Usa reglas y políticas jerárquicas de firewall

En esta página, se da por sentado que estás familiarizado con los conceptos que se describen en Políticas de firewall jerárquicas. Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Limitaciones

Las reglas de políticas de firewall jerárquicas no son compatibles con las etiquetas de origen o las cuentas de servicio de origen.
Las reglas de políticas de firewall jerárquicas no son compatibles con el uso de etiquetas de red para definir objetivos. En su lugar, debes usar una red de VPC de destino o una cuenta de servicio de destino.
Las políticas de firewall se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de firewall de VPC normales son compatibles con las redes de VPC.
Solo se puede asociar una política de firewall a un nodo (organización o carpeta), aunque las instancias de máquina virtual (VM) en una carpeta pueden heredar reglas de toda la jerarquía de nodos que está por encima de la VM.
El registro de reglas de firewall es compatible con las reglas allow y deny, pero no es compatible con las reglas goto_next.
El protocolo IPv6 de salto por salto no es compatible con las reglas de firewall.

Tareas de políticas de firewall

Crea una política de firewall

Puedes crear una política en cualquier nodo, organización o carpeta de la jerarquía de la organización. Después de crear una política, puedes asociarla con cualquier nodo de tu organización. Una vez asociadas, las reglas de la política se activan para las VM que están por debajo del nodo asociado en la jerarquía.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.create

Funciones

compute.orgFirewallPolicyAdmin en el nodo en el que deseas crear la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de la organización o una carpeta dentro de la organización.
Haz clic en Crear política de firewall.
Asigna un nombre a la política.
Si deseas crear reglas para tu política, haz clic en Continuar > Agregar regla.

Para obtener más información, consulta la sección sobre crea reglas de firewall.
Si deseas asociar la política a un nodo, haz clic en Continuar > Asociar política con recursos.

Para obtener detalles, consulta la sección sobre cómo asociar una política con la organización o una carpeta.
Haga clic en Crear.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Reemplaza los siguientes elementos:

ORG_ID: El ID de tu organización
Especifica este ID si creas la política a nivel de la organización. Este ID solo indica dónde reside la política; no asocia de forma automática la política con el nodo de la organización.
FOLDER_ID: El ID de una carpeta
Especifica este ID si creas la política en una carpeta determinada. Este ID solo indica dónde reside la política; no asocia de forma automática la política con esa carpeta.
SHORT_NAME: Un nombre para la política
Una política creada mediante la CLI de Google Cloud tiene dos nombres: uno generado por el sistema y otro corto proporcionado por ti. Cuando usas la CLI de Google Cloud para actualizar una política existente, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el nombre generado por el sistema.

Crea reglas de firewall

Las reglas de las políticas de firewall jerárquicas deben crearse en una política de firewall jerárquica. Las reglas no se activarán hasta que asocies la política con un nodo.

Cada regla de política de firewall jerárquica puede incluir rangos de IPv4 o IPv6, pero no ambos.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

compute.orgFirewallPolicyAdmin en el nodo que contiene la política o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de la organización o la carpeta que contenga la política.
Haz clic en el nombre de la política.
Haz clic en Agregar regla.
Propaga los campos de la regla:
1. Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como 100, 200 y 300).
2. Establece la recopilación de Registros como Activada o Desactivada.
3. En Dirección del tráfico, especifica si esta es una regla de Entrada o de Salida.
4. En Acción si hay coincidencia, elige una de las siguientes opciones:
  1. Permitir: Permite las conexiones que coinciden con la regla.
  2. Rechazar: Rechaza las conexiones que coinciden con la regla.
  3. Ir a siguiente: La evaluación de la conexión se pasa a la siguiente regla de firewall inferior en la jerarquía.
  4. Continúa con la inspección de L7: Envía los paquetes al extremo de firewall configurado para la inspección de la capa 7.
    - En la lista Grupo de perfil de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
    - Para habilitar la inspección de TLS de los paquetes, selecciona Habilitar inspección de TLS.
  A fin de obtener más información sobre cómo se evalúan las reglas y las acciones correspondientes para cada interfaz de red de la VM, consulta Orden de evaluación de reglas y políticas.
5. Opcional: Puedes restringir la regla solo a ciertas redes si las especificas en el campo Redes de destino. Haz clic en AGREGAR RED y, luego, selecciona el Proyecto y la Red. Puedes agregar varias redes de destino a una regla.
6. Opcional: Puedes restringir la regla a las VMs que se ejecutan con acceso a determinadas cuentas de servicio si especificas las cuentas en el campo Cuenta de servicio de destino.
7. Para una regla de Entrada, especifica el filtro Origen:
  - Para filtrar el tráfico entrante por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa 0.0.0.0/0 para cualquier origen IPv4.
  - Para filtrar el tráfico entrante por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa ::/0 para cualquier origen IPv6.
8. Para una regla de Salida, especifica el filtro Destino:
  - Para filtrar el tráfico saliente por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa 0.0.0.0/0 para cualquier destino de IPv4.
  - Para filtrar el tráfico saliente por rangos de IPv6 de destino, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa ::/0 para cualquier destino de IPv6.
9. Opcional: Si creas una regla de Entrada, especifica los FQDN de origen a los que se aplica esta regla. Si estás creando una regla de Salida, selecciona los FQDN de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombres de dominio, consulta Objetos de nombres de dominio.
10. Opcional: Si creas una regla de Entrada, selecciona las Ubicaciones geográficas de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las Ubicaciones geográficas de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de ubicación geográfica, consulta Objetos de ubicación geográfica.
11. Opcional: Si creas una regla de Entrada, selecciona los Grupos de direcciones de origen a los que se aplica esta regla. Si creas una regla de Salida, selecciona los Grupos de direcciones de destino a los que se aplica esta regla. A fin de obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones para políticas de firewall.
12. Opcional: Si creas una regla de Entrada, selecciona las listas de Threat Intelligence de Google Cloud de origen a las que se aplica esta regla. Si creas una regla de Salida, selecciona las listas de Threat Intelligence de Google Cloud de destino a las que se aplica esta regla. Si deseas obtener más información sobre Inteligencia de amenazas, consulta Inteligencia de amenazas para las reglas de políticas de firewall.
13. Opcional: Para una regla de Entrada, especifica los filtros Destino:
  - Para filtrar el tráfico entrante por rangos de IPv4 de destino, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa 0.0.0.0/0 para cualquier destino de IPv4.
  - Para filtrar el tráfico entrante por rangos de IPv6 de destino, selecciona Rangos de IPv6 e ingresa los bloques de CIDR en el campo Rangos de IPv6 de destino. Usa ::/0 para cualquier destino de IPv6. Si deseas obtener más información, consulta Destino para las reglas de entrada.
14. Opcional: Para una regla de Salida, especifica el filtro Origen:
  - Para filtrar el tráfico saliente por rangos de IPv4 de origen, selecciona IPv4 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa 0.0.0.0/0 para cualquier origen IPv4.
  - Para filtrar el tráfico saliente por rangos de IPv6 de origen, selecciona IPv6 y, luego, ingresa los bloques de CIDR en el campo Rango de IP. Usa ::/0 para cualquier origen IPv6. Si deseas obtener más información, consulta Fuente para las reglas de salida.
15. En Protocolos y puertos, especifica que la regla se aplique a todos los protocolos y puertos de destino o especifica a qué protocolos y puertos de destino se aplica.
  
  Para especificar ICMP de IPv4, usa icmp o el número de protocolo 1. Para especificar ICMP de IPv6, usa el número de protocolo 58. Para obtener más información sobre los protocolos, consulta Protocolos y puertos.
16. Haga clic en Crear.
Haz clic en Agregar regla para agregar otra regla.
Haz clic en Continuar > Asociar una política con recursos para asociar la política con recursos o haz clic en Crear para crear la política.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Reemplaza lo siguiente:

PRIORITY: Es el orden de evaluación numérico de la regla.

Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos asignar números de prioridad a las reglas que permitan la inserción posterior (como 100, 200 o 300).
ORG_ID: El ID de la organización
POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política.
DIRECTION: Indica si la regla es de INGRESS (el valor predeterminado) o EGRESS
- Incluye --src-ip-ranges a fin de especificar rangos de IP para la fuente de tráfico.
- Incluye --dest-ip-ranges a fin de especificar rangos de IP para el destino del tráfico.
Para obtener más información, consulta los objetivos, la fuente y el destino.
IP_RANGES: una lista separada por comas de rangos de IP con formato CIDR, ya sea todos los rangos de IPv4 o todos los rangos de IPv6; ejemplos:
--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE: Es una lista separada por comas de códigos de país de dos letras.
- Para la dirección de entrada, especifica los códigos de país de origen en el parámetro --src-region-code; no puedes usar el parámetro --src-region-code para la dirección de salida
- Para la dirección de salida, especifica los códigos de país de destino en el parámetro --dest-region-code; no puedes usar el parámetro --dest-region-code para la dirección de entrada
LIST_NAMES: Es una lista separada por comas de los nombres de las listas de Inteligencia de amenazas.
- Para la dirección de entrada, especifica las listas de fuentes de Threat Intelligence en el parámetro --src-threat-intelligence; no puedes usar el parámetro --src-threat-intelligence para la dirección de salida.
- Para la dirección de salida, especifica las listas de Threat Intelligence de destino en el parámetro --dest-threat-intelligence; no puedes usar el parámetro --dest-threat-intelligence para la dirección de entrada.
ADDR_GRP_URL: es un identificador de URL único para el grupo de direcciones.
- Para la dirección de entrada, especifica los grupos de direcciones de origen en el parámetro --src-address-groups; no puedes usar el parámetro --src-address-groups para la dirección de salida.
- Para la dirección de salida, especifica los grupos de direcciones de destino en el parámetro --dest-address-groups; no puedes usar el parámetro --dest-address-groups para la dirección de entrada.
DOMAIN_NAME: Es una lista de nombres de dominio separados por comas en el formato descrito en Formato de nombre de dominio.
- Para la dirección de entrada, especifica los nombres de dominio de origen en el parámetro --src-fqdns; no puedes usar el parámetro --src-fqdns para la dirección de salida.
- Para la dirección de salida, especifica los grupos de direcciones de destino en el parámetro --dest-fqdns; no puedes usar el parámetro --dest-fqdns para la dirección de entrada.
ACTION: una de las acciones siguientes:
- allow: Permite las conexiones que coinciden con la regla.
- deny: Rechaza las conexiones que coinciden con la regla.
- apply_security_profile_group: Envía de forma transparente los paquetes al extremo de firewall configurado para la inspección de la capa 7.
- goto_next: Pasa la evaluación de conexión al siguiente nivel en la jerarquía, ya sea una carpeta o la red.
A fin de obtener más información sobre cómo se evalúan las reglas y las acciones correspondientes para cada interfaz de red de la VM, consulta Orden de evaluación de reglas y políticas.
SECURITY_PROFILE_GROUP: es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. Especifica este parámetro solo cuando se selecciona la acción apply_security_profile_group
--tls-inspect: Inspecciona el tráfico de TLS mediante la política de inspección de TLS cuando la acción apply_security_profile_group se selecciona en la regla. De forma predeterminada, la inspección de TLS está inhabilitada o puedes especificar --no-tls-inspect
PROTOCOL_PORT: Es una lista separada por comas de nombres o números de protocolo (tcp,17), protocolos y puertos de destino (tcp:80) o protocolos y rangos de puertos de destino (tcp:5000-6000).

No se puede especificar un puerto ni un rango de puertos sin un protocolo. Para ICMP, no puedes especificar un puerto ni un rango de puertos; por ejemplo:--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

Para especificar ICMP de IPv4, usa icmp o el número de protocolo 1. Para especificar ICMP de IPv6, usa el número de protocolo 58. Para obtener más información, consulta Protocolos y puertos.
NETWORKS: una lista separada por comas de URLs de recursos de red de VPC en el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, en el que PROJECT_ID es el ID del proyecto que contiene la red de VPC y NETWORK_NAME es el nombre de la red. Si se omite, la regla se aplica a todas las redes de VPC del nodo.

Para obtener más información, consulta Destinos para las reglas de políticas de firewall jerárquicas.
SERVICE_ACCOUNTS: una lista de cuentas de servicio separadas por comas. La regla se aplica solo a las VM que se ejecutan con acceso a la cuenta de servicio especificada

Para obtener más información, consulta Destinos para las reglas de políticas de firewall jerárquicas.
--enable-logging y --no-enable-logging: Habilita o inhabilita el registro de reglas de firewall para la regla determinada
--disabled: Indica que la regla de firewall, aunque existe, no se debe considerar cuando se procesan las conexiones; quitar esta marca habilita la regla, o puedes especificar --no-disabled.

Asocia una política con la organización o la carpeta

Asocia una política con un nodo a fin de activar las reglas de la política para cualquier VM que esté por debajo del nodo en la jerarquía.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.setFirewallPolicy en el nodo de destino
compute.firewallPolicies.addAssociation en la política de firewall

Funciones

compute.orgSecurityResourceAdmin en el nodo de destino y compute.orgFirewallPolicyUser en el nodo de política o en la política

compute.orgSecurityResourceAdmin en el nodo de destino y compute.orgFirewallPolicyAdmin en el nodo de política o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de la organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Agregar asociación.
Selecciona la raíz de la organización o carpetas dentro de la organización.
Haga clic en Agregar.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Reemplaza lo siguiente:

POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política.
ORG_ID: El ID de la organización
FOLDER_ID: Si asocias la política con una carpeta, especifícala aquí; no es necesario hacerlo si asocias la política con el nivel de la organización
ASSOCIATION_NAME: Un nombre opcional para la asociación; si no se especifica, el nombre se configura como “organización ORG_ID” o “carpeta FOLDER_ID”.
--replace-association-on-target
De forma predeterminada, el método falla si intentas insertar una asociación en un nodo de organización o de carpeta que ya tiene una asociación. Si especificas esta marca, la asociación existente se borra al mismo tiempo que se crea la asociación nueva. Esto evita que el nodo se quede sin una política durante la transición.

Mueve una política de un nodo a otro

Mover una política cambia qué nodo es propietario de la política. Para mover una política, debes tener permisos move en los nodos antiguos y nuevos.

Mover una política no afecta ninguna asociación de política existente ni la evaluación de las reglas existentes, pero podría afectar quién tiene permisos para modificar o asociar la política después de que se movió.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.move

Funciones

compute.orgFirewallPolicyAdmin en el nodo nuevo y en el nodo anterior o en la política

Console

Usa la CLI de Google Cloud para este procedimiento.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Reemplaza lo siguiente:

POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política que mueves
ORG_ID: el ID de la organización Si mueves la política al nodo de la organización, especifica este ID, pero no especifiques una carpeta
FOLDER_ID: Si asocias la política con una carpeta, especifícala aquí; no es necesario hacerlo si asocias la política con el nodo de la organización

Actualiza una descripción de la política

El único campo de una política que se puede actualizar es el campo Descripción.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

compute.orgFirewallPolicyAdmin en el nodo en el que reside la política o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haga clic en Editar.
Modifica la Descripción.
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Enumera políticas

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.list

Roles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

En la sección Firewall policies associated with this node or inherited by the node, se muestra qué políticas están asociadas con este nodo en la jerarquía de recursos.

En la sección Firewall policies located in this node, se enumeran las políticas que son propiedad de este nodo en la jerarquía de recursos. Puede ser que las políticas no estén asociadas con este nodo, pero que estén disponibles para que se las asocie con este o con otros nodos.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Describe una política

Puedes ver todos los detalles de una política, incluidas todas sus reglas de firewall. Además, puedes ver muchos atributos presentes en todas las reglas en la política. Estos atributos se tienen en cuenta para un límite por política.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.get

Roles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser en el nodo o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Borra una política

Debes borrar todas las asociaciones en una política de firewall de la organización para poder borrarla.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.delete

Funciones

compute.orgFirewallPolicyAdmin en el nodo o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociaciones.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

Enumera todos los nodos asociados con una política de firewall:

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Borra asociaciones individuales. Para quitar la asociación, debes tener la función compute.orgSecurityResourceAdmin en el nodo asociado o principal de ese nodo.
```
gcloud compute firewall-policies associations delete NODE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME
```

Borra la política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Enumera las asociaciones de un nodo

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.listAssociations

Funciones

compute.orgSecurityResourceAdmin

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Las políticas asociadas y heredadas se enumeran en Firewall policies associated with this node or inherited by the node.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Enumera las asociaciones de una política

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.listAssociations

Funciones

compute.orgSecurityResourceAdmin en el nodo o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Las asociaciones se enumeran en la tabla.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Borra una asociación

Para detener la aplicación de la política de firewall en la organización o en una carpeta, borra la asociación.

Sin embargo, si quieres intercambiar una política de firewall por otra, no es necesario borrar primero la asociación existente. Si lo haces, habrá un período en el que no se aplicará ninguna política. En su lugar, reemplaza la política existente cuando asocias una política nueva.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.setFirewallPolicy en el nodo de destino
compute.firewallPolicies.addAssociation en la política de firewall

Funciones

compute.orgSecurityResourceAdmin en el nodo de destino y compute.orgFirewallPolicyUser en el nodo de política o en la política

compute.orgSecurityResourceAdmin en el nodo de destino y compute.orgFirewallPolicyAdmin en el nodo de política o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociaciones.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tareas de reglas de políticas de firewall

Crea una regla en una política de firewall existente

Consulta Crea reglas de firewall.

Enumera todas las reglas en una política

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.get

Roles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser en el nodo o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política. Las reglas se enumeran en la pestaña Reglas de firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Describe una regla

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.get

Roles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Reemplaza lo siguiente:

PRIORITY: Es la prioridad de la regla que quieres ver; debido a que cada regla debe tener una prioridad única, esta configuración identifica de forma exclusiva a una regla
ORG_ID: El ID de la organización
POLICY_NAME: el nombre corto o el nombre generado por el sistema de la política que contiene la regla

Actualiza una regla

Para obtener descripciones de campos, consulta la sección sobre cómo crear reglas de firewall.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

compute.orgFirewallPolicyAdmin

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos que deseas cambiar.
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clona reglas de una política a otra

Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.copyRule

Funciones

compute.orgFirewallPolicyAdmin en el nodo o en las políticas

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política de la que deseas copiar reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Haz clic en Continuar > Asociar política con recursos si deseas asociar la nueva política de inmediato.
Haz clic en Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Reemplaza los siguientes elementos:

POLICY_NAME: La política que recibirá las reglas copiadas
ORG_ID: El ID de la organización
SOURCE_POLICY: La política de la que se deben copiar las reglas; debe ser la URL del recurso

Borra una regla de una política

Si borras una regla de una política, se quita la regla de todas las VM que la heredan.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.firewallPolicies.update

Funciones

compute.orgFirewallPolicyAdmin en el nodo que aloja la política o en la política

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
En el menú desplegable del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Reemplaza los siguientes elementos:

PRIORITY: La prioridad de la regla que deseas borrar de la política
ORG_ID: El ID de la organización
POLICY_NAME: La política que contiene la regla

Obtén reglas de firewall efectivas para una red

Muestra todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a una red de VPC especificada.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.networks.getEffectiveFirewalls en la red

Roles

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

En la consola de Google Cloud, ve a la página Redes de VPC.

Ir a las redes de VPC
Haz clic en la red para la que deseas ver las reglas de la política de firewall.
Haz clic en Políticas de firewall.
Expande cada política de firewall para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Reemplaza los siguientes elementos:

NETWORK_NAME: La red para la que se obtendrán reglas efectivas

También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.organizations.listAssociations en la red
(Opcional) resourcemanager.folders.get y resourcemanager.organizations.get para ver información en las columnas Heredada de y Ubicadas en

Roles

Para ver las reglas de firewall, sigue estos pasos:

compute.orgSecurityResourceAdmin
compute.viewer

Para ver la información en las columnas Heredada de y Ubicadas en (opcional), haz lo siguiente:

browser
resourcemanager.organizationAdmin

Consola

En la consola de Google Cloud, ve a la página Firewall.

Ir a Políticas de firewall
Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.
Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.

Obtén reglas de firewall efectivas para una interfaz de VM

Muestra todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall globales de red que se aplican a una interfaz de VM de Compute Engine especificada.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.instances.getEffectiveFirewalls en la red

Roles

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

En la consola de Google Cloud, ve a la página Instancias de VM.

Ir a Instancias de VM
En el menú desplegable del selector de proyectos, selecciona el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en la interfaz.
Las reglas de firewall efectivas se muestran en Detalles de las rutas y del firewall.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Reemplaza los siguientes elementos:

INSTANCE_NAME: La VM para la que se obtendrán reglas efectivas; si no se especifica ninguna interfaz, se muestran reglas para la interfaz principal (nic0)
INTERFACE: La interfaz de la VM para la que se obtendrán reglas efectivas; el valor predeterminado es nic0
ZONE: la zona de la VM; es opcional si la zona elegida ya está configurada como predeterminada

Soluciona problemas

En esta sección, se incluyen explicaciones para los mensajes de error que puedes encontrar.

FirewallPolicy may not specify a name. One will be provided.

No puedes especificar un nombre de política. Los “nombres” de la política jerárquica de firewall son ID numéricos que genera Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.
FirewallPolicy may not specify associations on creation.

Las asociaciones solo se pueden crear después de que se crean las políticas jerárquicas de firewall.
Can not move firewall policy to a different organization.

Las transferencias de políticas jerárquicas de firewall deben permanecer dentro de la misma organización.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Si un nodo ya está adjunto a una política jerárquica de firewall, la operación de adjunto fallará, a menos que la opción para reemplazar las asociaciones existentes esté configurada como verdadera.
Cannot have rules with the same priorities.

Las prioridades de las reglas deben ser únicas en una política jerárquica de firewall.
Direction must be specified on firewall policy rule.

Cuando se crean reglas de políticas jerárquicas de firewall mediante el envío directo de solicitudes de REST, se debe especificar la dirección de la regla. Cuando se usa Google Cloud CLI y no se especifica ninguna dirección, el valor predeterminado es INGRESS.
Can not specify enable_logging on a goto_next rule.

El registro de firewall no está permitido en las reglas con acción goto_next, ya que las acciones goto_next se usan para representar el orden de evaluación de diferentes políticas de firewall, y no son acciones de la terminal, es decir, PERMITIR o RECHAZAR.
Must specify at least one destination on Firewall policy rule.

El parámetro layer4Configs en la regla de política de firewall debe especificar al menos un protocolo o un protocolo y un puerto de destino.

Si quieres obtener más detalles sobre cómo solucionar problemas de reglas de políticas de firewall, consulta Solución de problemas de las reglas de firewall de VPC.