Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Crea políticas y reglas de firewall jerárquicas

En esta página, se describe cómo controlar el tráfico de red en toda tu organización y tus carpetas deGoogle Cloud con políticas y reglas de firewall jerárquicas. Obtén información para definir políticas a nivel de la organización o de la carpeta y, luego, asociarlas con recursos específicos.

Antes de leer esta página, asegúrate de conocer los conceptos que se describen en la descripción general de las políticas de firewall jerárquicas. Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Limitaciones

Las reglas de políticas de firewall jerárquicas no son compatibles con el uso de etiquetas de red para definir objetivos. En su lugar, debes usar una red de nube privada virtual (VPC) de destino o una cuenta de servicio de destino.
Las políticas de firewall se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de firewall de VPC normales son compatibles con las redes de VPC.
Solo se puede asociar una política de firewall a un recurso (organización o carpeta), aunque las instancias de máquina virtual (VM) en una carpeta pueden heredar reglas de toda la jerarquía de recursos que está por encima de la VM.
El registro de reglas de políticas de firewall es compatible con las reglas allow y deny, pero no con las reglas goto_next.
El protocolo IPv6 de salto por salto no es compatible con las reglas de firewall.

Tareas de políticas de firewall

En esta sección, se describe cómo crear y asociar políticas jerárquicas de firewall.

Crea una política de firewall

Cuando creas una política de firewall jerárquica, puedes establecer su elemento superior como la organización o una carpeta dentro de la organización. Después de crear la política, puedes asociarla con la organización o una carpeta de la organización.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.create

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la organización o carpeta en la que deseas crear la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la organización o carpeta en la que deseas crear la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o una carpeta dentro de ella.
Haz clic en Crear política de firewall.
En el campo Nombre de la política, ingresa un nombre para la política.
Opcional: Si deseas crear reglas para tu política, haz clic en Continuar.
En la sección Agregar reglas, haz clic en Crear regla de firewall. Para obtener más información sobre cómo crear reglas de firewall, consulta los siguientes vínculos:
- Crea una regla de entrada para destinos de VM
- Crea una regla de salida para los objetivos de VM
Opcional: Si deseas asociar la política a un recurso, haz clic en Continuar.
En la sección Asocia la política con los recursos, haz clic en Agregar.

Para obtener más información, consulta Asocia una política con la organización o la carpeta.
Haz clic en Crear.

gcloud

Ejecuta estos comandos para crear una política de firewall jerárquica cuya organización principal sea una organización:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Ejecuta estos comandos para crear una política de firewall jerárquica cuya política principal sea una carpeta dentro de una organización:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Reemplaza lo siguiente:

ORG_ID: El ID de la organización

Especifica un ID de organización para crear una política cuya organización principal sea una organización. La política se puede asociar con la organización o una carpeta dentro de la organización.
SHORT_NAME: un nombre para la política

Una política creada con Google Cloud CLI tiene dos nombres: uno generado por el sistema y un nombre corto proporcionado por ti. Cuando usas la gcloud CLI para actualizar una política existente, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el nombre generado por el sistema.
FOLDER_ID: ID de una carpeta

Especifica un ID de carpeta para crear una política cuya carpeta principal sea una carpeta. La política se puede asociar con la organización que contiene la carpeta o con cualquier carpeta dentro de esa organización.

Asocia una política con la organización o la carpeta

Cuando asocias una política de firewall jerárquica con una organización o una carpeta de una organización, las reglas de la política de firewall (excepto las reglas inhabilitadas y sujetas al destino de cada regla) se aplican a los recursos de las redes de VPC en los proyectos de la organización o la carpeta asociadas.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Funciones

Administrador de recursos de Compute en la organización (roles/compute.orgSecurityResourceAdmin) en la organización o carpeta a la que se debe aplicar la política de firewall
Y uno de los siguientes roles:
- Administrador de red de Compute (roles/compute.networkAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Usuario de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyUser ) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Administrador de políticas de seguridad de Compute para la organización (roles/compute.orgSecurityPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Usuario de políticas de seguridad de Compute de la organización (roles/compute.orgSecurityPolicyUser) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociación.
Selecciona la raíz de la organización o carpetas dentro de la organización.
Haz clic en Agregar.

gcloud

De forma predeterminada, el método falla si intentas insertar una asociación en una organización o carpeta que ya tiene una asociación. Si especificas la marca --replace-association-on-target, la asociación existente se borra al mismo tiempo que se crea la asociación nueva. Esto evita que el recurso se quede sin una política durante la transición.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Reemplaza lo siguiente:

POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política.
ORG_ID: El ID de la organización
FOLDER_ID: Si asocias la política con una carpeta, especifícala aquí; no es necesario hacerlo si asocias la política con el nivel de la organización
ASSOCIATION_NAME: Un nombre opcional para la asociación; si no se especifica, el nombre se configura como “organización ORG_ID” o “carpeta FOLDER_ID”.

Tareas de reglas de políticas de firewall

En esta sección, se describe cómo crear reglas de políticas de firewall jerárquicas.

Crea una regla de entrada para los destinos de VM

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de firewall, la organización o la carpeta que contiene la política

En esta sección, se describe cómo crear una regla de entrada que se aplica a las interfaces de red de las instancias de Compute Engine.

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En la lista del selector de proyectos, selecciona una organización o una carpeta que contenga una política de firewall jerárquica.
Si es necesario, en la sección Índice de jerarquía, selecciona una carpeta secundaria.
En la sección Políticas de firewall, haz clic en el nombre de una política de firewall jerárquica en la que deseas crear una regla.
En la sección Reglas de firewall, haz clic en Crear regla de firewall y especifica los siguientes parámetros de configuración:
1. Prioridad: El orden de evaluación numérico de la regla.
  
  Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
2. Descripción: Proporciona una descripción opcional.
3. Dirección del tráfico: Selecciona Ingress.
4. Acción si hay coincidencia: Selecciona una de las siguientes opciones:
  - Permitir: Para permitir las conexiones que coinciden con los parámetros de la regla.
  - Rechazar: Para bloquear las conexiones que coinciden con los parámetros de la regla
  - Ir a siguiente: Para continuar con el proceso de evaluación de reglas de firewall
  - Aplicar grupo de perfiles de seguridad: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación según el Propósito que selecciones.
    - Para enviar paquetes a un extremo de firewall de Cloud NGFW, selecciona Cloud NGFW Enterprise y, luego, un grupo de perfiles de seguridad. Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
    - Para enviar paquetes a un grupo de extremos de interceptación de la integración de seguridad de redes para la integración en banda, selecciona NSI In-Band y, luego, un grupo de perfiles de seguridad.
5. Registros: Selecciona Activado para habilitar el registro de reglas de firewall o Desactivado para inhabilitar el registro de reglas de firewall para esta regla.
6. Redes de destino: De manera opcional, para que la política de firewall se aplique a destinos en redes de VPC específicas, haz clic en Agregar red y, luego, selecciona el Proyecto y la Red.
7. Objetivo: Selecciona una de las siguientes opciones:
  - Aplicar a todos: Cloud NGFW usa los objetivos de instancia más amplios.
  - Cuentas de servicio: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especificas en Cuenta de servicio de destino.
  - Etiquetas seguras: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especificas. Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto que contiene los valores de etiqueta que coinciden. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
8. Contexto de la red de origen: Especifica un contexto de red:
  - Para omitir el filtrado del tráfico entrante por contexto de red, selecciona Todos los contextos de red.
  - Para filtrar el tráfico entrante a un contexto de red específico, selecciona Contexto de red específico y, luego, selecciona un contexto de red:
    - Internet: El tráfico entrante debe coincidir con el contexto de red de Internet para los paquetes de entrada.
    - Sin Internet: El tráfico entrante debe coincidir con el contexto de red sin Internet para los paquetes de entrada.
    - Dentro de la VPC: El tráfico entrante debe coincidir con los criterios para el contexto de la red dentro de la VPC.
    - Redes de VPC: El tráfico entrante debe coincidir con el criterio para el contexto de redes de VPC. Debes seleccionar al menos una red de VPC:
      - Seleccionar proyecto actual: Te permite agregar una o más redes de VPC del proyecto que contiene la política de firewall.
      - Ingresar red de forma manual: Te permite ingresar manualmente un proyecto y una red de VPC.
      - Seleccionar proyecto: Te permite seleccionar un proyecto del que puedes elegir una red de VPC.
9. Filtros de origen: Especifica parámetros de origen adicionales. Algunos parámetros de origen no se pueden usar juntos, y tu elección del contexto de la red de origen limita los parámetros de origen que puedes usar. Para obtener más información, consulta Fuentes para reglas de entrada y Combinaciones de fuentes de reglas de entrada.
  - Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa 0.0.0.0/0 para cualquier origen IPv4.
  - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa ::/0 para cualquier origen IPv6.
  - Para filtrar el tráfico entrante por valores de etiquetas seguras de origen, selecciona Seleccionar alcance para las etiquetas en la sección Etiquetas seguras. Luego, proporciona claves y valores de etiquetas. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
  - Para filtrar el tráfico entrante por FQDN de origen, ingresa los FQDN en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
  - Para filtrar el tráfico entrante por ubicación geográfica de origen, selecciona una o más ubicaciones en el campo Ubicaciones geográficas. Para obtener más información, consulta Objetos de ubicación geográfica.
  - Para filtrar el tráfico entrante por grupo de direcciones de origen, selecciona uno o más grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
  - Para filtrar el tráfico entrante por las listas de Google Threat Intelligence de origen, selecciona una o más listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
10. Destino: Especifica parámetros de destino opcionales. Para obtener más información, consulta Destinos para las reglas de entrada.
  - Para omitir el filtrado del tráfico entrante por dirección IP de destino, selecciona Ninguno.
  - Para filtrar el tráfico entrante por dirección IP de destino, selecciona IPv4 o IPv6 y, luego, ingresa uno o más CIDR con el mismo formato que se usa para los rangos de IPv4 de origen o los rangos de IPv6 de origen.
11. Protocolos y puertos: Especifica los protocolos y los puertos de destino para que el tráfico coincida con la regla. Para obtener más información, consulta Protocolos y puertos.
12. Aplicación: Especifica si se aplica la regla de firewall:
  - Habilitada: Crea la regla y comienza a aplicarla en las conexiones nuevas.
  - Inhabilitada: Crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Reemplaza lo siguiente:

PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
POLICY_NAME: Es el nombre de la política de firewall jerárquica en la que deseas crear la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica, si su organización principal es una organización.
FOLDER_ID: Es el ID de la carpeta que contiene la política de firewall jerárquica, si su elemento superior es una carpeta.
DESCRIPTION: Es una descripción opcional para la regla nueva.
ACTION: Especifica una de las siguientes acciones:
- allow: Permite las conexiones que coinciden con la regla.
- deny: Rechaza las conexiones que coinciden con la regla.
- goto_next: Continúa el proceso de evaluación de la regla de firewall.
- apply_security_profile_group: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación.
  - Cuando la acción es apply_security_profile_group, debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad.
  - El perfil de seguridad del grupo de perfiles de seguridad puede hacer referencia a un extremo de firewall de Cloud NGFW o a un grupo de extremos de interceptación de la integración de seguridad de red para la integración en banda.
  - Si el perfil de seguridad del grupo de perfiles de seguridad hace referencia a un extremo de firewall de Cloud NGFW, incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección de TLS.
Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de firewall de VPC.
Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un destino:
- Si omites las marcas --target-resources, --target-secure-tags y --target-service-accounts, Cloud NGFW usará los destinos de instancias más amplios.
- TARGET_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. La marca --target-resources se puede usar sola o en combinación con otra marca de destino. Para obtener más información, consulta Combinaciones de objetivos específicos.
- TARGET_SECURE_TAGS: Es una lista separada por comas de valores de etiquetas seguras que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiquetas seguras.
- TARGET_SERVICE_ACCOUNTS: Una lista de cuentas de servicio separadas por comas que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
- Nombre de un protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre del protocolo de IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
Especifica una fuente para la regla de entrada. Para obtener más información, consulta Combinaciones de fuentes de reglas de entrada:
- SRC_NETWORK_CONTEXT: Define contextos de red de origen para usarse junto con otro parámetro de origen admitido para producir una combinación de origen. Los valores válidos cuando --target-type=INSTANCES son INTERNET, NON_INTERNET, VPC_NETWORKS o INTRA_VPC. Para obtener más información, consulta Contextos de red.
- SRC_VPC_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando --src-network-context es VPC_NETWORKS.
- SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- SRC_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.
- SRC_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.
- SRC_SECURE_TAGS: Es una lista separada por comas de etiquetas. No puedes usar la marca --src-secure-tags si --src-network-context es INTERNET.
- SRC_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica. No puedes usar la marca --src-region-codes si --src-network-context es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
- SRC_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Google Threat Intelligence. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall. No puedes usar la marca --src-threat-intelligence si --src-network-context es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
De manera opcional, especifica un destino para la regla de entrada:
- DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Crea una regla de salida para los objetivos de VM

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de firewall, la organización o la carpeta que contiene la política

En las siguientes instrucciones, se muestra cómo crear una regla de salida. Las reglas de salida solo se aplican a los destinos que son interfaces de red de instancias de Compute Engine.

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En la lista del selector de proyectos, selecciona una organización o una carpeta que contenga una política de firewall jerárquica.
Si es necesario, en la sección Índice de jerarquía, selecciona una carpeta secundaria.
En la sección Políticas de firewall, haz clic en el nombre de una política de firewall jerárquica en la que deseas crear una regla.
En la sección Reglas de firewall, haz clic en Crear regla de firewall y especifica los siguientes parámetros de configuración:
1. Prioridad: El orden de evaluación numérico de la regla.
  
  Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
2. Descripción: Proporciona una descripción opcional.
3. Dirección del tráfico: Selecciona Salida.
4. Acción si hay coincidencia: Selecciona una de las siguientes opciones:
  - Permitir: Para permitir las conexiones que coinciden con los parámetros de la regla.
  - Rechazar: Para bloquear las conexiones que coinciden con los parámetros de la regla
  - Ir a siguiente: Para continuar con el proceso de evaluación de reglas de firewall
  - Aplicar grupo de perfiles de seguridad: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación según el Propósito que selecciones.
    - Para enviar paquetes a un extremo de firewall de Cloud NGFW, selecciona Cloud NGFW Enterprise y, luego, un grupo de perfiles de seguridad. Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
    - Para enviar paquetes a un grupo de extremos de interceptación de la integración de seguridad de redes para la integración en banda, selecciona NSI In-Band y, luego, un grupo de perfiles de seguridad.
5. Registros: Selecciona Activado para habilitar el registro de reglas de firewall o Desactivado para inhabilitar el registro de reglas de firewall para esta regla.
6. Redes de destino: De manera opcional, para que la política de firewall se aplique a destinos en redes de VPC específicas, haz clic en Agregar red y, luego, selecciona el Proyecto y la Red.
7. Objetivo: Selecciona una de las siguientes opciones:
  - Aplicar a todos: Cloud NGFW usa los objetivos de instancia más amplios.
  - Cuentas de servicio: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especificas en Cuenta de servicio de destino.
  - Etiquetas seguras: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especificas. Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto que contiene los valores de etiqueta que coinciden. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
8. Contexto de la red de destino: Especifica un contexto de red:
  - Para omitir el filtrado del tráfico saliente por contexto de red, selecciona Todos los contextos de red.
  - Para filtrar el tráfico saliente a un contexto de red específico, selecciona Contexto de red específico y, luego, selecciona un contexto de red:
    - Internet: El tráfico saliente debe coincidir con el contexto de red de Internet para los paquetes de salida.
    - Sin Internet: El tráfico saliente debe coincidir con el contexto de red sin Internet para los paquetes de salida.
9. Filtros de destino: Especifica parámetros de destino adicionales. Algunos parámetros de destino no se pueden usar juntos, y tu elección del contexto de la red de destino limita los filtros de destino que puedes usar. Si deseas obtener más información, consulta Destinos para las reglas de salida y Combinaciones de destinos de reglas de salida.
  - Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa 0.0.0.0/0 para cualquier destino de IPv4.
  - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa ::/0 para cualquier destino de IPv6.
  - Para filtrar el tráfico saliente por FQDN de destino, ingresa los FQDN en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
  - Para filtrar el tráfico saliente por ubicación geográfica de destino, selecciona una o más ubicaciones en el campo Ubicaciones geográficas. Para obtener más información, consulta Objetos de ubicación geográfica.
  - Para filtrar el tráfico saliente por grupo de direcciones de destino, selecciona uno o más grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
  - Para filtrar el tráfico saliente por listas de Google Threat Intelligence de destino, selecciona una o más listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
10. Fuente: Especifica parámetros de fuente opcionales. Para obtener más información, consulta Fuentes para las reglas de salida.
  - Para omitir el filtrado del tráfico saliente por dirección IP de origen, selecciona Ninguno.
  - Para filtrar el tráfico saliente por dirección IP de origen, selecciona IPv4 o IPv6 y, luego, ingresa uno o más CIDR con el mismo formato que se usa para los rangos de IPv4 de destino o los rangos de IPv6 de destino.
11. Protocolos y puertos: Especifica los protocolos y los puertos de destino para que el tráfico coincida con la regla. Para obtener más información, consulta Protocolos y puertos.
12. Aplicación: Especifica si se aplica la regla de firewall:
  - Habilitada: Crea la regla y comienza a aplicarla en las conexiones nuevas.
  - Inhabilitada: Crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Reemplaza lo siguiente:

PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
POLICY_NAME: Es el nombre de la política de firewall jerárquica en la que deseas crear la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica, si su organización principal es una organización.
FOLDER_ID: Es el ID de la carpeta que contiene la política de firewall jerárquica, si su elemento superior es una carpeta.
DESCRIPTION: Es una descripción opcional para la regla nueva.
ACTION: Especifica una de las siguientes acciones:
- allow: Permite las conexiones que coinciden con la regla.
- deny: Rechaza las conexiones que coinciden con la regla.
- goto_next: Continúa el proceso de evaluación de la regla de firewall.
- apply_security_profile_group: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación.
  - Cuando la acción es apply_security_profile_group, debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad.
  - El perfil de seguridad del grupo de perfiles de seguridad puede hacer referencia a un extremo de firewall de Cloud NGFW o a un grupo de extremos de interceptación de la integración de seguridad de red para la integración en banda.
  - Si el perfil de seguridad del grupo de perfiles de seguridad hace referencia a un extremo de firewall de Cloud NGFW, incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección de TLS.
Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de firewall de VPC.
Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un destino:
- Si omites las marcas --target-resources, --target-secure-tags y --target-service-accounts, Cloud NGFW usará los destinos de instancias más amplios.
- TARGET_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. La marca --target-resources se puede usar sola o en combinación con otra marca de destino. Para obtener más información, consulta Combinaciones de objetivos específicos.
- TARGET_SECURE_TAGS: Es una lista separada por comas de valores de etiquetas seguras que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiquetas seguras.
- TARGET_SERVICE_ACCOUNTS: Una lista de cuentas de servicio separadas por comas que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
- Nombre de un protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre del protocolo de IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
Especifica un destino para la regla de salida. Para obtener más información, consulta Combinaciones de destinos de reglas de salida:
- DEST_NETWORK_CONTEXT: Define contextos de red de destino para usarse junto con otro parámetro de destino admitido para producir una combinación de destino. Los valores válidos son INTERNET y NON_INTERNET. Para obtener más información, consulta Contextos de red.
- DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- DEST_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.
- DEST_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.
- DEST_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.
- DEST_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Google Threat Intelligence. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
De manera opcional, especifica una fuente para la regla de salida:
- SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Crea políticas y reglas de firewall jerárquicas Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Limitaciones

Tareas de políticas de firewall

Crea una política de firewall

Permisos necesarios para esta tarea

Console

gcloud

Asocia una política con la organización o la carpeta

Permisos necesarios para esta tarea

Console

gcloud

Tareas de reglas de políticas de firewall

Crea una regla de entrada para los destinos de VM

Permisos necesarios para esta tarea

Console

gcloud

Crea una regla de salida para los objetivos de VM

Permisos necesarios para esta tarea

Console

gcloud

¿Qué sigue?

Crea políticas y reglas de firewall jerárquicas