Descripción general de las políticas y reglas de firewall

Las políticas de firewall te permiten agrupar varias reglas de firewall y de duplicación para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de Identity and Access Management (IAM). Para obtener más información sobre las políticas de firewall, consulta la Descripción general de las políticas de firewall.

Las reglas de políticas de firewall te permiten rechazar o permitir conexiones de forma explícita, mientras que las reglas de duplicación te permiten filtrar el tráfico que deseas duplicar.

En este documento, se describen las políticas de firewall que tienen reglas de duplicación y sus componentes.

Crea políticas de firewall

Puedes crear una regla de duplicación en las políticas de firewall de red globales. Las políticas de firewall de red globales contienen reglas de duplicación que pueden duplicar o no duplicar de forma explícita el tráfico definido. Para obtener más información sobre cómo crear estas políticas y asociarlas a la red, consulta Usa reglas y políticas de firewall de red globales.

La política de firewall puede incluir reglas de firewall y reglas de duplicación de paquetes. Sin embargo, estas reglas son independientes y se evalúan por separado. Esto significa que tanto las reglas de firewall como las de duplicación de paquetes pueden tener la misma prioridad. Para obtener más información, consulta Orden de evaluación de reglas y políticas para las reglas de duplicación.

Reglas de duplicación

Duplicación de paquetes, un servicio de integración de seguridad de red fuera de banda, usa reglas de duplicación de paquetes para especificar qué tráfico se duplica en la red del consumidor. Luego, este tráfico duplicado se envía al grupo de implementación en la red del productor. Para duplicar el tráfico, primero debes crear una regla de duplicación de paquetes dentro de una política de firewall de red global.

Componentes de las reglas de duplicación

Las reglas de duplicación suelen funcionar de la misma manera que la política de firewall, pero existen algunas diferencias, como se describe en las siguientes secciones.

Prioridad

La prioridad de una regla de duplicación es un número entero del 0 al 2,147,483,547, inclusive. Los números enteros más bajos indican prioridades más altas. La prioridad de una regla de duplicación es similar a la prioridad de una regla de firewall.

Acción en caso de coincidencia

Las reglas de duplicación determinan si se duplican los paquetes de datos de entrada o salida. Una regla de duplicación puede tener una de las siguientes acciones:

En el caso de una regla de duplicación de paquetes, se admiten las siguientes acciones:
- MIRROR: El tráfico coincidente se duplica y se enruta al grupo de implementación.
- DO_NOT_MIRROR: El tráfico coincidente no se duplica y se omite la evaluación de otras reglas de firewall de duplicación de paquetes. Las reglas de DO_NOT_MIRROR se usan para filtrar de forma detallada los flujos que no necesitan duplicación.
- GOTO_NEXT: Acción que puedes usar para delegar la evaluación de la conexión a niveles inferiores. La regla de duplicación permite el procesamiento de reglas posteriores si se cumple una de las siguientes condiciones:
  - Si esa acción es goto_next, la evaluación continúa con la siguiente regla. Por lo tanto, varias reglas de goto_next no afectan el comportamiento de las demás.
  - Si el tráfico entrante no coincide con ninguna regla existente, el sistema establece de forma predeterminada una acción de goto_next. Esto significa que el nivel de política actual no encontró una acción relevante, por lo que la evaluación continúa en el siguiente nivel inferior.
  Nota: Las reglas de nivel inferior no pueden anular una regla de un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas fundamentales en un solo lugar.
Una regla de duplicación con una acción mirror debe hacer referencia a un grupo de perfiles de seguridad que contenga un perfil de seguridad CUSTOM_MIRRORING.

Una regla de salida con una acción de permitir permite que una instancia envíe tráfico a los destinos especificados en la regla. Las reglas de firewall de denegación de mayor prioridad pueden denegar la salida. Google Cloud tambiénbloquea o limitaciertos tipos de tráfico.

Después de agregar la regla de duplicación a las políticas, debes asociarla a tu red para aplicar la regla creada. Para obtener más información sobre cómo crear y asociar una regla de duplicación, consulta Crea y administra reglas de duplicación.

Protocolos y puertos

Al igual que con las reglas de firewall, debes especificar una o más restricciones de protocolos y puertos cuando creas una regla de duplicación. Cuando especificas TCP o UDP en una regla de duplicación, puedes especificar el protocolo, el protocolo y un puerto de destino, o el protocolo y un rango de puertos de destino. No puedes especificar solo un puerto o rango de puertos. Además, solo puedes especificar puertos de destino. No se admiten reglas basadas en puertos de origen.

Puedes usar los siguientes nombres de protocolos en las reglas de duplicación: tcp, udp, icmp (para ICMP de IPv4), esp, ah, sctp y ipip. Para todos los demás protocolos, usa los números de protocolo de IANA. Muchos protocolos usan el mismo nombre y número en IPv4 y en IPv6, pero algunos protocolos, como ICMP, no. Para especificar ICMP de IPv4, usa icmp o el número de protocolo uno (1). Para ICMP de IPv6, usa el número de protocolo 58.

Las reglas de duplicación no admiten la especificación de códigos y tipos de ICMP, solo el protocolo. El protocolo IPv6 de salto por salto no es compatible con las reglas de duplicación. Si no especificas los parámetros de protocolo y puerto, la regla se aplica a todos los protocolos y puertos de destino.

Dirección

Es la dirección en la que se aplica la regla de duplicación. Puede ser INGRESS o EGRESS.

INGRESS: La dirección de entrada se refiere a las conexiones entrantes que se envían desde orígenes específicos a objetivos de Google Cloud . Las reglas de entrada se aplican a paquetes entrantes, en los que el destino de los paquetes es el objetivo.

Una regla de entrada con una acción de denegación protege todas las instancias, ya que bloquea las conexiones entrantes a ellas. Una regla de mayor prioridad podría permitir el acceso entrante. Una red predeterminada creada automáticamente incluye algunas reglas de firewall de la nube privada virtual (VPC) propagadas previamente, que permiten la entrada para ciertos tipos de tráfico.
EGRESS: La dirección de salida se refiere al tráfico saliente enviado desde un objetivo a un destino. Las reglas de salida se aplican a paquetes para conexiones nuevas en las que el origen del paquete es el objetivo.