En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Descripción general de las políticas de firewall jerárquicas. Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.
Limitaciones
- Las reglas de políticas de firewall jerárquicas no son compatibles con el uso de etiquetas de red para definir objetivos. En su lugar, debes usar una red de nube privada virtual (VPC) de destino o una cuenta de servicio de destino.
- Las políticas de firewall se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de firewall de VPC normales son compatibles con las redes de VPC.
- Solo se puede asociar una política de firewall a un recurso (organización o carpeta), aunque las instancias de máquina virtual (VM) en una carpeta pueden heredar reglas de toda la jerarquía de recursos que está por encima de la VM.
- El registro de reglas de firewall es compatible con las reglas
allowydeny, pero no con las reglasgoto_next. - El protocolo IPv6 de salto por salto no es compatible con las reglas de firewall.
Tareas de políticas de firewall
En esta sección, se describe cómo crear y administrar políticas de firewall jerárquicas.
Para verificar el progreso de una operación que resulta de una tarea que se indica en esta sección, asegúrate de que tu principal de IAM tenga los siguientes permisos o roles además de los permisos o roles necesarios para cada tarea.
Crea una política de firewall
Cuando creas una política de firewall jerárquica, puedes establecer su elemento superior como la organización o una carpeta dentro de la organización. Después de crear la política, puedes asociarla con la organización o una carpeta de la organización.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o una carpeta dentro de ella.
Haz clic en Crear política de firewall.
En el campo Nombre de la política, ingresa un nombre para la política.
Opcional: Si deseas crear reglas para tu política, haz clic en Continuar.
En la sección Agregar reglas, haz clic en Crear regla de firewall.
Para obtener más información, consulta Crea una regla.
Opcional: Si deseas asociar la política a un recurso, haz clic en Continuar.
En la sección Asocia la política con los recursos, haz clic en Agregar.
Para obtener más información, consulta Asocia una política con la organización o la carpeta.
Haz clic en Crear.
gcloud
Ejecuta estos comandos para crear una política de firewall jerárquica cuya organización principal sea una organización:
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
Ejecuta estos comandos para crear una política de firewall jerárquica cuya política principal sea una carpeta dentro de una organización:
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
Reemplaza lo siguiente:
ORG_ID: El ID de la organizaciónEspecifica un ID de organización para crear una política cuya organización principal sea una organización. La política se puede asociar con la organización o una carpeta dentro de la organización.
SHORT_NAME: un nombre para la políticaUna política creada con Google Cloud CLI tiene dos nombres: uno generado por el sistema y otro corto proporcionado por ti. Cuando usas gcloud CLI para actualizar una política existente, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el nombre generado por el sistema.
FOLDER_ID: ID de una carpetaEspecifica un ID de carpeta para crear una política cuya carpeta superior sea una carpeta. La política se puede asociar con la organización que contiene la carpeta o con cualquier carpeta dentro de esa organización.
Asocia una política con la organización o la carpeta
Cuando asocias una política de firewall jerárquica con una organización o una carpeta de una organización, las reglas de la política de firewall (excepto las reglas inhabilitadas y sujetas al destino de cada regla) se aplican a los recursos de las redes de VPC en los proyectos de la organización o la carpeta asociadas.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociación.
Selecciona la raíz de la organización o carpetas dentro de la organización.
Haz clic en Agregar.
gcloud
De forma predeterminada, el método falla si intentas insertar una asociación en una organización o carpeta que ya tiene una asociación. Si especificas la marca --replace-association-on-target, la asociación existente se borra al mismo tiempo que se crea la asociación nueva. Esto evita que el recurso se quede sin una política durante la transición.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
Reemplaza lo siguiente:
POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política.ORG_ID: El ID de la organizaciónFOLDER_ID: Si asocias la política con una carpeta, especifícala aquí; no es necesario hacerlo si asocias la política con el nivel de la organizaciónASSOCIATION_NAME: Un nombre opcional para la asociación; si no se especifica, el nombre se configura como “organizaciónORG_ID” o “carpetaFOLDER_ID”.
Mueve una política de un recurso a otro
Mover una política solo cambia su política principal. Cambiar el elemento superior de la política puede cambiar qué principales de IAM pueden crear y actualizar reglas en la política, y qué principales de IAM pueden crear asociaciones futuras.
Mover una política no cambia ninguna asociación de política existente ni la evaluación de las reglas en la política.
Console
Usa la CLI de Google Cloud para este procedimiento.
gcloud
Ejecuta estos comandos para mover la política de firewall jerárquica a una organización:
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID
Ejecuta estos comandos para mover la política de firewall jerárquica a una carpeta de una organización:
gcloud compute firewall-policies move POLICY_NAME \
--folder FOLDER_ID
Reemplaza lo siguiente:
POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política que muevesORG_ID: Es el ID de la organización a la que se transfiere la política.FOLDER_ID: ID de la carpeta a la que se mueve la política
Actualiza una descripción de la política
El único campo de una política que se puede actualizar es el campo Descripción.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en Editar.
Modifica la descripción.
Haz clic en Guardar.
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
Enumera políticas
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Para una organización, en la sección Políticas de firewall asociadas a esta organización, se muestran las políticas asociadas. En la sección Políticas de firewall ubicadas en esta organización, se enumeran las políticas que son propiedad de la organización.
Para una carpeta, en la sección Políticas de firewall asociadas a esta carpeta o heredadas por esta carpeta, se muestran las políticas asociadas o heredadas por la carpeta. En la sección Políticas de firewall ubicadas en esta carpeta, se enumeran las políticas que son propiedad de la carpeta.
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
Describe una política
Puedes ver detalles sobre una política de firewall jerárquica, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se incluyen en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de reglas por política de firewall jerárquica" en la tabla Por política de firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
Borra una política
Antes de borrar una política de firewall jerárquica, debes borrar todas sus asociaciones.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.
gcloud
Usa el siguiente comando para borrar la política:
gcloud compute firewall-policies delete POLICY_NAME \
--organization ORG_ID
Enumera las asociaciones de un recurso
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Para el recurso seleccionado (organización o carpeta), aparece una lista de políticas asociadas y heredadas.
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
Borra una asociación
Si necesitas cambiar la política de firewall jerárquica asociada a una organización o carpeta, te recomendamos que asocies una política nueva en lugar de borrar una política asociada existente. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que una política de firewall jerárquica siempre esté asociada a la organización o la carpeta.
Para borrar una asociación entre una política de firewall jerárquica y una organización o carpeta, sigue los pasos que se mencionan en esta sección. Las reglas de la política de firewall jerárquica no se aplican a las conexiones nuevas después de que se borra su asociación.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociación.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
Tareas de reglas de políticas de firewall
En esta sección, se describe cómo crear y administrar reglas de políticas jerárquicas de firewall.
Crear una norma
Las reglas de las políticas de firewall jerárquicas deben crearse en una política de firewall jerárquica. Las reglas no se activarán hasta que asocies la política a un recurso.
Cada regla de política de firewall jerárquica puede incluir rangos de IPv4 o IPv6, pero no ambos.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en el nombre de la política.
Haz clic en Crear regla de firewall.
Propaga los campos de la regla:
- Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que
0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante. - Establece la recopilación de Registros como Activada o Desactivada.
- En Dirección del tráfico, especifica si esta es una regla de Entrada o de Salida.
- En Acción si hay coincidencia, elige una de las siguientes opciones:
- Permitir: Permite las conexiones que coinciden con la regla.
- Rechazar: Rechaza las conexiones que coinciden con la regla.
- Ir a siguiente: Pasa la evaluación de la conexión a la siguiente regla de firewall inferior en la jerarquía.
- Aplica el grupo de perfiles de seguridad: Envía los paquetes al extremo de firewall configurado para la inspección de la capa 7.
- En la lista Grupo de perfil de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
- Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS. Para obtener más información sobre cómo se evalúan las reglas y las acciones correspondientes para cada interfaz de red de la VM, consulta Orden de evaluación de reglas y políticas.
- Opcional: Puedes restringir la regla solo a ciertas redes si las especificas en el campo Redes de destino. Haz clic en Agregar red y, luego, selecciona el Proyecto y la Red. Puedes agregar varias redes de destino a una regla.
- Opcional: Puedes restringir la regla a las VMs que se ejecutan con acceso a determinadas cuentas de servicio si especificas las cuentas en el campo Cuenta de servicio de destino.
Opcional: Puedes seleccionar Etiquetas seguras para especificar fuentes para las reglas de entrada y objetivos para las reglas de entrada o salida en una política. Para obtener más información, consulta Crea y administra etiquetas seguras.
Para una regla de entrada, especifica el tipo de red de origen:
- Para filtrar el tráfico entrante que pertenece a cualquier tipo de red, selecciona Todos los tipos de redes.
- Para filtrar el tráfico entrante que pertenece a un tipo de red específico, selecciona Tipo de red específico.
- Para filtrar el tráfico entrante que pertenece al tipo de red de Internet (
INTERNET), selecciona Internet. - Para filtrar el tráfico entrante que pertenece al tipo de red que no es de Internet (
NON-INTERNET), selecciona Non-internet. - Para filtrar el tráfico entrante que pertenece al tipo de red de VPC interna (
INTRA_VPC), selecciona VPC interna. - Para filtrar el tráfico entrante que pertenece al tipo de redes de VPC (
VPC_NETWORKS), selecciona Redes de VPC y, luego, especifica una o más redes con el siguiente botón:- Seleccionar proyecto actual: Te permite agregar una o más redes del proyecto actual.
- Ingresar red de forma manual: Te permite ingresar un proyecto y una red de forma manual.
- Seleccionar proyecto: Te permite elegir un proyecto desde el que puedes elegir una red. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.
- Para filtrar el tráfico entrante que pertenece al tipo de red de Internet (
Para una regla de salida, especifica el tipo de red de destino:
- Para filtrar el tráfico saliente que pertenece a cualquier tipo de red, selecciona Todos los tipos de redes.
- Para filtrar el tráfico saliente que pertenece a un tipo de red específico, selecciona Tipo de red específico.
- Para filtrar el tráfico saliente que pertenece al tipo de red de Internet (
INTERNET), selecciona Internet. - Para filtrar el tráfico saliente que pertenece al tipo de red que no es de Internet (
NON-INTERNET), selecciona Non-internet. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.
- Para filtrar el tráfico saliente que pertenece al tipo de red de Internet (
Para una regla de Entrada, especifica el filtro Origen:
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier origen IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier origen IPv6.
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Para una regla de Salida, especifica el Filtro de destino:
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier destino de IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier destino de IPv6.
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Opcional: Si creas una regla de entrada, especifica los FQDN de origen a los que se aplica esta regla. Si creas una regla de salida, selecciona los FQDN de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombres de dominio, consulta Objetos FQDN.
Opcional: Si creas una regla de entrada, selecciona las ubicaciones geográficas de origen a las que se aplica esta regla. Si creas una regla de salida, selecciona las ubicaciones geográficas de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de ubicación geográfica, consulta Objetos de ubicación geográfica.
Opcional: Si creas una regla de entrada, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si creas una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.
Opcional: Si creas una regla de entrada, selecciona las listas de Threat Intelligence de Google Cloud de origen a las que se aplica esta regla. Si creas una regla de salida, selecciona las listas de Threat Intelligence de Google Cloud de destino a las que se aplica esta regla. Si deseas obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para las reglas de políticas de firewall.
Opcional: Para una regla de Entrada, especifica los filtros Destino:
- Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier destino de IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de destino, selecciona Rangos de IPv6 e ingresa los bloques de CIDR en el campo Rangos de IPv6 de destino. Usa
::/0para cualquier destino de IPv6. Si deseas obtener más información, consulta Destinos para las reglas de entrada.
- Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
Opcional: Para una regla de Salida, especifica el filtro Origen:
- Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
0.0.0.0/0para cualquier origen IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa
::/0para cualquier origen IPv6. Para obtener más información, consulta Fuentes para las reglas de salida.
- Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa
En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica la regla.
Para especificar ICMP de IPv4, usa
icmpo el número de protocolo1. Para especificar ICMP de IPv6, usa el número de protocolo58. Para obtener más información sobre los protocolos, consulta Protocolos y puertos.Haz clic en Crear.
- Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que
Haz clic en Crear regla de firewall para agregar otra regla.
gcloud
Para crear una regla de entrada, usa el siguiente comando:
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources TARGET_NETWORKS] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red jerárquica que contiene la regla nueva.ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.DESCRIPTION: Es una descripción opcional para la regla nueva.ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.apply_security_profile_group: envía de forma transparente los paquetes al extremo de firewall configurado para la inspección de la capa 7. Cuando la acción esapply_security_profile_group, sucede lo siguiente:- Debes incluir
--security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. - Incluye
--tls-inspecto--no-tls-inspectpara habilitar o inhabilitar la inspección de TLS.
- Debes incluir
goto_next: Continúa con el siguiente paso del proceso de evaluación de reglas de firewall.
- Los parámetros
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Los parámetros
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). - Especifica un objetivo:
TARGET_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formatohttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.TARGET_SECURE_TAGS: Es una lista de etiquetas seguras separadas por comas. Los valores de etiquetas seguras de destino deben provenir de una clave de etiqueta segura con datos de propósito de la organización.TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas.- Si omites los parámetros
target-resources,--target-secure-tagsy--target-service-accounts, la regla se aplica al objetivo más amplio.
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de un protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de un protocolo IP (
- Especifica un origen para la regla de entrada:
SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.SRC_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.SRC_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.SRC_SECURE_TAGS: Es una lista de etiquetas separadas por comas. No puedes usar el parámetro--src-secure-tagssi--src-network-typeesINTERNET.SRC_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica. No puedes usar el parámetro--src-region-codessi--src-network-typeesNON_INTERNET,VPC_NETWORKoINTRA_VPC.SRC_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall. No puedes usar el parámetro--src-threat-intelligencesi--src-network-typeesNON_INTERNET,VPC_NETWORKoINTRA_VPC.SRC_NETWORK_TYPE: Define los tipos de redes de origen que se usarán junto con otro parámetro de destino admitido para producir una combinación de destino específica. Los valores válidos sonINTERNET,NON_INTERNET,VPC_NETWORKoINTRA_VPC. Para obtener más información, consulta Tipos de redes.SRC_VPC_NETWORK: Es una lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica este parámetro solo cuando--src-network-typeesVPC_NETWORKS.
- De manera opcional, especifica un destino para la regla de entrada:
DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDR IPv4 o CIDR IPv6, no una combinación de ambos.
Para crear una regla de salida, usa el siguiente comando:
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources TARGET_NETWORKS] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
Reemplaza lo siguiente:
PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo,100,200,300) para que puedas crear reglas nuevas entre las existentes más adelante.POLICY_NAME: Es el nombre de la política de firewall de red jerárquica que contiene la regla nueva.ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.DESCRIPTION: Es una descripción opcional para la regla nueva.ACTION: Especifica una de las siguientes acciones:allow: Permite las conexiones que coinciden con la regla.deny: Rechaza las conexiones que coinciden con la regla.apply_security_profile_group: envía de forma transparente los paquetes al extremo de firewall configurado para la inspección de la capa 7. Cuando la acción esapply_security_profile_group, sucede lo siguiente:- Debes incluir
--security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. - Incluye
--tls-inspecto--no-tls-inspectpara habilitar o inhabilitar la inspección de TLS.
- Debes incluir
goto_next: Continúa con el siguiente paso del proceso de evaluación de reglas de firewall.
- Los parámetros
--enable-loggingy--no-enable-logginghabilitan o inhabilitan el registro de reglas de firewall. - Los parámetros
--disabledy--no-disabledcontrolan si la regla está inhabilitada (no se aplica) o habilitada (se aplica). - Especifica un objetivo:
TARGET_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formatohttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.TARGET_SECURE_TAGS: Es una lista de etiquetas seguras separadas por comas. Los valores de etiquetas seguras de destino deben provenir de una clave de etiqueta segura con datos de propósito de la organización.TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas.- Si omites los parámetros
target-resources,--target-secure-tagsy--target-service-accounts, la regla se aplica al objetivo más amplio.
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:- Nombre de un protocolo IP (
tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino. - Nombre del protocolo de IP y puerto de destino separados por dos puntos (
tcp:80). - Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (
tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
- Nombre de un protocolo IP (
- De manera opcional, especifica un origen para la regla de salida:
SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- Especifica un destino para la regla de salida:
DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDR IPv4 o CIDR IPv6, no una combinación de ambos.DEST_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.DEST_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.DEST_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.DEST_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.DEST_NETWORK_TYPE: Define los tipos de redes de destino que se usarán junto con otro parámetro de destino admitido para producir una combinación de destino específica. Los valores válidos sonINTERNETyNON_INTERNET. Para obtener más información, consulta Tipos de redes.
Enumera todas las reglas en una política
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política. Las reglas se enumeran en la pestaña Reglas de firewall.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
Describe una regla
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
Reemplaza lo siguiente:
PRIORITY: Es la prioridad de la regla que quieres ver; debido a que cada regla debe tener una prioridad única, esta configuración identifica de forma exclusiva a una reglaORG_ID: El ID de la organizaciónPOLICY_NAME: el nombre corto o el nombre generado por el sistema de la política que contiene la regla
Actualiza una regla
Para obtener descripciones de los campos, consulta Crea una regla.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos que deseas cambiar.
Haz clic en Guardar.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
Clona reglas de una política a otra
Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política de la que deseas copiar reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Si deseas asociar la política nueva de inmediato, haz clic en Continuar para abrir la sección Asociar política con recursos.
Haz clic en Clonar.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
Reemplaza los siguientes elementos:
POLICY_NAME: La política que recibirá las reglas copiadasORG_ID: El ID de la organizaciónSOURCE_POLICY: La política de la que se deben copiar las reglas; debe ser la URL del recurso
Borrar una regla
Si borras una regla de una política, esta dejará de aplicarse a las conexiones nuevas hacia el destino de la regla o desde él.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
Reemplaza los siguientes elementos:
PRIORITY: La prioridad de la regla que deseas borrar de la políticaORG_ID: El ID de la organizaciónPOLICY_NAME: La política que contiene la regla
Obtén reglas de firewall efectivas para una red
Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a todas las regiones de una red de VPC.
Console
En la consola de Google Cloud , ve a la página Redes de VPC.
Haz clic en la red para la que deseas ver las reglas de la política de firewall.
Haz clic en Firewalls.
Expande cada política de firewall para ver las reglas que se aplican a esta red.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Reemplaza NETWORK_NAME por la red para la que deseas ver las reglas vigentes.
También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.
Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.
Obtén reglas de firewall efectivas para una interfaz de VM
Puedes ver todas las reglas de firewall (de todas las políticas de firewall aplicables y las reglas de firewall de VPC) que se aplican a una interfaz de red de una VM de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Instancias de VM.
En el menú de selección de proyectos, selecciona el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en la interfaz.
Las reglas de firewall efectivas aparecen en la pestaña Firewalls disponible en la sección Análisis de configuración de red.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Reemplaza lo siguiente:
INSTANCE_NAME: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0).INTERFACE: Es la interfaz de la VM para la que deseas ver las reglas efectivas; el valor predeterminado esnic0.ZONE: la zona de la VM. Esta línea es opcional si la zona deseada ya está configurada como predeterminada.
Soluciona problemas
En esta sección, se incluyen explicaciones para los mensajes de error que puedes encontrar.
FirewallPolicy may not specify a name. One will be provided.No puedes especificar un nombre de política. Los “nombres” de la política jerárquica de firewall son IDs numéricos que genera Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.
FirewallPolicy may not specify associations on creation.Las asociaciones solo se pueden crear después de que se crean las políticas jerárquicas de firewall.
Can not move firewall policy to a different organization.Las transferencias de políticas jerárquicas de firewall deben permanecer dentro de la misma organización.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.Si un recurso ya está adjunto a una política jerárquica de firewall, la operación de adjunto fallará, a menos que la opción para reemplazar las asociaciones existentes esté configurada como verdadera.
Cannot have rules with the same priorities.Las prioridades de las reglas deben ser únicas en una política jerárquica de firewall.
Direction must be specified on firewall policy rule.Cuando se crean reglas de políticas jerárquicas de firewall mediante el envío directo de solicitudes de REST, se debe especificar la dirección de la regla. Cuando se usa Google Cloud CLI y no se especifica ninguna dirección, el valor predeterminado es
INGRESS.Can not specify enable_logging on a goto_next rule.El registro de firewall no está permitido en las reglas con acción goto_next, ya que las acciones goto_next se usan para representar el orden de evaluación de diferentes políticas de firewall, y no son acciones de la terminal, es decir, PERMITIR o RECHAZAR.
Must specify at least one destination on Firewall policy rule.La marca
layer4Configsen la regla de política de firewall debe especificar al menos un protocolo o un protocolo y un puerto de destino.Si quieres obtener más información para solucionar problemas de reglas de políticas de firewall, consulta Solución de problemas de las reglas de firewall de VPC.