Configura una política de firewall de red global para permitir el tráfico de salida a un FQDN

Obtén información sobre cómo crear y configurar una política de firewall de red global para permitir el tráfico de salida a un nombre de dominio completamente calificado (FQDN) específico mediante la consola de Google Cloud. La política de firewall bloquea todo el resto del tráfico de salida que se origina en tu red. En esta guía de inicio rápido, se crea una red de nube privada virtual (VPC) con una subred, se crea una instancia de máquina virtual (VM) en la red de VPC, se configura una política de firewall que usa reglas de salida y, luego, se prueba la política de firewall de la VM.

Antes de comenzar

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

8. Asegúrate de tener el rol de Administrador de red de Compute (roles/compute.networkAdmin).

Crea una red de VPC personalizada con una subred IPv4

Crea una red de VPC en modo personalizado con una subred IPv4.

1. En la consola de Google Cloud, ve a la página Redes de VPC.

   Ir a las redes de VPC

2. Haz clic en Crear red de VPC.

3. En Nombre, ingresa vpc-fw-policy-egress.

4. En Modo de creación de subred, selecciona Personalizado.

5. En la sección Subred nueva, especifica los siguientes parámetros de configuración para la subred:

   • Nombre: Ingresa subnet-1.
   • Región: selecciona us-central1.
   • Rango IPv4: ingresa 10.0.0.0/24.

6. Haz clic en Listo.

7. Haz clic en Crear.

Cómo crear una VM

Crea una VM en la subred que configuraste en la sección anterior.

1. En la consola de Google Cloud, ve a la página Crear una instancia.

   Ir a Crear una instancia

2. En Nombre, ingresa instance-1-us.

3. En Región, selecciona us-central1 (Iowa).

4. Expande Opciones avanzadas y, luego, Herramientas de redes.

5. En la sección Interfaces de red, expande la interfaz de red existente y especifica los siguientes parámetros de configuración:

   • Red: Selecciona vpc-fw-policy-egress.
   • Subred: Selecciona subred-1 IPv4 (10.0.0.0/24).
   • Dirección IPv4 externa: Selecciona Ninguna.

6. Haz clic en Listo.

7. Haz clic en Crear.

Crea un Cloud Router y una puerta de enlace de Cloud NAT

En la sección anterior, creaste una VM sin ninguna dirección IP externa. Si deseas permitir que la VM acceda a la Internet pública, crea un Cloud Router y una puerta de enlace de Cloud NAT para la misma región y subred en la que creaste tu VM.

1. En la consola de Google Cloud, ve a la página de Cloud NAT.

   Ir a Cloud NAT

2. Haz clic en Comenzar o Crear la puerta de enlace NAT.

   Nota: Si esta es la primera puerta de enlace de Cloud NAT que crearás, haz clic en Comenzar. Si ya tienes puertas de enlace existentes, Google Cloud muestra el botón Crear puerta de enlace de Cloud NAT. Para crear otra puerta de enlace, haz clic en Crear puerta de enlace de Cloud NAT.

3. En Nombre de la puerta de enlace, ingresa fw-egress-nat-gw.

4. Para Tipo de NAT, selecciona Pública.

5. En la sección Seleccionar Cloud Router, especifica los siguientes parámetros de configuración:

   • Red: Selecciona vpc-fw-policy-egress.
   • Región: Selecciona us-central1 (Iowa).
   • Cloud Router: haz clic en Crear router nuevo.
     1. En Nombre, ingresa fw-egress-router.
     2. Haz clic en Crear.

6. Haz clic en Crear.

Crea una política de firewall de red global para habilitar IAP

Si deseas habilitar Identity-Aware Proxy para las VMs de tu red, crea una política de firewall de red global y agrega una regla de firewall a la política. IAP permite el acceso de administrador a las VMs.

La regla de firewall debe tener las siguientes características:

• Se aplica a todas las VMs a las que deseas acceder mediante el reenvío IAP de TCP.
• Permite el tráfico de entrada desde el rango de direcciones IP 35.235.240.0/20. Este rango contiene todas las direcciones IP que IAP usa para el reenvío de TCP.
• Una conexión a todos los puertos a los que deseas acceder mediante el reenvío IAP de TCP, por ejemplo, el puerto 22 para SSH.

Para habilitar el acceso de IAP a todas las VMs en la red vpc-fw-policy-egress, sigue estos pasos:

1. En la consola de Google Cloud, ve a la página Firewall.

   Ir a Políticas de firewall

2. Haz clic en Crear política de firewall.

3. En la sección Configurar la política, en Nombre de la política, ingresa fw-egress-policy.

4. En Permiso de la implementación, selecciona Global y haz clic en Continuar.

5. Para crear reglas para tu política, en la sección Agregar reglas, haz clic en Agregar regla.

   1. En Prioridad, ingresa 100.
   2. En Dirección del tráfico, selecciona Ingress.
   3. En Acción en caso de coincidencia, selecciona Permitir.
   4. En Registros, selecciona Activar.
   5. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
   6. En la sección Origen, en Rangos de IP, ingresa 35.235.240.0/20.
   7. En la sección Protocol y puertos, selecciona Protocolos y puertos especificados.
   8. Selecciona la casilla de verificación TCP y, en Puertos, ingresa 22.
   9. Haz clic en Crear.

6. Haz clic en Continuar.

7. Para asociar su red de VPC con la política, en la sección Asociar política con redes de VPC, haz clic en Asociar.

8. Selecciona la casilla de verificación vpc-fw-policy-egress y haz clic en vpc-fw-policy-egress.

9. Haz clic en Continuar.

10. Haz clic en Crear.

Agrega una regla de firewall para rechazar el tráfico de salida a todos los destinos

Para denegar el tráfico de salida a todos los destinos, agrega una regla de firewall a fw-egress-policy.

1. En la consola de Google Cloud, ve a la página Firewall.

   Ir a Políticas de firewall

2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

3. Haz clic en Crear regla.

4. En Prioridad, ingresa 700.

5. En Dirección del tráfico, selecciona Salida.

6. En Acción en caso de coincidencia, selecciona Rechazar.

7. En Registros, selecciona Activar.

8. En la sección Destino, para Rangos de IP, ingresa 0.0.0.0/0.

9. Haz clic en Crear.

Agrega una regla de firewall para permitir el tráfico de salida solo a un FQDN específico

Para permitir el tráfico de salida solo a un FQDN específico, ads.google.com, agrega una regla de firewall en fw-egress-policy.

1. En la consola de Google Cloud, ve a la página Firewall.

   Ir a Políticas de firewall

2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

3. Haz clic en Crear regla.

4. En Prioridad, ingresa 600.

5. En Dirección del tráfico, selecciona Salida.

6. En Acción en caso de coincidencia, selecciona Permitir.

7. En Registros, selecciona Activar.

8. En la sección Destino, en FQDN, ingresa ads.google.com.

9. Haz clic en Crear.

Prueba la política de firewall de red global

Después de configurar la política de firewall de red global, sigue estos pasos para probar la política:

1. En la consola de Google Cloud, ve a la página Instancias de VM.

   Ir a Instancias de VM

2. En la columna Conectar de la VM de instance-1-us, haz clic en SSH.

3. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

4. Para verificar que se permita el tráfico de salida a https://ads.google.com, ejecuta el siguiente comando:

     curl -I https://ads.google.com
   

   El comando anterior muestra la información del encabezado de https://ads.google.com, lo que significa que se permiten las conexiones de salida.

5. Para verificar que el tráfico de salida esté bloqueado a cualquier otro destino, especifica cualquier FQDN y ejecuta el siguiente comando:

     curl -m 2 -I https://mail.yahoo.com
   

   El comando anterior muestra un mensaje de Connection timed out, como se espera, porque creaste una regla de firewall para denegar el tráfico de salida a todos los destinos, excepto https://ads.google.com.

Consulta los registros

Para verificar que las reglas de firewall se aplicaron al tráfico de salida, accede a los registros. Para ver los detalles del registro, sigue estos pasos:

1. En la consola de Google Cloud, ve a la página Firewall.

   Ir a Políticas de firewall

2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

3. En la columna Recuento de aciertos, haz clic en el número de la regla que creaste en la sección Crea una política de firewall de red global. Se abrirá la página Explorador de registros.

4. Para ver la regla de firewall aplicada al tráfico de salida, expande el registro individual. Puedes ver la conexión, la disposición, la ubicación remota y los detalles de la regla si expandes las secciones relevantes.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en esta guía de inicio rapido, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para borrar los recursos que se crearon en esta guía de inicio rápido, completa las siguientes tareas.

Borra la política de firewall

1. En la consola de Google Cloud, ve a la página Firewall.

   Ir a Políticas de firewall

2. En la sección Políticas de firewall de red, haz clic en fw-egress-policy.

3. Haz clic en la pestaña Asociaciones.

4. Selecciona la casilla de verificación de vpc-fw-policy-egress y haz clic en Quitar asociación.

5. En el cuadro de diálogo Quitar una asociación de política de firewall, haz clic en Quitar.

6. Haz clic en Borrar.

7. En el cuadro de diálogo Borrar una política de firewall, haz clic en Borrar.

Borra la VM

1. En la consola de Google Cloud, ve a la página Instancias de VM.

   Ir a Instancias de VM

2. Selecciona la casilla de verificación de la VM instance-1-us.

3. Haz clic en Borrar.

4. En el cuadro de diálogo Borrar instance-1-us, haz clic en Borrar.

Borra la puerta de enlace de Cloud NAT y Cloud Router

1. En la consola de Google Cloud, ve a la página Cloud Routers.

   Ir a Cloud Routers

2. Selecciona la casilla de verificación correspondiente a fw-egress-router.

3. Haz clic en Borrar.

4. En el cuadro de diálogo Delete fw-egress-router, haz clic en Borrar.

Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.

Borra la red de VPC y sus subredes

1. En la consola de Google Cloud, ve a la página Redes de VPC.

   Ir a las redes de VPC

2. En la columna Nombre, haz clic en vpc-fw-policy-egress.

3. Haz clic en Borrar la red de VPC.

4. En el diálogo Borrar una red, haz clic en Borrar.

Cuando borras una red de VPC, también se borran sus subredes.

¿Qué sigue?

• Para conocer los conceptos de las políticas de firewall, consulta la descripción general de las políticas de firewall.
• Para conocer los conceptos de las reglas de políticas de firewall, consulta la descripción general de las reglas de políticas de firewall.
• Para crear, actualizar, supervisar y borrar reglas de firewall de VPC, consulta Usa reglas de firewall de VPC.
• Para determinar los costos, consulta Precios de Cloud NGFW.