Las políticas de firewall te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de Identity and Access Management (IAM). Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de la nube privada virtual (VPC).
Políticas jerárquicas de firewall
Las políticas de firewall jerárquicas te permiten agrupar reglas en un objeto de política que puede aplicarse a muchas redes de VPC en uno o más proyectos. Puedes asociar políticas de firewall jerárquicas con una organización completa o carpetas individuales.
Para obtener más información sobre las especificaciones y las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.
Políticas de firewall de red globales
Las políticas de firewall de red globales te permiten agrupar reglas en un objeto de política aplicable a todas las regiones (global). Después de asociar una política de firewall de red global con una red de VPC, las reglas de la política pueden aplicarse a los recursos en la red de VPC.
Para obtener más información sobre las especificaciones de las políticas de firewall de la red globales, consulta la políticas de firewall de red globales.
Políticas de firewall de red regionales
Las políticas de firewall de red regionales te permiten agrupar reglas en un objeto de política aplicable a una región específica. Después de asociar una política de firewall de red regional con una red de VPC, las reglas de la política pueden aplicarse a los recursos dentro de esa región de la red de VPC.
Para obtener más información sobre las especificaciones y las políticas de los firewalls regionales, consulta las políticas de firewall de red regionales.
Orden de evaluación de políticas y reglas
Las reglas en las políticas de firewall jerárquicas, las políticas de firewall de red globales, las políticas de firewall de red regionales y las reglas de firewall de VPC se implementan como parte del procesamiento de los paquetes de VM de lapila de virtualización de red de Andromeda. Las reglas se evalúan para cada interfaz de red (NIC) de la VM.
La aplicabilidad de una regla no depende de la especificidad de los protocolos y la configuración de puertos. Por ejemplo, una regla de permiso de prioridad más alta para todos los protocolos tiene prioridad sobre una regla de denegación de prioridad más baja específica al puerto 22 de TCP
.
Además, la aplicabilidad de una regla no depende de la especificidad del parámetro de destino. Por ejemplo, una regla de permiso de prioridad más alta para todas las VMs (todos los objetivos) tiene prioridad, incluso si existe una regla de denegación de prioridad más baja con un parámetro de destino más específico, por ejemplo, una cuenta de servicio o etiqueta específica.
Determina el orden de evaluación de políticas y reglas
El orden en el que se evalúan las reglas de la política de firewall y las reglas de firewall de VPC se determina mediante la marca networkFirewallPolicyEnforcementOrder
de la red de VPC conectada a la NIC de la VM.
La marca networkFirewallPolicyEnforcementOrder
puede tener los siguientes dos valores:
BEFORE_CLASSIC_FIREWALL
: Si configuras la marca comoBEFORE_CLASSIC_FIREWALL
, la política de firewall de red global y la política de firewall de red regional se evalúan antes que las reglas de firewall de VPC en Orden de evaluación de reglas.AFTER_CLASSIC_FIREWALL
: Si configuras la marca comoAFTER_CLASSIC_FIREWALL
, la política de firewall de red global y la política de firewall de red regional se evalúan después de las reglas de firewall de VPC en Orden de evaluación de reglas.AFTER_CLASSIC_FIREWALL
es el valor predeterminado de la marcanetworkFirewallPolicyEnforcementOrder
.
Para cambiar el orden de evaluación de reglas, consulta Cambia el orden de evaluación de políticas y reglas.
Orden de evaluación de políticas y reglas predeterminado
De forma predeterminada, y cuando el networkFirewallPolicyEnforcementOrder
de la red de VPC adjunta a la NIC de la VM es AFTER_CLASSIC_FIREWALL
, Google Cloud evalúa las reglas aplicables a la NIC de la VM en el siguiente orden:
- Si una política de firewall jerárquica está asociada con la organización que contiene el proyecto de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall jerárquica. Debido a que las reglas en las políticas de firewall jerárquicas deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico:
- La regla puede permitir el tráfico. Se detiene el proceso de evaluación.
- La regla puede rechazar el tráfico. Se detiene el proceso de evaluación.
- La regla puede enviar el tráfico para la inspección de
la capa 7 (
apply_security_profile_group
) al extremo de firewall. La decisión de permitir o descartar el paquete depende del extremo de firewall y el perfil de seguridad configurado. En ambos casos, se detiene el proceso de evaluación de reglas. - La regla puede permitir el procesamiento de reglas definidas como se describe en los siguientes pasos si se cumple alguna de las siguientes condiciones:
- Una regla con una acción
goto_next
coincide con el tráfico. - Ninguna regla coincide con el tráfico. En este caso, se aplica una regla
goto_next
implícita.
- Una regla con una acción
- Si una política de firewall jerárquica está asociada con la principal más distante (superior) del proyecto de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall jerárquica para esa carpeta. Debido a que las reglas en las políticas de firewall jerárquica deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (
allow
,deny
,apply_security_profile_group
ogoto_next
) como se describe en el primer paso. - Google Cloud repite las acciones del paso anterior para una política de firewall jerárquica asociada con la siguiente carpeta que está más cerca del proyecto de la VM en la jerarquía de recursos. Google Cloud primero evalúa las reglas en las políticas de firewall jerárquicas asociadas con la principal de carpeta más distante (más cercana a la organización) y, luego, evalúa las reglas en las políticas de firewall jerárquicas asociadas a la siguiente carpeta (secundaria) que está más cerca del proyecto de la VM.
Si existen reglas de firewall de VPC en la red de VPC que usa la NIC de la VM, Google Cloud evalúa todas las reglas de firewall de VPC aplicables.
A diferencia de las reglas en las políticas de firewall:
Las reglas de firewall de VPC no tienen ninguna acción explícita de
goto_next
oapply_security_profile_group
. Una regla de firewall de VPC solo se puede configurar para permitir o denegar el tráfico.Dos o más reglas de firewall de VPC en una red de VPC pueden compartir el mismo número de prioridad. En ese caso, las reglas de rechazo tienen prioridad sobre las reglas de permiso. Para obtener detalles adicionales sobre la prioridad de las reglas de firewall de VPC, consulta Prioridad en la documentación de reglas de firewall de VPC.
Si no se aplica ninguna regla de firewall de VPC al tráfico, Google Cloud continúa con el paso siguiente, implícito
goto_next
.Si una política de firewall de red global está asociada con la red de VPC de la NIC de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall. Debido a que las reglas de las políticas de firewall deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (
allow
,deny
,apply_security_profile_group
ygoto_next
) como se describe en el primer paso.Si una política de firewall de red regional está asociada con la red de VPC de la NIC de la VM y la región de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall. Debido a que las reglas en las políticas de firewall deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico —
allow
,deny
ogoto_next
— como se describe en el primer paso.Como paso final en la evaluación, Google Cloud aplica las reglas implícitas de firewall de permiso de salida y de denegación de entrada.
En el diagrama siguiente, se muestra el flujo de resolución para las reglas de firewall.
Cambia el orden de evaluación de políticas y reglas
Google Cloud te permite cambiar el proceso de evaluación de reglas predeterminado mediante el intercambio del orden de las reglas de firewall de VPC y las políticas de firewall de red (tanto globales como regionales). Cuando realizas este intercambio, la política de firewall de red global (paso 5) y la política de firewall de red regional (paso 6) se evalúan antes que las reglas de firewall de VPC (paso 4) en elorden de evaluación de reglas.
Para cambiar el orden de evaluación de la regla, ejecuta el siguiente comando a fin de establecer el atributo networkFirewallPolicyEnforcementOrder
de la red de VPC en BEFORE_CLASSIC_FIREWALL
:
gcloud compute networks update VPC-NETWORK-NAME \ --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL
Para obtener más información, consulta el método networks.patch
.
Reglas de firewall vigentes
Las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales y regionales controlan las conexiones. Puede resultarte útil ver todas las reglas de firewall que afectan a una red individual o a una interfaz de VM.
Reglas de firewall vigentes de la red
Puedes ver todas las reglas de firewall que se aplican a una red de VPC. La lista incluye todos los tipos de reglas que se indican a continuación:
- Reglas heredadas de políticas de firewall jerárquicas
- Reglas de firewall de VPC
- Reglas aplicadas desde las políticas de firewall de red globales y regionales
Reglas de firewall vigentes de la instancia
Puedes ver todas las reglas de firewall que se aplican a la interfaz de red de una VM. La lista incluye todos los tipos de reglas que se indican a continuación:
- Reglas heredadas de políticas de firewall jerárquicas
- Reglas aplicadas desde el firewall de VPC de la interfaz
- Reglas aplicadas desde las políticas de firewall de red globales y regionales
Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de VM. No se muestran las reglas de otras políticas.
Para ver las reglas de políticas de firewall efectivas dentro de una región, consulta Obtén políticas de firewall efectivas para una red.
Reglas predefinidas
Cuando creas una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional, Cloud NGFW agrega reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW agrega a la política dependen de cómo creas la política.
Si creas una política de firewall con la consola de Google Cloud, Cloud NGFW agrega las siguientes reglas a la política nueva:
- Reglas ir al siguiente para los rangos de IPv4 privados
- Reglas de denegación predefinidas de inteligencia ante amenazas
- Reglas de denegación de ubicación geográfica predefinidas
- Reglas de Ir a la siguiente prioridad más baja posible
Si creas una política de firewall con Google Cloud CLI o la API, Cloud NGFW solo agrega las reglas ir a la siguiente menor prioridad posible a la política.
Todas las reglas predefinidas en una política de firewall nueva usan intencionalmente las prioridades bajas (números de prioridad grande) para que puedas anularlas con la creación de reglas con prioridades más altas. Excepto por las reglas ir a la siguiente menor prioridad posible, también puedes personalizar las reglas predefinidas.
Reglas goto-next para los rangos de IPv4 privados
Una regla de salida con rangos de IPv4 de destino que tienen el valor
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, la prioridad1000
y la accióngoto_next
.Una regla de entrada con los rangos IPv4 de origen
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, la prioridad1001
y la accióngoto_next
.
Reglas de denegación predefinidas de inteligencia ante amenazas
Una regla de entrada con la lista de origen de inteligencia ante amenazas
iplist-tor-exit-nodes
, la prioridad1002
y la accióndeny
.Una regla de entrada con la lista de origen de inteligencia ante amenazas
iplist-known-malicious-ips
, la prioridad1003
y la accióndeny
.Una regla de salida con la lista de destino de amenazas de destino
iplist-known-malicious-ips
, la prioridad1004
y la accióndeny
.
Si deseas obtener más información sobre inteligencia ante amenazas, consulta Inteligencia ante amenazas para las reglas de políticas de firewall.
Reglas de denegación de ubicación geográfica predefinidas
- Una regla de entrada con ubicaciones geográficas de origen que coinciden con
CU
,IR
,KP
,SY
,XC
yXD
, prioridad1005
y accióndeny
.
Para obtener más información sobre las ubicaciones geográficas, consulta Objetos de ubicación geográfica.
Reglas ir a la siguiente menor prioridad posible
No puedes modificar o borrar las siguientes reglas:
Una regla de salida con el rango de IPv6 de destino
::/0
, la prioridad2147483644
y la accióngoto_next
.Una regla de entrada con el rango de IPv6 de origen
::/0
, la prioridad2147483645
y la accióngoto_next
.Una regla de salida con el rango de IPv4 de destino
0.0.0.0/0
, la prioridad2147483646
y la accióngoto_next
.Una regla de entrada con el rango de IPv4 de origen
0.0.0.0/0
, la prioridad2147483647
y la accióngoto_next
.
¿Qué sigue?
- Para crear y modificar reglas y políticas de firewall jerárquicas, consulta Usa políticas de firewall jerárquicas.
- Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.
- Para crear y modificar reglas y políticas de firewall de red globales, consulta Usa políticas de firewall de red globales.
- Para crear y modificar reglas y políticas de firewall de red regionales, consulta Usa políticas de firewall de red regionales.