro de destino:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de destino, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier destino IPv6.

   8. Opcional: Si vas a crear una regla Ingress, especifica los FQDNs de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los FQDNs de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombre de dominio, consulta Objetos de nombre de dominio.

   9. Opcional: Si vas a crear una regla de entrada, selecciona las geolocalizaciones de origen a las que se aplica esta regla. Si vas a crear una regla de salida, selecciona las geolocalizaciones de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de geolocalización, consulta Objetos de geolocalización.

   10. Opcional: Si vas a crear una regla Ingress, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones de políticas de cortafuegos.

   11. Opcional: Si vas a crear una regla Ingress, selecciona las listas de Inteligencia de amenazas de Google Cloud de origen a las que se aplica esta regla. Si va a crear una regla de salida, seleccione las listas de Inteligencia de amenazas de Google Cloud de destino a las que se aplica esta regla. Para obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.

   12. Opcional: En el caso de una regla Ingress, especifica los filtros de Destination:

       • Para filtrar el tráfico entrante por intervalos de IPv4 de destino, selecciona IPv4 e introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
       • Para filtrar el tráfico entrante por intervalos de IPv6 de destino, selecciona Intervalos de IPv6 e introduce los bloques CIDR en el campo Intervalos de IPv6 de destino. Usa ::/0 para cualquier destino IPv6. Para obtener más información, consulta Destino de las reglas de entrada.

   13. Opcional: En el caso de una regla Salida, especifica el filtro Origen:

       • Para filtrar el tráfico saliente por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
       • Para filtrar el tráfico saliente por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6. Para obtener más información, consulta Origen de las reglas de salida.

   14. En Protocolos y puertos, especifica si la regla se aplica a todos los protocolos y puertos de destino o a cuáles se aplica.

   15. Haz clic en Crear.

6. Haz clic en Crear regla de cortafuegos para añadir otra regla.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

• PRIORITY: el orden de evaluación numérico de la regla

  Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Una buena práctica es asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 y 300).

• ACTION: una de las siguientes acciones:

  • allow: permite las conexiones que coincidan con la regla.
  • deny: deniega las conexiones que coinciden con la regla.

  • goto_next: ir a la siguiente política en el orden de evaluación.

    Si una red de VPC tiene varias políticas de firewall de red regionales asociadas, la evaluación pasa a la siguiente política en el orden de evaluación de esas políticas regionales.

    Por ejemplo, si se asocian dos políticas de cortafuegos de red regionales a una red de VPC y la política de mayor prioridad usa goto_next, la evaluación pasa a la política regional de menor prioridad, omitiendo las reglas de cortafuegos de VPC y las políticas de red globales.

• POLICY_NAME: el nombre de la política de cortafuegos de red

• PROTOCOL_PORT: lista separada por comas de nombres o números de protocolos (tcp,17), protocolos y puertos de destino (tcp:80), o protocolos e intervalos de puertos de destino (tcp:5000-6000)

  No puedes especificar un puerto o un intervalo de puertos sin un protocolo. En el caso de ICMP, no puedes especificar un puerto ni un intervalo de puertos. Por ejemplo:

  --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

  Para obtener más información, consulta protocolos y puertos.

• TARGET_SECURE_TAG: lista separada por comas de etiquetas seguras para definir objetivos

• SERVICE_ACCOUNT: lista de cuentas de servicio separada por comas para definir objetivos

• DIRECTION: indica si la regla es INGRESS o EGRESS. El valor predeterminado es INGRESS.

  • Incluya --src-ip-ranges para especificar intervalos de IP de la fuente de tráfico.
  • Incluya --dest-ip-ranges para especificar intervalos de IP del destino del tráfico.

  Para obtener más información, consulta los artículos sobre objetivos, fuentes y destinos.

• SRC_NETWORK_TYPE: indica el tipo de tráfico de red de origen al que se aplica la regla de entrada. Puedes asignar a este argumento uno de los siguientes valores:

  • INTERNET
  • NON_INTERNET
  • VPC_NETWORKS
  • INTRA_VPC

  Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

• SRC_VPC_NETWORK: lista de redes de VPC separada por comas

  Solo puedes usar --src-networks cuando --src-network-type esté definido como VPC_NETWORKS.

• DEST_NETWORK_TYPE: indica el tipo de tráfico de red de destino al que se aplica la regla de salida. Puedes asignar a este argumento uno de los siguientes valores:

  • INTERNET
  • NON_INTERNET

  Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

• IP_RANGES: lista separada por comas de intervalos de IPs en formato CIDR. Pueden ser todos los intervalos IPv4 o todos los IPv6. Por ejemplo:

  --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

• SRC_SECURE_TAG: una lista de etiquetas separadas por comas.

  No puede usar etiquetas seguras de origen si el tipo de red es INTERNET.

• COUNTRY_CODE: lista separada por comas de códigos de país de dos letras.

  • Para la dirección de entrada, especifica los códigos de país de origen en la bandera --src-region-code. No puedes usar la marca --src-region-code para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
  • Para la dirección de salida, especifique los códigos de país de destino en la marca --dest-region-code. No puede usar la marca --dest-region-code para la dirección de entrada.

• LIST_NAMES: lista separada por comas de nombres de listas de Google Threat Intelligence.

  • En el caso de la dirección de entrada, especifique las listas de Google Threat Intelligence de origen en la marca --src-threat-intelligence. No puedes usar la marca --src-threat-intelligence para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
  • Para la dirección de salida, especifica las listas de Google Threat Intelligence de destino en la marca --dest-threat-intelligence. No puedes usar la marca --dest-threat-intelligence para la dirección de entrada.

• ADDR_GRP_URL: un identificador de URL único del grupo de direcciones.

  • Para la dirección de entrada, especifica los grupos de direcciones de origen en la marca --src-address-groups. No puedes usar la marca --src-address-groups para la dirección de salida.
  • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-address-groups. No puedes usar la marca --dest-address-groups para la dirección de entrada.

• DOMAIN_NAME: lista de nombres de dominio separados por comas con el formato descrito en Formato de nombre de dominio

  • Para la dirección de entrada, especifica los nombres de dominio de origen en la marca --src-fqdns. No puedes usar la marca --src-fqdns para la dirección de salida.
  • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-fqdns. No puedes usar la marca --dest-fqdns para la dirección de entrada.

• --enable-logging y --no-enable-logging: habilita o inhabilita el registro de reglas de cortafuegos de la regla en cuestión.

• --disabled: indica que la regla de cortafuegos, aunque exista, no se debe tener en cuenta al procesar las conexiones. Si se omite esta marca, la regla se habilita. También puedes especificar --no-disabled.

• REGION_NAME: una región en la que aplicar la política

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en tu política.

4. Haz clic en la prioridad de la regla.

5. Haz clic en Editar.

6. Modifica los campos que quieras cambiar.

7. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en tu política.

4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

• PRIORITY: la prioridad de la regla que quieres ver. Como cada regla debe tener una prioridad única, este ajuste identifica una regla de forma exclusiva.
• POLICY_NAME: el nombre de la política que contiene la regla
• REGION_NAME: una región en la que aplicar la política.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en tu política.

4. Selecciona la regla que quieras eliminar.

5. Haz clic en Eliminar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

• PRIORITY: la prioridad de la regla que quieres eliminar de la política
• POLICY_NAME: la política que contiene la regla
• REGION_NAME: una región en la que aplicar la política

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

3. Haz clic en la política de la que quieras copiar las reglas.

4. En la parte superior de la pantalla, haz clic en Clonar.

5. Indica el nombre de una política de destino.

6. Si quieres asociar la nueva política inmediatamente, haz clic en Continuar > Asociar.

7. En la página Asociar política a redes de VPC, selecciona las redes y haz clic en Asociar.

8. Haz clic en Continuar.

9. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Haz los cambios siguientes:

• POLICY_NAME: la política para recibir las reglas copiadas
• SOURCE_POLICY: la política de la que se van a copiar las reglas. Debe ser la URL del recurso.
• REGION_NAME: una región en la que aplicar la política

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Haz los cambios siguientes:

• REGION_NAME: la región de la que quiere ver las reglas vigentes.
• NETWORK_NAME: la red de la que quieres ver las reglas efectivas.