Utilizar reglas y políticas de cortafuegos jerárquicas

En esta página se da por hecho que conoces los conceptos descritos en el artículo Información general sobre las políticas de cortafuegos jerárquicas. Para ver ejemplos de implementaciones de políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Limitaciones

  • Las reglas de las políticas de cortafuegos jerárquicas no admiten el uso de etiquetas de red para definir destinos. En su lugar, debes usar una red de nube privada virtual (VPC) de destino o una cuenta de servicio de destino.
  • Las políticas de cortafuegos se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de cortafuegos de VPC normales se admiten en las redes de VPC.
  • Solo se puede asociar una política de cortafuegos a un recurso (carpeta u organización), aunque las instancias de máquina virtual (VM) de una carpeta pueden heredar reglas de toda la jerarquía de recursos que haya por encima de la VM.
  • La función Registro de reglas de cortafuegos está disponible para las reglas allow y deny, pero no para las reglas goto_next.
  • El protocolo de salto a salto de IPv6 no se admite en las reglas de cortafuegos.

Tareas de políticas de cortafuegos

Crear una política de cortafuegos

Puedes crear una política en cualquier recurso (organización o carpeta) de tu jerarquía de organización. Una vez que hayas creado una política, podrás asociarla a cualquier recurso de tu organización. Una vez asociada, las reglas de la política se activarán para las VMs del recurso asociado en la jerarquía.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el ID de tu organización o una carpeta de tu organización.

  3. Haz clic en Crear política de cortafuegos.

  4. En el campo Nombre, introduce el nombre de la política.

  5. Si quieres crear reglas para tu política, haz clic en Continuar > Añadir regla.

    Para obtener más información, consulta el artículo Crear reglas de cortafuegos.

  6. Si quieres asociar la política a un recurso, haz clic en Continuar > Asociar política con recursos.

    Para obtener más información, consulta Asociar una política a la organización o a la carpeta.

  7. Haz clic en Crear.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Haz los cambios siguientes:

  • ORG_ID: el ID de tu organización

    Especifique este ID si va a crear la política a nivel de organización. Este ID solo indica dónde se encuentra la política, pero no asocia automáticamente la política con el recurso de la organización.

  • FOLDER_ID: el ID de una carpeta

    Especifique este ID si va a crear la política en una carpeta determinada. Este ID solo indica dónde se encuentra la política, pero no asocia automáticamente la política a esa carpeta.

  • SHORT_NAME: nombre de la política

    Una política creada con la CLI de Google Cloud tiene dos nombres: uno generado por el sistema y otro corto que proporcionas tú. Cuando uses la CLI de gcloud para actualizar una política, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando utilice la API para actualizar la política, deberá proporcionar el nombre generado por el sistema.

Crear reglas de cortafuegos

Las reglas de políticas de cortafuegos jerárquicas deben crearse en una política de cortafuegos jerárquica. Las reglas no estarán activas hasta que asocies la política que las contiene a un recurso.

Cada regla de política de cortafuegos jerárquica puede incluir intervalos IPv4 o IPv6, pero no ambos.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contiene tu política.

  3. Haz clic en el nombre de la política.

  4. Haz clic en Añadir regla.

  5. Rellena los campos de la regla:

    1. Prioridad: el orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Es recomendable asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 y 300).
    2. En Recogida de registros, selecciona Activado o Desactivado.
    3. En Dirección del tráfico, especifique si esta regla es de entrada o de salida.
    4. En Acción tras coincidencia, elija una de las siguientes opciones:
      1. Permitir: permite las conexiones que coincidan con la regla.
      2. Deny (Denegar): deniega las conexiones que coincidan con la regla.
      3. Ir al siguiente: pasa la evaluación de la conexión a la siguiente regla de cortafuegos inferior de la jerarquía.
      4. Pasar a la inspección de la capa 7: envía los paquetes al endpoint de firewall configurado para la inspección de la capa 7.
        • En la lista Grupo de perfiles de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
        • Para habilitar la inspección TLS de los paquetes, selecciona Habilitar inspección TLS. Para obtener más información sobre cómo se evalúan las reglas y las acciones correspondientes en cada interfaz de red de la máquina virtual, consulta Orden de evaluación de políticas y reglas.
    5. Opcional: Puede restringir la regla a determinadas redes especificándolas en el campo Redes de destino. Haz clic en AÑADIR RED y, a continuación, selecciona el proyecto y la red. Puede añadir varias redes de destino a una regla.
    6. Opcional: Puedes restringir la regla a las VMs que se ejecuten con acceso a determinadas cuentas de servicio especificando las cuentas en el campo Cuentas de servicio de destino.

    7. En el caso de una regla Ingress, especifique el filtro Source:

      • Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier fuente IPv6.

    8. En el caso de una regla Salida, especifique el Filtro de destino:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de destino, seleccione IPv6 y, a continuación, introduzca los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier destino IPv6.

    9. Opcional: Si vas a crear una regla de entrada, especifica los FQDNs de origen a los que se aplica esta regla. Si está creando una regla de salida, seleccione los FQDNs de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombre de dominio, consulta Objetos de FQDN.

    10. Opcional: Si vas a crear una regla de entrada, selecciona las geolocalizaciones de origen a las que se aplica esta regla. Si vas a crear una regla de salida, selecciona las geolocalizaciones de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de geolocalización, consulta Objetos de geolocalización.

    11. Opcional: Si vas a crear una regla de entrada, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones de políticas de cortafuegos.

    12. Opcional: Si vas a crear una regla de entrada, selecciona las listas de Inteligencia de amenazas de Google Cloud de origen a las que se aplica esta regla. Si va a crear una regla de salida, seleccione las listas de Inteligencia de amenazas de Google Cloud de destino a las que se aplica esta regla. Para obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.

    13. Opcional: En el caso de una regla Ingress, especifica los filtros Destination:

      • Para filtrar el tráfico entrante por intervalos de IPv4 de destino, selecciona IPv4 e introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de destino, selecciona Intervalos de IPv6 e introduce los bloques CIDR en el campo Intervalos de IPv6 de destino. Usa ::/0 para cualquier destino IPv6. Para obtener más información, consulta Destinos de las reglas de entrada.

    14. Opcional: En el caso de una regla Salida, especifica el filtro Origen:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IPs. Usa ::/0 para cualquier fuente IPv6. Para obtener más información, consulta Fuentes de reglas de salida.

    15. En Protocolos y puertos, especifique si la regla se aplica a todos los protocolos y puertos de destino o a qué protocolos y puertos de destino se aplica.

      Para especificar ICMP IPv4, usa icmp o el número de protocolo 1. Para especificar ICMP de IPv6, usa el número de protocolo 58. Para obtener más información sobre los protocolos, consulta Protocolos y puertos.

    16. Haz clic en Crear.

  6. Haz clic en Añadir regla para añadir otra regla.

  7. Haz clic en Continuar > Asociar política con recursos para asociar la política con recursos o haz clic en Crear para crear la política.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Haz los cambios siguientes:

  • PRIORITY: el orden de evaluación numérico de la regla

    Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Una buena práctica es asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 y 300).

  • ORG_ID: el ID de tu organización

  • POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política

  • DIRECTION: indica si la regla es INGRESS (valor predeterminado) o EGRESS.

    • Incluya --src-ip-ranges para especificar intervalos de IP de la fuente de tráfico.
    • Incluye --dest-ip-ranges para especificar intervalos de IP para el destino del tráfico.

    Para obtener más información, consulta los artículos sobre objetivos, fuentes y destinos.

  • SRC_NETWORK_TYPE: indica el tipo de tráfico de red de origen al que se aplica la regla de entrada. Puedes asignar a este argumento uno de los siguientes valores:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

  • SRC_VPC_NETWORK: lista separada por comas de redes de VPC

    Solo puedes usar --src-networks cuando --src-network-type se haya definido como VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica el tipo de tráfico de red de destino al que se aplica la regla de salida. Puedes asignar a este argumento uno de los siguientes valores:

    • INTERNET
    • NON_INTERNET

    Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

  • IP_RANGES: lista separada por comas de intervalos de IPs en formato CIDR. Pueden ser todos los intervalos IPv4 o todos los IPv6. Por ejemplo:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE: lista separada por comas de códigos de país de dos letras.

    • Para la dirección de entrada, especifique los códigos de país de origen en la marca --src-region-code. No puedes usar la marca --src-region-code para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Para la dirección de salida, especifique los códigos de país de destino en la marca --dest-region-code. No puede usar la marca --dest-region-code para la dirección de entrada.

  • LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas.

    • En el caso de la dirección de entrada, especifique las listas de Google Threat Intelligence de origen en la marca --src-threat-intelligence. No puedes usar la marca --src-threat-intelligence para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Para la dirección de salida, especifica las listas de Google Threat Intelligence de destino en la marca --dest-threat-intelligence. No puedes usar la marca --dest-threat-intelligence para la dirección de entrada.

  • ADDR_GRP_URL: un identificador de URL único del grupo de direcciones

    • Para la dirección de entrada, especifica los grupos de direcciones de origen en la marca --src-address-groups. No puedes usar la marca --src-address-groups para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-address-groups. No puedes usar la marca --dest-address-groups para la dirección de entrada.

  • DOMAIN_NAME: lista de nombres de dominio separados por comas con el formato descrito en Formato de nombre de dominio

    • Para la dirección de entrada, especifica los nombres de dominio de origen en la marca --src-fqdns. No puedes usar la marca --src-fqdns para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-fqdns. No puedes usar la marca --dest-fqdns para la dirección de entrada.

  • ACTION: una de las siguientes acciones:

    • allow: permite las conexiones que coincidan con la regla.
    • deny: deniega las conexiones que coincidan con la regla.
    • apply_security_profile_group: envía los paquetes de forma transparente al endpoint del cortafuegos configurado para la inspección de la capa 7.
    • goto_next: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.

    Para obtener más información sobre cómo se evalúan las reglas y las acciones correspondientes en cada interfaz de red de la máquina virtual, consulta Orden de evaluación de políticas y reglas.

  • SECURITY_PROFILE_GROUP: nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. Especifica este argumento solo cuando se selecciona la acción apply_security_profile_group.

  • --tls-inspect: inspecciona el tráfico de TLS mediante la política de inspección de TLS cuando se selecciona la acción apply_security_profile_group en la regla. De forma predeterminada, la inspección de TLS está inhabilitada. También puedes especificar --no-tls-inspect .

  • PROTOCOL_PORT: lista separada por comas de nombres o números de protocolos (tcp,17), protocolos y puertos de destino (tcp:80), o protocolos e intervalos de puertos de destino (tcp:5000-6000)

    No puedes especificar un puerto o un intervalo de puertos sin un protocolo. En el caso de ICMP, no puedes especificar un puerto ni un intervalo de puertos. Por ejemplo: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Para especificar ICMP IPv4, usa icmp o el número de protocolo 1. Para especificar ICMP de IPv6, usa el número de protocolo 58. Para obtener más información, consulta Protocolos y puertos.

  • NETWORKS: lista separada por comas de URLs de recursos de red de VPC con el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.

    Haz los cambios siguientes:

    • PROJECT_ID: el ID del proyecto que contiene la red de VPC
    • NETWORK_NAME: el nombre de la red. Si se omite, la regla se aplica a todas las redes de VPC del recurso.

    Para obtener más información, consulta Objetivos.

  • SERVICE_ACCOUNTS: lista de cuentas de servicio separadas por comas. La regla solo se aplica a las VMs que se ejecutan con acceso a la cuenta de servicio especificada.

    Para obtener más información, consulta Objetivos.

  • --enable-logging y --no-enable-logging: habilita o inhabilita el registro de reglas de cortafuegos de la regla en cuestión.

  • --disabled: indica que la regla de cortafuegos, aunque exista, no se debe tener en cuenta al procesar las conexiones. Si se omite esta marca, la regla se habilita. También puedes especificar --no-disabled.

Asociar una política a la organización o a la carpeta

Asocia una política a un recurso para activar las reglas de la política en las máquinas virtuales que se encuentren en el recurso de la jerarquía.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contiene tu política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Haz clic en Añadir asociación.

  6. Selecciona la raíz de la organización o las carpetas de la organización.

  7. Haz clic en Añadir.

gcloud

De forma predeterminada, si intentas insertar una asociación a una organización o una carpeta que ya tiene una asociación, el método falla. Si especificas la marca --replace-association-on-target, la asociación se eliminará al mismo tiempo que se cree la nueva. De esta forma, el recurso no se quedará sin una política durante la transición.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Haz los cambios siguientes:

  • POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política
  • ORG_ID: el ID de tu organización
  • FOLDER_ID: si vas a asociar la política a una carpeta, especifícala aquí. Omítelo si vas a asociar la política a nivel de organización.
  • ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se asigna a "organización ORG_ID" o "carpeta FOLDER_ID".

Mover una política de un recurso a otro

Al mover una política, cambia el recurso que posee la política. Para mover una política, debe tener permisos de move en los recursos anteriores y nuevos.

Mover una política no afecta a las asociaciones de políticas ni a la evaluación de las reglas, pero puede influir en quién tiene permisos para modificar o asociar la política después de moverla.

Consola

Usa Google Cloud CLI para llevar a cabo este procedimiento.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Haz los cambios siguientes:

  • POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política que vas a mover
  • ORG_ID: el ID de tu organización. Si vas a mover la política a la organización, especifica este ID, pero no especifiques ninguna carpeta.
  • FOLDER_ID: si vas a asociar la política a una carpeta, especifícala aquí. Omítelo si vas a asociar la política a la organización.

Actualizar la descripción de una política

El único campo de política que se puede actualizar es el de Descripción.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en Editar.

  5. Modifica la descripción.

  6. Haz clic en Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mostrar políticas

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

    En el caso de una organización, la sección Políticas de cortafuegos asociadas a esta organización muestra las políticas asociadas. En la sección Políticas de cortafuegos ubicadas en esta organización se muestran las políticas que son propiedad de la organización.

    En el caso de una carpeta, la sección Políticas de cortafuegos asociadas a esta carpeta o heredadas por ella muestra las políticas asociadas a la carpeta o heredadas por ella. En la sección Políticas de cortafuegos ubicadas en esta carpeta se muestran las políticas que pertenecen a la carpeta.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Describe una política

Puedes ver todos los detalles de una política, incluidas todas sus reglas de cortafuegos. Además, puede ver muchos atributos que están en todas las reglas de la política. Estos atributos se tienen en cuenta para el límite por política.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminar una política

Para poder eliminar una política de cortafuegos de una organización, primero debes eliminar todas las asociaciones de esa política.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en la política que quieras eliminar.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Eliminar asociaciones.

  7. Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

  1. Lista de todos los recursos asociados a una política de cortafuegos:

    gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

  2. Eliminar asociaciones concretas. Para quitar la asociación, debes tener el rol Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en el recurso asociado o en un ancestro de ese recurso.

    gcloud compute firewall-policies associations delete RESOURCE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

  3. Elimina la política:

    gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mostrar asociaciones de un recurso

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. En el recurso seleccionado (organización o carpeta), se muestra una lista de las políticas asociadas y heredadas.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mostrar asociaciones de una política

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Las asociaciones se muestran en la tabla.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Eliminar una asociación

Para dejar de aplicar una política de cortafuegos en la organización o en una carpeta, elimina la asociación.

Sin embargo, si quieres sustituir una política de cortafuegos por otra, no es necesario que elimines la asociación actual. Si se elimina esa asociación, habrá un periodo en el que no se aplicará ninguna de las dos políticas. En su lugar, sustituye la política actual cuando asocies una nueva.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona la asociación que quieras eliminar.

  6. Haz clic en Eliminar asociaciones.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tareas de reglas de políticas de cortafuegos

Crear una regla en una política de cortafuegos

Consulta Crear reglas de cortafuegos.

Mostrar todas las reglas de una política

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política. Las reglas se muestran en la pestaña Reglas de cortafuegos.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Describe una regla

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Haz los cambios siguientes:

  • PRIORITY: la prioridad de la regla que quieres ver. Como cada regla debe tener una prioridad única, este ajuste identifica una regla de forma exclusiva.
  • ORG_ID: el ID de tu organización
  • POLICY_NAME: el nombre corto o el nombre generado por el sistema de la política que contiene la regla

Actualizar una regla

Para ver las descripciones de los campos, consulta Crear reglas de cortafuegos.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

  5. Haz clic en Editar.

  6. Modifica los campos que quieras cambiar.

  7. Haz clic en Guardar.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonar reglas de una política a otra

Quita todas las reglas de la política de destino y sustitúyelas por las reglas de la política de origen.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en la política de la que quieras copiar las reglas.

  4. En la parte superior de la pantalla, haz clic en Clonar.

  5. Indica el nombre de una política de destino.

  6. Haz clic en Continuar > Asociar política con recursos si quieres asociar la nueva política inmediatamente.

  7. Haz clic en Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Haz los cambios siguientes:

  • POLICY_NAME: la política que recibirá las reglas copiadas
  • ORG_ID: el ID de tu organización
  • SOURCE_POLICY: la política de la que se van a copiar las reglas. Debe ser la URL del recurso.

Eliminar una regla de una política

Si eliminas una regla de una política, se quitará de todas las máquinas virtuales que la hereden.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieras eliminar.

  5. Haz clic en Eliminar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Haz los cambios siguientes:

  • PRIORITY: la prioridad de la regla que quieres eliminar de la política
  • ORG_ID: el ID de tu organización
  • POLICY_NAME: la política que contiene la regla

Obtener las reglas de cortafuegos vigentes de una red

Muestra todas las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales aplicadas a una red de VPC específica.

Consola

  1. En la Google Cloud consola, ve a la página Redes de VPC.

    Ir a redes de VPC

  2. Haz clic en la red de la que quieras ver las reglas de la política de cortafuegos.

  3. Haz clic en Políticas de cortafuegos.

  4. Despliega cada política de cortafuegos para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Haz los cambios siguientes:

  • NETWORK_NAME: la red de la que se obtienen las reglas eficaces.

También puedes ver las reglas de cortafuegos efectivas de una red en la página Cortafuegos.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. Las políticas de cortafuegos se muestran en la sección Políticas de cortafuegos que ha heredado este proyecto.

  3. Haga clic en cada política de cortafuegos para ver las reglas que se aplican a esta red.

Obtener las reglas de cortafuegos efectivas de una interfaz de VM

Muestra todas las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales aplicadas a una interfaz de VM de Compute Engine específica.

Consola

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. En el menú de selección de proyectos, elige el proyecto que contiene la VM.

  3. Haz clic en la VM.

  4. En Interfaces de red, haz clic en la interfaz.

  5. Las reglas de cortafuegos vigentes aparecen en Detalles de cortafuegos y rutas.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Haz los cambios siguientes:

  • INSTANCE_NAME: la VM de la que se van a obtener las reglas efectivas. Si no se especifica ninguna interfaz, se devuelven las reglas de la interfaz principal (nic0).
  • INTERFACE: interfaz de la VM para obtener las reglas efectivas. El valor predeterminado es nic0.
  • ZONE: la zona de la VM. Es opcional si la zona elegida ya se ha definido como predeterminada.

Solución de problemas

En esta sección se explican los mensajes de error que pueden aparecer.

  • FirewallPolicy may not specify a name. One will be provided.

    No puedes especificar un nombre de política. Los "nombres" de las políticas de cortafuegos jerárquicas son IDs numéricos que genera Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.

  • FirewallPolicy may not specify associations on creation.

    Las asociaciones solo se pueden crear después de crear las políticas de cortafuegos jerárquicas.

  • Can not move firewall policy to a different organization.

    Los movimientos de políticas de cortafuegos jerárquicas deben permanecer en la misma organización.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Si ya se ha adjuntado un recurso con una política de cortafuegos jerárquica, la operación de adjuntar fallará a menos que se asigne el valor true a la opción de sustituir las asociaciones existentes.

  • Cannot have rules with the same priorities.

    Las prioridades de las reglas deben ser únicas en una política de cortafuegos jerárquica.

  • Direction must be specified on firewall policy rule.

    Cuando creas reglas de políticas de cortafuegos jerárquicas enviando solicitudes REST directamente, debes especificar la dirección de la regla. Si usas Google Cloud CLI y no especificas ninguna dirección, el valor predeterminado es INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    El registro del cortafuegos no se permite en las reglas con la acción goto_next porque estas acciones se usan para representar el orden de evaluación de las diferentes políticas de cortafuegos y no son acciones terminales (por ejemplo, ALLOW o DENY).

  • Must specify at least one destination on Firewall policy rule.

    La marca layer4Configs de la regla de la política de cortafuegos debe especificar al menos un protocolo o un protocolo y un puerto de destino.

    Para obtener más información sobre cómo solucionar problemas con las reglas de políticas de cortafuegos, consulta el artículo Solucionar problemas con las reglas de cortafuegos de VPC.

Siguientes pasos