Crea y administra reglas de firewall

Para inspeccionar el tráfico de red de los consumidores, usa políticas de firewall para redireccionar el tráfico al grupo de extremos de interceptación de la VPC. Luego, el tráfico pasa por el grupo de implementación de interceptores del productor a sus recursos de procesamiento.

En esta página, se describe cómo configurar y administrar las políticas y reglas de firewall de red globales. Si deseas crear reglas y políticas de firewall jerárquicas, consulta Usa reglas y políticas de firewall jerárquicas.

Antes de comenzar

Funciones

Para crear, ver o borrar reglas de firewall, pídele a tu administrador que te otorgue los roles de Identity and Access Management (IAM) necesarios en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Para verificar el progreso de las operaciones que se indican en esta página, asegúrate de que tu rol de usuario tenga los siguientes roles a nivel del proyecto: Administrador de seguridad de Compute (roles/compute.securityAdmin), Administrador de redes de Compute (roles/compute.networkAdmin) y Visualizador de Compute (roles/compute.viewer):

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Crea políticas y reglas de firewall

Creas una política de firewall y una regla con la acción APPLY_SECURITY_PROFILE_GROUP.

Console

Para crear una política de firewall de red, sigue estos pasos:

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la lista de selección de proyectos, selecciona tu proyecto dentro de tu organización.

  3. Haz clic en Crear política de firewall.

  4. En el campo Nombre, ingresa un nombre para la política.

  5. En Permiso de la implementación, selecciona Global.

  6. Si deseas crear reglas para tu política, haz clic en Continuar y, luego, en Agregar regla.

    1. En el campo Prioridad, establece el número de pedido de la regla, en el que 0 es la prioridad más alta.
    2. En Dirección del tráfico, elige Ingress.
    3. En Acción si hay coincidencia, elige Continuar a la inspección de L7.
    4. En Propósito, elige NSI in-band.
    5. En Grupo de perfiles de seguridad, selecciona el grupo de perfiles de seguridad de interceptación personalizado.
    6. En Tipo de destino, especifica el destino de la regla.
    7. En Filtros de origen, especifica el filtro de origen.
    8. En Destinos, especifica los filtros de destino.
    9. En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica la regla.
    10. Haz clic en Crear.

  7. Haz clic en Agregar regla para agregar otra regla.

  8. Si deseas asociar la política a una red, haz clic en Continuar y, luego, en Asociar política con redes de VPC.

  9. Haz clic en Crear.

Para obtener más información, consulta Crea reglas de firewall de red globales.

gcloud

Para crear una política de firewall de red, usa el comando gcloud compute firewall-policies create:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Para crear una regla de firewall, usa el comando gcloud compute network-firewall-policies rules create:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Reemplaza lo siguiente:

  • PRIORITY: La prioridad de la regla que se agregará.

  • FIREWALL_POLICY: Es el ID de la política de firewall con la que se creará una regla.

  • ORGANIZATION_ID: Es el ID de la organización en la que se crea el grupo de perfiles de seguridad.

  • SECURITY_PROFILE_GROUP_ID: Es el ID del grupo de perfiles de seguridad que tiene una acción custom-intercept-profile.

  • DIRECTION: Indica si la regla es de ingress o egress. Si no se especifica la dirección, se aplica la regla al tráfico entrante de forma predeterminada. Para el tráfico entrante, no puedes especificar rangos de destino. Para el tráfico de salida, no puedes especificar rangos de origen ni etiquetas de origen.

  • LAYER4_CONFIG: Es una lista de protocolos y puertos de destino a los que se aplica la regla de firewall.

  • SRC_IP_RANGE: Son los rangos de IP de origen. Solo se especifica si DIRECTION es ingress.

  • DEST_IP_RANGE: Son los rangos de IP de destino. Solo se especifica si DIRECTION es egress.

Terraform

Para crear una política de firewall, puedes usar un recurso google_compute_firewall_policy.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Para crear una regla de política de firewall, puedes usar un recurso google_compute_network_firewall_policy_rule.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Describe políticas y reglas de firewall

Puedes ver todos los detalles de una política, incluidas todas sus reglas de firewall.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el selector de proyectos, selecciona el proyecto que contenga la política de firewall de red global.

  3. Haz clic en tu política.

  4. Para ver los detalles de una regla, haz clic en su prioridad.

gcloud

Para describir una política de firewall, usa el comando gcloud compute network-firewall-policies describe:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Para describir una regla de firewall, usa el comando gcloud compute network-firewall-policies rules describe:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Reemplaza FIREWALL_POLICY por el ID de la política de firewall en la que se define la regla.

Borra políticas y reglas de firewall

Puedes borrar una política y sus reglas de firewall. Debes borrar todas las asociaciones en una política de firewall de la organización para poder borrarla.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el selector de proyectos, elige el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieres borrar.

  5. Haz clic en Borrar.

  6. Haz clic en la pestaña Asociaciones.

  7. Selecciona la asociación que quieres borrar.

  8. Haz clic en Quitar asociaciones.

  9. Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

Para borrar una regla de firewall, usa el comando gcloud compute network-firewall-policies rules delete:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Reemplaza FIREWALL_POLICY por el ID de la política de firewall en la que se define la regla.

Para borrar una política de firewall, usa el comando gcloud compute network-firewall-policies delete:

gcloud compute network-firewall-policies delete FIREWALL_POLICY