En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Descripción general de las políticas de firewall de red globales.
Tareas de políticas de firewall
Crea una política de firewall de red global
Puedes crear una política para cualquier red de VPC dentro de tu proyecto. Después de crear una política, puedes asociarla con cualquier red de VPC dentro de tu proyecto. Una vez asociadas, las reglas de la política se activan para las VMs que están por debajo de la red asociada.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En la lista de selección de proyectos, selecciona tu proyecto dentro de tu organización.
Haz clic en Crear política de firewall de red.
Asigna un nombre a la política.
En Permiso de la implementación, selecciona Global.
Si deseas crear reglas para tu política, haz clic en Continuar y, luego, en Agregar regla.
Para obtener más información, consulta la sección sobre cómo crear reglas de firewall.
Si deseas asociar la política a una red, haz clic en Continuar y, luego, en Asociar política con redes de VPC.
Para obtener más información, consulta Asocia una política con la red.
Haz clic en Crear.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME \ --description DESCRIPTION --global
Reemplaza lo siguiente:
NETWORK_FIREWALL_POLICY_NAME
: Es un nombre para la política.DESCRIPTION
: Es una descripción de la política.
Asocia una política con la red
Asocia una política con una red a fin de activar las reglas de la política para cualquier VM dentro de esa red.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociaciones.
Selecciona las redes dentro del proyecto.
Haz clic en Associate.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ [ --name ASSOCIATION_NAME ] \ --global-firewall-policy
Reemplaza lo siguiente:
POLICY_NAME
: Es el nombre corto o el nombre generado por el sistema de la política.NETWORK_NAME
: Es el nombre de tu red.ASSOCIATION_NAME
: Es un nombre opcional para la asociación. Si no se especifica, el nombre se configura comonetwork-NETWORK_NAME
.
Describe una política de firewall de red global
Puedes ver todos los detalles de una política, incluidas todas sus reglas de firewall. Además, puedes ver muchos atributos dentro de todas las reglas en la política. Estos atributos se tienen en cuenta para cada límite de política.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política de firewall de red global.
Haz clic en tu política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --global
Actualiza la descripción de la política de firewall de red global
El único campo de una política que se puede actualizar es el campo Descripción.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política de firewall de red global.
Haz clic en tu política.
Haz clic en Editar.
En el campo Descripción, cambia el texto.
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --global
Enumera las políticas de firewall de red globales
Puedes ver una lista de las políticas disponibles en tu proyecto.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.
En la sección Políticas de firewall de red, se muestran las políticas disponibles en tu proyecto.
gcloud
gcloud compute network-firewall-policies list --global
Borra una política de firewall de red global
Debes borrar todas las asociaciones en una política de firewall de red global para poder borrarla.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociaciones.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.
gcloud
Enumera todas las redes asociadas con una política de firewall:
gcloud compute network-firewall-policies describe POLICY_NAME \ --global
Borra asociaciones individuales. Para quitar la asociación, debes tener el rol
compute.SecurityAdmin
en la política de firewall de red global y el rol compute.networkAdmin en la red de VPC asociada.gcloud compute network-firewall-policies associations delete \ --name ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --global-firewall-policy
Borra la política:
gcloud compute network-firewall-policies delete POLICY_NAME \ --global
Borra una asociación
Para detener la aplicación de la política de firewall en una red, borra la asociación.
Sin embargo, si quieres intercambiar una política de firewall por otra, no es necesario que primero borres la asociación existente. Si borras esa asociación, habrá un período en el que no se aplicará ninguna política. En su lugar, reemplaza la política existente cuando asocias una política nueva.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona tu proyecto o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociaciones.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --name ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --global-firewall-policy
Tareas de reglas de políticas de firewall
Crea reglas de firewall de red globales
Las reglas de las políticas de firewall de la red globales deben crearse en una política de firewall de la red global. Las reglas no se activarán hasta que asocies la política con esas reglas con una red de VPC.
Cada regla de política de firewall de red global puede incluir rangos de IPv4 o IPv6, pero no ambos.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política.
Haz clic en el nombre de tu política global.
En la pestaña Reglas de firewall, haz clic en Crear.
Completa los campos de la regla:
- En el campo Prioridad, establece el número de pedido de la regla, en el que
0
es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como100
,200
o300
). - Para Dirección del tráfico, elige entrada o salida.
- En Acción si hay coincidencia, elige una de las siguientes opciones:
- Permitir: Permite las conexiones que coinciden con la regla.
- Rechazar: Rechaza las conexiones que coinciden con la regla.
- Ir a siguiente: pasa la evaluación de la conexión a la siguiente regla de firewall inferior en la jerarquía.
- Continúa con la inspección de L7: envía los paquetes al
extremo de firewall configurado
para la inspección y prevención de la capa 7.
- En la lista Grupo de perfil de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
- Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
- Establece la recopilación de Registros como Activada o Desactivada.
- Especifica el Objetivo de la regla. Elige una de las siguientes opciones para el campo Tipo de objetivo:
- Si quieres que la regla se aplique a todas las instancias de la red, elige All instances in the network.
- Si quieres que la regla se aplique a instancias seleccionadas por etiquetas, elige Etiquetas seguras. Haz clic en SELECCIONAR ALCANCE y selecciona la organización o el proyecto en el que deseas crear etiquetas. Ingresa los pares clave-valor a los que se debería aplicar la regla. Para agregar más pares clave-valor, haz clic en AGREGAR ETIQUETA.
- Si deseas que la regla se aplique a instancias seleccionadas por una cuenta de servicio asociada, selecciona Cuenta de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro en Permiso de la cuenta de servicio y elige o escribe el nombre de la cuenta de servicio en el campo Cuenta de servicio de destino.
- Para una regla de Entrada, especifica el filtro Origen:
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
0.0.0.0/0
para cualquier origen IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
::/0
para cualquier origen IPv6. - Para limitar los orígenes por etiquetas, haz clic en SELECCIONAR ALCANCE en la sección Etiquetas. Selecciona la organización o el proyecto para el que deseas crear etiquetas. Ingresa los pares clave-valor a los que se debería aplicar la regla. Para agregar más pares clave-valor, haz clic en AGREGAR ETIQUETA.
- Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
- Para una regla de Salida, especifica el filtro Destino:
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
0.0.0.0/0
para cualquier destino de IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
::/0
para cualquier destino de IPv6.
- Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
- Opcional: Si creas una regla de Entrada, especifica los FQDN de origen a los que se aplica esta regla. Si estás creando una regla de Salida, selecciona los FQDN de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombres de dominio, consulta Objetos de nombres de dominio.
- Opcional: Si creas una regla de Entrada, selecciona las Ubicaciones geográficas de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las Ubicaciones geográficas de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de ubicación geográfica, consulta Objetos de ubicación geográfica.
- Opcional: Si creas una regla de Entrada, selecciona los Grupos de direcciones de origen a los que se aplica esta regla. Si creas una regla de Salida, selecciona los Grupos de direcciones de destino a los que se aplica esta regla. A fin de obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.
- Opcional: Si creas una regla de Entrada, selecciona las listas de Threat Intelligence de Google Cloud de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las listas de Threat Intelligence de Google Cloud de destino a las que se aplica esta regla. Si deseas obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para las reglas de políticas de firewall.
Opcional: Para una regla de Entrada, especifica los filtros Destino:
- Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
0.0.0.0/0
para cualquier destino de IPv4. - Para filtrar el tráfico entrante por rangos de IPv6 de destino, selecciona Rangos de IPv6 e ingresa los bloques de CIDR en el campo Rangos de IPv6 de destino. Usa
::/0
para cualquier destino de IPv6. Si deseas obtener más información, consulta Destino para las reglas de entrada.
- Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
Opcional: Para una regla de Salida, especifica el filtro Origen:
- Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
0.0.0.0/0
para cualquier origen IPv4. - Para filtrar el tráfico saliente por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
::/0
para cualquier origen IPv6. Si deseas obtener más información, consulta Fuente para las reglas de salida.
- Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa
En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica.
Haz clic en Crear.
- En el campo Prioridad, establece el número de pedido de la regla, en el que
Haz clic en Agregar regla para agregar otra regla.
Para asociar la política con una red, haz clic enContinuar > Asociar una política con redes de VPC o haz clic en Crear para crear la política.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no-tls-inspect] \ --description DESCRIPTION \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--layer4-configs PROTOCOL_PORT] \ [--enable-logging | --no-enable-logging] \ [--disabled | --no-disabled] \ --global-firewall-policy
Reemplaza lo siguiente:
PRIORITY
: Es el orden de evaluación numérico de la regla.Las reglas se evalúan de mayor a menor prioridad, en la que
0
es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como100
,200
o300
).ACTION
: Es una de las acciones siguientes:allow
: Permite las conexiones que coinciden con la regla.deny
: Rechaza las conexiones que coinciden con la regla.apply_security_profile_group
: envía de forma transparente los paquetes al extremo de firewall configurado para la inspección de la capa 7.goto_next
: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.
POLICY_NAME
: Es el nombre de la política de firewall de red global.SECURITY_PROFILE_GROUP
: es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. Especifica este argumento solo cuando se selecciona la acciónapply_security_profile_group
--tls-inspect
: Inspecciona el tráfico de TLS mediante la política de inspección de TLS cuando la acciónapply_security_profile_group
se selecciona en la regla. De forma predeterminada, la inspección de TLS está inhabilitada o puedes especificar--no-tls-inspect
TARGET_SECURE_TAG
: Es una lista de etiquetas seguras separadas por comas para definir objetivos.SERVICE_ACCOUNT
: Es una lista de cuentas de servicio separadas por comas para definir objetivos.DIRECTION
: Indica si la regla es deingress
oegress
; el valor predeterminado esingress
.- Incluye
--src-ip-ranges
a fin de especificar rangos de direcciones IP para la fuente de tráfico. - Incluye
--dest-ip-ranges
a fin de especificar rangos de direcciones IP para el destino del tráfico.
Para obtener más información, consulta los objetivos, la fuente y el destino.
- Incluye
SRC_NETWORK_SCOPE
: Indica el alcance del tráfico de red de origen al que se aplica la regla de entrada. Puedes establecer este argumento en uno de los siguientes valores:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los alcances de red. Para obtener más información, consulta Información sobre los tipos de alcance de red.
SRC_VPC_NETWORK
: Es una lista delimitada por comas de redes de VPC.Solo puedes usar
--src-networks
cuando--src-network-scope
se configura comoVPC_NETWORKS
.DEST_NETWORK_SCOPE
: Indica el alcance del tráfico de red de destino al que se aplica la regla de salida. Puedes establecer este argumento en uno de los siguientes valores:INTERNET
NON_INTERNET
Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los alcances de red. Para obtener más información, consulta Información sobre los tipos de alcance de red.
IP_RANGES
: Es una lista separada por comas de rangos de direcciones IP con formato CIDR, ya sea todos los rangos de direcciones IPv4 o todos los rangos de direcciones IPv6, por ejemplo:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: Es una lista de etiquetas separadas por comas.No puedes usar etiquetas de red de origen si el alcance de la red está configurado en
INTERNET
.COUNTRY_CODE
: Es una lista separada por comas de códigos de país de dos letras.- Para la dirección de entrada, especifica los códigos de país en la marca
--src-region-code
. No puedes usar la marca--src-region-code
para la dirección de salida ni cuando--src-network-scope
se establece enNON_INTERNET
,VPC_NETWORK
oINTRA_VPC
. - Para la dirección de salida, los códigos de país se especifican en la marca
--dest-region-code
. No puedes usar la marca--dest-region-code
para la dirección de entrada ni cuando--dest-network-scope
está configurado comoNON_INTERNET
.
- Para la dirección de entrada, especifica los códigos de país en la marca
LIST_NAMES
: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas de Google.- Para la dirección de entrada, especifica las listas de fuentes de Google Threat Intelligence en la marca
--src-threat-intelligence
. No puedes usar la marca--src-threat-intelligence
para la dirección de salida ni cuando--src-network-scope
está configurada enNON_INTERNET
,VPC_NETWORK
oINTRA_VPC
. - Para la dirección de salida, especifica las listas de Google Threat Intelligence de destino en la marca
--dest-threat-intelligence
. No puedes usar la marca--dest-threat-intelligence
para la dirección de entrada ni cuando--dest-network-scope
está configurado comoNON_INTERNET
.
- Para la dirección de entrada, especifica las listas de fuentes de Google Threat Intelligence en la marca
ADDR_GRP_URL
: un identificador de URL único para el grupo de direcciones.- Para la dirección de entrada, especifica los grupos de direcciones de origen en la marca
--src-address-groups
; no puedes usar la marca--src-address-groups
para la dirección de salida. - Para la dirección de salida, especifica los grupos de direcciones de destino en la marca
--dest-address-groups
; no puedes usar la marca--dest-address-groups
para la dirección de entrada.
- Para la dirección de entrada, especifica los grupos de direcciones de origen en la marca
DOMAIN_NAME
: Es una lista de nombres de dominio separados por comas en el formato descrito en Formato de nombre de dominio.- Para la dirección de entrada, especifica los nombres de dominio de origen en la marca
--src-fqdns
; no puedes usar la marca--src-fqdns
para la dirección de salida. - Para la dirección de salida, especifica los grupos de direcciones de destino en la marca
--dest-fqdns
; no puedes usar la marca--dest-fqdns
para la dirección de entrada.
- Para la dirección de entrada, especifica los nombres de dominio de origen en la marca
PROTOCOL_PORT
: una lista separada por comas de nombres o números de protocolo (tcp,17
), protocolos y puertos de destino (tcp:80
) o protocolos y rangos de puertos de destino (tcp:5000-6000
).No se puede especificar un puerto ni un rango de puertos sin un protocolo. Para ICMP, no puedes especificar un puerto ni un rango de puertos, por ejemplo:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
.Para obtener más información, consulta Protocolos y puertos.
--enable-logging
y--no-enable-logging
: Habilita o inhabilita el registro de reglas de firewall para la regla determinada--disabled
: Indica que la regla de firewall, aunque existe, no se debe considerar cuando se procesan las conexiones; quitar esta marca habilita la regla, o puedes especificar--no-disabled
.
Actualiza una regla
Para obtener descripciones de campos, consulta la sección sobre cómo crear reglas de firewall.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos que deseas cambiar.
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \ --firewall-policy POLICY_NAME \ --global-firewall-policy \ [...fields you want to modify...]
Describe una regla
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME --global-firewall-policy
Reemplaza lo siguiente:
PRIORITY
: Es la prioridad de la regla que quieres ver; debido a que cada regla debe tener una prioridad única, esta configuración identifica de forma exclusiva a una regla.POLICY_NAME
: Es el nombre de la política que contiene la regla.
Borra una regla de una política
Si borras una regla de una política, se quita la regla de todas las VM que la heredan.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME --global-firewall-policy
Reemplaza lo siguiente:
PRIORITY
: Es la prioridad de la regla que deseas borrar de la política.POLICY_NAME
: Es la política que contiene la regla.
Clona reglas de una política a otra
Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.
Haz clic en la política desde la que deseas copiar las reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Si deseas asociar la política nueva de inmediato, haz clic en Continuar > Asociar política de red con recursos.
Haz clic en Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --global
Reemplaza lo siguiente:
POLICY_NAME
: Es la política de destino en la que deseas reemplazar las reglas con las reglas clonadas.SOURCE_POLICY
: Es la URL del recurso para la política de origen desde la que deseas clonar las reglas.
Obtén reglas de firewall efectivas para una red
Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y la política de firewall de red global aplicada a una red de VPC especificada.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en la red para la que deseas ver las reglas de la política de firewall.
Haz clic en Políticas de firewall.
Expande cada política de firewall para ver las reglas que se aplican a esta red.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Reemplaza lo siguiente:
NETWORK_NAME
: Es la red para la que deseas ver las reglas efectivas.
También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.
Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.
Obtén reglas de firewall efectivas para una interfaz de VM
Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a una interfaz de VM de Compute Engine especificada.
Console
En la consola de Google Cloud, ve a la página Instancias de VM.
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en la interfaz.
Visualizar las reglas de firewall vigentes en Detalles de rutas y firewalls.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Reemplaza lo siguiente:
INSTANCE_NAME
: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0
).INTERFACE
: Es la interfaz de la VM para la que deseas ver las reglas efectivas el valor predeterminado es nic0.ZONE
: la zona de la VM. Esta línea es opcional si la zona deseada ya está configurada como predeterminada.