Descripción general de las reglas de firewall

Las reglas de firewall de Google Cloud Platform (GCP) te dejan permitir o rechazar el tráfico desde y hacia tus instancias de máquina virtual (VM) según la configuración que especificas. Las reglas de firewall de GCP se aplican al nivel de la red virtual, por lo que ofrecen protección y control de tráfico eficaces sin importar el sistema operativo que usen las instancias.

Cada red de VPC funciona como un firewall distribuido. Mientras que las reglas de firewall se definen a nivel de red, las conexiones se permiten o se rechazan por instancia. Puedes pensar que las reglas de firewall de GCP existen no solo entre tus instancias y otras redes, sino también entre instancias individuales dentro de la misma red. Consulta Cómo usar las reglas de firewall para obtener instrucciones sobre cómo crear y trabajar con reglas de firewall.

Reglas de firewall en GCP

Las reglas de firewall de GCP son específicas de una red de VPC. Cada regla permite o rechaza el tráfico cuando se cumplen sus condiciones. Estas condiciones permiten especificar el tipo de tráfico, como puertos y protocolos, además del origen o el destino del tráfico, incluidas las direcciones IP, las subredes y las instancias. Consulta componentes de regla de firewall para obtener descripciones de los componentes que definen una regla de firewall.

Cada red tiene dos reglas de firewall implícitas permanentes que permiten conexiones salientes y bloquean conexiones entrantes. Consulta la sección reglas de firewall implícitas y predeterminadas para obtener más información sobre su aplicabilidad y cómo interactúan con reglas que defines. Además, la red default se propaga previamente con algunas reglas editables adicionales.

Puedes crear o modificar reglas de firewall de GCP a través de Google Cloud Platform Console, la herramienta de línea de comandos de gcloud y la API de REST. Cuando creas o modificas una regla de firewall, puedes especificar las instancias a las que se pretende aplicar con el componente objetivo de la regla.

Especificaciones

Las reglas de firewall tienen las siguientes características:

  • Las reglas de firewall se definen a nivel de la red de VPC y son específicas de la red en la que se definen. Las reglas no se pueden compartir entre redes.

  • Las reglas de firewall solo son compatibles con el tráfico IPv4. Cuando especificas un origen para una regla de entrada o un destino para una regla de salida, solo puedes usar una dirección IPv4 o bloque IPv4 en notación de CIDR.

  • La acción que realiza una regla de firewall es allow o deny. La regla no se puede registrar como una acción simplemente. Consulta el componente acción en caso de coincidencia de una regla de firewall para obtener más información.

  • Cada regla de firewall se define para aplicar al tráfico entrante (ingress) o saliente (egress), pero no a ambos. Consulta el componente instrucciones del tráfico de una regla de firewall para obtener más información.

  • Las reglas de firewall de GCP son con estado. Si se permite una conexión entre un origen y un objetivo o un objetivo y un destino, se permitirá todo el tráfico posterior en cualquier dirección siempre que la conexión esté activa. Es decir, las reglas de firewall permiten la comunicación bidireccional una vez que se establece una sesión. La conexión se considera activa si se envía al menos un paquete cada 10 minutos. Las reglas de firewall no pueden permitir el tráfico en una dirección si se rechaza el tráfico de retorno asociado.

  • Las reglas de firewall de GCP no vuelven a ensamblar paquetes de TCP fragmentados. Por ello, una regla de firewall aplicable al protocolo de TCP solo aplica al primer fragmento porque contiene el encabezado de TCP. Las reglas de firewall aplicables al protocolo de TCP no aplican a los fragmentos de TCP posteriores.

  • La cantidad máxima de conexiones seguidas en la tabla de reglas de firewall depende de la cantidad de conexiones con estado compatibles con el tipo de máquina de la instancia:

Tipo de máquina de la instancia Cantidad máxima de conexiones con estado
Tipos de máquinas de núcleo compartido 130,000
Instancias con 1 a 8 CPU virtuales 130,000 conexiones por CPU virtual
Instancias con más de 8 CPU virtuales 1,040,000 (130,000 × 8) conexiones en total

Reglas implícitas y predeterminadas

Cada red de VPC tiene dos reglas de firewall implícitas. Estas reglas existen, pero no se muestran en Cloud Console:

  • La regla de salida de permiso implícita: una regla de egress cuya acción es allow, el destino es 0.0.0.0/0 y la prioridad es la menor posible (65535); permite que cualquier instancia envíe tráfico a cualquier destino, excepto el tráfico bloqueado por GCP. El acceso saliente puede estar restringido por una regla de firewall de prioridad más alta. Se permite el acceso a Internet si ninguna otra regla de firewall rechaza el tráfico saliente y si la instancia tiene una dirección IP externa o usa una instancia de NAT. Consulta requisitos de acceso a Internet para obtener más detalles.

  • La regla de permiso de salida implícita: una regla de ingress cuya acción es deny, el origen es 0.0.0.0/0 y la prioridad es la menor posible (65535); protege todas las instancias mediante el bloqueo de tráfico entrante en ellas. El acceso entrante se puede permitir con una regla de prioridad más alta. Ten en cuenta que la red default incluye algunas redes adicionales que la anulan, lo que permite algunos tipos de tráfico entrante.

Las reglas implícitas no se pueden quitar, pero tienen la menor prioridad posible. Las reglas que creas pueden anularlas siempre que tus reglas tengan prioridades mayores (número de prioridad menor que 65535).

Reglas adicionales en la red default

Además de las reglas implícitas, la red default se propaga previamente con reglas de firewall que permiten tráfico entrante en instancias. Estas reglas se pueden borrar o modificar según sea necesario:

  • default-allow-internal
    Permite conexiones de entrada para todos los protocolos y puertos entre instancias en la red. La regla tiene la segunda prioridad más baja, que es de 65534, y permite de manera eficaz las conexiones entrantes a instancias de VM desde otras en la misma red.
  • default-allow-ssh
    Permite conexiones de entrada en el puerto TCP 22 desde cualquier origen a cualquier instancia en la red. Esta regla tiene una prioridad de 65534.
  • default-allow-rdp
    Permite conexiones de entrada en el puerto TCP 3389 desde cualquier origen a cualquier instancia en la red. Esta regla tiene una prioridad de 65534 y permite conexiones a instancias que ejecutan el Protocolo de escritorio remoto de Microsoft (RDP).
  • default-allow-icmp
    Permite el tráfico ICMP de cualquier origen a cualquier instancia de la red. Esta regla tiene una prioridad de 65534 y habilita herramientas como ping.

Tráfico bloqueado

Independientemente de las reglas de firewall, Google Cloud Platform siempre bloquea el tráfico siguiente. Las reglas de firewall no se pueden usar para desbloquear el tráfico que siempre está bloqueado.

Tráfico bloqueado Se aplica a
Tráfico de GRE Todos los orígenes y todos los destinos (incluidas las instancias que usan direcciones IP internas)
Protocolos diferentes a UDP, ICMP, IPIP y TCP Tráfico entre:
• Internet y las instancias
• instancias si tienen direcciones IP externas
• instancias si se involucra un balanceador de cargas con una dirección IP externa
Tráfico de salida en el puerto TCP 25 (SMTP) Tráfico desde:
• instancias hacia Internet
• instancias hacia otras instancias con dirección IP externa

Componentes de reglas de firewall

Cada regla de firewall consiste en los siguientes componentes de configuración:

  • Una prioridad numérica, que se usa para determinar si la regla se aplicará. Solo se aplica la regla con la prioridad más alta (el número de la prioridad más baja), cuyos otros componentes coinciden con el tráfico. Se ignoran las reglas en conflicto con prioridades más bajas.

  • La dirección del tráfico: las reglas de ingress aplican a conexiones entrantes desde orígenes específicos a objetivos de GCP, y las reglas de egress aplican al tráfico que se dirige a destinos específicos desde los objetivos.

  • Una acción en caso de coincidencia, tanto allow como deny, que determina si la regla permite o bloquea el tráfico

  • Un objetivo, que define las instancias (incluidas las instancias de App Engine Flex y clústeres de GKE) a las que aplicará la regla.

  • Un origen para las reglas de ingress o un destino para las reglas de egress

  • El protocolo (como TCP, UDP o ICMP) y el puerto

  • El estado de aplicación de la regla de firewall: puedes habilitar y, también, inhabilitar reglas de firewall sin tener que borrarlas.

Resumen de componentes

Regla de entrada (entrante)
Prioridad Acción Aplicación Objetivo (define el destino) Origen Protocolos y puertos
Número entero de 0 a 65535 inclusive; predeterminado: 1000
Tanto allow como deny Tanto enabled (predeterminado) como disabled El parámetro de objetivo especifica el destino. Puede ser uno de los siguientes:
• Todas las instancias en la
   red de VPC
• Instancias por
  cuenta de servicio
• Instancias por etiqueta de red
Uno de los siguientes:
• Rango de direcciones IPv4;
  la predeterminada es cualquiera (0.0.0.0/0)
• Instancias por
  cuenta de servicio
• Instancias por etiqueta de red
Especifica un protocolo o un protocolo y un puerto.
Si no se establece, la regla se aplica a todos los protocolos.
Regla de salida (saliente)
Prioridad Acción Aplicación Objetivo (define el origen) Destino Protocolos y puertos
Número entero de 0 a 65535 inclusive; predeterminado: 1000
Tanto allow como deny Tanto enabled (predeterminado) como disabled. El parámetro de objetivo especifica el origen. Puede ser uno de los siguientes:
• Todas las instancias en la
   red de VPC
• Instancias por
  cuenta de servicio
• Instancias por etiqueta de red
Cualquier red o rango específico de direcciones IPv4; la predeterminada es cualquiera (0.0.0.0/0). Especifica un protocolo o un protocolo y un puerto.
Si no se establece, la regla se aplica a todos los protocolos.

Prioridad

La prioridad de la regla de firewall es un número entero de 0 a 65535, inclusive. Los números enteros más bajos indican prioridades más altas. Si no especificas una prioridad cuando creas una regla, se asigna una prioridad de 1000.

La prioridad relativa de una regla de firewall determina si es aplicable cuando se la evalúa frente a otras. La lógica de la evaluación funciona de la siguiente manera:

  • La regla de prioridad más alta aplicable a un objetivo para un tipo de tráfico determinado tiene precedencia. La especificidad del objetivo no es relevante. Por ejemplo: una regla ingress con prioridad más alta en ciertos puertos y protocolos destinada a todos los objetivos anula una regla definida de manera similar para los mismos puertos y protocolos destinada a objetivos específicos.

  • La regla de prioridad más alta aplicable a una definición de puerto y protocolo determinada tiene prioridad, incluso cuando la definición del puerto y el protocolo son más generales. Por ejemplo: una regla ingress de prioridad más alta que permite el tráfico a todos los protocolos y puertos destinados a objetivos específicos anula una regla ingress de prioridad más baja rechazando al puerto TCP 22 para los mismos objetivos.

  • Una regla con una acción deny anula otra regla con una acción allow solo si las dos reglas tienen la misma prioridad. Si usas prioridades relativas, es posible compilar reglas allow que anulan reglas deny, y viceversa.

  • Las reglas con la misma prioridad y la misma acción tienen el mismo resultado. Sin embargo, la regla que se usa durante la evaluación es indefinida. En general, no importa qué regla se utiliza, excepto cuando habilitas el registro de regla de firewall. Si deseas que tus registros muestren que las reglas de firewall se evalúan en un orden coherente y bien definido, asígnales prioridades únicas. Para obtener más información sobre el registro, consulta Descripción general del registro de reglas de firewall.

Considera el siguiente ejemplo, en el que existen dos reglas de firewall:

  • Una regla ingress de orígenes 0.0.0.0/0 (en cualquier lugar) aplicable a todos los objetivos, todos los protocolos y todos los puertos, que tiene una acción deny y una prioridad de 1000.

  • Una regla ingress de orígenes 0.0.0.0/0 (en cualquier lugar) aplicable a objetivos específicos con la etiqueta webserver, para el tráfico en TCP 80, con una acción allow.

La prioridad de la segunda regla determina si el tráfico de TCP en el puerto 80 se permite para los objetivos de webserver:

  • Si la prioridad de la segunda regla se establece como un número mayor que 1000, tendrá una prioridad más baja, por lo que se aplicará la primera regla que rechaza todo el tráfico.

  • Si la prioridad de la segunda regla se establece como 1000, las dos reglas tendrán prioridades idénticas, por lo que se aplicará la primera regla que rechaza todo el tráfico.

  • Si la prioridad de la segunda regla se establece como un número menor que 1000, tendrá una prioridad más alta, por lo que permitirá el tráfico de TCP 80 para los objetivos de webserver. A falta de otras reglas, la primera regla aún rechazaría otros tipos de tráfico a los objetivos de webserver, y también rechazaría todo el tráfico, incluido el TCP 80, a instancias sin la etiqueta de webserver.

El ejemplo anterior demuestra cómo puedes usar prioridades para crear reglas de allow selectivas y reglas de deny globales a fin de implementar una práctica recomendada de seguridad de menor privilegio.

Dirección del tráfico

La dirección de una regla de firewall puede ser ingress o egress. La dirección siempre se define desde la perspectiva del objetivo.

  • La dirección ingress describe el tráfico que se envía desde un origen a un objetivo. Las reglas de entrada se aplican a los paquetes para nuevas sesiones en las que el destino del paquete es el objetivo.

  • La dirección egress describe el tráfico enviado desde un objetivo a un destino. Las reglas de salida aplican a paquetes para nuevas sesiones en las que el origen del paquete es el objetivo.

  • Si no especificas una dirección, GCP utiliza ingress.

Considera un ejemplo de conexión entre dos VM en la misma red. El tráfico desde la VM1 a la VM2 se puede controlar con cualquiera de estas reglas de firewall.

  • Una regla de ingress con un objetivo de la VM2 y un origen de la VM1

  • Una regla de egress con un objetivo de la VM1 y un destino de la VM2

Acción en caso de coincidencia

El componente de acción de una regla de firewall determina si permite o bloquea el tráfico, lo que está sujeto a otros componentes de la regla:

  • Una acción allow permite conexiones que coinciden con otros componentes específicos.

  • Una acción deny bloquea conexiones que coinciden con otros componentes específicos.

Aplicación

Puedes cambiar si una regla de firewall es o no es aplicada si estableces su estado en habilitada o inhabilitada. Inhabilitar una regla es útil para solucionar problemas o brindar acceso temporario a las instancias. Es mucho más fácil inhabilitar una regla, probarla y luego volver a habilitarla, que borrarla y volver a crearla.

A menos que lo especifiques de otra manera, todas las reglas de firewall se habilitan cuando se crean. También puedes elegir crear una regla en un estado inhabilitado.

El estado de aplicación para reglas de firewall se puede modificar de habilitado a inhabilitado y viceversa mediante una actualización de la regla.

Considera inhabilitar una regla de firewall en las siguientes situaciones:

  • Para solucionar problemas: si no estás seguro de si una regla de firewall está bloqueando o permitiendo el tráfico, inhabilítala temporalmente para determinar si el tráfico está permitido o bloqueado. Esto es útil para solucionar problemas con relación al efecto de una regla junto con otras.
  • Para mantenimiento: inhabilitar reglas de firewall puede hacer el mantenimiento periódico más simple. Imagina que tienes una regla de firewall que bloquea el SSH entrante a los objetivos (por ejemplo: instancias por etiqueta de objetivo) y que esa regla generalmente está habilitada. Cuando necesites realizar un mantenimiento, puedes inhabilitar la regla. Después de terminar, habilita la regla nuevamente.

Objetivo

Para una regla de entrada (entrante), el parámetro de objetivo designa las VM de destino, incluidos los clústeres de GKE y las instancias de App Engine Flex. Para una regla de salida (saliente), el objetivo designa las instancias, los clústeres y las VM de origen. Por lo tanto, el parámetro de objetivo siempre se usa para designar las VM de GCP, pero si un objetivo es un destino de tráfico o un origen de tráfico depende de la dirección de la regla.

Para especificar un objetivo, debes usar exactamente una de las opciones a continuación:

  • Todas las instancias en la red: la regla de firewall aplica a todas las VM en la red.

  • Instancias por etiqueta de objetivo: la regla de firewall aplica solo a las VM con una etiqueta de red que coincida.

  • Instancias por cuenta de servicio de objetivo: la regla de firewall aplica solo a las VM que usan una cuenta de servicio específica.

Independientemente de cómo especificas un objetivo, la regla de firewall aplica a sus direcciones IP (del alias) tanto principales como secundarias. Los objetivos para reglas de entrada cubren el tráfico enviado hacia direcciones IP principales o secundarias en las instancias. Los objetivos para reglas de salida cubren el tráfico enviado desde direcciones IP principales o secundarias en las instancias. Consulta Cómo filtrar por cuenta de servicio frente a etiqueta de red para obtener detalles acerca de los beneficios y limitaciones de cada método de alcance.

Origen o destino

Puedes especificar un origen o un destino, pero no ambos, según la dirección del firewall que crees:

  • En las reglas de entrada (entrantes), el parámetro de objetivo especifica las VM de destino para el tráfico; no puedes usar el parámetro de destino. Para especificar el origen, utiliza el parámetro de origen.

  • En las reglas de salida (salientes), el parámetro de objetivo especifica las VM de origen para el tráfico; no puedes usar el parámetro de origen. Para especificar el destino, utiliza el parámetro de destino.

Orígenes

El parámetro de origen solo es aplicable a reglas de entrada. Debe ser exactamente una de las opciones a continuación:

  • Rangos de IP de origen: puedes especificar rangos de direcciones IP como orígenes para paquetes. Los rangos pueden incluir direcciones dentro de tu red de VPC y las que están fuera de ella. Los rangos de IP de origen se pueden usar para definir orígenes tanto dentro como fuera de GCP.

  • Etiquetas de origen: puedes definir el origen para paquetes como la dirección IP interna principal de la interfaz de red de otras VM en la misma red de VPC, si identificas aquellas VM de origen mediante una etiqueta de red que coincida. Las etiquetas de origen aplican solo a otras VM de GCP en tu red. Consulta Cuotas y límites de VPC para ver la cantidad máxima de etiquetas de origen que puedes aplicar.

  • Cuentas de servicio de origen: puedes definir el origen para paquetes como la dirección IP interna principal de la interfaz de red de otras VM en la misma red de VPC, si identificas aquellas VM de origen mediante la cuenta de servicio que usan. Las cuentas de servicio de origen aplican solo a otras VM de GCP en tu red.

  • Se puede usar una combinación de rangos de IP de origen y etiquetas de origen.

  • Se puede usar una combinación de rangos de IP de origen y cuentas de servicio de origen.

  • Si se omiten todos los rangos de IP de origen, etiquetas de origen y cuentas de servicio de origen, GCP define el origen como cualquier dirección IP (0.0.0.0/0).

Destinos

El parámetro de destino solo es aplicable a reglas de salida. El parámetro de destino solo acepta rangos de direcciones IP. Los rangos pueden incluir direcciones dentro de tu red de VPC y las que están fuera de ella.

Si no especificas un rango de destino, GCP define que el destino sean todas las direcciones IP (0.0.0.0/0).

Protocolos y puertos

Para limitar el alcance de una regla de firewall, especifica protocolos o protocolos y puertos. Puedes especificar un protocolo o una combinación de protocolos y sus puertos. Si omites ambos protocolos y puertos, la regla de firewall es aplicable a todo el tráfico en cualquier protocolo y cualquier puerto.

Para que una regla de firewall sea específica, primero debes especificar un protocolo. Si el protocolo admite puertos, puedes optar por especificar un número o un rango de puerto. Sin embargo, no todos los protocolos admiten puertos. Por ejemplo: existen puertos para TCP y UDP, pero no es el caso de ICMP (ICMP tiene tipos de ICMP diferentes, pero no son puertos).

Puedes especificar un protocolo con su nombre (tcp, udp, icmp, esp, ah, sctp, ipip) o su número decimal de protocolo de IP.

Las reglas de firewall de GCP usan información del puerto para hacer referencia al puerto de destino de un paquete, y no su puerto de origen:

  • Para las reglas de firewall de entrada (entrantes), los puertos de destino son puertos en sistemas identificados por el parámetro de objetivo de la regla (en las reglas de entrada, el parámetro de objetivo especifica las VM de destino para el tráfico).

  • Para las reglas de firewall de salida (salientes), los puertos de destino representan puertos en los sistemas identificados por el parámetro de destino de la regla.

La tabla a continuación resume las combinaciones de especificación de puerto y protocolo válidos para las reglas de firewall de GCP.

Especificación Ejemplo Explicación
Sin protocolo ni puerto Si no especificas un protocolo, la regla de firewall aplica a todos los protocolos y a sus puertos aplicables.
Protocolo tcp Si especificas un protocolo sin información de puerto, la regla de firewall aplica a ese protocolo y a todos sus puertos aplicables.
Protocolo y puerto único tcp:80 Si especificas un protocolo y un puerto único, la regla de firewall aplica solo a este puerto del protocolo.
Protocolo y rango de puerto tcp:20-22 Si especificas un protocolo y un rango de puerto, la regla de firewall aplica solo al rango de puerto para el protocolo.
Combinaciones icmp,tcp:80,tcp:443,udp:67-69 Si especificas una lista de protocolos o protocolos y puertos delimitada por comas, la regla de firewall se aplica a cada uno de los protocolos y puertos especificados. Para obtener más información, consulta cómo crear reglas de firewall.

Cómo filtrar origen y objetivo por cuenta de servicio

Puedes usar cuentas de servicio para crear reglas de firewall que son de tipo más específico:

  • Para reglas de entrada y salida, puedes usar cuentas de servicio a fin de especificar objetivos.

  • Para reglas de entrada, puedes especificar el origen de paquetes entrantes como la dirección IP interna principal de cualquier VM en la red donde la VM usa una cuenta de servicio particular.

La cuenta de servicio debe crearse antes de que crees una regla de firewall que se basará en ella.

Las reglas de firewall que usan cuentas de servicio para identificar instancias aplican a instancias nuevas que se crearon y asociaron con la cuenta de servicio y, también, a instancias existentes si cambias sus cuentas de servicio. Si deseas cambiar la cuenta de servicio asociada con una instancia, debes pararla y reiniciarla. Puedes asociar cuentas de servicio con instancias individuales y con plantillas de instancias que usan los grupos de instancias administrados.

Cómo filtrar por cuenta de servicio frente a etiqueta de red

En esta sección se destacan los puntos clave a tener en cuenta cuando decides si debes usar cuentas de servicio o etiquetas de red para definir objetivos y orígenes (en las reglas de entrada).

Si necesitas un control estricto sobre cómo las reglas de firewall se aplican a las VM, usa las cuentas de servicio de objetivo y las cuentas de servicio de origen en lugar de etiquetas de objetivo y etiquetas de origen:

  • Una etiqueta de red es un atributo arbitrario. Una o más etiquetas de red pueden estar asociadas con una instancia por cualquier miembro de IAM que tenga permiso para editarla. Los miembros de IAM con la función de Administrador de instancias de Compute Engine para un proyecto tienen este permiso. Los miembros de IAM que pueden editar una instancia pueden cambiar sus etiquetas de red, lo que podría cambiar el conjunto de reglas de firewall aplicables para esa instancia.

  • Una cuenta de servicio representa una identidad asociada con una instancia. Solo se puede asociar una cuenta de servicio con una instancia. Para controlar el acceso a una cuenta de servicio, controla el otorgamiento de la función de Usuario de cuenta de servicio a otros miembros de IAM. Si un miembro de IAM desea iniciar una instancia con una cuenta de servicio, ese miembro debe tener la función de Usuario de cuenta de servicio al menos en esa cuenta de servicio, así como los permisos adecuados para crear instancias (por ejemplo: tener la función de Administrador de instancia de Compute Engine en el proyecto).

No puedes mezclar y combinar cuentas de servicio y etiquetas de red en ninguna regla de firewall:

  • No puedes usar cuentas de servicio de objetivo junto con etiquetas de objetivo en ninguna regla de firewall (de entrada o de salida).

  • A continuación, se muestran orígenes no válidos para reglas de firewall de entrada si especificas objetivos por etiqueta de objetivo o cuenta de servicio de objetivo:

Objetivos Orígenes no válidos
Etiquetas de objetivo Cuentas de servicio de origen
Combinación de rangos de IP de origen y cuentas de servicio de origen
Cuenta de servicio de objetivo Etiquetas de origen
Combinación de rangos de IP de origen y etiquetas de origen

Estas son las consideraciones operativas para cuentas de servicio y etiquetas de red:

  • Cambiar una cuenta de servicio para una instancia requiere pararla y reiniciarla. Se pueden agregar o quitar etiquetas mientras la instancia está en ejecución.

  • Solo se puede especificar una cuenta de servicio de objetivo por regla de firewall. Se puede especificar más de una etiqueta de objetivo en una sola regla de firewall.

  • Solo se puede especificar una cuenta de servicio de origen por regla de firewall de entrada. Se puede especificar más de una etiqueta de origen en una sola regla de firewall.

  • Si identificas instancias por etiqueta de red, la regla de firewall se aplica a la dirección IP interna principal de la instancia.

Casos prácticos

Los casos prácticos a continuación demuestran cómo funcionan las reglas de firewall. Ten en cuenta que todas las reglas de firewall están habilitadas en estos ejemplos.

Casos de entrada

Las reglas de firewall de entrada controlan las conexiones entrantes de un origen a instancias de objetivo en tu red de VPC. El origen para una regla de entrada se puede definir como una de las opciones a continuación:

  • Un rango de direcciones IPv4; la predeterminada es cualquiera (0.0.0.0/0)
  • Otras instancias en tu red de VPC identificadas por cuenta de servicio
  • Otras instancias en tu red de VPC identificadas por etiquetas de red

El origen predeterminado es cualquier dirección IP (0.0.0.0/0). Si deseas controlar las conexiones entrantes para orígenes fuera de tu red de VPC, incluidos otros orígenes en Internet, usa un rango de direcciones IPv4 en formato de CIDR.

Las reglas de entrada con una acción allow permiten el tráfico entrante según los otros componentes de la regla. Además de especificar el origen y el objetivo para la regla, puedes limitar la regla y que de ese modo aplique a protocolos y puertos específicos. Del mismo modo, las reglas de entrada con una acción deny se pueden usar para proteger instancias mediante el bloqueo del tráfico entrante según los componentes de regla de firewall.

Ejemplos de entrada

En el diagrama a continuación se muestran algunos ejemplos de conexiones de entrada que se pueden controlar con reglas de firewall. Los ejemplos usan el parámetro de objetivo en la asignación de reglas para aplicar reglas a instancias específicas.

Ejemplo de reglas de firewall de entrada (haz clic para ampliar)
Ejemplo de reglas de firewall de entrada (haz clic para ampliar)
  • Una regla de entrada con prioridad 1000 es aplicable a la VM 1. Esta regla permite el tráfico de TCP entrante desde cualquier origen (0.0.0.0/0). Se permite el tráfico de TCP desde otras instancias en la red de VPC. Esto está sujeto a reglas de salida aplicables para esas otras instancias. La VM 4 se puede comunicar con la VM 1 a través de TCP, porque la VM 4 no tiene una regla de salida que bloquea esa comunicación (solo es aplicable la regla de salida de permiso implícita). Debido a que la VM 1 tiene una dirección IP externa, esta regla también permite el tráfico de TCP entrante desde hosts externos en Internet.

  • La VM 2 no tiene regla de firewall de entrada específica, por lo que la regla de entrada de denegación implícita bloquea todo el tráfico entrante. Se bloquean conexiones desde otras instancias en la red, independientemente de las reglas de salida para las otras instancias. Debido a que la VM 2 tiene una dirección IP externa, existe una ruta de acceso a esta desde hosts externos en Internet, pero esta regla de denegación implícita también bloquea el tráfico entrante externo.

  • Una regla de entrada con prioridad 1000 es aplicable a la VM 3. Esta regla permite el tráfico de TCP desde instancias en la red con la etiqueta de red client, como la VM 4. Se permite el tráfico de TCP desde la VM 4 a la VM 3, ya que la VM 4 no tiene regla de salida que bloquee esa comunicación (solo es aplicable la regla de salida de permiso implícita). Debido a que la VM 3 no tiene una IP externa, no existe una ruta de acceso a esta desde hosts externos en Internet.

Casos de salida

Las reglas de firewall de salida controlan conexiones salientes desde instancias de objetivo en tu red de VPC. Las reglas de salida con una acción allow permiten el tráfico desde instancias según los otros componentes de la regla. Por ejemplo: puedes permitir el tráfico saliente a destinos específicos, como un rango de direcciones IPv4, en protocolos y puertos que especificas. Del mismo modo, las reglas de salida con una acción deny bloquean el tráfico según los otros componentes de la regla.

Cada regla de egress necesita un destino. El destino predeterminado es cualquier dirección IP (0.0.0.0/0), pero puedes crear un destino más específico si usas un rango de direcciones IPv4 en formato de CIDR. Cuando especificas un rango de direcciones IPv4, no puedes controlar el tráfico a instancias en tu red y a destinos de tu red, incluidos destinos en Internet.

Ejemplos de salida

En el diagrama a continuación se muestran algunos ejemplos de conexiones de salida que se pueden controlar con reglas de firewall. Los ejemplos usan el parámetro de objetivo en la asignación de reglas para aplicar reglas a instancias específicas.

Ejemplo de reglas de firewall de salida (haz clic para ampliar)
Ejemplo de reglas de firewall de salida (haz clic para ampliar)
  • La VM 1 no tiene regla de firewall de salida específica, por lo que la regla de salida de permiso implícita le permite enviar el tráfico a cualquier destino. Se permiten conexiones a otras instancias en la red de VPC. Esto está sujeto a las reglas de entrada aplicables para esas otras instancias. La VM 1 puede enviar el tráfico a la VM 4 porque la VM 4 tiene una regla de entrada que permite el tráfico entrante desde cualquier rango de direcciones IP. Debido a que la VM 1 tiene una dirección IP externa, puede enviar el tráfico a hosts externos en Internet. Se permiten respuestas entrantes al tráfico enviado por la VM 1 debido a que las reglas de firewall son con estado.

  • Una regla de salida con prioridad 1000 es aplicable a la VM 2. Esta regla rechaza todo el tráfico saliente hacia todos los destinos (0.0.0.0/0). Se bloquea el tráfico saliente a otras instancias en la VPC, independientemente de las reglas de entrada que se aplican a otras instancias. Aunque la VM 2 tiene una dirección IP externa, esta regla de firewall bloquea el tráfico saliente hacia hosts externos en Internet.

  • Una regla de salida con prioridad 1000 es aplicable a la VM 3. Esta regla bloquea el tráfico de TCP saliente hacia cualquier destino en el rango de IP 192.168.1.0/24. Aunque las reglas de entrada para la VM 4 permiten todo el tráfico entrante, la VM 3 no puede enviar el tráfico de TCP a la VM 4. Sin embargo, la VM 3 puede enviar el tráfico de UDP a la VM 4 porque la regla de salida solo aplica al protocolo de TCP. Además, la VM 3 puede enviar cualquier tráfico a otras instancias en la red de VPC fuera del rango de IP 192.168.1.0/24 siempre que esas otras instancias tengan reglas de entrada que permitan ese tráfico. Debido a que no tiene una dirección IP externa, no tiene ruta de acceso para enviar el tráfico fuera de la red de VPC.

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión: