Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Usa reglas y políticas de firewall de red global

En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Descripción general de las políticas de firewall de red globales.

Tareas de políticas de firewall

Crea una política de firewall de red global

Puedes crear una política para cualquier red de VPC de tu proyecto. Después de crear una política, puedes asociarla con cualquier red de VPC de tu proyecto. Una vez asociadas, las reglas de la política se activan para las VMs que están por debajo de la red asociada.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En la lista de selección de proyecto, selecciona el proyecto dentro de tu organización.

  3. Haz clic en Crear política de firewall de red.

  4. Asigna un nombre a la política.

  5. En Alcance de la implementación, selecciona Global.

  6. A fin de crear reglas para tu política, haz clic en Continuar y, luego, en Agregar regla.

    Para obtener más información, consulta la sección sobre cómo crear reglas de firewall.

  7. Si deseas asociar la política a una red, haz clic en Continuar y, luego, en Asociar.

    Para obtener detalles, consulta la sección sobre cómo asociar una política con una red de VPC.

  8. Haga clic en Crear.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION --global

Reemplaza lo siguiente:

  • NETWORK_FIREWALL_POLICY_NAME: Es un nombre para la política.
  • DESCRIPTION: Es una descripción de la política.

Asocia una política con la red

Asocia una política con una red a fin de activar las reglas de la política para cualquier VM dentro de esa red.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociada con.

  5. Haz clic en Associate.

  6. Selecciona las redes dentro del proyecto.

  7. Haz clic en Associate.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Reemplaza lo siguiente:

  • POLICY_NAME: Es el nombre corto o el nombre generado por el sistema de la política.
  • NETWORK_NAME: Es el nombre de tu red.
  • ASSOCIATION_NAME: Es un nombre opcional para la asociación; si no se especifica, el nombre se configura como “organización ORG_ID” o “carpeta FOLDER_ID”.

Describe una política de firewall de red global

Puedes ver todos los detalles de una política, incluidas todas sus reglas de firewall. Además, puedes ver muchos atributos dentro de todas las reglas en la política. Estos atributos se tienen en cuenta para el límite de cada límite de políticas.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política de firewall de la red global.

  3. Haz clic en tu política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --global

Actualiza la descripción de la política de firewall de red global

El único campo de una política que se puede actualizar es el campo Descripción.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en Editar.

  4. En el campo Descripción, cambia el texto.

  5. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Enumera las políticas de firewall de red globales

Puedes ver una lista de las políticas disponibles en el proyecto.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

    En la sección Políticas de firewall de red, se muestran las políticas disponibles en tu proyecto.

gcloud

gcloud compute network-firewall-policies list --global

Borra una política de firewall de red global

Debes borrar todas las asociaciones en una política de firewall de red global para poder borrarla.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en la política que deseas borrar.

  4. Haz clic en la pestaña Asociada con.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Quitar.

  7. Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

  1. Enumera todas las redes asociadas con una política de firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global
    
  2. Borra asociaciones individuales. Para quitar la asociación, debes tener el rol compute.SecurityAdmin en la política de firewall de red global y el rol compute.networkAdmin en la red de VPC asociada.

    gcloud compute network-firewall-policies associations delete \
                 --name ASSOCIATION_NAME \
                 --firewall-policy POLICY_NAME \
                 --global-firewall-policy
    
  3. Borra la política:

    gcloud compute network-firewall-policies delete POLICY_NAME
    --global
    

Borra una asociación

Para detener la aplicación de la política de firewall en una red, borra la asociación.

Sin embargo, si quieres intercambiar una política de firewall por otra, no es necesario que borres primero la asociación existente. Si se borra esa asociación, se dejaría un período en el que no se aplicará ninguna política. En su lugar, reemplaza la política existente cuando asocias una política nueva.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En el menú desplegable del selector de proyectos, selecciona tu proyecto o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona la asociación que quieres borrar.

  6. Haz clic en Quitar.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tareas de reglas de políticas de firewall

Crea reglas de firewall de red globales

Las reglas de las políticas de firewall de la red globales deben crearse en una política de firewall de la red global. Las reglas no se activarán hasta que asocies la política que contiene esas reglas con una red de VPC.

Cada regla de política de firewall de red global puede incluir rangos de IPv4 o IPv6, pero no ambos.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en el nombre de la política.

  4. En Alcance de la implementación, selecciona Global.

  5. Haga clic en Agregar regla.

  6. Completa los campos de la regla:

    1. En el campo Prioridad, configura el número de pedido de la regla, en el que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como 100, 200 o 300).
    2. Establece la recopilación de Registros como Activada o Desactivada.
    3. Para la Dirección del tráfico, elige entrada o salida.
    4. En Acción en caso de coincidencia, especifica si se permiten las conexiones que coinciden con la regla (Permitir), si se rechazan (Rechazar) o si la evaluación de la conexión se pasa a la siguiente regla de firewall inferior en la jerarquía (Pasar a la siguiente).
    5. Para la Dirección del tráfico, elige entrada o salida.
    6. Especifica los Objetivos de la regla.
      • Si quieres que la regla se aplique a todas las instancias de la red, elige All instances in the network.
      • Si quieres que la regla se aplique a instancias seleccionadas por etiquetas, elige Etiquetas seguras. Haz clic en Agregar etiquetas y, luego, escribe los valores de las etiquetas a los que se debe aplicar la regla en el campo Valores de etiquetas.
      • Si deseas que la regla se aplique a instancias seleccionadas por la cuenta de servicio asociada, selecciona Service account, indica si la cuenta de servicio está en el proyecto actual o en otro en Permiso de la cuenta de servicio, y elige o escribe el nombre de la cuenta de servicio en el campo Cuenta de servicio de destino.
    7. Para una regla de entrada, especifica el Filtro de origen:
      • Elige rangos de IP. Para definir el origen del tráfico entrante por rangos de direcciones IP, escribe los bloques CIDR en el campo Rangos de IP de origen. Usa 0.0.0.0/0 para un origen de cualquier red.
      • Para limitar las fuentes por etiqueta de red, elige Etiquetas de origen y, luego, ingresa las etiquetas de red en el campo Etiquetas de origen. Si quieres conocer el límite en la cantidad de etiquetas de origen, consulta Límites por red. Solo es posible filtrar por etiquetas de origen si el objetivo no está especificado por cuenta de servicio. Para obtener más información, consulta la comparación entre el filtrado por cuenta de servicio y por etiqueta de red.
      • Para restringir la fuente por cuenta de servicio, elige Service account, indica si la cuenta de servicio se encuentra en el proyecto actual o en otro en el campo Alcance de la cuenta de servicio, y elige o escribe el nombre de la cuenta de servicio en el campo Cuenta de servicio fuente. Solo es posible filtrar por cuentas de servicio de origen si el objetivo no está especificado por etiqueta de red. Para obtener más información, consulta la comparación entre el filtrado por cuenta de servicio y por etiqueta de red.
      • Especifica un Segundo filtro de fuente si así lo necesitas. Los filtros de origen secundarios no pueden usar los mismos criterios de filtrado que los principales. Los rangos de IP de origen se pueden usar junto con las etiquetas de origen o la cuenta de servicio de origen. El conjunto de orígenes efectivo consta de la unión entre las direcciones IP del rango de origen y las instancias identificadas por las etiquetas de red o las cuentas de servicio. Es decir, si el rango de IP de origen, o las etiquetas de origen (o las cuentas de servicio de origen) coinciden con los criterios del filtro, el origen se incluye en el conjunto de orígenes efectivo. Las etiquetas de origen y la cuenta de servicio de origen no se pueden usar juntas.
    8. Para una regla de salida, especifica el Filtro de destino:
      • Elige IP ranges y escribe los bloques CIDR en el campo Rangos de IP de destino para definir el destino del tráfico saliente por rangos de direcciones IP. Usa 0.0.0.0/0 para incluir todos los destinos posibles.
    9. Opcional: Si creas una regla de Entrada, especifica los FQDN de origen a los que se aplica esta regla. Si estás creando una regla de Salida, selecciona los FQDN de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombres de dominio, consulta Objetos de nombres de dominio.
    10. Opcional: Si creas una regla de Entrada, selecciona las Ubicaciones geográficas de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las Ubicaciones geográficas de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de ubicación geográfica, consulta Objetos de ubicación geográfica.
    11. Opcional: Si creas una regla de Entrada, selecciona las listas de Inteligencia de amenazas de red de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las listas de Inteligencia de amenazas de red de destino a las que se aplica esta regla. Si deseas obtener más información sobre Inteligencia de amenazas, consulta Inteligencia de amenazas para las reglas de políticas de firewall.
    12. En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica.
    13. Haga clic en Crear.
  7. Haz clic en Agregar regla para agregar otra regla.

  8. Para asociar la política con una red, haz clic en Continuar > Asociar o en Crear para crear la política.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --global-firewall-policy

Reemplaza lo siguiente:

  • PRIORITY: Es el orden de evaluación numérico de la regla.

    Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como 100, 200 o 300).

  • ACTION: Es una de las acciones siguientes:

    • allow: Permite las conexiones que coinciden con la regla.
    • deny: Rechaza las conexiones que coinciden con la regla.
    • goto_next: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.
  • POLICY_NAME: Es el nombre de la política de firewall de red global.

  • TARGET_SECURE_TAG: Es una lista de etiquetas seguras separadas por comas para definir objetivos.

  • SERVICE_ACCOUNT: Es una lista de cuentas de servicio separadas por comas para definir objetivos.

  • DIRECTION: Indica si la regla es de ingress o egress; el valor predeterminado es ingress.

    • Incluye --src-ip-ranges a fin de especificar rangos de direcciones IP para la fuente de tráfico.
    • Incluye --dest-ip-ranges a fin de especificar rangos de direcciones IP para el destino del tráfico.

    Para obtener más información, consulta los objetivos, la fuente y el destino.

  • IP_RANGES: Es una lista separada por comas de rangos de direcciones IP con formato CIDR, ya sea todos los rangos de direcciones IPv4 o todos los rangos de direcciones IPv6, por ejemplo:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: una lista de etiquetas separadas por comas.

  • COUNTRY_CODE: Es una lista separada por comas de códigos de país de dos letras.

    • Para la dirección de entrada, especifica los códigos de país en el parámetro --src-region-code. No puedes usar el parámetro --src-region-code para la dirección de salida.
    • Para la dirección de salida, los códigos de país se especifican en el parámetro --dest-region-code. No puedes usar el parámetro --dest-region-code para la dirección de entrada.
  • LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas.

    • Para la dirección de entrada, especifica las listas de fuentes de Threat Intelligence en el parámetro --src-threat-intelligence; no puedes usar el parámetro --src-threat-intelligence para la dirección de salida.
    • Para la dirección de salida, especifica las listas de Threat Intelligence de destino en el parámetro --dest-threat-intelligence; no puedes usar el parámetro --dest-threat-intelligence para la dirección de entrada.
  • ADDR_GRP_URL: Es un identificador de URL único para el grupo de direcciones.

    • Para la dirección de entrada, especifica los grupos de direcciones de origen en el parámetro --src-address-groups; no puedes usar el parámetro --src-address-groups para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en el parámetro --dest-address-groups; no puedes usar el parámetro --dest-address-groups para la dirección de entrada.
  • DOMAIN_NAME: Es una lista de nombres de dominio separados por comas en el formato descrito en Formato de nombre de dominio.

    • Para la dirección de entrada, especifica los nombres de dominio de origen en el parámetro --src-fqdns; no puedes usar el parámetro --src-fqdns para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en el parámetro --dest-fqdns; no puedes usar el parámetro --dest-fqdns para la dirección de entrada.
  • PROTOCOL_PORT: Es una lista separada por comas de nombres o números de protocolo (tcp,17), protocolos y puertos de destino (tcp:80) o protocolos y rangos de puertos de destino (tcp:5000-6000).

    No se puede especificar un puerto ni un rango de puertos sin un protocolo. Para ICMP, no puedes especificar un puerto ni un rango de puertos, por ejemplo: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Para obtener más información, consulta Protocolos y puertos.

  • --enable-logging y --no-enable-logging: Habilita o inhabilita el registro de reglas de firewall para la regla determinada

  • --disabled: Indica que la regla de firewall, aunque existe, no se debe considerar cuando se procesan las conexiones; quitar esta marca habilita la regla, o puedes especificar --no-disabled.

Actualiza una regla

Para obtener descripciones de campos, consulta la sección sobre cómo crear reglas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

  5. Haz clic en Editar.

  6. Modifica los campos que deseas cambiar.

  7. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Describe una regla

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad de la regla que quieres ver; debido a que cada regla debe tener una prioridad única, esta configuración identifica de forma exclusiva a una regla.
  • POLICY_NAME: Es el nombre de la política que contiene la regla.

Borra una regla de una política

Si borras una regla de una política, se quita la regla de todas las VM que la heredan.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieres borrar.

  5. Haz clic en Borrar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad de la regla que deseas borrar de la política.
  • POLICY_NAME: Es la política que contiene la regla.

Clona reglas de una política a otra

Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la política.

  3. Haz clic en la política de la que deseas copiar las reglas.

  4. Haz clic en Clonar en la parte superior de la pantalla.

  5. Proporciona el nombre de una política de destino.

  6. Si deseas asociar la política nueva de inmediato, haz clic en Continuar > Asociar.

  7. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Reemplaza lo siguiente:

  • POLICY_NAME: Es la política de destino en la que deseas reemplazar las reglas con las reglas clonadas.
  • SOURCE_POLICY: Es la URL del recurso para la política de origen desde la que deseas clonar las reglas.

Obtén reglas de firewall efectivas para una red

Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y la política de firewall de red global que se aplica a una red de VPC especificada.

Console

  1. En Google Cloud Console, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la red para la que deseas ver las reglas de la política de firewall.

  3. Haz clic en Políticas de firewall.

  4. Expande cada política de firewall para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Reemplaza lo siguiente:

  • NETWORK_NAME: Es la red para la que deseas ver las reglas efectivas.

También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a la página Firewall

  2. Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.

  3. Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.

Obtén reglas de firewall efectivas para una interfaz de VM

Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a una interfaz de VM de Compute Engine especificada.

Console

  1. En Google Cloud Console, ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la VM.

  3. Haz clic en la VM.

  4. En Interfaces de red, haz clic en la interfaz.

  5. Visualiza las reglas de firewall vigentes en Detalles de firewall y rutas.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

Reemplaza lo siguiente:

  • INSTANCE_NAME: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0).
  • INTERFACE: Es la interfaz de la VM para la que deseas ver las reglas efectivas el valor predeterminado es nic0.
  • ZONE: Es la zona de la VM; esta línea es opcional si la zona deseada ya está configurada como predeterminada.