Configurar una política de cortafuegos de red global para permitir el tráfico de salida a un FQDN

Consulta cómo crear y configurar una política de firewall de red global para permitir el tráfico de salida a un nombre de dominio completo (FQDN) específico mediante la consola. Google Cloud La política de cortafuegos bloquea todo el tráfico de salida que se origine en tu red. En esta guía de inicio rápido se crea una red de nube privada virtual (VPC) con una subred, se crea una instancia de máquina virtual (VM) en la red de VPC, se configura una política de cortafuegos que usa reglas de salida y, a continuación, se prueba la política de cortafuegos desde la VM.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Asegúrate de que tienes el rol Administrador de red de Compute (roles/compute.networkAdmin).
  9. Familiarízate con los conceptos de políticas de cortafuegos y reglas de políticas de cortafuegos.
  10. Asegúrate de conocer los precios de Cloud NGFW. Para obtener más información, consulta los precios de Cloud NGFW.

    11. Crear una red VPC personalizada con una subred IPv4

    Crea una red de VPC en modo personalizado con una subred IPv4.

    1. En la Google Cloud consola, ve a la página Redes de VPC.

      Ir a redes de VPC

    2. Haz clic en Crear red VPC.

    3. En Nombre, escribe vpc-fw-policy-egress.

    4. En Modo de creación de subred, selecciona Personalizado.

    5. En la sección Nueva subred, especifica los siguientes parámetros de configuración de la subred:

      • Nombre: escribe subnet-1.
      • Región: seleccione us-central1.
      • Intervalo de IPv4: introduce 10.0.0.0/24.

    6. Haz clic en Listo.

    7. Haz clic en Crear.

    Crear VM

    Crea una VM en la subred que has configurado en la sección anterior.

    1. En la Google Cloud consola, ve a la página Crear una instancia.

      Ir a Crear una instancia

    2. En el panel Configuración de la máquina, haz lo siguiente:

      1. En Nombre, escribe instance-1-us.
      2. En Región, selecciona us-central1 (Iowa).

    3. En el menú de navegación, haga clic en Redes.

      1. En la sección Interfaces de red, haga clic en default y especifique los siguientes parámetros de configuración:
        • Red: vpc-fw-policy-egress
        • Subred: subnet-1 IPv4 (10.0.0.0/24)
        • Dirección IPv4 externa: Ninguna
      2. Haz clic en Listo.

    4. Haz clic en Crear.

    Crear un router de Cloud Router y una pasarela de Cloud NAT

    En la sección anterior, has creado una VM sin ninguna dirección IP externa. Para permitir que la VM acceda a Internet público, crea un Cloud Router y una pasarela de Cloud NAT en la misma región y subred en las que creaste la VM.

    1. En la Google Cloud consola, ve a la página Cloud NAT.

      Ir a Cloud NAT

    2. Haz clic en Empezar o en Crear pasarela de Cloud NAT.

      Nota: Si es la primera pasarela Cloud NAT que creas, haz clic en Empezar. Si ya tienes pasarelas, Google Cloud se muestra el botón Crear pasarela Cloud NAT. Para crear otra pasarela, haz clic en Crear pasarela Cloud NAT.

    3. En Nombre de la pasarela, introduce fw-egress-nat-gw.

    4. En Tipo de NAT, selecciona Público.

    5. En la sección Select Cloud Router (Seleccionar Cloud Router), especifique los siguientes parámetros de configuración:

      • Red: selecciona vpc-fw-policy-egress.
      • Región: selecciona us-central1 (Iowa).
      • Cloud Router: haz clic en Crear router.
        1. En Nombre, escribe fw-egress-router.
        2. Haz clic en Crear.

    6. Haz clic en Crear.

    Crear una política de cortafuegos de red global para permitir la tunelización TCP de IAP

    Para permitir el túnel de Identity-Aware Proxy en las VMs de tu red, crea una política de cortafuegos de red global y añade una regla de cortafuegos a la política. IAP permite el acceso administrativo a las VMs.

    La regla de cortafuegos debe tener las siguientes características:

    • Se aplica a todas las VMs a las que quieras acceder mediante el reenvío de TCP de IAP.
    • Permite el tráfico de entrada del intervalo de direcciones IP 35.235.240.0/20. Este intervalo contiene todas las direcciones IP que usa IAP para el reenvío de TCP.
    • Permite establecer conexiones con todos los puertos a los que quieras acceder mediante el reenvío de TCP de IAP. Por ejemplo, el puerto 22 para SSH.

    Para habilitar el acceso de IAP a todas las VMs de la red vpc-fw-policy-egress, sigue estos pasos:

    1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

      Ir a Políticas de cortafuegos

    2. Haz clic en Crear política de cortafuegos.

    3. En la sección Configurar política, en Nombre de la política, introduce fw-egress-policy.

    4. En Ámbito de implementación, selecciona Global y haz clic en Continuar.

    5. Para crear reglas para su política, en la sección Añadir reglas, haga clic en Añadir regla.

      1. En Prioridad, introduce 100.
      2. En Dirección del tráfico, selecciona Entrada.
      3. En Acción tras coincidencia, selecciona Permitir.
      4. En Registros, selecciona Activado.
      5. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
      6. En la sección Origen, en Intervalos de IPs, introduzca 35.235.240.0/20.
      7. En la sección Protocolo y puertos, selecciona Protocolos y puertos especificados.
      8. Marca la casilla TCP y, en Puertos, introduce 22.
      9. Haz clic en Crear.

    6. Haz clic en Continuar.

    7. Para asociar tu red de VPC con la política, en la sección Asociar política con redes de VPC, haz clic en Asociar.

    8. Selecciona la casilla vpc-fw-policy-egress y haz clic en Asociar.

    9. Haz clic en Continuar.

    10. Haz clic en Crear.

    Añadir una regla de cortafuegos para denegar el tráfico de salida a todos los destinos

    Para denegar el tráfico de salida a todos los destinos, añade una regla de cortafuegos a fw-egress-policy.

    1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

      Ir a Políticas de cortafuegos

    2. En la sección Políticas de cortafuegos de red, haga clic en fw-egress-policy.

    3. Haz clic en Crear regla.

    4. En Prioridad, introduce 700.

    5. En Dirección del tráfico, selecciona Salida.

    6. En Acción tras coincidencia, selecciona Denegar.

    7. En Registros, selecciona Activado.

    8. En la sección Destino, en Intervalos de IP, introduce 0.0.0.0/0.

    9. Haz clic en Crear.

    Añadir una regla de cortafuegos para permitir el tráfico de salida solo a un FQDN específico

    Para permitir el tráfico de salida solo a un FQDN específico, ads.google.com, añade una regla de cortafuegos en fw-egress-policy.

    1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

      Ir a Políticas de cortafuegos

    2. En la sección Políticas de cortafuegos de red, haga clic en fw-egress-policy.

    3. Haz clic en Crear regla.

    4. En Prioridad, introduce 600.

    5. En Dirección del tráfico, selecciona Salida.

    6. En Acción tras coincidencia, selecciona Permitir.

    7. En Registros, selecciona Activado.

    8. En la sección Destino, en FQDNs, introduce ads.google.com.

    9. Haz clic en Crear.

    Probar la política de cortafuegos de red global

    Una vez que haya configurado la política de firewall de red global, siga estos pasos para probarla:

    1. En la consola de Google Cloud , ve a la página Instancias de VM.

      Ir a instancias de VM

    2. En la columna Conectar de la máquina virtual instance-1-us, haz clic en SSH.

    3. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

    4. Para verificar que se permite el tráfico de salida a https://ads.google.com, ejecuta el siguiente comando:

        curl -I https://ads.google.com

      El comando anterior devuelve la información de encabezado de https://ads.google.com, lo que significa que se permiten las conexiones de salida.

    5. Para verificar que el tráfico de salida está bloqueado a cualquier otro destino, especifica cualquier FQDN y ejecuta el siguiente comando:

        curl -m 2 -I https://mail.yahoo.com

      El comando anterior devuelve un mensaje Connection timed out, que es lo esperado, ya que has creado una regla de firewall para denegar el tráfico de salida a todos los destinos, excepto https://ads.google.com.

    Ver los registros

    Para comprobar que las reglas de cortafuegos se han aplicado al tráfico saliente, accede a los registros. Para ver los detalles del registro, sigue estos pasos:

    1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

      Ir a Políticas de cortafuegos

    2. En la sección Políticas de cortafuegos de red, haga clic en fw-egress-policy.

    3. En la columna Número de aciertos, haz clic en el número de la regla que has creado en la sección Crear una política de cortafuegos de red global. Se abrirá la página Explorador de registros.

    4. Para ver la regla de cortafuegos aplicada al tráfico de salida, despliega el registro correspondiente. Para ver los detalles de la conexión, la disposición, la ubicación remota y la regla, despliega las secciones correspondientes.

    Limpieza

    Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en esta guía de inicio rápido, elimina el proyecto que contiene los recursos o conserva el proyecto y elimina los recursos.

    Para eliminar los recursos creados en esta guía de inicio rápido, completa las siguientes tareas.

    Eliminar la política de cortafuegos

    1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

      Ir a Políticas de cortafuegos

    2. En la sección Políticas de cortafuegos de red, haga clic en fw-egress-policy.

    3. Haz clic en la pestaña Asociaciones.

    4. Selecciona la casilla vpc-fw-policy-egress y haz clic en Retirar asociación.

    5. En el cuadro de diálogo Quitar una asociación de políticas de cortafuegos, haga clic en Quitar.

    6. Haz clic en Eliminar.

    7. En el cuadro de diálogo Eliminar una política de cortafuegos, haga clic en Eliminar.

    Eliminar la VM

    1. En la consola de Google Cloud , ve a la página Instancias de VM.

      Ir a instancias de VM

    2. Seleccione la casilla de la máquina virtual instance-1-us.

    3. Haz clic en Eliminar.

    4. En el cuadro de diálogo Eliminar instance-1-us, haz clic en Eliminar.

    Eliminar la pasarela de Cloud NAT y Cloud Router

    1. En la Google Cloud consola, ve a la página Routers de Cloud.

      Ir a Cloud Routers

    2. Marca la casilla de fw-egress-router.

    3. Haz clic en Eliminar.

    4. En el cuadro de diálogo Delete fw-egress-router (Eliminar fw-egress-router), haz clic en Delete (Eliminar).

    Cuando eliminas un Cloud Router, también se elimina la pasarela de Cloud NAT asociada.

    Elimina la red de VPC y sus subredes

    1. En la Google Cloud consola, ve a la página Redes de VPC.

      Ir a redes de VPC

    2. En la columna Nombre, haz clic en vpc-fw-policy-egress.

    3. Haz clic en Eliminar red de VPC.

    4. En el cuadro de diálogo Eliminar una red, haz clic en Eliminar.

    Cuando eliminas una red de VPC, también se eliminan sus subredes.

    Siguientes pasos