Utilizar reglas y políticas de cortafuegos jerárquicas

En esta página se da por hecho que conoces los conceptos descritos en el artículo Información general sobre las políticas de cortafuegos jerárquicas. Para ver ejemplos de implementaciones de políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Limitaciones

Las reglas de las políticas de cortafuegos jerárquicas no admiten el uso de etiquetas de red para definir destinos. En su lugar, debes usar una red de nube privada virtual (VPC) de destino o una cuenta de servicio de destino.
Las políticas de cortafuegos se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de cortafuegos de VPC normales se admiten en las redes de VPC.
Solo se puede asociar una política de cortafuegos a un recurso (carpeta u organización), aunque las instancias de máquina virtual (VM) de una carpeta pueden heredar reglas de toda la jerarquía de recursos que haya por encima de la VM.
La función Registro de reglas de cortafuegos se admite en las reglas allow y deny, pero no en las reglas goto_next.
El protocolo de salto a salto de IPv6 no se admite en las reglas de cortafuegos.

Tareas de políticas de cortafuegos

En esta sección se describe cómo crear y gestionar políticas de firewall jerárquicas.

Para comprobar el progreso de una operación que se deriva de una tarea que se indica en esta sección, asegúrate de que tu principal de gestión de identidades y accesos tenga los siguientes permisos o roles además de los permisos o roles necesarios para cada tarea.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la organización

Crear una política de cortafuegos

Cuando creas una política de cortafuegos jerárquica, puedes definir como elemento superior la organización o una carpeta de la organización. Después de crear la política, puedes asociarla a la organización o a una carpeta de la organización.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.create

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la organización o carpeta en la que quieras crear la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la organización o la carpeta en la que quieras crear la política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, elige el ID de tu organización o una carpeta de tu organización.
Haz clic en Crear política de cortafuegos.
En el campo Nombre de la política, introduce un nombre para la política.
Opcional: Si quiere crear reglas para su política, haga clic en Continuar.
En la sección Añadir reglas, haga clic en Crear regla de cortafuegos. Para obtener más información sobre cómo crear reglas de cortafuegos, consulta lo siguiente:
- Crear una regla de entrada para los destinos de VM
- Crear una regla de salida para destinos de VM
Opcional: Si quieres asociar la política a un recurso, haz clic en Continuar.
En la sección Asociar política a recursos, haga clic en Añadir.

Para obtener más información, consulta Asociar una política a la organización o a la carpeta.
Haz clic en Crear.

gcloud

Ejecuta estos comandos para crear una política de cortafuegos jerárquica cuya organización principal sea una organización:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Ejecuta estos comandos para crear una política de cortafuegos jerárquica cuyo elemento superior sea una carpeta de una organización:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Haz los cambios siguientes:

ORG_ID: el ID de tu organización

Especifica un ID de organización para crear una política cuya organización superior sea una organización. La política se puede asociar a la organización o a una carpeta de la organización.
SHORT_NAME: nombre de la política

Una política creada con la CLI de Google Cloud tiene dos nombres: uno generado por el sistema y otro corto que proporcionas tú. Cuando uses la CLI de gcloud para actualizar una política, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando utilice la API para actualizar la política, debe proporcionar el nombre generado por el sistema.
FOLDER_ID: el ID de una carpeta

Especifica un ID de carpeta para crear una política cuyo elemento superior sea una carpeta. La política se puede asociar a la organización que contiene la carpeta o a cualquier carpeta de esa organización.

Asociar una política a la organización o a la carpeta

Cuando asocias una política de cortafuegos jerárquica a una organización o a una carpeta de una organización, las reglas de la política de cortafuegos (excepto las inhabilitadas y en función del destino de cada regla) se aplican a los recursos de las redes de VPC de los proyectos de la organización o la carpeta asociadas.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Roles

Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en la organización o carpeta a la que se debe aplicar la política de cortafuegos
Además, debe tener uno de los siguientes roles:
- Administrador de red de Compute (roles/compute.networkAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser ) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Administrador de políticas de seguridad de organización de Compute (roles/compute.orgSecurityPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Usuario de políticas de seguridad de organización de Compute (roles/compute.orgSecurityPolicyUser) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga tu política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Añadir asociación.
Selecciona la raíz de la organización o las carpetas de la organización.
Haz clic en Añadir.

gcloud

De forma predeterminada, si intentas insertar una asociación en una organización o una carpeta que ya tiene una asociación, el método falla. Si especificas la marca --replace-association-on-target, la asociación se eliminará al mismo tiempo que se cree la nueva. De esta forma, el recurso no se quedará sin una política durante la transición.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Haz los cambios siguientes:

POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política
ORG_ID: el ID de tu organización
FOLDER_ID: si vas a asociar la política a una carpeta, especifícala aquí. Omítelo si vas a asociar la política a nivel de organización.
ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se asigna a "organización ORG_ID" o "carpeta FOLDER_ID".

Mover una política de un recurso a otro

Al mover una política, solo se cambia su elemento superior. Si cambias el elemento superior de la política, es posible que cambien las entidades de gestión de identidades y accesos que pueden crear y actualizar reglas en la política, así como las que pueden crear asociaciones en el futuro.

Al mover una política, no se modifican las asociaciones de políticas ni la evaluación de las reglas de la política.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.move

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el nuevo recurso principal (organización o carpeta) y en el recurso principal anterior o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el nuevo recurso principal (organización o carpeta) y en el recurso principal anterior o en la propia política

Consola

Usa Google Cloud CLI para llevar a cabo este procedimiento.

gcloud

Ejecuta estos comandos para mover la política de cortafuegos jerárquica a una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Ejecuta estos comandos para mover la política de cortafuegos jerárquica a una carpeta de una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Haz los cambios siguientes:

POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política que vas a mover
ORG_ID: el ID de la organización a la que se transfiere la política
FOLDER_ID: el ID de la carpeta a la que se mueve la política

Actualizar la descripción de una política

El único campo de política que se puede actualizar es el de Descripción.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en Editar.
Modifica la descripción.
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mostrar políticas

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.list

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

En el caso de una organización, la sección Políticas de cortafuegos asociadas a esta organización muestra las políticas asociadas. En la sección Políticas de cortafuegos ubicadas en esta organización se muestran las políticas que son propiedad de la organización.

En el caso de una carpeta, la sección Políticas de cortafuegos asociadas a esta carpeta o heredadas por ella muestra las políticas asociadas a la carpeta o heredadas por ella. En la sección Políticas de cortafuegos ubicadas en esta carpeta se muestran las políticas que pertenecen a la carpeta.

Nota: Es posible que las políticas que pertenecen a un recurso (organización o carpeta) no estén asociadas a ese recurso, pero sí se pueden asociar a ese u otros recursos.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Describe una política

Puedes ver los detalles de una política de cortafuegos jerárquica, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se tienen en cuenta en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de reglas por política de cortafuegos jerárquica" en la tabla Por política de cortafuegos.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.get

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminar una política

Para poder eliminar una política de cortafuegos jerárquica, debes eliminar todas sus asociaciones.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.delete

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política que quieras eliminar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

Usa el siguiente comando para eliminar la política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mostrar asociaciones de un recurso

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.organizations.listAssociations

Roles

Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
En el recurso seleccionado (organización o carpeta), se muestra una lista de las políticas asociadas y heredadas.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Eliminar una asociación

Si necesitas cambiar la política de cortafuegos jerárquica asociada a una organización o una carpeta, te recomendamos que asocies una nueva política en lugar de eliminar una política asociada. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que una política de cortafuegos jerárquica siempre esté asociada a la organización o a la carpeta.

Para eliminar una asociación entre una política de cortafuegos jerárquica y una organización o una carpeta, sigue los pasos que se indican en esta sección. Las reglas de la política de cortafuegos jerárquica no se aplican a las conexiones nuevas después de que se elimine su asociación.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.organizations.setFirewallPolicy

Roles

Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en el recurso principal (organización o carpeta) al que está asociada la política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieras eliminar.
Haz clic en Quitar asociación.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tareas de reglas de políticas de cortafuegos

En esta sección se describe cómo crear y gestionar reglas de políticas de firewall jerárquicas.

Crear una regla de entrada para destinos de VM

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política

En esta sección se describe cómo crear una regla de entrada que se aplique a las interfaces de red de las instancias de Compute Engine.

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En la lista del selector de proyectos, selecciona una organización o una carpeta que contenga una política de cortafuegos jerárquica.
Si es necesario, en la sección Índice de jerarquía, selecciona una subcarpeta.
En la sección Políticas de cortafuegos, haz clic en el nombre de la política de cortafuegos jerárquica en la que quieras crear una regla.
En la sección Reglas de cortafuegos, haga clic en Crear regla de cortafuegos y especifique los siguientes parámetros de configuración:
1. Prioridad: el orden de evaluación numérico de la regla.
  
  Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
2. Descripción: proporciona una descripción opcional.
3. Dirección del tráfico: selecciona Entrada.
4. Acción tras coincidencia: selecciona una de las siguientes opciones:
  - Permitir: para permitir las conexiones que coincidan con los parámetros de la regla.
  - Denegar: para bloquear las conexiones que coincidan con los parámetros de la regla.
  - Ir al siguiente: para continuar con el proceso de evaluación de la regla de cortafuegos.
  - Aplicar grupo de perfiles de seguridad: envía los paquetes a un endpoint de firewall o a un grupo de endpoints de interceptación en función del propósito que selecciones.
    - Para enviar paquetes a un endpoint de firewall de Cloud NGFW, selecciona Cloud NGFW Enterprise y, a continuación, Grupo de perfiles de seguridad. Para habilitar la inspección TLS de los paquetes, selecciona Habilitar inspección TLS.
    - Para enviar paquetes a un grupo de endpoints de interceptación de integración de seguridad de red para la integración en banda, selecciona NSI In-Band (Integración en banda de NSI) y, a continuación, un grupo de perfiles de seguridad.
5. Registros: selecciona Activado para habilitar el registro de reglas de cortafuegos o Desactivado para inhabilitarlo en esta regla.
6. Redes de destino: si quiere que la política de cortafuegos se aplique a destinos de redes de VPC específicas, haga clic en Añadir red y, a continuación, seleccione el proyecto y la red.
7. Objetivo: seleccione una de las siguientes opciones:
  - Aplicar a todos: Cloud NGFW usa los destinos de instancia más amplios.
  - Cuentas de servicio: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especifiques en Cuenta de servicio de destino.
  - Etiquetas seguras: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especifiques. Haz clic en Seleccionar ámbito de las etiquetas y selecciona la organización o el proyecto que contenga los valores de etiqueta que quieras que coincidan. Para añadir más valores de etiqueta, haz clic en Añadir etiqueta.
8. Tipo de red de origen: especifica un tipo de red:
  - Para no filtrar el tráfico entrante por tipo de red, selecciona Todos los tipos de red.
  - Para filtrar el tráfico entrante a un tipo de red específico, selecciona Tipo de red específico y, a continuación, un tipo de red:
    - Internet: el tráfico entrante debe coincidir con el tipo de red de Internet para los paquetes de entrada.
    - Sin Internet: el tráfico entrante debe coincidir con el tipo de red sin Internet para los paquetes de entrada.
    - Intra-VPC: el tráfico entrante debe coincidir con los criterios del tipo de red intra-VPC.
    - Redes de VPC: el tráfico entrante debe coincidir con los criterios del tipo de red de VPC. Debe seleccionar al menos una red VPC:
      - Seleccionar proyecto actual: te permite añadir una o varias redes de VPC del proyecto que contiene la política de cortafuegos.
      - Introducir red manualmente: te permite introducir manualmente un proyecto y una red de VPC.
      - Seleccionar proyecto: te permite seleccionar un proyecto desde el que puedes elegir una red de VPC.
9. Filtros de origen: especifica parámetros de origen adicionales. Algunos parámetros de origen no se pueden usar juntos, y el tipo de red de origen que elijas limita los parámetros de origen que puedes usar. Para obtener más información, consulta las fuentes de las reglas de entrada y las combinaciones de fuentes de reglas de entrada.
  - Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
  - Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6.
  - Para filtrar el tráfico entrante por los valores de las etiquetas seguras de origen, seleccione Seleccionar ámbito de las etiquetas en la sección Etiquetas seguras. A continuación, proporciona las claves y los valores de las etiquetas. Para añadir más valores de etiqueta, haz clic en Añadir etiqueta.
  - Para filtrar el tráfico entrante por FQDN de origen, introduzca los FQDNs en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
  - Para filtrar el tráfico entrante por geolocalización de la fuente, seleccione una o varias ubicaciones en el campo Geolocalizaciones. Para obtener más información, consulta Objetos de geolocalización.
  - Para filtrar el tráfico entrante por grupo de direcciones de origen, selecciona uno o varios grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta el artículo Grupos de direcciones para políticas de firewall.
  - Para filtrar el tráfico entrante por listas de Google Threat Intelligence de origen, seleccione una o varias listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.
10. Destino: especifica parámetros de destino opcionales. Para obtener más información, consulta Destinos de las reglas de entrada.
  - Para no filtrar el tráfico entrante por dirección IP de destino, seleccione Ninguno.
  - Para filtrar el tráfico entrante por dirección IP de destino, selecciona IPv4 o IPv6 y, a continuación, introduce uno o varios CIDRs con el mismo formato que se usa para los intervalos IPv4 o IPv6 de origen.
11. Protocolos y puertos: especifica los protocolos y los puertos de destino del tráfico que debe coincidir con la regla. Para obtener más información, consulta Protocolos y puertos.
12. Aplicación: especifica si la regla de cortafuegos se aplica o no:
  - Habilitado: crea la regla y empieza a aplicarla a las conexiones nuevas.
  - Inhabilitada: crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Haz los cambios siguientes:

PRIORITY: el orden de evaluación numérico de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
POLICY_NAME: el nombre de la política de cortafuegos jerárquica en la que quieres crear la regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica, si su elemento superior es una organización.
FOLDER_ID: el ID de la carpeta que contiene la política de cortafuegos jerárquica, si su elemento superior es una carpeta.
DESCRIPTION: una descripción opcional de la nueva regla.
ACTION: especifica una de las siguientes acciones:
- allow: permite las conexiones que coincidan con la regla.
- deny: deniega las conexiones que coinciden con la regla.
- goto_next: continúa el proceso de evaluación de reglas de cortafuegos.
- apply_security_profile_group: envía los paquetes a un endpoint de firewall o a un grupo de endpoints de interceptación.
  - Cuando la acción es apply_security_profile_group, debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfil de seguridad.
  - El perfil de seguridad del grupo de perfiles de seguridad puede hacer referencia a un endpoint de firewall de Cloud NGFW o a un grupo de endpoints de intercepción de integración de seguridad de red para la integración en banda.
  - Si el perfil de seguridad del grupo de perfiles de seguridad hace referencia a un endpoint de firewall de Cloud NGFW, incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección de TLS.
Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un objetivo:
- Si omite las marcas --target-resources, --target-secure-tags y --target-service-accounts, Cloud NGFW usará los objetivos de instancia más amplios.
- TARGET_NETWORKS: lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. La marca --target-resources se puede usar sola o en combinación con otra marca de destino. Para obtener más información, consulta Combinaciones de segmentación específicas.
- TARGET_SECURE_TAGS: lista separada por comas de valores de etiqueta segura que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura.
- TARGET_SERVICE_ACCOUNTS: lista separada por comas de cuentas de servicio que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
LAYER_4_CONFIGS: lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
- Un nombre de protocolo IP (tcp) o un número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
Especifica un origen para la regla de entrada. Para obtener más información, consulta las combinaciones de fuentes de reglas de entrada:
- SRC_NETWORK_TYPE: define los tipos de redes de origen que se van a usar junto con otro parámetro de origen admitido para generar una combinación de origen. Los valores válidos cuando --target-type=INSTANCES son INTERNET, NON_INTERNET, VPC_NETWORKS o INTRA_VPC. Para obtener más información, consulta Tipos de redes.
- SRC_VPC_NETWORKS: lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando --src-network-type sea VPC_NETWORKS.
- SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- SRC_ADDRESS_GROUPS: lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.
- SRC_DOMAIN_NAMES: una lista de objetos de FQDN separados por comas especificados en el formato de nombre de dominio.
- SRC_SECURE_TAGS: una lista de etiquetas separadas por comas. No puedes usar la marca --src-secure-tags si --src-network-type es INTERNET.
- SRC_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización. No puedes usar la marca --src-region-codes si el --src-network-type es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
- SRC_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall. No puedes usar la marca --src-threat-intelligence si el valor de --src-network-type es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
De forma opcional, especifica un destino para la regla de entrada:
- DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Crear una regla de salida para destinos de VM

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política

En las siguientes instrucciones se muestra cómo crear una regla de salida. Las reglas de salida solo se aplican a los destinos que son interfaces de red de instancias de Compute Engine.

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En la lista del selector de proyectos, selecciona una organización o una carpeta que contenga una política de cortafuegos jerárquica.
Si es necesario, en la sección Índice de jerarquía, selecciona una subcarpeta.
En la sección Políticas de cortafuegos, haz clic en el nombre de la política de cortafuegos jerárquica en la que quieras crear una regla.
En la sección Reglas de cortafuegos, haga clic en Crear regla de cortafuegos y especifique los siguientes parámetros de configuración:
1. Prioridad: el orden de evaluación numérico de la regla.
  
  Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
2. Descripción: proporciona una descripción opcional.
3. Dirección del tráfico: selecciona Salida.
4. Acción tras coincidencia: selecciona una de las siguientes opciones:
  - Permitir: para permitir las conexiones que coincidan con los parámetros de la regla.
  - Denegar: para bloquear las conexiones que coincidan con los parámetros de la regla.
  - Ir al siguiente: para continuar con el proceso de evaluación de la regla de cortafuegos.
  - Aplicar grupo de perfiles de seguridad: envía los paquetes a un endpoint de firewall o a un grupo de endpoints de interceptación en función del propósito que selecciones.
    - Para enviar paquetes a un endpoint de firewall de Cloud NGFW, selecciona Cloud NGFW Enterprise y, a continuación, Grupo de perfiles de seguridad. Para habilitar la inspección TLS de los paquetes, selecciona Habilitar inspección TLS.
    - Para enviar paquetes a un grupo de endpoints de interceptación de integración de seguridad de red para la integración en banda, selecciona NSI In-Band (Integración en banda de NSI) y, a continuación, un grupo de perfiles de seguridad.
5. Registros: selecciona Activado para habilitar el registro de reglas de cortafuegos o Desactivado para inhabilitarlo en esta regla.
6. Redes de destino: si quiere que la política de cortafuegos se aplique a destinos de redes de VPC específicas, haga clic en Añadir red y, a continuación, seleccione el proyecto y la red.
7. Objetivo: seleccione una de las siguientes opciones:
  - Aplicar a todos: Cloud NGFW usa los destinos de instancia más amplios.
  - Cuentas de servicio: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especifiques en Cuenta de servicio de destino.
  - Etiquetas seguras: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especifiques. Haz clic en Seleccionar ámbito de las etiquetas y selecciona la organización o el proyecto que contenga los valores de etiqueta que quieras que coincidan. Para añadir más valores de etiqueta, haz clic en Añadir etiqueta.
8. Tipo de red de destino: especifica un tipo de red:
  - Para no filtrar el tráfico saliente por tipo de red, selecciona Todos los tipos de red.
  - Para filtrar el tráfico saliente a un tipo de red específico, selecciona Tipo de red específico y, a continuación, un tipo de red:
    - Internet: el tráfico saliente debe coincidir con el tipo de red de Internet para los paquetes de salida.
    - Sin Internet: el tráfico saliente debe coincidir con el tipo de red sin Internet para los paquetes de salida.
9. Filtros de destino: especifica parámetros de destino adicionales. Algunos parámetros de destino no se pueden usar juntos, y el tipo de red de destino que elijas limita los filtros de destino que puedes usar. Para obtener más información, consulta Destinos de las reglas de salida y Combinaciones de destinos de reglas de salida.
  - Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
  - Para filtrar el tráfico saliente por intervalos de IPv6 de destino, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier destino IPv6.
  - Para filtrar el tráfico saliente por FQDN de destino, introduce FQDNs en el campo FQDNs (FQDNs). Para obtener más información, consulta Objetos FQDN.
  - Para filtrar el tráfico saliente por geolocalización de destino, seleccione una o varias ubicaciones en el campo Geolocalizaciones. Para obtener más información, consulta Objetos de geolocalización.
  - Para filtrar el tráfico saliente por grupo de direcciones de destino, seleccione uno o varios grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
  - Para filtrar el tráfico saliente por listas de Google Threat Intelligence de destino, seleccione una o varias listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall.
10. Fuente: especifica parámetros de origen opcionales. Para obtener más información, consulta Fuentes de las reglas de salida.
  - Para omitir el filtrado del tráfico saliente por dirección IP de origen, seleccione Ninguno.
  - Para filtrar el tráfico saliente por dirección IP de origen, seleccione IPv4 o IPv6 y, a continuación, introduzca uno o varios CIDRs con el mismo formato que se utiliza para los intervalos IPv4 o IPv6 de destino.
11. Protocolos y puertos: especifica los protocolos y los puertos de destino del tráfico que debe coincidir con la regla. Para obtener más información, consulta Protocolos y puertos.
12. Aplicación: especifica si la regla de cortafuegos se aplica o no:
  - Habilitado: crea la regla y empieza a aplicarla a las conexiones nuevas.
  - Inhabilitada: crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Haz los cambios siguientes:

PRIORITY: el orden de evaluación numérico de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
POLICY_NAME: el nombre de la política de cortafuegos jerárquica en la que quieres crear la regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica, si su elemento superior es una organización.
FOLDER_ID: el ID de la carpeta que contiene la política de cortafuegos jerárquica, si su elemento superior es una carpeta.
DESCRIPTION: una descripción opcional de la nueva regla.
ACTION: especifica una de las siguientes acciones:
- allow: permite las conexiones que coincidan con la regla.
- deny: deniega las conexiones que coinciden con la regla.
- goto_next: continúa el proceso de evaluación de reglas de cortafuegos.
- apply_security_profile_group: envía los paquetes a un endpoint de firewall o a un grupo de endpoints de interceptación.
  - Cuando la acción es apply_security_profile_group, debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfil de seguridad.
  - El perfil de seguridad del grupo de perfiles de seguridad puede hacer referencia a un endpoint de firewall de Cloud NGFW o a un grupo de endpoints de intercepción de integración de seguridad de red para la integración en banda.
  - Si el perfil de seguridad del grupo de perfiles de seguridad hace referencia a un endpoint de firewall de Cloud NGFW, incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección de TLS.
Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un objetivo:
- Si omite las marcas --target-resources, --target-secure-tags y --target-service-accounts, Cloud NGFW usará los objetivos de instancia más amplios.
- TARGET_NETWORKS: lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. La marca --target-resources se puede usar sola o en combinación con otra marca de destino. Para obtener más información, consulta Combinaciones de segmentación específicas.
- TARGET_SECURE_TAGS: lista separada por comas de valores de etiqueta segura que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura.
- TARGET_SERVICE_ACCOUNTS: lista separada por comas de cuentas de servicio que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
LAYER_4_CONFIGS: lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
- Un nombre de protocolo IP (tcp) o un número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
Especifica un destino para la regla de salida. Para obtener más información, consulta las combinaciones de destinos de reglas de salida:
- DEST_NETWORK_TYPE: define los tipos de red de destino que se van a usar junto con otro parámetro de destino admitido para generar una combinación de destino. Los valores válidos son INTERNET y NON_INTERNET. Para obtener más información, consulta Tipos de redes.
- DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- DEST_ADDRESS_GROUPS: lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.
- DEST_DOMAIN_NAMES: una lista de objetos de FQDN separados por comas especificados en el formato de nombre de dominio.
- DEST_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización.
- DEST_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall.
Si quiere, puede especificar un origen para la regla de salida:
- SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Mostrar todas las reglas de una política

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.get

Roles

Administrador de red de Compute (roles/compute.networkAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política
Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política. Las reglas se muestran en la pestaña Reglas de cortafuegos.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Haz los cambios siguientes:

POLICY_NAME: el nombre de la política de cortafuegos jerárquica que contiene la regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.

Describe una regla

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.get

Roles

Administrador de red de Compute (roles/compute.networkAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política
Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Haz los cambios siguientes:

POLICY_NAME: el nombre de la política de cortafuegos jerárquica que contiene la nueva regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.

Actualizar una regla

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú del selector de proyectos, selecciona la organización o la carpeta que contenga la política de cortafuegos jerárquica.
Haga clic en el nombre de la política de cortafuegos jerárquica que contenga la regla que quiera actualizar.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos de la regla de cortafuegos que quieras cambiar. Para ver las descripciones de cada campo, consulte uno de los siguientes artículos:
- Crear una regla de entrada para los destinos de VM
- Crear una regla de salida para destinos de VM
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Haz los cambios siguientes:

PRIORITY: número de prioridad que identifica de forma única la regla.
POLICY_NAME: nombre de la política que contiene la regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.

Proporciona las marcas que quieras modificar. Para ver las descripciones de las marcas, consulta uno de los siguientes artículos:

Crear una regla de entrada para destinos de VM
Crear una regla de salida para destinos de VM

Clonar reglas de una política a otra

Quita todas las reglas de la política de destino y sustitúyelas por las reglas de la política de origen.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.copyRules

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política de la que quieras copiar las reglas.
En la parte superior de la pantalla, haz clic en Clonar.
Indica el nombre de una política de destino.
Si quieres asociar la nueva política inmediatamente, haz clic en Continuar para abrir la sección Asociar política a recursos.
Haz clic en Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Haz los cambios siguientes:

POLICY_NAME: la política para recibir las reglas copiadas
SOURCE_POLICY: la política de la que se van a copiar las reglas. Debe ser la URL del recurso.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.

Eliminar una regla

Si se elimina una regla de una política, la regla dejará de aplicarse a las nuevas conexiones hacia o desde el destino de la regla.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Selecciona la regla que quieras eliminar.
Haz clic en Eliminar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Haz los cambios siguientes:

PRIORITY: la prioridad de la regla que quieres eliminar de la política.
POLICY_NAME: el nombre de la política de cortafuegos jerárquica que contiene la regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.

Obtener las reglas de cortafuegos vigentes de una red

Puede ver todas las reglas de políticas de cortafuegos de jerarquía, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales que se aplican a todas las regiones de una red de VPC.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Roles

Administrador de red de Compute (roles/compute.networkAdmin) en el proyecto que contiene la red o
Usuario de red de Compute (roles/compute.networkUser) en el proyecto que contiene la red o
Lector de red de Compute (roles/compute.networkViewer) en el proyecto que contiene la red o
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la red o
Lector de Compute (roles/compute.viewer) en el proyecto que contiene la red

Consola

En la Google Cloud consola, ve a la página Redes de VPC.

Ir a redes de VPC
Haga clic en la red de la que quiera ver las reglas de la política de cortafuegos.
Haz clic en Firewalls.
Despliega cada política de cortafuegos para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sustituye NETWORK_NAME por la red de la que quieras ver las reglas vigentes.

También puede ver las reglas de cortafuegos efectivas de una red en la página Cortafuegos.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.organizations.listAssociations en la red
Opcional: resourcemanager.folders.get y resourcemanager.organizations.get para ver la información de las columnas Heredado de y Ubicación

Roles

Para ver las reglas de cortafuegos, haz lo siguiente:

compute.orgSecurityResourceAdmin
compute.viewer

Opcional: Para ver información en las columnas Heredado de y Ubicación, haz lo siguiente:

browser
resourcemanager.organizationAdmin

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
Las políticas de cortafuegos se muestran en la sección Políticas de cortafuegos que ha heredado este proyecto.
Haga clic en cada política de cortafuegos para ver las reglas que se aplican a esta red.

Obtener las reglas de cortafuegos efectivas de una interfaz de VM

Puede ver todas las reglas de cortafuegos (de todas las políticas de cortafuegos y reglas de cortafuegos de VPC aplicables) que se aplican a una interfaz de red de una VM de Compute Engine.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.instances.getEffectiveFirewalls

Roles

Administrador de instancias de Compute (roles/compute.instanceAdmin) en el proyecto que contiene la instancia de VM o
Agente de servicio del gestor de grupos de instancias (roles/compute.instanceGroupManagerServiceAgent) en el proyecto que contiene la instancia de VM o
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la instancia de VM o
Lector de Compute (roles/compute.viewer) en el proyecto que contiene la instancia de VM

Consola

En la consola de Google Cloud , ve a la página Instancias de VM.

Ir a instancias de VM
En el menú de selección de proyectos, elige el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en la interfaz.
Las reglas de cortafuegos vigentes aparecen en la pestaña Cortafuegos de la sección Análisis de configuración de red.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Haz los cambios siguientes:

INSTANCE_NAME: la VM de la que quieres ver las reglas efectivas. Si no se especifica ninguna interfaz, el comando devuelve las reglas de la interfaz principal (nic0).
INTERFACE: interfaz de la VM de la que quieres ver las reglas vigentes. El valor predeterminado es nic0.
ZONE: la zona de la VM. Esta línea es opcional si la zona elegida ya está definida como predeterminada.

Solución de problemas

En esta sección se explican los mensajes de error que pueden aparecer.

FirewallPolicy may not specify a name. One will be provided.

No puedes especificar un nombre de política. Los "nombres" de las políticas de cortafuegos jerárquicas son IDs numéricos que genera Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.
FirewallPolicy may not specify associations on creation.

Las asociaciones solo se pueden crear después de crear las políticas de cortafuegos jerárquicas.
Can't move firewall policy to a different organization.

Los movimientos de políticas de cortafuegos jerárquicas deben permanecer en la misma organización.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Si ya se ha adjuntado un recurso con una política de cortafuegos jerárquica, la operación de adjuntar fallará a menos que la opción de sustituir las asociaciones existentes se defina como true.
Can't have rules with the same priorities.

Las prioridades de las reglas deben ser únicas en una política de cortafuegos jerárquica.
Direction must be specified for a firewall policy rule.

Cuando creas reglas de políticas de cortafuegos jerárquicas enviando solicitudes REST directamente, debes especificar la dirección de la regla. Si usas Google Cloud CLI y no especificas ninguna dirección, el valor predeterminado es INGRESS.
Can't specify enable_logging on a goto_next rule.

El registro del cortafuegos no se permite en las reglas con la acción goto_next porque estas acciones se usan para representar el orden de evaluación de las diferentes políticas de cortafuegos y no son acciones terminales (por ejemplo, ALLOW o DENY).
Must specify at least one destination on Firewall policy rule.

La marca layer4Configs de la regla de la política de cortafuegos debe especificar al menos un protocolo o un protocolo y un puerto de destino.

Para obtener más información sobre cómo solucionar problemas con las reglas de políticas de cortafuegos, consulta el artículo Solucionar problemas con las reglas de cortafuegos de VPC.

Utilizar reglas y políticas de cortafuegos jerárquicas Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Limitaciones

Tareas de políticas de cortafuegos

Permisos que se necesitan para completar esta tarea

Crear una política de cortafuegos

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Asociar una política a la organización o a la carpeta

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mover una política de un recurso a otro

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Actualizar la descripción de una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mostrar políticas

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Describe una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Eliminar una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mostrar asociaciones de un recurso

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Eliminar una asociación

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Tareas de reglas de políticas de cortafuegos

Crear una regla de entrada para destinos de VM

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Crear una regla de salida para destinos de VM

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mostrar todas las reglas de una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Describe una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Actualizar una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Clonar reglas de una política a otra

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Eliminar una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Obtener las reglas de cortafuegos vigentes de una red

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Permisos que se necesitan para completar esta tarea

Consola

Obtener las reglas de cortafuegos efectivas de una interfaz de VM

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Solución de problemas

Utilizar reglas y políticas de cortafuegos jerárquicas