Usar reglas y políticas de cortafuegos de red regionales

En esta página se da por hecho que conoces los conceptos descritos en el artículo Descripción general de las políticas de cortafuegos de red regionales.

Tareas de políticas de cortafuegos

Crear una política de cortafuegos de red regional

Puedes crear una política para cualquier red de nube privada virtual (VPC) de tuGoogle Cloud proyecto. Una vez que hayas creado una política, podrás asociarla a cualquier red de VPC de tu proyecto. Una vez asociada, las reglas de la política se activarán para las VMs de la red asociada.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto de tu organización.

  3. Haz clic en Crear política de cortafuegos.

  4. En el campo Name (Nombre), introduce el nombre de la política.

  5. En Ámbito de implementación, selecciona Regional. Selecciona la región en la que quieres crear esta política de cortafuegos.

  6. Si quiere crear reglas para su política, haga clic en Continuar y, a continuación, en Añadir regla.

    Para obtener más información, consulta el artículo Crear reglas de cortafuegos de red.

  7. Si quieres asociar la política a una red, haz clic en Continuar y, a continuación, en Asociar política a redes de VPC.

    Para obtener más información, consulta el artículo Asociar una política a la red.

  8. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Haz los cambios siguientes:

  • NETWORK_FIREWALL_POLICY_NAME: nombre de la política
  • DESCRIPTION: una descripción de la política
  • REGION_NAME: una región a la que quieras aplicar la política.

Asociar una política a la red

Asocia una política a una red para activar las reglas de la política en cualquier VM de esa red.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Haz clic en Añadir asociaciones.

  6. Selecciona las redes del proyecto.

  7. Haz clic en Asociar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME \
    [ --replace-association-on-target true ]

Haz los cambios siguientes:

  • POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política
  • NETWORK_NAME: el nombre de tu red
  • ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se asigna a network-NETWORK_NAME.
  • REGION_NAME: una región en la que aplicar la política

Describe una política de cortafuegos de red regional

Puedes ver todos los detalles de una política, incluidas todas sus reglas de cortafuegos. Además, puede ver muchos atributos que están en todas las reglas de la política. Estos atributos se tienen en cuenta para el límite por política.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.

  3. Haz clic en tu política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Actualizar la descripción de una política de cortafuegos de red regional

El único campo de política que se puede actualizar es el de Descripción.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.

  3. Haz clic en tu política.

  4. Haz clic en Editar.

  5. En el campo Descripción, modifica la descripción.

  6. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Listar políticas de cortafuegos de red regionales

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

    En la sección Políticas de cortafuegos de red se muestran las políticas disponibles en tu proyecto.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Eliminar una política de cortafuegos de red regional

Para eliminar una política de cortafuegos de red, primero debes eliminar todas las asociaciones de esa política.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en la política que quieras eliminar.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Eliminar asociaciones.

  7. Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

  1. Lista de todas las redes asociadas a una política de cortafuegos:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Eliminar asociaciones concretas. Para quitar la asociación, debes tener el rol Administrador de seguridad de Compute (roles/compute.SecurityAdmin) en la red de nube privada virtual (VPC) asociada.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Elimina la política:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Eliminar una asociación

Para detener la aplicación de una política de cortafuegos en una red, elimina la asociación.

Sin embargo, si quieres sustituir una política de cortafuegos por otra, no es necesario que elimines la asociación actual. Si se elimina esa asociación, habrá un periodo en el que no se aplicará ninguna de las dos políticas. En su lugar, sustituye la política actual cuando asocies una nueva.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona la asociación que quieras eliminar.

  6. Haz clic en Eliminar asociaciones.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tareas de reglas de políticas de cortafuegos

Crear reglas de cortafuegos de red

Las reglas de las políticas de cortafuegos de red deben crearse en una política de cortafuegos de red regional. Las reglas no estarán activas hasta que asocies la política que las contiene a una red de VPC.

Cada regla de política de cortafuegos de red puede incluir intervalos IPv4 o IPv6, pero no ambos.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

  3. Haz clic en el nombre de tu política regional.

  4. En Reglas de cortafuegos, haga clic en Crear.

  5. Rellena los campos de la regla:

    1. Prioridad: el orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Es recomendable asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 y 300).
    2. En Recogida de registros, selecciona Activado o Desactivado.
    3. En Dirección del tráfico, elige entrada o salida.
    4. En Acción tras coincidencia, especifique si las conexiones que coinciden con la regla se permiten (Permitir) o se deniegan (Denegar), o si la evaluación de la conexión se transfiere a la siguiente regla de cortafuegos inferior de la jerarquía (Ir a la siguiente).
    5. Especifica los objetivos de la regla.
      • Si quieres que la regla se aplique a todas las instancias de la red, elige Todas las instancias de la red.
      • Si quieres que la regla se aplique a instancias concretas por Etiquetas, elige Etiquetas seguras. Haga clic en SELECCIONAR ÁMBITO y elija la organización o el proyecto en el que quiera crear pares clave-valor de etiquetas. Introduzca los pares clave-valor a los que se aplicará la regla. Para añadir más pares clave-valor, haga clic en AÑADIR ETIQUETA.
      • Si quieres que la regla se aplique a instancias concretas por una cuenta de servicio asociada, elige Cuenta de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro en Ámbito de cuenta de servicio y elige o escribe el nombre de la cuenta de servicio en el campo Cuenta de servicio de destino.

    6. En el caso de una regla Ingress, especifique el Source filter (Filtro de origen):

      • Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier fuente IPv6.
      • Para limitar la fuente por etiquetas, haga clic en SELECCIONAR ÁMBITO en la sección Etiquetas. Selecciona la organización o el proyecto en el que quieras crear etiquetas. Introduzca los pares clave-valor a los que se aplicará la regla. Para añadir más pares clave-valor, haga clic en AÑADIR ETIQUETA.

    7. En el caso de una regla Salida, especifique el Filtro de destino:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de destino, seleccione IPv6 y, a continuación, introduzca los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier destino IPv6.

    8. Opcional: Si vas a crear una regla Ingress, especifica los FQDNs de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los FQDNs de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombre de dominio, consulta Objetos de nombre de dominio.

    9. Opcional: Si vas a crear una regla de entrada, selecciona las geolocalizaciones de origen a las que se aplica esta regla. Si vas a crear una regla de salida, selecciona las geolocalizaciones de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de geolocalización, consulta Objetos de geolocalización.

    10. Opcional: Si vas a crear una regla Ingress, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones de políticas de cortafuegos.

    11. Opcional: Si vas a crear una regla Ingress, selecciona las listas de fuentes de Inteligencia frente a amenazas de Google Cloud a las que se aplica esta regla. Si va a crear una regla de salida, seleccione las listas de Inteligencia frente a amenazas de Google Cloud de destino a las que se aplica esta regla. Para obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.

    12. Opcional: En el caso de una regla Ingress, especifica los filtros Destination:

      • Para filtrar el tráfico entrante por intervalos de IPv4 de destino, seleccione IPv4 e introduzca los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de destino, selecciona Intervalos de IPv6 e introduce los bloques CIDR en el campo Intervalos de IPv6 de destino. Usa ::/0 para cualquier destino IPv6. Para obtener más información, consulta Destino de las reglas de entrada.

    13. Opcional: En el caso de una regla Salida, especifica el filtro Origen:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier fuente IPv6. Para obtener más información, consulta Origen de las reglas de salida.

    14. En Protocolos y puertos, especifica si la regla se aplica a todos los protocolos y puertos de destino o a cuáles se aplica.

    15. Haz clic en Crear.

  6. Haz clic en Añadir regla para añadir otra regla. Haz clic en Continuar > Asociar política con redes de VPC para asociar la política con una red o haz clic en Crear para crear la política.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

  • PRIORITY: el orden de evaluación numérico de la regla

    Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Una buena práctica es asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 y 300).

  • ACTION: una de las siguientes acciones:

    • allow: permite las conexiones que coincidan con la regla.
    • deny: deniega las conexiones que coincidan con la regla.
    • goto_next: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.

  • POLICY_NAME: el nombre de la política de cortafuegos de red

  • PROTOCOL_PORT: lista separada por comas de nombres o números de protocolos (tcp,17), protocolos y puertos de destino (tcp:80), o protocolos e intervalos de puertos de destino (tcp:5000-6000)

    No puedes especificar un puerto o un intervalo de puertos sin un protocolo. En el caso de ICMP, no puedes especificar un puerto ni un intervalo de puertos. Por ejemplo:

    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Para obtener más información, consulta protocolos y puertos.

  • TARGET_SECURE_TAG: lista separada por comas de etiquetas seguras para definir objetivos

  • SERVICE_ACCOUNT: lista de cuentas de servicio separada por comas para definir objetivos

  • DIRECTION: indica si la regla es INGRESS o EGRESS. El valor predeterminado es INGRESS.

    • Incluya --src-ip-ranges para especificar intervalos de IP de la fuente de tráfico.
    • Incluya --dest-ip-ranges para especificar intervalos de IP para el destino del tráfico.

    Para obtener más información, consulta los artículos sobre objetivos, fuentes y destinos.

  • SRC_NETWORK_TYPE: indica el tipo de tráfico de red de origen al que se aplica la regla de entrada. Puedes asignar a este argumento uno de los siguientes valores:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

  • SRC_VPC_NETWORK: lista separada por comas de redes de VPC

    Solo puedes usar --src-networks cuando --src-network-type se haya definido como VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica el tipo de tráfico de red de destino al que se aplica la regla de salida. Puedes asignar a este argumento uno de los siguientes valores:

    • INTERNET
    • NON_INTERNET

    Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

  • IP_RANGES: lista separada por comas de intervalos de IPs en formato CIDR. Pueden ser todos los intervalos IPv4 o todos los IPv6. Por ejemplo:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: una lista de etiquetas separadas por comas.

    No puede usar etiquetas seguras de origen si el tipo de red es INTERNET.

  • COUNTRY_CODE: lista separada por comas de códigos de país de dos letras.

    • Para la dirección de entrada, especifique los códigos de país de origen en la marca --src-region-code. No puedes usar la marca --src-region-code para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Para la dirección de salida, especifique los códigos de país de destino en la marca --dest-region-code. No puede usar la marca --dest-region-code para la dirección de entrada.

  • LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas.

    • En el caso de la dirección de entrada, especifique las listas de Google Threat Intelligence de origen en la marca --src-threat-intelligence. No puedes usar la marca --src-threat-intelligence para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Para la dirección de salida, especifica las listas de Google Threat Intelligence de destino en la marca --dest-threat-intelligence. No puedes usar la marca --dest-threat-intelligence para la dirección de entrada.

  • ADDR_GRP_URL: un identificador de URL único del grupo de direcciones.

    • Para la dirección de entrada, especifica los grupos de direcciones de origen en la marca --src-address-groups. No puedes usar la marca --src-address-groups para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-address-groups. No puedes usar la marca --dest-address-groups para la dirección de entrada.

  • DOMAIN_NAME: lista de nombres de dominio separados por comas con el formato descrito en Formato de nombre de dominio

    • Para la dirección de entrada, especifica los nombres de dominio de origen en la marca --src-fqdns. No puedes usar la marca --src-fqdns para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-fqdns. No puedes usar la marca --dest-fqdns para la dirección de entrada.

  • --enable-logging y --no-enable-logging: habilita o inhabilita el registro de reglas de cortafuegos de la regla en cuestión.

  • --disabled: indica que la regla de cortafuegos, aunque exista, no se debe tener en cuenta al procesar las conexiones. Si se omite esta marca, la regla se habilita. También puedes especificar --no-disabled.

  • REGION_NAME: una región en la que aplicar la política

Actualizar una regla

Para ver las descripciones de los campos, consulta Crear reglas de cortafuegos de red.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

  5. Haz clic en Editar.

  6. Modifica los campos que quieras cambiar.

  7. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Describe una regla

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

  • PRIORITY: la prioridad de la regla que quieres ver. Como cada regla debe tener una prioridad única, este ajuste identifica una regla de forma exclusiva.
  • POLICY_NAME: el nombre de la política que contiene la regla
  • REGION_NAME: una región en la que aplicar la política.

Eliminar una regla de una política

Si se elimina una regla de una política, se quita de todas las máquinas virtuales que la hereden.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieras eliminar.

  5. Haz clic en Eliminar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Haz los cambios siguientes:

  • PRIORITY: la prioridad de la regla que quieres eliminar de la política
  • POLICY_NAME: la política que contiene la regla
  • REGION_NAME: una región en la que aplicar la política

Clonar reglas de una política a otra

Quita todas las reglas de la política de destino y sustitúyelas por las reglas de la política de origen.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en la política de la que quieras copiar las reglas.

  4. En la parte superior de la pantalla, haz clic en Clonar.

  5. Indica el nombre de una política de destino.

  6. Haz clic en Continuar > Asociar política de red con recursos si quieres asociar la nueva política inmediatamente.

  7. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Haz los cambios siguientes:

  • POLICY_NAME: la política que recibirá las reglas copiadas
  • SOURCE_POLICY: la política de la que se van a copiar las reglas. Debe ser la URL del recurso.
  • REGION_NAME: una región en la que aplicar la política

Obtener políticas de cortafuegos de red regionales eficaces

Puede ver todas las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y la política de cortafuegos de red aplicada a una región específica.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Haz los cambios siguientes:

  • REGION_NAME: la región de la que quiere ver las reglas vigentes.
  • NETWORK_NAME: la red de la que quieres ver las reglas efectivas.