Usa reglas y políticas de firewall de red regionales

En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Descripción general de las políticas de firewall de red regionales.

Tareas de políticas de firewall

Crea una política de firewall de red regional

Puedes crear una política para cualquier red de VPC dentro de tu proyecto. Después de crear una política, puedes asociarla con cualquier red de VPC dentro de tu proyecto. Una vez asociadas, las reglas de la política se activan para las VMs que están por debajo de la red asociada.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona tu proyecto dentro de la organización.

  3. Haz clic en Crear política de firewall.

  4. Asigna un nombre a la política.

  5. En Permiso de la implementación, selecciona Regional. Selecciona la región en la que deseas crear esta política de firewall.

  6. Si deseas crear reglas para tu política, haz clic en Continuar y, luego, en Agregar regla.

    Para obtener más información, consulta la sección sobre cómo crear reglas de firewall.

  7. Si deseas asociar la política a una red, haz clic en Continuar y, luego, en Asociar política con redes de VPC.

    Para obtener detalles, consulta la sección sobre cómo asociar una política con una red de VPC.

  8. Haga clic en Crear.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Reemplaza lo siguiente:

  • NETWORK_FIREWALL_POLICY_NAME: Es un nombre para la política.
  • DESCRIPTION: es una descripción de la política.
  • REGION_NAME: es una región que deseas aplicar a la política.

Asocia una política con la red

Asocia una política con una red a fin de activar las reglas de la política para cualquier VM dentro de esa red.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Haz clic en Agregar asociaciones.

  6. Selecciona las redes dentro del proyecto.

  7. Haz clic en Associate.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Reemplaza lo siguiente:

  • POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política.
  • NETWORK_NAME: el nombre de tu red
  • ASSOCIATION_NAME: Un nombre opcional para la asociación; si no se especifica, el nombre se configura como “organización ORG_ID” o “carpeta FOLDER_ID”.
  • REGION_NAME: es una región para aplicar la política.

Describe una política de firewall de red regional

Puedes ver todos los detalles de una política, incluidas todas sus reglas de firewall. Además, puedes ver muchos atributos presentes en todas las reglas en la política. Estos atributos se tienen en cuenta para un límite por política.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política de firewall de red regional.

  3. Haz clic en tu política.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Actualiza la descripción de la política de firewall de red regional

El único campo de una política que se puede actualizar es el campo Descripción.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política de firewall de red regional.

  3. Haz clic en tu política.

  4. Haga clic en Editar.

  5. Modifica la Descripción.

  6. Haz clic en Guardar.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Enumera las políticas de firewall de red regionales

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

    En la sección Políticas de firewall de red, se muestran las políticas disponibles en tu proyecto.

gcloud 

gcloud compute network-firewall-policies list
    --regions=LIST_OF_REGIONS

Borra una política de firewall de red regional

Debes borrar todas las asociaciones en una política de firewall de red para poder borrarla.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en la política que deseas borrar.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Quitar asociaciones.

  7. Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

  1. Enumera todas las redes asociadas con una política de firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Borra asociaciones individuales. Para quitar la asociación, debes tener el rol compute.SecurityAdmin en la red de VPC asociada.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Borra la política:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Borra una asociación

Para detener la aplicación de la política de firewall en una red, borra la asociación.

Sin embargo, si quieres intercambiar una política de firewall por otra, no es necesario borrar primero la asociación existente. Si lo haces, habrá un período en el que no se aplicará ninguna política. En su lugar, reemplaza la política existente cuando asocias una política nueva.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona tu proyecto o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona la asociación que quieres borrar.

  6. Haz clic en Quitar asociaciones.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tareas de reglas de políticas de firewall

Crea reglas de firewall de red

Las reglas de las políticas de firewall de red se deben crear en una política de firewall de red regional. Las reglas no se activarán hasta que asocies la política con una red de VPC.

Cada regla de política de firewall de red puede incluir rangos de IPv4 o IPv6, pero no ambos.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contenga la política.

  3. Haz clic en el nombre de la política regional.

  4. En Reglas de firewall, haz clic en Crear.

  5. Propaga los campos de la regla:

    1. Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como 100, 200 y 300).
    2. Establece la recopilación de Registros como Activada o Desactivada.
    3. Para Dirección del tráfico, elige entrada o salida.
    4. En Acción en caso de coincidencia, especifica si se permiten las conexiones que coinciden con la regla (Permitir), si se rechazan (Rechazar) o si la evaluación de la conexión se pasa a la siguiente regla de firewall inferior en la jerarquía (Pasar a la siguiente).
    5. Especifica los Objetivos de la regla.
      • Si quieres que la regla se aplique a todas las instancias de la red, elige All instances in the network.
      • Si quieres que la regla se aplique a instancias seleccionadas por etiquetas, elige Etiquetas seguras. Haz clic en SELECCIONAR ALCANCE y selecciona la organización o el proyecto en el que deseas crear pares clave-valor de etiqueta. Ingresa los pares clave-valor a los que se debería aplicar la regla. Para agregar más pares clave-valor, haz clic en AGREGAR ETIQUETA.
      • Si deseas que la regla se aplique a instancias seleccionadas por una cuenta de servicio asociada, selecciona Cuenta de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro en Permiso de la cuenta de servicio y elige o escribe el nombre de la cuenta de servicio en el campo Cuenta de servicio de destino.
    6. Para una regla de Entrada, especifica el Filtro de origen:
      • Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo IPv4. Usa 0.0.0.0/0 para cualquier origen IPv4.
      • Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo IPv6. Usa ::/0 para cualquier origen IPv6.
      • Para limitar los orígenes por etiquetas, haz clic en SELECCIONAR ALCANCE en la sección Etiquetas. Selecciona la organización o el proyecto en el que deseas crear etiquetas. Ingresa los pares clave-valor a los que se debería aplicar la regla. Para agregar más pares clave-valor, haz clic en AGREGAR ETIQUETA.
    7. Para una regla de Salida, especifica el filtro Destino:
      • Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo IPv4. Usa 0.0.0.0/0 para cualquier destino de IPv4.
      • Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo IPv6. Usa ::/0 para cualquier destino de IPv6.
    8. Opcional: Si creas una regla de Entrada, especifica los FQDN de origen a los que se aplica esta regla. Si estás creando una regla de Salida, selecciona los FQDN de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombres de dominio, consulta Objetos de nombres de dominio.
    9. Opcional: Si creas una regla de Entrada, selecciona las Ubicaciones geográficas de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las Ubicaciones geográficas de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de ubicación geográfica, consulta Objetos de ubicación geográfica.
    10. Opcional: Si creas una regla de Entrada, selecciona los Grupos de direcciones de origen a los que se aplica esta regla. Si creas una regla de Salida, selecciona los Grupos de direcciones de destino a los que se aplica esta regla. A fin de obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.
    11. Opcional: Si creas una regla de Entrada, selecciona las listas de Threat Intelligence de Google Cloud de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las listas de Threat Intelligence de Google Cloud de destino a las que se aplica esta regla. Si deseas obtener más información sobre Inteligencia de amenazas, consulta Inteligencia de amenazas para las reglas de políticas de firewall.

    12. Opcional: Para una regla de Entrada, especifica los filtros Destino:

      • Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo IPv4. Usa 0.0.0.0/0 para cualquier destino de IPv4.
      • Para filtrar el tráfico entrante por rangos de IPv6 de destino, selecciona Rangos de IPv6 e ingresa los bloques de CIDR en el campo Rangos de IPv6 de destino. Usa ::/0 para cualquier destino de IPv6. Si deseas obtener más información, consulta Destino para las reglas de entrada.

    13. Opcional: Para una regla de Salida, especifica el filtro Origen:

      • Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo IPv4. Usa 0.0.0.0/0 para cualquier origen IPv4.
      • Para filtrar el tráfico saliente por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo IPv6. Usa ::/0 para cualquier origen IPv6. Si deseas obtener más información, consulta Fuente para las reglas de salida.

    14. En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica.

    15. Haz clic en Crear.

  6. Haz clic en Agregar regla para agregar otra regla. Haz clic en Continuar > Asociar una política con redes de VPC para asociar la política con una red o haz clic en Crear para crear la política.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Reemplaza lo siguiente:

  • PRIORITY: Es el orden de evaluación numérico de la regla.

    Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como 100, 200 o 300).

  • ACTION: Es una de las acciones siguientes:

    • allow: Permite las conexiones que coinciden con la regla.
    • deny: Rechaza las conexiones que coinciden con la regla.
    • goto_next: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.

  • POLICY_NAME: El nombre de la política de firewall de red.

  • PROTOCOL_PORT: una lista separada por comas de nombres o números de protocolo (tcp,17), protocolos y puertos de destino (tcp:80) o protocolos y rangos de puertos de destino (tcp:5000-6000).

    No se puede especificar un puerto ni un rango de puertos sin un protocolo. Para ICMP, no puedes especificar un puerto ni un rango de puertos; por ejemplo:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Para obtener más información, consulta Protocolos y puertos.

  • TARGET_SECURE_TAG: Es una lista de etiquetas seguras separadas por comas para definir objetivos.

  • SERVICE_ACCOUNT: Es una lista de cuentas de servicio separadas por comas para definir objetivos.

  • DIRECTION: Indica si la regla es de ingress o egress; el valor predeterminado es ingress

    • Incluye --src-ip-ranges a fin de especificar rangos de IP para la fuente de tráfico
    • Incluye --dest-ip-ranges a fin de especificar rangos de IP para el destino del tráfico

    Para obtener más información, consulta los objetivos, la fuente y el destino.

  • IP_RANGES: una lista separada por comas de rangos de IP con formato CIDR, ya sea todos los rangos de IPv4 o todos los rangos de IPv6; ejemplos:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: una lista de etiquetas separadas por comas.

  • COUNTRY_CODE: Es una lista separada por comas de códigos de país de dos letras.

    • Para la dirección de entrada, especifica los códigos de país de origen en el parámetro --src-region-code; no puedes usar el parámetro --src-region-code para la dirección de salida
    • Para la dirección de salida, especifica los códigos de país de destino en el parámetro --dest-region-code; no puedes usar el parámetro --dest-region-code para la dirección de entrada

  • LIST_NAMES: un nombre separado por comas de las listas de Threat Intelligence

    • Para la dirección de entrada, especifica las listas de fuentes de Threat Intelligence en el parámetro --src-threat-intelligence; no puedes usar el parámetro --src-threat-intelligence para la dirección de salida.
    • Para la dirección de salida, especifica las listas de Threat Intelligence de destino en el parámetro --dest-threat-intelligence; no puedes usar el parámetro --dest-threat-intelligence para la dirección de entrada.

  • ADDR_GRP_URL: es un identificador de URL único para el grupo de direcciones.

    • Para la dirección de entrada, especifica los grupos de direcciones de origen en el parámetro --src-address-groups; no puedes usar el parámetro --src-address-groups para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en el parámetro --dest-address-groups; no puedes usar el parámetro --dest-address-groups para la dirección de entrada.

  • DOMAIN_NAME: Es una lista de nombres de dominio separados por comas en el formato descrito en Formato de nombre de dominio.

    • Para la dirección de entrada, especifica los nombres de dominio de origen en el parámetro --src-fqdns; no puedes usar el parámetro --src-fqdns para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en el parámetro --dest-fqdns; no puedes usar el parámetro --dest-fqdns para la dirección de entrada.

  • --enable-logging y --no-enable-logging: Habilita o inhabilita el registro de reglas de firewall para la regla determinada

  • --disabled: Indica que la regla de firewall, aunque existe, no se debe considerar cuando se procesan las conexiones; quitar esta marca habilita la regla, o puedes especificar --no-disabled.

  • REGION_NAME: es una región para aplicar la política.

Actualiza una regla

Para obtener descripciones de campos, consulta la sección sobre cómo crear reglas de firewall.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

  5. Haz clic en Editar.

  6. Modifica los campos que deseas cambiar.

  7. Haz clic en Guardar.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Describe una regla

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad de la regla que quieres ver; debido a que cada regla debe tener una prioridad única, esta configuración identifica de forma exclusiva a una regla.
  • POLICY_NAME: es el nombre de la política que contiene la regla
  • REGION_NAME: es una región para aplicar la política.

Borra una regla de una política

Si borras una regla de una política, se quita la regla de todas las VM que la heredan.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieres borrar.

  5. Haz clic en Borrar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Reemplaza los siguientes elementos:

  • PRIORITY: La prioridad de la regla que deseas borrar de la política
  • POLICY_NAME: La política que contiene la regla
  • REGION_NAME: es una región para aplicar la política.

Clona reglas de una política a otra

Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.

Consola

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en la política de la que deseas copiar reglas.

  4. Haz clic en Clonar en la parte superior de la pantalla.

  5. Proporciona el nombre de una política de destino.

  6. Haz clic en Continuar > Asociar política de red con recursos si deseas asociar la nueva política de inmediato.

  7. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Reemplaza los siguientes elementos:

  • POLICY_NAME: La política que recibirá las reglas copiadas
  • SOURCE_POLICY: La política de la que se deben copiar las reglas; debe ser la URL del recurso
  • REGION_NAME: es una región para aplicar la política.

Obtén políticas de firewall de red regionales eficaces

Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y la política de firewall de red aplicada a una región específica.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Reemplaza lo siguiente:

  • REGION_NAME: la región para la que deseas ver las reglas efectivas.
  • NETWORK_NAME: la red para la que deseas ver las reglas efectivas.