Crea y asocia extremos de firewall

En esta página, se explica cómo configurar y administrar un extremo de firewall y asociarlo con una red de nube privada virtual (VPC) mediante la consola de Google Cloud y Google Cloud CLI.

Debes crear un extremo de firewall a nivel zonal y, luego, asociarlo con una o más redes de VPC en la misma zona. Si habilitaste la inspección de la capa 7 en la política de firewall asociada con tu red de VPC, el tráfico coincidente se intercepta y se reenvía al extremo del firewall con transparencia.

Antes de comenzar

Necesitas una red de VPC y una subred.
Debes habilitar la API de Compute Engine en tu proyecto.
Debes habilitar la API de Network Security en tu proyecto.
Debes habilitar la API de Certificate Authority Service en tu proyecto.
Instala la CLI de gcloud si deseas ejecutar los ejemplos de la línea de comandos de gcloud de esta guía.
Necesitas un grupo de perfiles de seguridad.

Roles

Para obtener los permisos que necesitas a fin de crear, ver, actualizar o borrar grupos de perfiles de seguridad, pídele a tu administrador que te otorgue los roles de IAM necesarios en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Crea un extremo de firewall

Crea un extremo de firewall en una zona específica.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en el recurso.

Permisos

networksecurity.firewallEndpoints.create

Funciones

compute.networkAdmin

Consola

En la consola de Google Cloud, ve a la página Extremos de firewall.

Ir a Extremos de firewall
En el menú desplegable del selector de proyectos, selecciona tu organización.
Haz clic en Crear.
En la lista Región, selecciona la región en la que deseas crear el extremo del firewall.
En la lista Zona, selecciona la zona en la que deseas crear el extremo del firewall.
Ingresa un nombre en el campo Nombre.
Haz clic en Crear.

gcloud

gcloud beta network-security firewall-endpoints create NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID \
   --no-async --max-wait MAX_WAIT

Reemplaza lo siguiente:

NAME: es el nombre del extremo de firewall.
ORGANIZATION_ID: es la organización en la que se activa el extremo.
ZONE: es la zona donde está activado el extremo.
BILLING_PROJECT_ID: Es el ID del proyecto que se usará para la facturación del extremo del firewall.
--no-async: es una marca opcional para determinar si el comando debe esperar a que la operación en curso se complete hasta el tiempo --max-wait antes de mostrar el ID de operación. El tiempo de espera predeterminado es de 60 minutos (60m).
MAX_WAIT: es un argumento opcional para definir la cantidad máxima de tiempo que se espera a que se complete la operación.

Visualiza un extremo de firewall

Puedes ver los detalles de un extremo de firewall específico.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en el recurso.

Permisos

networksecurity.firewallEndpoints.get

Roles

compute.networkAdmin
compute.networkUser
compute.networkViewer

gcloud

gcloud beta network-security firewall-endpoints \
   describe NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE

Reemplaza lo siguiente:

NAME: es el nombre del extremo de firewall.
ORGANIZATION_ID: es la organización en la que se activa el extremo.
ZONE: es la zona donde está activado el extremo.

Enumera extremos de firewall

Puedes enumerar todos los extremos de firewall en una organización.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en el recurso.

Permisos

networksecurity.firewallEndpoints.list

Funciones

compute.networkAdmin
compute.networkUser
compute.networkViewer

Consola

En la consola de Google Cloud, ve a la página Extremos de firewall.

Ir a Extremos de firewall
En la página Extremos de firewall, se enumeran todos los extremos de firewall configurados en la organización.

gcloud

gcloud beta network-security firewall-endpoints list \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

Reemplaza lo siguiente:

ORGANIZATION_ID: es la organización en la que se activa el extremo.
ZONE: es la zona donde está activado el extremo.
BILLING_PROJECT_ID: un ID del proyecto opcional al que se le cobrará la cuota por la operación.

Borra un extremo de firewall

Puedes borrar un extremo de firewall si especificas su nombre, zona y organización.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en el recurso.

Permisos

networksecurity.firewallEndpoints.delete

Funciones

compute.networkAdmin

Consola

En la consola de Google Cloud, ve a la página Extremos de firewall.

Ir a Extremos de firewall
Selecciona el extremo del firewall y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.

gcloud

gcloud beta network-security firewall-endpoints delete NAME
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --no-async --max-wait MAX_WAIT

Reemplaza lo siguiente:

NAME: es el nombre del extremo de firewall.
ORGANIZATION_ID: es la organización en la que se activa el extremo.
ZONE: es la zona donde está activado el extremo.
--no-async: es una marca opcional para determinar si el comando debe esperar a que la operación en curso se complete hasta el tiempo --max-wait antes de mostrar el ID de operación. El tiempo de espera predeterminado es de 60 minutos (60m).
MAX_WAIT: es un argumento opcional para definir la cantidad máxima de tiempo que se espera a que se complete la operación.

Crear una asociación de extremo de firewall

Crea una asociación de extremo de firewall para asociar una red de VPC con un extremo de firewall.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en tu proyecto.

Permisos

networksecurity.firewallEndpointAssociations.create
networksecurity.firewallEndpoints.use en la organización en la que se crea el extremo de firewall.

Funciones

compute.networkAdmin

Console

En la consola de Google Cloud, ve a la página Redes de VPC.

Ir a las redes de VPC
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Selecciona la pestaña Extremo de firewall.
Haz clic en Agregar asociación de extremo.
En la lista Región, selecciona la región en la que deseas crear la asociación de extremo de firewall.
En la lista Zona, selecciona la zona en la que deseas crear la asociación de extremo de firewall.
En la lista Extremo de firewall, selecciona el extremo de firewall que deseas asociar con esta red de VPC.
En la lista Política de inspección de TLS, selecciona la política de inspección de TLS que deseas agregar a esta red de VPC.
Haz clic en Crear.

gcloud

gcloud beta network-security firewall-endpoint-associations \
   create NAME \
   --endpoint FIREWALL_ENDPOINT_NAME \
   --network NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy TLS_POLICY_NAME \
   --no-async --max-wait MAX_WAIT

Reemplaza lo siguiente:

NAME: es el nombre de la asociación de extremo de firewall.
FIREWALL_ENDPOINT_NAME: es un identificador de URL completamente calificado del extremo de firewall en el siguiente formato:
```
  organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME
```
NETWORK_NAME: es un identificador de URL completamente calificado de la red en el siguiente formato:
```
  projects/PROJECT_NAME/global/networks/NETWORK_NAME
```
ZONE: es la zona en la que se asociarán la red y el extremo del firewall.
PROJECT_ID: es un ID del proyecto opcional en el que se crea la asociación.
TLS_POLICY_NAME: es un identificador de URL completamente calificado de la política de inspección de TLS en el siguiente formato:
```
 projects/PROJECT_NAME/locations/LOCATION/tlsInspectionPolicies/TLS_POLICY_NAME
```
Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.
--no-async: es una marca opcional para determinar si el comando debe esperar a que la operación en curso se complete hasta el tiempo --max-wait antes de mostrar el ID de operación. El tiempo de espera predeterminado es de 60 minutos (60m).
MAX_WAIT: es un argumento opcional para definir la cantidad máxima de tiempo que se espera a que se complete la operación.

Visualiza una asociación de extremo de firewall

Puedes ver los detalles de una asociación de extremo de firewall específica en una zona.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en tu proyecto.

Permisos

networksecurity.firewallEndpointAssociations.get

Roles

compute.networkAdmin
compute.networkUser
compute.networkViewer

gcloud

gcloud beta network-security firewall-endpoint-association \
   describe NAME \
   --zone ZONE

Reemplaza lo siguiente:

NAME: es el nombre de la asociación de extremo de firewall.
ZONE: es la zona de la asociación de extremo de firewall.

Enumera las asociaciones de extremos de firewall

Puedes enumerar todas las asociaciones de extremos de firewall en una zona.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en tu proyecto.

Permisos

networksecurity.firewallEndpointAssociations.list

Funciones

compute.networkAdmin
compute.networkUser
compute.networkViewer

Console

En la consola de Google Cloud, ve a la página Redes de VPC.

Ir a las redes de VPC
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Selecciona la pestaña Extremo de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.

gcloud

gcloud beta network-security firewall-endpoint-association list \
   --zone ZONE

Reemplaza lo siguiente:

ZONE: es la zona de la asociación de extremo de firewall.

Borra una asociación de extremo de firewall

Puedes borrar una asociación de extremo de firewall si especificas su nombre y zona.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de IAM en tu proyecto.

Permisos

networksecurity.firewallEndpointAssociations.delete

Funciones

compute.networkAdmin

Console

En la consola de Google Cloud, ve a la página Redes de VPC.

Ir a las redes de VPC
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Selecciona la pestaña Extremo de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.
Selecciona una asociación de extremo y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.

gcloud

gcloud beta network-security firewall-endpoint-association \
   delete NAME \
   --zone ZONE

Reemplaza lo siguiente:

NAME: es el nombre de la asociación de extremo de firewall.
ZONE: es la zona de la asociación de extremo de firewall.

Crea y asocia extremos de firewall

Antes de comenzar

Roles

Crea un extremo de firewall

Permisos necesarios para esta tarea

Consola

gcloud

Visualiza un extremo de firewall

Permisos necesarios para esta tarea

gcloud

Enumera extremos de firewall

Permisos necesarios para esta tarea

Consola

gcloud

Borra un extremo de firewall

Permisos necesarios para esta tarea

Consola

gcloud

Crear una asociación de extremo de firewall

Permisos necesarios para esta tarea

Console

gcloud

Visualiza una asociación de extremo de firewall

Permisos necesarios para esta tarea

gcloud

Enumera las asociaciones de extremos de firewall

Permisos necesarios para esta tarea

Console

gcloud

Borra una asociación de extremo de firewall

Permisos necesarios para esta tarea

Console

gcloud

¿Qué sigue?