Las políticas de firewall son una colección de reglas de firewall que te permiten controlar el flujo de tráfico de entrada y salida en una red de VPC. Las reglas de políticas de firewall te permiten rechazar o permitir conexiones de forma explícita.
En la integración de seguridad de red dentro de la banda, usas políticas y reglas de firewall jerárquicas y globales de red (recomendadas) para redireccionar el tráfico de red. El tráfico fluye a través del grupo de extremos de interceptación de la red de VPC, el grupo de implementación de interceptación del productor y, luego, a los recursos de procesamiento del productor para la inspección del tráfico.
En esta página, se describen las políticas y reglas de firewall que se usan para la inspección de paquetes.
Políticas y reglas de firewall
Para redireccionar el tráfico al grupo de extremos de interceptación, puedes crear reglas y políticas de firewall jerárquicas o de red.
Cuando creas una política de firewall, debes crear una regla de firewall con la acción APPLY_SECURITY_PROFILE_GROUP. La regla debe hacer referencia al grupo de perfiles de seguridad que contiene la acción custom-intercept-profile.
Prioridad
La prioridad de la regla de firewall debe ser un número entero del 0 al 2,147,483,547, inclusive. Los números enteros más bajos indican prioridades más altas. Para obtener más información, consulta Prioridad de las reglas de firewall.
Acción en caso de coincidencia
Una regla en una política de firewall puede tener una de las siguientes acciones:
- La acción
allowpermite el tráfico y detiene la evaluación de reglas. - La acción
denyrechaza el tráfico y detiene la evaluación de reglas. - La acción
apply_security_profile_groupintercepta el tráfico de forma transparente y lo envía al extremo de firewall configurado o al grupo de extremos de interceptación para su inspección. La decisión de permitir o rechazar el paquete depende del extremo de firewall (o del grupo de extremos de interceptación) y del perfil de seguridad configurado. En ambos casos, se detiene el proceso de evaluación de reglas.
Para obtener más información, consulta Orden de evaluación de reglas y políticas.
Entrada y salida
Una regla de entrada con una acción deny protege todas las instancias cuando bloquea las conexiones entrantes a ellas. Una regla de mayor prioridad podría permitir el acceso entrante.
Una regla de salida con una acción allow permite que una instancia envíe tráfico a los destinos especificados en la regla. Las reglas de firewall de denegación de mayor prioridad pueden denegar la salida. Google Cloud también bloquea o
limita ciertos tipos de tráfico.
Después de agregar la regla de firewall a las políticas, asocia la política de firewall a tu red. Para obtener más información, consulta Crea y administra reglas.
Protocolos y puertos
Al igual que con las reglas de firewall, debes especificar una o más restricciones de protocolos y puertos cuando creas una regla de firewall. Cuando especificas TCP o UDP en una regla de firewall, puedes especificar el protocolo, el protocolo y un puerto de destino, o el protocolo y un rango de puertos de destino. No puedes especificar solo un puerto o rango de puertos. Además, solo puedes especificar puertos de destino. No se admiten reglas basadas en puertos de origen.
Puedes usar los siguientes nombres de protocolos en las reglas de firewall:
tcpudpicmp(para ICMP de IPv4)espahsctpipip
Para todos los demás protocolos, usa los números de protocolo de IANA.
Para obtener más información, consulta Protocolo y puertos de las reglas de firewall.
Dirección
Es la dirección en la que se aplica la regla de firewall. Puede ser INGRESS o EGRESS.
INGRESS: La dirección de entrada se refiere a las conexiones entrantes que se envían desde orígenes específicos a objetivos de Google Cloud . Las reglas de entrada se aplican a paquetes entrantes, en los que el destino de los paquetes es el objetivo.Una regla de entrada con una acción de denegación protege todas las instancias cuando bloquea las conexiones entrantes a ellas. Una regla de mayor prioridad podría permitir el acceso entrante. Una red predeterminada creada automáticamente incluye algunas reglas de firewall de la nube privada virtual propagadas previamente, que permiten la entrada para ciertos tipos de tráfico.
EGRESS: La dirección de salida se refiere al tráfico saliente enviado de un objetivo a un destino. Las reglas de salida se aplican a paquetes para conexiones nuevas en las que el origen del paquete es el objetivo.