Usa reglas y políticas jerárquicas de firewall

En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Descripción general de las políticas de firewall jerárquicas. Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Limitaciones

Las reglas de políticas de firewall jerárquicas no son compatibles con el uso de etiquetas de red para definir objetivos. En su lugar, debes usar una red de nube privada virtual (VPC) de destino o una cuenta de servicio de destino.
Las políticas de firewall se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de firewall de VPC normales son compatibles con las redes de VPC.
Solo se puede asociar una política de firewall a un recurso (organización o carpeta), aunque las instancias de máquina virtual (VM) en una carpeta pueden heredar reglas de toda la jerarquía de recursos que está por encima de la VM.
El registro de reglas de firewall es compatible con las reglas allow y deny, pero no con las reglas goto_next.
El protocolo IPv6 de salto por salto no es compatible con las reglas de firewall.

Tareas de políticas de firewall

En esta sección, se describe cómo crear y administrar políticas de firewall jerárquicas.

Para verificar el progreso de una operación que resulta de una tarea que se indica en esta sección, asegúrate de que tu principal de IAM tenga los siguientes permisos o roles además de los permisos o roles necesarios para cada tarea.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin)

Crea una política de firewall

Cuando creas una política de firewall jerárquica, puedes establecer su elemento superior como la organización o una carpeta dentro de la organización. Después de crear la política, puedes asociarla con la organización o una carpeta de la organización.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.create

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la organización o carpeta en la que deseas crear la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la organización o carpeta en la que deseas crear la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o una carpeta dentro de ella.
Haz clic en Crear política de firewall.
En el campo Nombre de la política, ingresa un nombre para la política.
Opcional: Si deseas crear reglas para tu política, haz clic en Continuar.
En la sección Agregar reglas, haz clic en Crear regla de firewall. Para obtener más información sobre cómo crear reglas de firewall, consulta los siguientes vínculos:
- Crea una regla de entrada para destinos de VM
- Crea una regla de salida para los objetivos de VM
Opcional: Si deseas asociar la política a un recurso, haz clic en Continuar.
En la sección Asocia la política con los recursos, haz clic en Agregar.

Para obtener más información, consulta Asocia una política con la organización o la carpeta.
Haz clic en Crear.

gcloud

Ejecuta estos comandos para crear una política de firewall jerárquica cuya organización principal sea una organización:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Ejecuta estos comandos para crear una política de firewall jerárquica cuya política principal sea una carpeta dentro de una organización:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Reemplaza lo siguiente:

ORG_ID: El ID de la organización

Especifica un ID de organización para crear una política cuya organización principal sea una organización. La política se puede asociar con la organización o una carpeta dentro de la organización.
SHORT_NAME: un nombre para la política

Una política creada con Google Cloud CLI tiene dos nombres: uno generado por el sistema y otro corto proporcionado por ti. Cuando usas gcloud CLI para actualizar una política existente, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el nombre generado por el sistema.
FOLDER_ID: ID de una carpeta

Especifica un ID de carpeta para crear una política cuya carpeta superior sea una carpeta. La política se puede asociar con la organización que contiene la carpeta o con cualquier carpeta dentro de esa organización.

Asocia una política con la organización o la carpeta

Cuando asocias una política de firewall jerárquica con una organización o una carpeta de una organización, las reglas de la política de firewall (excepto las reglas inhabilitadas y sujetas al destino de cada regla) se aplican a los recursos de las redes de VPC en los proyectos de la organización o la carpeta asociadas.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Funciones

Administrador de recursos de Compute en la organización (roles/compute.orgSecurityResourceAdmin) en la organización o carpeta a la que se debe aplicar la política de firewall
Y uno de los siguientes roles:
- Administrador de redes de Compute (roles/compute.networkAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Administrador de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Usuario de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyUser ) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Administrador de políticas de seguridad de Compute para la organización (roles/compute.orgSecurityPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Usuario de políticas de seguridad de Compute de la organización (roles/compute.orgSecurityPolicyUser) en la política de firewall, la organización o la carpeta que contiene la política de firewall
- Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de firewall, la organización o la carpeta que contiene la política de firewall

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociación.
Selecciona la raíz de la organización o carpetas dentro de la organización.
Haz clic en Agregar.

gcloud

De forma predeterminada, el método falla si intentas insertar una asociación en una organización o carpeta que ya tiene una asociación. Si especificas la marca --replace-association-on-target, la asociación existente se borra al mismo tiempo que se crea la asociación nueva. Esto evita que el recurso se quede sin una política durante la transición.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Reemplaza lo siguiente:

POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política.
ORG_ID: El ID de la organización
FOLDER_ID: Si asocias la política con una carpeta, especifícala aquí; no es necesario hacerlo si asocias la política con el nivel de la organización
ASSOCIATION_NAME: Un nombre opcional para la asociación; si no se especifica, el nombre se configura como “organización ORG_ID” o “carpeta FOLDER_ID”.

Mueve una política de un recurso a otro

Mover una política solo cambia su política principal. Cambiar el elemento superior de la política puede cambiar qué principales de IAM pueden crear y actualizar reglas en la política, y qué principales de IAM pueden crear asociaciones futuras.

Mover una política no cambia ninguna asociación de política existente ni la evaluación de las reglas en la política.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.move

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el nuevo recurso principal (organización o carpeta) y el recurso principal anterior o la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el nuevo recurso principal (organización o carpeta) y en el recurso principal anterior o en la política

Console

Usa la CLI de Google Cloud para este procedimiento.

gcloud

Ejecuta estos comandos para mover la política de firewall jerárquica a una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Ejecuta estos comandos para mover la política de firewall jerárquica a una carpeta de una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Reemplaza lo siguiente:

POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política que mueves
ORG_ID: Es el ID de la organización a la que se transfiere la política.
FOLDER_ID: ID de la carpeta a la que se mueve la política

Actualiza una descripción de la política

El único campo de una política que se puede actualizar es el campo Descripción.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en Editar.
Modifica la descripción.
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Enumera políticas

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.list

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Usuario de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

Para una organización, en la sección Políticas de firewall asociadas a esta organización, se muestran las políticas asociadas. En la sección Políticas de firewall ubicadas en esta organización, se enumeran las políticas que son propiedad de la organización.

Para una carpeta, en la sección Políticas de firewall asociadas a esta carpeta o heredadas por esta carpeta, se muestran las políticas asociadas o heredadas por la carpeta. En la sección Políticas de firewall ubicadas en esta carpeta, se enumeran las políticas que son propiedad de la carpeta.

Nota: Es posible que las políticas que son propiedad de un recurso (organización o carpeta) no estén asociadas a ese recurso, pero que estén disponibles para que se las asocie a ese recurso o a otro recurso.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Describe una política

Puedes ver detalles sobre una política de firewall jerárquica, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se incluyen en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de reglas por política de firewall jerárquica" en la tabla Por política de firewall.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.get

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política
Usuario de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o la política en sí

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Borra una política

Antes de borrar una política de firewall jerárquica, debes borrar todas sus asociaciones.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.delete

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

Usa el siguiente comando para borrar la política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Enumera las asociaciones de un recurso

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.listAssociations

Funciones

Administrador de recursos de Compute en la organización (roles/compute.orgSecurityResourceAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Para el recurso seleccionado (organización o carpeta), aparece una lista de políticas asociadas y heredadas.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Borra una asociación

Si necesitas cambiar la política de firewall jerárquica asociada a una organización o carpeta, te recomendamos que asocies una política nueva en lugar de borrar una política asociada existente. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que una política de firewall jerárquica siempre esté asociada a la organización o la carpeta.

Para borrar una asociación entre una política de firewall jerárquica y una organización o carpeta, sigue los pasos que se mencionan en esta sección. Las reglas de la política de firewall jerárquica no se aplican a las conexiones nuevas después de que se borra su asociación.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.setFirewallPolicy

Funciones

Administrador de recursos de Compute en la organización (roles/compute.orgSecurityResourceAdmin) en el recurso principal (organización o carpeta) con el que se asocia la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociación.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tareas de reglas de políticas de firewall

En esta sección, se describe cómo crear y administrar reglas de políticas jerárquicas de firewall.

Crea una regla de entrada para los objetivos de VM

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de firewall, la organización o la carpeta que contiene la política

En esta sección, se describe cómo crear una regla de entrada que se aplica a las interfaces de red de las instancias de Compute Engine.

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En la lista del selector de proyectos, selecciona una organización o una carpeta que contenga una política de firewall jerárquica.
Si es necesario, en la sección Índice de jerarquía, selecciona una carpeta secundaria.
En la sección Políticas de firewall, haz clic en el nombre de una política de firewall jerárquica en la que deseas crear una regla.
En la sección Reglas de firewall, haz clic en Crear regla de firewall y especifica los siguientes parámetros de configuración:
1. Prioridad: El orden de evaluación numérico de la regla.
  
  Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
2. Descripción: Proporciona una descripción opcional.
3. Dirección del tráfico: Selecciona Ingress.
4. Acción si hay coincidencia: Selecciona una de las siguientes opciones:
  - Permitir: Para permitir las conexiones que coinciden con los parámetros de la regla.
  - Rechazar: Para bloquear las conexiones que coinciden con los parámetros de la regla.
  - Ir a siguiente: Para continuar con el proceso de evaluación de reglas de firewall
  - Aplicar grupo de perfiles de seguridad: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación según el Propósito que selecciones.
    - Para enviar paquetes a un extremo de firewall de Cloud NGFW, selecciona Cloud NGFW Enterprise y, luego, un grupo de perfiles de seguridad. Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
    - Para enviar paquetes a un grupo de extremos de interceptación de la integración de seguridad de red para la integración en banda, selecciona NSI In-Band y, luego, un grupo de perfiles de seguridad.
5. Registros: Selecciona Activado para habilitar el registro de reglas de firewall o Desactivado para inhabilitar el registro de reglas de firewall para esta regla.
6. Redes objetivo: De manera opcional, para que la política de firewall se aplique a objetivos en redes de VPC específicas, haz clic en Agregar red y, luego, selecciona el Proyecto y la Red.
7. Objetivo: Selecciona una de las siguientes opciones:
  - Aplicar a todos: Cloud NGFW usa los objetivos de instancia más amplios.
  - Cuentas de servicio: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especificas en Cuenta de servicio de destino.
  - Etiquetas seguras: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especificas. Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto que contiene los valores de etiqueta que coinciden. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
8. Tipo de red de origen: Especifica un tipo de red:
  - Para omitir el filtrado del tráfico entrante por tipo de red, selecciona Todos los tipos de redes.
  - Para filtrar el tráfico entrante a un tipo de red específico, selecciona Tipo de red específico y, luego, elige un tipo de red:
    - Internet: El tráfico entrante debe coincidir con el tipo de red de Internet para los paquetes entrantes.
    - Non-internet: El tráfico entrante debe coincidir con el tipo de red Non-internet para los paquetes de entrada.
    - Intra VPC: El tráfico entrante debe coincidir con los criterios para el tipo de red intra-VPC.
    - Redes de VPC: El tráfico entrante debe coincidir con el tipo Criterios para redes de VPC. Debes seleccionar al menos una red de VPC:
      - Seleccionar proyecto actual: Te permite agregar una o más redes de VPC del proyecto que contiene la política de firewall.
      - Ingresar red de forma manual: Te permite ingresar manualmente un proyecto y una red de VPC.
      - Seleccionar proyecto: Te permite seleccionar un proyecto desde el que puedes seleccionar una red de VPC.
9. Filtros de origen: Especifica parámetros de origen adicionales. Algunos parámetros de fuente no se pueden usar juntos, y tu elección del tipo de red de fuente limita los parámetros de fuente que puedes usar. Para obtener más información, consulta Fuentes para reglas de entrada y Combinaciones de fuentes de reglas de entrada.
  - Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa 0.0.0.0/0 para cualquier origen IPv4.
  - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa ::/0 para cualquier origen IPv6.
  - Para filtrar el tráfico entrante por valores de etiquetas seguras de origen, selecciona Seleccionar alcance para las etiquetas en la sección Etiquetas seguras. Luego, proporciona las claves y los valores de etiqueta. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
  - Para filtrar el tráfico entrante por FQDN de origen, ingresa los FQDN en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
  - Para filtrar el tráfico entrante por ubicación geográfica de origen, selecciona una o más ubicaciones en el campo Ubicaciones geográficas. Para obtener más información, consulta Objetos de ubicación geográfica.
  - Para filtrar el tráfico entrante por grupo de direcciones de origen, selecciona uno o más grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
  - Para filtrar el tráfico entrante por las listas de Threat Intelligence de Google de origen, selecciona una o más listas de Threat Intelligence de Google en el campo Google Cloud Threat Intelligence. Si deseas obtener más información, consulta Inteligencia ante amenazas de Google para las reglas de políticas de firewall.
10. Destino: Especifica parámetros de destino opcionales. Para obtener más información, consulta Destinos para las reglas de entrada.
  - Para omitir el filtrado del tráfico entrante por dirección IP de destino, selecciona Ninguno.
  - Para filtrar el tráfico entrante por dirección IP de destino, selecciona IPv4 o IPv6 y, luego, ingresa uno o más CIDR con el mismo formato que se usa para los rangos de IPv4 de origen o los rangos de IPv6 de origen.
11. Protocolos y puertos: Especifica los protocolos y los puertos de destino para que el tráfico coincida con la regla. Para obtener más información, consulta Protocolos y puertos.
12. Aplicación: Especifica si se aplica la regla de firewall:
  - Habilitada: Crea la regla y comienza a aplicarla en las conexiones nuevas.
  - Inhabilitada: Crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Reemplaza lo siguiente:

PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
POLICY_NAME: Es el nombre de la política de firewall jerárquica en la que deseas crear la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica, si su organización principal es una organización.
FOLDER_ID: Es el ID de la carpeta que contiene la política de firewall jerárquica, si su elemento superior es una carpeta.
DESCRIPTION: Es una descripción opcional para la regla nueva.
ACTION: Especifica una de las siguientes acciones:
- allow: Permite las conexiones que coinciden con la regla.
- deny: Rechaza las conexiones que coinciden con la regla.
- goto_next: Continúa el proceso de evaluación de la regla de firewall.
- apply_security_profile_group: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación.
  - Cuando la acción es apply_security_profile_group, debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad.
  - El perfil de seguridad del grupo de perfiles de seguridad puede hacer referencia a un extremo de firewall de Cloud NGFW o a un grupo de extremos de interceptación de la integración de seguridad de red para la integración dentro de la banda.
  - Si el perfil de seguridad del grupo de perfiles de seguridad hace referencia a un extremo de firewall de Cloud NGFW, incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección de TLS.
Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de firewall.
Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un destino:
- Si omites las marcas --target-resources, --target-secure-tags y --target-service-accounts, Cloud NGFW usará los destinos de instancias más amplios.
- TARGET_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. La marca --target-resources se puede usar sola o en combinación con otra marca de segmentación. Para obtener más información, consulta Combinaciones de objetivos específicos.
- TARGET_SECURE_TAGS: Es una lista separada por comas de valores de etiquetas seguras que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiquetas seguras.
- TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
- Nombre de protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre del protocolo de IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
Especifica una fuente para la regla de entrada. Para obtener más información, consulta Combinaciones de fuentes de reglas de entrada:
- SRC_NETWORK_TYPE: Define los tipos de redes de origen que se usarán junto con otro parámetro de origen admitido para producir una combinación de origen. Los valores válidos cuando --target-type=INSTANCES son INTERNET, NON_INTERNET, VPC_NETWORKS o INTRA_VPC. Para obtener más información, consulta Tipos de redes.
- SRC_VPC_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando --src-network-type es VPC_NETWORKS.
- SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- SRC_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.
- SRC_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.
- SRC_SECURE_TAGS: Es una lista de etiquetas separadas por comas. No puedes usar la marca --src-secure-tags si --src-network-type es INTERNET.
- SRC_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica. No puedes usar la marca --src-region-codes si --src-network-type es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
- SRC_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall. No puedes usar la marca --src-threat-intelligence si --src-network-type es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
De manera opcional, especifica un destino para la regla de entrada:
- DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Crea una regla de salida para los objetivos de VM

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en la política de firewall, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de firewall, la organización o la carpeta que contiene la política

En las siguientes instrucciones, se muestra cómo crear una regla de salida. Las reglas de salida solo se aplican a los destinos que son interfaces de red de instancias de Compute Engine.

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En la lista del selector de proyectos, selecciona una organización o una carpeta que contenga una política de firewall jerárquica.
Si es necesario, en la sección Índice de jerarquía, selecciona una carpeta secundaria.
En la sección Políticas de firewall, haz clic en el nombre de una política de firewall jerárquica en la que deseas crear una regla.
En la sección Reglas de firewall, haz clic en Crear regla de firewall y especifica los siguientes parámetros de configuración:
1. Prioridad: El orden de evaluación numérico de la regla.
  
  Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una diferencia (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
2. Descripción: Proporciona una descripción opcional.
3. Dirección del tráfico: Selecciona Salida.
4. Acción si hay coincidencia: Selecciona una de las siguientes opciones:
  - Permitir: Para permitir las conexiones que coinciden con los parámetros de la regla.
  - Rechazar: Para bloquear las conexiones que coinciden con los parámetros de la regla.
  - Ir a siguiente: Para continuar con el proceso de evaluación de reglas de firewall
  - Aplicar grupo de perfiles de seguridad: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación según el Propósito que selecciones.
    - Para enviar paquetes a un extremo de firewall de Cloud NGFW, selecciona Cloud NGFW Enterprise y, luego, un grupo de perfiles de seguridad. Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
    - Para enviar paquetes a un grupo de extremos de interceptación de la integración de seguridad de red para la integración en banda, selecciona NSI In-Band y, luego, un grupo de perfiles de seguridad.
5. Registros: Selecciona Activado para habilitar el registro de reglas de firewall o Desactivado para inhabilitar el registro de reglas de firewall para esta regla.
6. Redes objetivo: De manera opcional, para que la política de firewall se aplique a objetivos en redes de VPC específicas, haz clic en Agregar red y, luego, selecciona el Proyecto y la Red.
7. Objetivo: Selecciona una de las siguientes opciones:
  - Aplicar a todos: Cloud NGFW usa los objetivos de instancia más amplios.
  - Cuentas de servicio: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especificas en Cuenta de servicio de destino.
  - Etiquetas seguras: Reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especificas. Haz clic en Seleccionar alcance para las etiquetas y selecciona la organización o el proyecto que contiene los valores de etiqueta que coinciden. Para agregar más valores de etiquetas, haz clic en Agregar etiqueta.
8. Tipo de red de destino: Especifica un tipo de red:
  - Para omitir el filtrado del tráfico saliente por tipo de red, selecciona Todos los tipos de redes.
  - Para filtrar el tráfico saliente a un tipo de red específico, selecciona Tipo de red específico y, luego, elige un tipo de red:
    - Internet: El tráfico saliente debe coincidir con el tipo de red de Internet para los paquetes de salida.
    - Non-internet: El tráfico saliente debe coincidir con el tipo de red Non-internet para los paquetes de salida.
9. Filtros de destino: Especifica parámetros de destino adicionales. Algunos parámetros de destino no se pueden usar juntos, y tu elección del tipo de red de destino limita los filtros de destino que puedes usar. Para obtener más información, consulta Destinos para las reglas de salida y Combinaciones de destinos de reglas de salida.
  - Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rangos de IP. Usa 0.0.0.0/0 para cualquier destino de IPv4.
  - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rangos de IPv6. Usa ::/0 para cualquier destino de IPv6.
  - Para filtrar el tráfico saliente por FQDN de destino, ingresa los FQDN en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
  - Para filtrar el tráfico saliente por ubicación geográfica de destino, selecciona una o más ubicaciones en el campo Ubicaciones geográficas. Para obtener más información, consulta Objetos de ubicación geográfica.
  - Para filtrar el tráfico saliente por grupo de direcciones de destino, selecciona uno o más grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
  - Para filtrar el tráfico saliente por listas de Google Threat Intelligence de destino, selecciona una o más listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
10. Fuente: Especifica parámetros de origen opcionales. Para obtener más información, consulta Fuentes para las reglas de salida.
  - Para omitir el filtrado del tráfico saliente por dirección IP de origen, selecciona Ninguno.
  - Para filtrar el tráfico saliente por dirección IP de origen, selecciona IPv4 o IPv6 y, luego, ingresa uno o más CIDR con el mismo formato que se usa para los rangos de IPv4 de destino o los rangos de IPv6 de destino.
11. Protocolos y puertos: Especifica los protocolos y los puertos de destino para que el tráfico coincida con la regla. Para obtener más información, consulta Protocolos y puertos.
12. Aplicación: Especifica si se aplica la regla de firewall:
  - Habilitada: Crea la regla y comienza a aplicarla en las conexiones nuevas.
  - Inhabilitada: Crea la regla, pero no la aplica a las conexiones nuevas.
Haz clic en Crear.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Reemplaza lo siguiente:

PRIORITY: Es el orden de evaluación numérico de la regla dentro de la política. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200, 300) para que puedas crear reglas nuevas entre las existentes más adelante.
POLICY_NAME: Es el nombre de la política de firewall jerárquica en la que deseas crear la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica, si su organización principal es una organización.
FOLDER_ID: Es el ID de la carpeta que contiene la política de firewall jerárquica, si su elemento superior es una carpeta.
DESCRIPTION: Es una descripción opcional para la regla nueva.
ACTION: Especifica una de las siguientes acciones:
- allow: Permite las conexiones que coinciden con la regla.
- deny: Rechaza las conexiones que coinciden con la regla.
- goto_next: Continúa el proceso de evaluación de la regla de firewall.
- apply_security_profile_group: Envía los paquetes a un extremo de firewall o a un grupo de extremos de interceptación.
  - Cuando la acción es apply_security_profile_group, debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad.
  - El perfil de seguridad del grupo de perfiles de seguridad puede hacer referencia a un extremo de firewall de Cloud NGFW o a un grupo de extremos de interceptación de la integración de seguridad de red para la integración dentro de la banda.
  - Si el perfil de seguridad del grupo de perfiles de seguridad hace referencia a un extremo de firewall de Cloud NGFW, incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección de TLS.
Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de firewall.
Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un destino:
- Si omites las marcas --target-resources, --target-secure-tags y --target-service-accounts, Cloud NGFW usará los destinos de instancias más amplios.
- TARGET_NETWORKS: Es una lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. La marca --target-resources se puede usar sola o en combinación con otra marca de segmentación. Para obtener más información, consulta Combinaciones de objetivos específicos.
- TARGET_SECURE_TAGS: Es una lista separada por comas de valores de etiquetas seguras que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiquetas seguras.
- TARGET_SERVICE_ACCOUNTS: Es una lista de cuentas de servicio separadas por comas que reduce los objetivos de instancias más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
LAYER_4_CONFIGS: Es una lista separada por comas de las configuraciones de la capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
- Nombre de protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre del protocolo de IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP y rango de puertos de destino separados por dos puntos, con un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulta Protocolos y puertos.
Especifica un destino para la regla de salida. Para obtener más información, consulta Combinaciones de destinos de reglas de salida:
- DEST_NETWORK_TYPE: Define los tipos de redes de destino que se usarán junto con otro parámetro de destino admitido para producir una combinación de destino. Los valores válidos son INTERNET y NON_INTERNET. Para obtener más información, consulta Tipos de redes.
- DEST_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- DEST_ADDRESS_GROUPS: Es una lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.
- DEST_DOMAIN_NAMES: Es una lista separada por comas de objetos FQDN especificados en el formato de nombre de dominio.
- DEST_COUNTRY_CODES: Es una lista separada por comas de códigos de país de dos letras. Para obtener más información, consulta Objetos de ubicación geográfica.
- DEST_THREAT_LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google. Si deseas obtener más información, consulta Google Threat Intelligence para las reglas de políticas de firewall.
De manera opcional, especifica una fuente para la regla de salida:
- SRC_IP_RANGES: Es una lista separada por comas de rangos de direcciones IP en formato CIDR. Todos los rangos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Enumera todas las reglas en una política

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.get

Funciones

Administrador de redes de Compute (roles/compute.networkAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Usuario de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política. Las reglas se enumeran en la pestaña Reglas de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Reemplaza lo siguiente:

POLICY_NAME: Es el nombre de la política de firewall jerárquica que contiene la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Describe una regla

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.get

Funciones

Administrador de redes de Compute (roles/compute.networkAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Usuario de políticas de firewall de Compute de la organización (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Reemplaza lo siguiente:

POLICY_NAME: Es el nombre de la política de firewall jerárquica que contiene la regla nueva.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Actualiza una regla

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú del selector de proyectos, selecciona la organización o la carpeta que contiene la política de firewall jerárquica.
Haz clic en el nombre de la política de firewall jerárquica que contiene la regla que deseas actualizar.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos de la regla de firewall que deseas cambiar. Para obtener descripciones sobre cada campo, consulta uno de los siguientes recursos:
- Crea una regla de entrada para destinos de VM
- Crea una regla de salida para los objetivos de VM
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Reemplaza lo siguiente:

PRIORITY: Es el número de prioridad que identifica de forma única la regla.
POLICY_NAME: Es el nombre de la política que contiene la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Proporciona las marcas que deseas modificar. Para ver las descripciones de las marcas, consulta una de las siguientes opciones:

Crea una regla de entrada para los destinos de VM
Crea una regla de salida para los objetivos de VM

Clona reglas de una política a otra

Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.copyRules

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política de la que deseas copiar reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Si deseas asociar la política nueva de inmediato, haz clic en Continuar para abrir la sección Asociar política con recursos.
Haz clic en Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Reemplaza los siguientes elementos:

POLICY_NAME: La política que recibirá las reglas copiadas
SOURCE_POLICY: La política de la que se deben copiar las reglas; debe ser la URL del recurso
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Borrar una regla

Si borras una regla de una política, esta dejará de aplicarse a las conexiones nuevas hacia el destino de la regla o desde él.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

Administrador de políticas de firewall de Compute en la organización (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la política

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Reemplaza lo siguiente:

PRIORITY: Es la prioridad de la regla que deseas borrar de la política.
POLICY_NAME: Es el nombre de la política de firewall jerárquica que contiene la regla.
ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Obtén reglas de firewall efectivas para una red

Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a todas las regiones de una red de VPC.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Funciones

Administrador de red de Compute (roles/compute.networkAdmin) en el proyecto que contiene la red o
Usuario de red de Compute (roles/compute.networkUser) en el proyecto que contiene la red o
Visualizador de red de Compute (roles/compute.networkViewer) en el proyecto que contiene la red o
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la red o
Visualizador de Compute (roles/compute.viewer) en el proyecto que contiene la red

Console

En la consola de Google Cloud , ve a la página Redes de VPC.

Ir a las redes de VPC
Haz clic en la red para la que deseas ver las reglas de la política de firewall.
Haz clic en Firewalls.
Expande cada política de firewall para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Reemplaza NETWORK_NAME por la red para la que deseas ver las reglas vigentes.

También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.listAssociations en la red
Opcional: resourcemanager.folders.get y resourcemanager.organizations.get para ver información en las columnas Heredada de y Ubicadas en

Funciones

Para ver las reglas de firewall, sigue estos pasos:

compute.orgSecurityResourceAdmin
compute.viewer

Opcional: Para ver la información en las columnas Heredada de y Ubicadas en, haz lo siguiente:

browser
resourcemanager.organizationAdmin

Console

En la consola de Google Cloud , ve a la página Políticas de firewall.

Ir a Políticas de firewall
Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.
Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.

Obtén reglas de firewall efectivas para una interfaz de VM

Puedes ver todas las reglas de firewall (de todas las políticas de firewall aplicables y las reglas de firewall de VPC) que se aplican a una interfaz de red de una VM de Compute Engine.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.instances.getEffectiveFirewalls

Funciones

Administrador de instancias de Compute (roles/compute.instanceAdmin) en el proyecto que contiene la instancia de VM o
Agente de servicio del administrador de grupos de instancias (roles/compute.instanceGroupManagerServiceAgent) en el proyecto que contiene la instancia de VM o
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la instancia de VM o
Visualizador de Compute (roles/compute.viewer) en el proyecto que contiene la instancia de VM

Console

En la consola de Google Cloud , ve a la página Instancias de VM.

Ir a Instancias de VM
En el menú de selección de proyectos, selecciona el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en la interfaz.
Las reglas de firewall efectivas aparecen en la pestaña Firewalls disponible en la sección Análisis de configuración de red.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Reemplaza lo siguiente:

INSTANCE_NAME: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0).
INTERFACE: Es la interfaz de la VM para la que deseas ver las reglas efectivas; el valor predeterminado es nic0.
ZONE: la zona de la VM. Esta línea es opcional si la zona deseada ya está configurada como predeterminada.

Soluciona problemas

En esta sección, se incluyen explicaciones para los mensajes de error que puedes encontrar.

FirewallPolicy may not specify a name. One will be provided.

No puedes especificar un nombre de política. Los “nombres” de la política jerárquica de firewall son IDs numéricos que genera Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.
FirewallPolicy may not specify associations on creation.

Las asociaciones solo se pueden crear después de que se crean las políticas jerárquicas de firewall.
Can't move firewall policy to a different organization.

Las transferencias de políticas jerárquicas de firewall deben permanecer dentro de la misma organización.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Si un recurso ya está adjunto a una política jerárquica de firewall, la operación de adjunto fallará, a menos que la opción para reemplazar las asociaciones existentes esté configurada como verdadera.
Can't have rules with the same priorities.

Las prioridades de las reglas deben ser únicas en una política jerárquica de firewall.
Direction must be specified for a firewall policy rule.

Cuando se crean reglas de políticas jerárquicas de firewall mediante el envío directo de solicitudes de REST, se debe especificar la dirección de la regla. Cuando se usa Google Cloud CLI y no se especifica ninguna dirección, el valor predeterminado es INGRESS.
Can't specify enable_logging on a goto_next rule.

El registro de firewall no está permitido en las reglas con acción goto_next, ya que las acciones goto_next se usan para representar el orden de evaluación de diferentes políticas de firewall, y no son acciones de la terminal, es decir, PERMITIR o RECHAZAR.
Must specify at least one destination on Firewall policy rule.

La marca layer4Configs en la regla de política de firewall debe especificar al menos un protocolo o un protocolo y un puerto de destino.

Si quieres obtener más información para solucionar problemas de reglas de políticas de firewall, consulta Solución de problemas de las reglas de firewall de VPC.

Usa reglas y políticas jerárquicas de firewall Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Limitaciones

Tareas de políticas de firewall

Permisos necesarios para esta tarea

Crea una política de firewall

Permisos necesarios para esta tarea

Console

gcloud

Asocia una política con la organización o la carpeta

Permisos necesarios para esta tarea

Console

gcloud

Mueve una política de un recurso a otro

Permisos necesarios para esta tarea

Console

gcloud

Actualiza una descripción de la política

Permisos necesarios para esta tarea

Console

gcloud

Enumera políticas

Permisos necesarios para esta tarea

Console

gcloud

Describe una política

Permisos necesarios para esta tarea

Console

gcloud

Borra una política

Permisos necesarios para esta tarea

Console

gcloud

Enumera las asociaciones de un recurso

Permisos necesarios para esta tarea

Console

gcloud

Borra una asociación

Permisos necesarios para esta tarea

Console

gcloud

Tareas de reglas de políticas de firewall

Crea una regla de entrada para los objetivos de VM

Permisos necesarios para esta tarea

Console

gcloud

Crea una regla de salida para los objetivos de VM

Permisos necesarios para esta tarea

Console

gcloud

Enumera todas las reglas en una política

Permisos necesarios para esta tarea

Console

gcloud

Describe una regla

Permisos necesarios para esta tarea

Console

gcloud

Actualiza una regla

Permisos necesarios para esta tarea

Console

gcloud

Clona reglas de una política a otra

Permisos necesarios para esta tarea

Console

gcloud

Borrar una regla

Permisos necesarios para esta tarea

Console

gcloud

Obtén reglas de firewall efectivas para una red

Permisos necesarios para esta tarea

Console

gcloud

Permisos necesarios para esta tarea

Console

Obtén reglas de firewall efectivas para una interfaz de VM

Permisos necesarios para esta tarea

Console

gcloud

Soluciona problemas

Usa reglas y políticas jerárquicas de firewall