Cómo crear y administrar reglas de duplicación

Console

Para crear una política de firewall de red, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Políticas de firewall.

   Ir a Políticas de firewall

2. En la lista de selección de proyectos, selecciona tu Google Cloud proyecto dentro de tu organización.

3. Haz clic en Crear política de firewall.

4. En el campo Nombre de la política, ingresa un nombre para la política.

5. En Permiso de la implementación, elige Global.

6. Para crear reglas de duplicación para tu política, haz clic en Continuar > Continuar.

7. En la sección Agregar reglas de duplicación, haz clic en Crear regla de duplicación.

   1. En el campo Prioridad, establece el número de pedido de la regla, en el que 0 es la prioridad más alta.
   2. En Dirección del tráfico, elige Ingress.
   3. En Acción en caso de coincidencia, elige Duplicar.
   4. En Grupo de perfiles de seguridad, selecciona el grupo de perfiles de seguridad de duplicación personalizado.
   5. En Objetivo, especifica el objetivo de la regla.
   6. En Fuente, especifica el filtro de origen.
   7. En Destinos, especifica los filtros de destino.
   8. En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino, o bien a qué protocolos y puertos de destino se aplica la regla.
   9. Haz clic en Crear.

8. Si deseas asociar la política a una red, haz clic en Continuar y, luego, en Asociar política con redes. Para obtener más información, consulta Asocia una política con la red.

9. Haz clic en Crear.

gcloud

Para crear una regla de duplicación en una política de firewall de red, usa el comando gcloud compute network-firewall-policies mirroring-rules create:

 gcloud compute network-firewall-policies mirroring-rules create PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Reemplaza lo siguiente:

• PRIORITY: La prioridad de la regla que se agregará.

• ACTION: Es la acción que se realiza si la solicitud coincide con la condición de coincidencia. ACTION debe ser mirror o do_not_mirror.

• FIREWALL_POLICY: Es el ID de la política de firewall con la que se creará una regla.

• SECURITY_PROFILE_GROUP: Es el nombre del grupo de perfiles de seguridad que tiene un perfil de seguridad CUSTOM_MIRRORING y se usa con la acción mirror.

• DESCRIPTION: Es una descripción opcional de la regla de duplicación.

• DIRECTION: Indica si la regla es de ingress o egress. Si no se especifica la dirección, se aplica la regla al tráfico entrante de forma predeterminada. Para el tráfico entrante, no puedes especificar rangos de destino. Para el tráfico saliente, no puedes especificar rangos de origen ni etiquetas de origen.

• LAYER4_CONFIG: Es una lista de protocolos y puertos de destino a los que se aplica la regla de firewall.

• SRC_IP_RANGE: Son los rangos de IP de origen. Solo se especifica si DIRECTION es ingress.

• DEST_IP_RANGE: Son los rangos de IP de destino. Solo se especifica si DIRECTION es egress.

Terraform

Para crear una regla de duplicación, puedes usar un recurso google_compute_network_firewall_policy_packet_mirroring_rule.

resource "google_compute_network_firewall_policy_packet_mirroring_rule" "default" {
  provider               = google-beta
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "mirror"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Console

1. En la consola de Google Cloud , ve a la página Políticas de firewall.

   Ir a Políticas de firewall

2. En el selector de proyectos, selecciona tu proyecto Google Cloud que contiene la política de firewall de red global.

3. Haz clic en tu política.

4. Para ver los detalles de una regla, haz clic en su prioridad.

gcloud

Para describir una regla de duplicación en una política de firewall de red, usa el comando gcloud compute network-firewall-policies mirroring-rules describe:

 gcloud compute network-firewall-policies mirroring-rules describe PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Reemplaza lo siguiente:

• PRIORITY: Es la prioridad de la regla que se describirá.

• FIREWALL_POLICY: Es el ID de la política de firewall con la que se describirá la regla.

Console

1. En la consola de Google Cloud , ve a la página Políticas de firewall.

   Ir a Políticas de firewall

2. En el selector de proyectos, elige el proyecto Google Cloud que contiene la política.

3. Haz clic en tu política.

4. En la sección Reglas de duplicación, haz clic en la prioridad de la regla que deseas actualizar.

5. Haz clic en Editar.

6. Después de editar la regla, haz clic en Guardar.

gcloud

Para actualizar una regla de duplicación en una política de firewall de red, usa el comando gcloud compute network-firewall-policies mirroring-rules update:

 gcloud compute network-firewall-policies mirroring-rules update PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Reemplaza lo siguiente:

• PRIORITY: Es la prioridad de la regla que se actualizará.

• ACTION: Es la acción que se realiza si la solicitud coincide con la condición de coincidencia. ACTION debe ser mirror o do_not_mirror.

• FIREWALL_POLICY: Es el ID de la política de firewall con la que se actualizará una regla.

• SECURITY_PROFILE_GROUP: Es el nombre del grupo de perfiles de seguridad que tiene un perfil de seguridad CUSTOM_MIRRORING o si ACTION es mirror.

• DESCRIPTION: Es una descripción opcional de la regla de duplicación.

• DIRECTION: Indica si la regla es de ingress o egress. Si no se especifica la dirección, se aplica la regla al tráfico entrante de forma predeterminada. Para el tráfico entrante, no puedes especificar rangos de destino. Para el tráfico saliente, no puedes especificar rangos de origen ni etiquetas de origen.

• LAYER4_CONFIG: Es una lista de protocolos y puertos de destino a los que se aplicará la regla de firewall.

• SRC_IP_RANGE: Son los rangos de IP de origen. Solo se especifica si DIRECTION es ingress.

• DEST_IP_RANGE: Son los rangos de IP de destino. Solo se especifica si DIRECTION es egress.

Console

1. En la consola de Google Cloud , ve a la página Políticas de firewall.

   Ir a Políticas de firewall

2. En el selector de proyectos, elige el proyecto Google Cloud que contiene la política.

3. Haz clic en tu política.

4. Selecciona la regla de duplicación que deseas borrar.

5. Haz clic en Borrar.

gcloud

Para borrar una regla de duplicación de una política de firewall de red, usa el comando gcloud compute network-firewall-policies mirroring-rules delete:

 gcloud compute network-firewall-policies mirroring-rules delete PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Reemplaza lo siguiente:

• PRIORITY: Es la prioridad de la regla que se borrará.

• FIREWALL_POLICY: Es el ID de la política de firewall con la que se borrará una regla.