Descripción general del extremo de firewall

El extremo de firewall es un recurso de Cloud Next Generation Firewall que habilita las funciones avanzadas de protección de la capa 7, como la prevención de intrusiones, en tu red.

En esta página, se proporciona una descripción general detallada de los extremos de firewall y sus capacidades.

Especificaciones

  • Un extremo de firewall es un recurso organizativo creado a nivel zonal.

  • Los extremos de firewall llevan a cabo una inspección de firewall de capa 7 en el tráfico interceptado.

  • Cloud Next Generation Firewall usa la tecnología de interceptación de paquetes de Google Cloud para redireccionar el tráfico con transparencia desde las cargas de trabajo de Google Cloud en una red de nube privada virtual (VPC) a los extremos del firewall.

    La interceptación de paquetes es una función de Google Cloud que inserta de manera transparente dispositivos de red en la ruta del tráfico de red elegido sin modificar sus políticas de enrutamiento existentes.

  • Cloud NGFW redirecciona el tráfico de carga de trabajo en una red de VPC al extremo del firewall solo si la inspección de la capa 7 está configurada para aplicarse a este flujo.

  • Cloud NGFW agrega un identificador de red de VPC a cada paquete redireccionado al extremo de firewall para la inspección de la capa 7. Si tienes varias redes de VPC con rangos de direcciones IP superpuestos, este identificador de red ayuda a garantizar que cada paquete redireccionado esté asociado de forma correcta con su red de VPC.

  • Puedes crear un extremo de firewall en una zona y adjuntarlo a una o más redes de VPC para supervisar las cargas de trabajo en la misma zona. Si tu red de VPC abarca varias zonas, puedes conectar un extremo de firewall en cada zona. Si no conectas un extremo de firewall a una red de VPC en una zona específica, no se realiza ninguna inspección de capa 7 en el tráfico de carga de trabajo para esa zona.

    Usa la asociación de extremo de firewall para conectar un extremo de firewall a una red de VPC.

  • El extremo y las cargas de trabajo para las que deseas habilitar la inspección de capa 7 deben estar en la misma zona. Crear el extremo de firewall en la misma zona que las cargas de trabajo tiene los siguientes beneficios:

    • Menor latencia. Debido a que los extremos de firewall pueden interceptar, inspeccionar y restablecer el tráfico en la red, la latencia es menor que la de los extremos de firewall en diferentes zonas.

    • No hay tráfico entre zonas. Mantener el tráfico dentro de la misma zona garantiza costos más bajos.

    • Tráfico más confiable. Mantener el tráfico dentro de la misma zona quita el riesgo de interrupciones interzonales.

  • Los extremos de firewall pueden procesar hasta 2 Gbps de tráfico con una inspección de seguridad de la capa de transporte (TLS) y 10 Gbps de tráfico sin inspección de TLS. Enviar más tráfico puede provocar la pérdida de paquetes. Para supervisar el uso de capacidad del extremo de firewall, consulta las métricas del extremo de firewall.

  • Puedes borrar un extremo de firewall solo cuando no haya redes de VPC asociadas.

  • Google administra la infraestructura, el balanceo de cargas, el ajuste de escala automático y el ciclo de vida de los extremos del firewall. Cuando creas un extremo de firewall, Google proporciona un conjunto de instancias de máquina virtual (VM) dedicadas, lo que garantiza la confiabilidad, el rendimiento y el aislamiento de seguridad para el tráfico, junto con la administración de certificados.

  • Google proporciona alta disponibilidad mediante el uso de mecanismos de conmutación por error adecuados para los extremos de firewall, lo que garantiza una protección de firewall confiable para todas las instancias de VM cubiertas dentro de la red de VPC conectada.

Asociaciones de extremo de firewall

La asociación del extremo de firewall vincula un extremo de firewall a una red de VPC en la misma zona. Después de definir esta asociación, Cloud NGFW reenvía el tráfico de carga de trabajo zonal en tu red de VPC que requiere la inspección de la capa 7 al extremo del firewall adjunto.

Roles de Identity and Access Management

Las funciones de Identity and Access Management (IAM) rigen las siguientes acciones para administrar los extremos de firewall:

  • Crea un extremo de firewall en una organización
  • Modifica o borra un extremo de firewall
  • Visualiza los detalles de un extremo de firewall
  • Visualiza todos los extremos de firewall configurados en una organización

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad Rol necesario
Crea un nuevo extremo de firewall Rol compute.networkAdmin en la organización en la que se crea el extremo de firewall.
Modifica un extremo de firewall existente Rol compute.networkAdmin en la organización.
Visualiza detalles sobre el extremo de firewall en una organización Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkUser
compute.networkViewer
Visualiza todos los extremos de firewall en una organización Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkUser
compute.networkViewer

Los roles de IAM rigen las siguientes acciones para las asociaciones de extremos de firewall:

  • Crea una asociación de extremo de firewall en un proyecto
  • Modifica o borra una asociación de extremo de firewall
  • Visualiza los detalles de una asociación de extremo de firewall
  • Visualiza todas las asociaciones de extremos de firewall configuradas en un proyecto

En la siguiente tabla, se describen los roles necesarios para cada paso.

Capacidad Rol necesario
Crear una asociación de extremo de firewall

compute.networkAdmin en el proyecto en el que se crea la asociación del extremo de firewall.

El rol compute.networkUser en la organización, que representa permisos para asociar la VPC (de la cual el usuario es administrador) al extremo (que es un recurso que pertenece a una organización, no necesariamente al propietario de la VPC).

Modifica (actualiza o borra) las asociaciones del extremo de firewall Función compute.networkAdmin en el proyecto en el que existe la red de VPC.
Visualiza los detalles de la asociación de extremos de firewall en un proyecto Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkViewer
compute.networkUser
Visualiza todas las asociaciones de extremos de firewall en un proyecto Cualquiera de los siguientes roles para la organización:
compute.networkAdmin
compute.networkViewer
compute.networkUser

Cuotas

Para ver las cuotas asociadas con los extremos de firewall, consulta Cuotas y límites.

Precios

Los precios de los extremos de firewall se describen en los precios de Cloud NGFW.

¿Qué sigue?