En esta página, se muestran ejemplos de políticas de firewall de red globales e implementaciones de políticas de firewall de red regionales. Se supone que estás familiarizado con los conceptos descritos en Políticas de firewall de red globales y Políticas de firewall de red regionales.
Puedes adjuntar una política de firewall de red global y varias políticas de firewall de red regionales a una red de nube privada virtual (VPC). Una política de firewall de red global se aplica a todas las subredes en todas las regiones de la red de VPC. Una política de firewall de red regional se aplica solo a las subredes de la red de VPC en la región de destino.
En la figura 1, se describe el alcance de una política de firewall de red global y una política de firewall de red regional en una red de VPC.
Ejemplo: Rechaza todas las conexiones externas, excepto los puertos específicos
En este caso de uso, una política de firewall de red global bloquea todas las conexiones desde fuentes externas de Internet, excepto las conexiones en los puertos de destino 80, 443 y 22. Se bloquea una conexión de Internet de entrada en puertos que no sean 80, 443 o 22. La aplicación de reglas se delega a la política de firewall de red regional para cualquier conexión en los puertos 80, 443 o 22.
En este ejemplo, una política de firewall de red regional se aplica a region-a, que permite el tráfico interno de 10.2.0.0/16 de origen y el tráfico de entrada a los puertos 443 y 80 desde cualquier origen. En la Figura 2, se describe la configuración para este caso práctico.
Política vigente aplicada en las VM
En esta sección, se describe la política de firewall de red efectiva aplicable en este ejemplo después de evaluar las reglas en toda la jerarquía.
Conexiones de entrada
Todas las conexiones de entrada de
10.0.0.0/8coinciden con la regla de política de firewall de red global de prioridad más altadelegate-internal-trafficy omiten el resto de las reglas en la política de firewall de red global. En la regla de la política de firewall de red regional, se permiten las conexiones de entrada de10.2.0.0/16, y el resto de las conexiones se evalúan con la regla de entradadenyimplícita.Conexiones de entrada con un rango de IP de origen distinto de
10.0.0.0/8, y los puertos de destino22,80y443se delegan al nivel de regla de firewall de red regional. En la regla de la política de firewall de red regional, se permiten los puertos80y443, pero no el puerto22.
Conexión de salida
- No hay coincidencias con las reglas de la política de firewall de red global. Por lo tanto, se aplican las reglas implícitas del sistema, que permiten las conexiones de salida.
Cómo configurar
Crea una política de firewall de red global que contenga la siguiente regla:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Asocia la política con la red de VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyAgrega una regla para que coincida con cualquier conexión de entrada de
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyAgrega una regla para delegar tráfico externo desde puertos específicos:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyAgrega una regla para bloquear todo el tráfico de entrada restante:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyCrea una política de firewall de red regional:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Asocia la política de firewall de red regional con una red de VPC a fin de activar las reglas de la política para cualquier VM dentro de esa red en una región específica:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aAgrega una regla para permitir el tráfico interno de la política de firewall de red regional:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aAgrega una regla para permitir el tráfico externo desde puertos específicos:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
¿Qué sigue?
Para crear y modificar reglas y políticas de firewall de red globales, consulta Usa reglas y políticas de firewall de red global.
Para crear y modificar reglas y políticas de firewall de red regionales, consulta Usa reglas y políticas de firewall de red regionales.