Esta página se ha traducido con Cloud Translation API.

Políticas de cortafuegos

Las políticas de cortafuegos te permiten agrupar varias reglas de cortafuegos para poder actualizarlas todas a la vez, controladas de forma eficaz por los roles de gestión de identidades y accesos (IAM). Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, al igual que las reglas de cortafuegos de la nube privada virtual (VPC).

Políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten agrupar reglas en un objeto de política que se puede aplicar a muchas redes de VPC en uno o varios proyectos. Puedes asociar políticas de cortafuegos jerárquicas a toda una organización o a carpetas concretas.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos jerárquicas, consulta Políticas de cortafuegos jerárquicas.

Políticas de cortafuegos de red globales

Las políticas de cortafuegos de red globales te permiten agrupar reglas en un objeto de política que se puede aplicar a todas las regiones de una red de VPC.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos de red globales, consulta Políticas de cortafuegos de red globales.

Políticas de cortafuegos de red regionales

Las políticas de cortafuegos de red regionales te permiten agrupar reglas en un objeto de política que se puede aplicar a una región específica de una red de VPC.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos regionales, consulta Políticas de cortafuegos de red regionales.

Políticas de cortafuegos del sistema regionales

Las políticas de cortafuegos del sistema regionales son similares a las políticas de cortafuegos de red regionales, pero las gestiona Google. Las políticas de cortafuegos del sistema regionales tienen las siguientes características:

Google Cloud evalúa las reglas de las políticas de cortafuegos del sistema regionales inmediatamente después de evaluar las reglas de las políticas de cortafuegos jerárquicas. Para obtener más información, consulta el proceso de evaluación de reglas de cortafuegos.
No puedes modificar una regla de una política de cortafuegos del sistema regional, excepto para habilitar o inhabilitar el registro de reglas de cortafuegos. En su lugar, los servicios de Google, como Google Kubernetes Engine (GKE), gestionan las reglas de las políticas de cortafuegos del sistema regionales mediante APIs internas.
Google Cloud crea una política de cortafuegos del sistema regional en una región de una red de VPC cuando un servicio de Google requiere reglas en esa región de la red. Google Cloud puede asociar más de una política de cortafuegos del sistema regional a una región de una red de VPC en función de los requisitos de los servicios de Google.
No se te cobra por la evaluación de las reglas de las políticas de firewall del sistema regional.

Interacción con el perfil de red

Las redes de VPC normales admiten reglas de cortafuegos en políticas de cortafuegos jerárquicas, políticas de cortafuegos de red globales, políticas de cortafuegos de red regionales y reglas de cortafuegos de VPC. Todas las reglas de cortafuegos se programan como parte de la pila de virtualización de redes de Andromeda.

Las redes de VPC que usan determinados perfiles de red restringen las políticas y los atributos de reglas de cortafuegos que puedes usar. En el caso de las redes de VPC de RoCE, consulta Cloud NGFW para redes de VPC de RoCE en lugar de esta página.

Orden de aplicación de las políticas de cortafuegos de red

Cada red de VPC normal tiene un orden de aplicación de la política de cortafuegos de red que controla cuándo se evalúan las reglas de las políticas de cortafuegos de red globales y regionales.

AFTER_CLASSIC_FIREWALL (predeterminado): Cloud NGFW evalúa las reglas de cortafuegos de VPC antes de evaluar las reglas de las políticas de cortafuegos de red globales y regionales.
BEFORE_CLASSIC_FIREWALL: Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red globales y regionales antes de evaluar las reglas de cortafuegos de VPC.

Para cambiar el orden de aplicación de las políticas de cortafuegos de red, haga lo siguiente:

Usa el método networks.patch y asigna el atributo networkFirewallPolicyEnforcementOrder de la red VPC.

Usa el comando gcloud compute networks update con la marca --network-firewall-policy-enforcement-order.

Por ejemplo:

gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Proceso de evaluación de reglas de cortafuegos

En esta sección se describe el orden en el que Cloud NGFW evalúa las reglas que se aplican a los recursos de destino en las redes VPC normales.

Cada regla de cortafuegos es una regla de entrada o de salida, según la dirección del tráfico:

Las reglas de entrada se aplican a los paquetes de una nueva conexión que recibe un recurso de destino. Los recursos de destino admitidos para las reglas de entrada son los siguientes:
- Interfaces de red de instancias de máquina virtual (VM).
- Proxies de Envoy gestionados que usan los balanceadores de carga de aplicaciones internos y los balanceadores de carga de red de proxy internos (vista previa).
Las reglas de salida se aplican a los paquetes de una nueva conexión que envía una interfaz de red de una VM de destino.

Cloud NGFW siempre evalúa las reglas de las políticas de cortafuegos jerárquicas y de las políticas de cortafuegos del sistema regionales antes de evaluar cualquier otra regla de cortafuegos. Puedes controlar el orden en el que Cloud NGFW evalúa otras reglas de cortafuegos eligiendo un orden de aplicación de la política de cortafuegos de red. El orden de aplicación de la política de cortafuegos de red puede ser AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

Orden de aplicación de las políticas de cortafuegos de red `AFTER_CLASSIC_FIREWALL`

Cuando el orden de aplicación de la política de cortafuegos de red es AFTER_CLASSIC_FIREWALL, Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red globales y regionales después de evaluar las reglas de cortafuegos de VPC. Este es el orden de evaluación predeterminado.

En una red de VPC normal que usa el orden de aplicación AFTER_CLASSIC_FIREWALL, el orden de evaluación completo de las reglas de cortafuegos es el siguiente:

Políticas de cortafuegos jerárquicas.

Cloud NGFW evalúa las políticas de cortafuegos jerárquicas en el siguiente orden:
1. La política de cortafuegos jerárquica asociada a la organización que contiene el recurso de destino.
2. Políticas de cortafuegos jerárquicas asociadas a los ancestros de la carpeta, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.
Al evaluar las reglas de cada política de cortafuegos jerárquica, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene la evaluación de todas las reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: la regla reenvía el tráfico a un endpoint de cortafuegos configurado y se detiene toda la evaluación de la regla. La decisión de permitir o rechazar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: la evaluación de la regla continúa con una de las siguientes opciones:
  - Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
  - El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.
Si ninguna regla de una política de cortafuegos jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta una de las siguientes opciones:
- Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
- El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.
Políticas de cortafuegos del sistema regionales.

Al evaluar las reglas de las políticas de cortafuegos del sistema regionales, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos del sistema regional, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene la evaluación de todas las reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- goto_next: la evaluación de la regla continúa en
  - Una política de cortafuegos del sistema regional con la siguiente prioridad de asociación más alta, si existe.
  - El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de firewall del sistema regional.
Si ninguna regla de una política de cortafuegos del sistema regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta una de las siguientes opciones:
- Una política de cortafuegos del sistema regional con la siguiente prioridad de asociación más alta, si existe.
- El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de firewall del sistema regional.
Reglas de cortafuegos de VPC.

Al evaluar las reglas de cortafuegos de VPC, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
Cuando una o dos reglas de cortafuegos de VPC coinciden con el tráfico, la acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene la evaluación de todas las reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
Si dos reglas coinciden, deben tener la misma prioridad, pero acciones diferentes. En este caso, Cloud NGFW aplica la regla de cortafuegos de denyVPC e ignora la regla de cortafuegos de allowVPC.

Si ninguna regla de cortafuegos de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.
Política de cortafuegos de red global.

Al evaluar las reglas de una política de cortafuegos de red global, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos de red global, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene la evaluación de todas las reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: la regla reenvía el tráfico a un endpoint de cortafuegos configurado y se detiene toda la evaluación de la regla. La decisión de permitir o rechazar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: la evaluación de la regla continúa con el paso de la política de cortafuegos de red regional en el orden de evaluación.
Si ninguna regla de una política de cortafuegos de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de cortafuegos de red regional en el orden de evaluación.
Políticas de cortafuegos de red regionales.

Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red regionales que están asociadas a la región y a la red de VPC del recurso de destino.

Al evaluar las reglas de una política de cortafuegos de red regional, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos de red regional, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- goto_next: la evaluación de la regla continúa con el siguiente paso en el orden de evaluación.
Si ninguna regla de una política de cortafuegos de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en el siguiente paso del orden de evaluación.
Último paso: acción implícita.

Cloud NGFW aplica una acción implícita si la evaluación de la regla de firewall ha continuado en cada paso anterior siguiendo acciones explícitas o implícitas.goto_next La acción implícita depende de la dirección del tráfico:
- En el caso del tráfico de entrada, la acción implícita también depende del recurso de destino:
  - Si el recurso de destino es una interfaz de red de una instancia de VM, la acción de entrada implícita es deny.
  - Si el recurso de destino es una regla de reenvío de un balanceador de carga de aplicaciones interno o de un balanceador de carga de red con proxy interno, el tráfico de entrada implícito es allow.
- En el caso del tráfico de salida, la acción implícita es allow.

`AFTER_CLASSIC_FIREWALL` diagrama

El siguiente diagrama muestra el orden de aplicación de las políticas de cortafuegos de la red AFTER_CLASSIC_FIREWALL:

Flujo de resolución de reglas de cortafuegos. — **Imagen 1.** Flujo de resolución de reglas de cortafuegos si el orden de aplicación de la política de cortafuegos de red es `AFTER_CLASSIC_FIREWALL` (haz clic para ampliar).

Orden de aplicación de las políticas de cortafuegos de red `BEFORE_CLASSIC_FIREWALL`

Cuando el orden de aplicación de la política de cortafuegos de red es BEFORE_CLASSIC_FIREWALL, Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red globales y regionales antes de evaluar las reglas de cortafuegos de VPC.

En una red de VPC normal que usa el orden de aplicación BEFORE_CLASSIC_FIREWALL, el orden de evaluación completo de las reglas de cortafuegos es el siguiente:

Políticas de cortafuegos jerárquicas.

Cloud NGFW evalúa las políticas de cortafuegos jerárquicas en el siguiente orden:
1. La política de cortafuegos jerárquica asociada a la organización que contiene el recurso de destino.
2. Políticas de cortafuegos jerárquicas asociadas a los ancestros de la carpeta, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.
Al evaluar las reglas de cada política de cortafuegos jerárquica, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: la regla reenvía el tráfico a un endpoint de cortafuegos configurado y se detiene toda la evaluación de la regla. La decisión de permitir o rechazar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: la evaluación de la regla continúa con una de las siguientes opciones:
  - Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
  - El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.
Si ninguna regla de una política de cortafuegos jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta una de las siguientes opciones:
- Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
- El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.
Políticas de cortafuegos del sistema regionales.

Al evaluar las reglas de las políticas de cortafuegos del sistema regionales, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos del sistema regional, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- goto_next: la evaluación de la regla continúa en
  - Una política de cortafuegos del sistema regional con la siguiente prioridad de asociación más alta, si existe.
  - El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de firewall del sistema regional.
Si ninguna regla de una política de cortafuegos del sistema regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta una de las siguientes opciones:
- Una política de cortafuegos del sistema regional con la siguiente prioridad de asociación más alta, si existe.
- El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de firewall del sistema regional.
Política de cortafuegos de red global.

Al evaluar las reglas de una política de cortafuegos de red global, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos de red global, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- apply_security_profile_group: la regla reenvía el tráfico a un endpoint de cortafuegos configurado y se detiene toda la evaluación de la regla. La decisión de permitir o rechazar el paquete depende del perfil de seguridad configurado del grupo de perfiles de seguridad.
- goto_next: la evaluación de la regla continúa con el paso de la política de cortafuegos de red regional en el orden de evaluación.
Si ninguna regla de una política de cortafuegos de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de cortafuegos de red regional en el orden de evaluación.
Políticas de cortafuegos de red regionales.

Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red regionales que están asociadas a la región y a la red de VPC del recurso de destino.

Al evaluar las reglas de una política de cortafuegos de red regional, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos destinos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
En una política de cortafuegos de red regional, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene la evaluación de todas las reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
- goto_next: la evaluación de la regla continúa con el siguiente paso en el orden de evaluación.
Si ninguna regla de una política de cortafuegos de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en el siguiente paso del orden de evaluación.
Reglas de cortafuegos de VPC.

Al evaluar las reglas de cortafuegos de VPC, Cloud NGFW sigue estos pasos:
1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
2. Ignora todas las reglas que no coincidan con la dirección del paquete.
3. Evalúa las reglas restantes de la prioridad más alta a la más baja.
  La evaluación se detiene cuando se cumple una de las siguientes condiciones:
  - Una regla que se aplica al recurso de destino coincide con el tráfico.
  - Ninguna regla que se aplique al recurso de destino coincide con el tráfico.
Cuando una o dos reglas de cortafuegos de VPC coinciden con el tráfico, la acción de la regla de cortafuegos cuando se produce una coincidencia puede ser una de las siguientes:
- allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
- deny: la regla deniega el tráfico y se detiene toda la evaluación de reglas.
Si dos reglas coinciden, deben tener la misma prioridad, pero acciones diferentes. En este caso, Cloud NGFW aplica la regla de cortafuegos de denyVPC e ignora la regla de cortafuegos de allowVPC.

Si ninguna regla de cortafuegos de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.
Último paso: acción implícita.

Cloud NGFW aplica una acción implícita si la evaluación de la regla de firewall ha continuado en cada paso anterior siguiendo acciones explícitas o implícitas.goto_next La acción implícita depende de la dirección del tráfico:
- En el caso del tráfico de entrada, la acción implícita también depende del recurso de destino:
  - Si el recurso de destino es una interfaz de red de una instancia de VM, la acción de entrada implícita es deny.
  - Si el recurso de destino es una regla de reenvío de un balanceador de carga de aplicaciones interno o de un balanceador de carga de red con proxy interno, el tráfico de entrada implícito es allow.
- En el caso del tráfico de salida, la acción implícita es allow.

`BEFORE_CLASSIC_FIREWALL` diagrama

El siguiente diagrama muestra el orden de aplicación de las políticas de cortafuegos de red BEFORE_CLASSIC_FIREWALL:

Reglas de cortafuegos efectivas

Las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales y regionales controlan las conexiones. Puede ser útil ver todas las reglas de cortafuegos que afectan a una interfaz de red o de VM concreta.

Reglas de cortafuegos de red efectivas

Puedes ver todas las reglas de cortafuegos aplicadas a una red de VPC. La lista incluye todos los tipos de reglas siguientes:

Reglas heredadas de políticas de cortafuegos jerárquicas
Reglas de cortafuegos de VPC
Reglas aplicadas desde las políticas de cortafuegos de red globales y regionales

Reglas de cortafuegos efectivas de la instancia

Puedes ver todas las reglas de cortafuegos aplicadas a la interfaz de red de una VM. La lista incluye todos los tipos de reglas siguientes:

Reglas heredadas de políticas de cortafuegos jerárquicas
Reglas aplicadas desde el cortafuegos de la VPC de la interfaz
Reglas aplicadas de las políticas de cortafuegos de red globales y regionales

Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de la máquina virtual. No se muestran las reglas de otras políticas.

Para ver las reglas de la política de cortafuegos en vigor de una región, consulta Obtener las políticas de cortafuegos regionales en vigor de una red.

Reglas predefinidas

Cuando creas una política de cortafuegos jerárquica, una política de cortafuegos de red global o una política de cortafuegos de red regional, Cloud NGFW añade reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW añade a la política dependen de cómo crees la política.

Si creas una política de cortafuegos con la Google Cloud consola, Cloud NGFW añade las siguientes reglas a la nueva política:

Reglas de ir a siguiente para intervalos IPv4 privados
Reglas de denegación predefinidas de Google Threat Intelligence
Reglas de denegación de geolocalización predefinidas
Reglas de ir a la siguiente con la prioridad más baja posible

Si creas una política de cortafuegos con la CLI de Google Cloud o la API, Cloud NGFW solo añade a la política las reglas de prioridad más baja posibles para ir a la siguiente.

Todas las reglas predefinidas de una nueva política de cortafuegos usan prioridades bajas (números de prioridad altos) para que puedas anularlas creando reglas con prioridades más altas. A excepción de las reglas de ir a la siguiente con la prioridad más baja posible, también puede personalizar las reglas predefinidas.

Reglas de ir a siguiente para intervalos de IPv4 privados

Una regla de salida con intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridad 1000 y acción goto_next.
Una regla de entrada con intervalos IPv4 de origen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridad 1001 y acción goto_next.

Reglas de denegación predefinidas de Google Threat Intelligence

Una regla de entrada con la lista de Google Threat Intelligence iplist-tor-exit-nodes, la prioridad 1002 y la acción deny.
Una regla de entrada con la lista de Google Threat Intelligence iplist-known-malicious-ips, la prioridad 1003 y la acción deny.
Una regla de salida con la lista de Google Threat Intelligence iplist-known-malicious-ips, prioridad 1004 y acción deny.

Para obtener más información sobre Google Threat Intelligence, consulta el artículo Google Threat Intelligence para reglas de políticas de cortafuegos.

Reglas de denegación de geolocalización predefinidas

Una regla de entrada con geolocalizaciones de origen coincidentes CU, IR, KP, SY, XC y XD, prioridad 1005 y acción deny.

Para obtener más información sobre las geolocalizaciones, consulta Objetos de geolocalización.

Reglas de ir a la siguiente con la prioridad más baja posible

No puedes modificar ni eliminar las siguientes reglas:

Una regla de salida con el intervalo IPv6 de destino ::/0, la prioridad 2147483644 y la goto_next acción.
Una regla de entrada con el intervalo IPv6 de origen ::/0, la prioridad 2147483645 y la acción goto_next.
Una regla de salida con el intervalo IPv4 de destino 0.0.0.0/0, la prioridad 2147483646 y la goto_next acción.
Una regla de entrada con el intervalo IPv4 de origen 0.0.0.0/0, la prioridad 2147483647 y la goto_nextacción.

Siguientes pasos

Para crear y modificar reglas y políticas de cortafuegos jerárquicas, consulta Utilizar reglas y políticas de cortafuegos jerárquicas.
Para ver ejemplos de implementaciones de políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.
Para crear y modificar políticas y reglas de cortafuegos de red globales, consulta Usar políticas y reglas de cortafuegos de red globales.
Para crear y modificar políticas y reglas de cortafuegos de red regionales, consulta Usar políticas y reglas de cortafuegos de red regionales.