Usar reglas y políticas de cortafuegos de red regionales (original) (raw)

En esta página se da por hecho que conoces los conceptos descritos en el artículo sobre las políticas de cortafuegos de red regionales.

En esta sección se describe cómo crear, asociar y gestionar políticas de cortafuegos de red regionales.

Crear una política de cortafuegos de red regional

Cuando creas una política de cortafuegos de red regional mediante la consola Google Cloud , puedes asociar la política a una región y a una red de nube privada virtual (VPC) durante la creación. Si creas la política con Google Cloud CLI, debes asociarla a una región y una red después de crearla.

La red de VPC con la que está asociada la política de cortafuegos de red regional debe estar en el mismo proyecto que la política de cortafuegos de red regional.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.create

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto en el que quieras crear la política

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú del selector de proyectos, selecciona el proyecto de tu organización.
3. Haz clic en Crear política de cortafuegos.
4. En el campo Nombre de la política, introduce un nombre.
5. En Ámbito de implementación, selecciona Regional. Selecciona la región en la que quieres crear esta política de cortafuegos.
6. Para crear reglas para su política, haga clic en Continuar.
7. En la sección Añadir reglas, haga clic en Crear regla de cortafuegos. Para obtener más información sobre cómo crear reglas de cortafuegos, consulta lo siguiente:
   • Crear una regla de entrada para los destinos de VM
   • Crear una regla de entrada para los destinos de balanceadores de carga de aplicaciones internos y balanceadores de carga de red de proxy internos
   • Crear una regla de salida para destinos de VM
8. Si quieres asociar la política a una red, haz clic en Continuar.
9. En la sección Asociar política a redes, haga clic en Asociar.
   Para obtener más información, consulta Asociar una política a una red.
10. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies create
NETWORK_FIREWALL_POLICY_NAME
--description DESCRIPTION
--region=REGION_NAME

Haz los cambios siguientes:

• NETWORK_FIREWALL_POLICY_NAME: nombre de la política
• DESCRIPTION: una descripción de la política
• REGION_NAME: la región de la política

Asociar una política a una red

Puedes asociar una política de cortafuegos de red regional a una región de una red de VPC y aplicar las reglas de la política a esa región de la red.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.use
• compute.networks.setFirewallPolicy

Roles

• Administrador de redes de Compute (roles/compute.networkAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos o
• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.
3. Haz clic en tu política.
4. Haz clic en la pestaña Asociaciones.
5. Haz clic en Añadir asociación.
6. Selecciona las redes del proyecto.
7. Haz clic en Asociar.

gcloud

gcloud compute network-firewall-policies associations create
--firewall-policy POLICY_NAME
--firewall-policy-region=POLICY_REGION
--network NETWORK_NAME
--name ASSOCIATION_NAME

Haz los cambios siguientes:

• POLICY_NAME: el nombre corto o el nombre generado por el sistema de la política.
• POLICY_REGION: la región de la política que contiene la regla.
• NETWORK_NAME: el nombre de la red asociada.
• ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se define como network-NETWORK_NAME.

Eliminar una asociación

Para detener la aplicación de una política de cortafuegos en una red, elimina la asociación.

Sin embargo, si quieres sustituir una política de cortafuegos por otra, no es necesario que elimines la asociación actual. Si se elimina esa asociación, habrá un periodo en el que no se aplicará ninguna de las dos políticas. En su lugar, sustituye la política actual cuando asocies una nueva.

Para eliminar una asociación entre una política de cortafuegos de red regional y una región de una red VPC, sigue los pasos que se indican en esta sección. Las reglas de la política de cortafuegos de red regional no se aplican a las nuevas conexiones después de que se elimine su asociación.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.use

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la red

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú de selección de proyectos, selecciona el proyecto o la carpeta que contenga la política.
3. Haz clic en tu política.
4. Haz clic en la pestaña Asociaciones.
5. Selecciona la asociación que quieras eliminar.
6. Haz clic en Quitar asociación.

gcloud

gcloud compute network-firewall-policies associations delete
--name ASSOCIATION_NAME
--firewall-policy POLICY_NAME
--firewall-policy-region=POLICY_REGION

Describe una política de cortafuegos de red regional

Puedes ver los detalles de una política de cortafuegos de red regional, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se tienen en cuenta en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de reglas por política de cortafuegos de red regional" en la tabla Por política de cortafuegos. Además, puedes ver las prioridades de las asociaciones de redes de VPC que ya tengas.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.get

Roles

• Administrador de redes de Compute (roles/compute.networkAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos o
• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.
3. Haz clic en tu política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME
--region=REGION_NAME

Actualizar la descripción de una política de cortafuegos de red regional

El único campo de política que se puede actualizar es el de Descripción.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.update

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.
3. Haz clic en tu política.
4. Haz clic en Editar.
5. En el campo Descripción, modifica la descripción.
6. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME
--description DESCRIPTION
--region=REGION_NAME

Lista de políticas de cortafuegos de red regionales

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.list

Roles

• Administrador de redes de Compute (roles/compute.networkAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos o
• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú del selector de proyectos, selecciona el proyecto que contenga la política.
   En la sección Políticas de cortafuegos de red se muestran las políticas disponibles en tu proyecto.

gcloud

gcloud compute network-firewall-policies list
--regions=LIST_OF_REGIONS

Eliminar una política de cortafuegos de red regional

Para poder eliminar una política de cortafuegos de red regional, debes eliminar todas sus asociaciones.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.delete

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú del selector de proyectos, selecciona el proyecto que contenga la política.
3. Haz clic en la política que quieras eliminar.
4. Haz clic en la pestaña Asociaciones.
5. Selecciona todas las asociaciones.
6. Haz clic en Quitar asociación.
7. Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

Usa el siguiente comando para eliminar la política:

gcloud compute network-firewall-policies delete POLICY_NAME
--region=REGION_NAME

Tareas de reglas de políticas de cortafuegos

En esta sección se describe cómo crear y gestionar reglas de políticas de firewall de red regionales.

Crear una regla de entrada para destinos de VM

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.update

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

En esta sección se describe cómo crear una regla de entrada que se aplique a las interfaces de red de las instancias de Compute Engine.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En la lista del selector de proyectos, selecciona un proyecto que contenga una política de firewall de red regional.
3. En la sección Políticas de cortafuegos de red, haz clic en el nombre de una política de cortafuegos de red regional en la que quieras crear una regla.
4. En la sección Reglas de cortafuegos, haga clic en Crear regla de cortafuegos y especifique los siguientes parámetros de configuración:
   1. Prioridad: el orden de evaluación numérico de la regla.
      Las reglas se evalúan de mayor a menor prioridad, donde 0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
   2. Descripción: proporciona una descripción opcional.
   3. Dirección del tráfico: selecciona Entrada.
   4. Acción tras coincidencia: selecciona una de las siguientes opciones:
      • Permitir: para permitir las conexiones que coincidan con los parámetros de la regla.
      • Denegar: para bloquear las conexiones que coincidan con los parámetros de la regla.
      • Ir al siguiente: para continuar con el proceso de evaluación de la regla de cortafuegos.
   5. Registros: selecciona Activado para habilitar el registro de reglas de cortafuegos o Desactivado para inhabilitarlo en esta regla.
   6. Objetivo: seleccione una de las siguientes opciones:
      • Aplicar a todos: Cloud NGFW usa los destinos de instancia más amplios.
      • Cuentas de servicio: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especifiques:
        * En la sección Ámbito de la cuenta de servicio, selecciona En este proyecto > Cuenta de servicio de destino. Esto sirve para especificar una cuenta de servicio en el mismo proyecto que la política de cortafuegos de red regional.
        * En la sección Ámbito de la cuenta de servicio, selecciona En otro proyecto > Cuenta de servicio de destino. Esto sirve para especificar una cuenta de servicio en un proyecto de servicio de VPC compartida.
      • Etiquetas seguras: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especifiques. Haz clic en Seleccionar ámbito de las etiquetas y selecciona la organización o el proyecto que contenga los valores de etiqueta que quieras que coincidan. Para añadir más valores de etiqueta, haz clic en Añadir etiqueta.
   7. Tipo de red de origen: especifica un tipo de red:
      • Para no filtrar el tráfico entrante por tipo de red, selecciona Todos los tipos de red.
      • Para filtrar el tráfico entrante a un tipo de red específico, selecciona Tipo de red específico y, a continuación, un tipo de red:
        * Internet: el tráfico entrante debe coincidir con el tipo de red de Internet para los paquetes de entrada.
        * Sin Internet: el tráfico entrante debe coincidir con el tipo de red sin Internet para los paquetes de entrada.
        * Intra-VPC: el tráfico entrante debe coincidir con los criterios del tipo de red intra-VPC.
        * Redes de VPC: el tráfico entrante debe coincidir con los criterios del tipo de red de VPC. Debe seleccionar al menos una red VPC:
        * Seleccionar proyecto actual: te permite añadir una o varias redes de VPC del proyecto que contiene la política de cortafuegos.
        * Introducir red manualmente: te permite introducir manualmente un proyecto y una red de VPC.
        * Seleccionar proyecto: te permite seleccionar un proyecto desde el que puedes elegir una red de VPC.
   8. Filtros de origen: especifica parámetros de origen adicionales. Algunos parámetros de origen no se pueden usar juntos, y el tipo de red de origen que elijas limita los parámetros de origen que puedes usar. Para obtener más información, consulta las fuentes de las reglas de entrada y las combinaciones de fuentes de reglas de entrada.
      • Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6.
      • Para filtrar el tráfico entrante por los valores de las etiquetas seguras de origen, seleccione Seleccionar ámbito de las etiquetas en la sección Etiquetas seguras. A continuación, proporciona las claves y los valores de las etiquetas. Para añadir más valores de etiqueta, haz clic en Añadir etiqueta.
      • Para filtrar el tráfico entrante por FQDN de origen, introduzca los FQDNs en el campo FQDNs. Para obtener más información, consulta Objetos FQDN.
      • Para filtrar el tráfico entrante por geolocalización de la fuente, seleccione una o varias ubicaciones en el campo Geolocalizaciones. Para obtener más información, consulta Objetos de geolocalización.
      • Para filtrar el tráfico entrante por grupo de direcciones de origen, selecciona uno o varios grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta el artículo Grupos de direcciones para políticas de firewall.
      • Para filtrar el tráfico entrante por listas de Google Threat Intelligence de origen, seleccione una o varias listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.
   9. Destino: especifica parámetros de destino opcionales. Para obtener más información, consulta Destinos de las reglas de entrada.
      • Para no filtrar el tráfico entrante por dirección IP de destino, seleccione Ninguno.
      • Para filtrar el tráfico entrante por dirección IP de destino, selecciona IPv4 o IPv6 y, a continuación, introduce uno o varios CIDRs con el mismo formato que se usa para los intervalos IPv4 o IPv6 de origen.
   10. Protocolos y puertos: especifica los protocolos y los puertos de destino del tráfico que debe coincidir con la regla. Para obtener más información, consulta Protocolos y puertos.
   11. Aplicación: especifica si la regla de cortafuegos se aplica o no:
       • Habilitado: crea la regla y empieza a aplicarla a las conexiones nuevas.
       • Inhabilitada: crea la regla, pero no la aplica a las conexiones nuevas.
5. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION
--description=DESCRIPTION
--direction=INGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
[--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS]
[--layer4-configs=LAYER_4_CONFIGS]
[--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS]
[--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES]
[--dest-ip-ranges=DEST_IP_RANGES]

Haz los cambios siguientes:

• PRIORITY: el orden de evaluación numérico de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
• POLICY_NAME: nombre de la política de cortafuegos de red regional en la que quieras crear la regla.
• PROJECT_ID: el ID del proyecto que contiene la política de cortafuegos de red regional.
• POLICY_REGION: la región de la política.
• DESCRIPTION: una descripción opcional de la nueva regla.
• ACTION: especifica una de las siguientes acciones:
  • allow: permite las conexiones que coincidan con la regla.
  • deny: deniega las conexiones que coinciden con la regla.
  • goto_next: continúa el proceso de evaluación de reglas de cortafuegos.
• Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
• Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
• Especifica un objetivo:
  • Si omite las marcas --target-secure-tags y --target-service-accounts, Cloud NGFW usará los destinos de instancia más amplios.
  • TARGET_SECURE_TAGS: lista separada por comas de valores de etiqueta segura que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura.
  • TARGET_SERVICE_ACCOUNTS: lista separada por comas de cuentas de servicio que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
• LAYER_4_CONFIGS: lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
  • Un nombre de protocolo IP (tcp) o un número de protocolo IP de IANA (17) sin ningún puerto de destino.
  • Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
  • Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
• Especifica un origen para la regla de entrada. Para obtener más información, consulta las combinaciones de fuentes de reglas de entrada:
  • SRC_NETWORK_TYPE: define los tipos de redes de origen que se van a usar junto con otro parámetro de origen admitido para producir una combinación de origen. Los valores válidos cuando --target-type=INSTANCES son INTERNET, NON_INTERNET, VPC_NETWORKS o INTRA_VPC. Para obtener más información, consulta Tipos de redes.
  • SRC_VPC_NETWORKS: lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando --src-network-type sea VPC_NETWORKS.
  • SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
  • SRC_ADDRESS_GROUPS: lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, pero no una combinación de ambas.
  • SRC_DOMAIN_NAMES: una lista de objetos de FQDN separados por comas especificados en el formato de nombre de dominio.
  • SRC_SECURE_TAGS: una lista de etiquetas separadas por comas. No puedes usar la marca --src-secure-tags si --src-network-type es INTERNET.
  • SRC_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización. No puedes usar la marca --src-region-codes si el --src-network-type es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall. No puedes usar la marca --src-threat-intelligence si el valor de --src-network-type es NON_INTERNET, VPC_NETWORKS o INTRA_VPC.
• De forma opcional, especifica un destino para la regla de entrada:
  • DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Crear una regla de entrada para los destinos del balanceador de carga interno

Para restringir el acceso a una o varias reglas de reenvío de balanceadores de carga de aplicaciones internos o de balanceadores de carga de red con proxy internos, crea al menos dos reglas de entrada con --target-type=INTERNAL_MANAGED_LB. Esto es necesario porque la acción implícita de los destinos de los balanceadores de carga de aplicaciones internos y de los balanceadores de carga de red con proxy internos permite el tráfico entrante. Las reglas necesarias para restringir el acceso son las siguientes:

• Una regla de cortafuegos de denegación de entrada de menor prioridad con --src-ip-ranges=0.0.0.0/0.
• Una regla de cortafuegos de entrada con mayor prioridad y los parámetros de origen que especifiques.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.update

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

En esta sección se describe cómo crear una regla de entrada para los balanceadores de carga de aplicaciones internos y los destinos de los balanceadores de carga de red con proxy internos.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION
--description=DESCRIPTION
--direction=INGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
--target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES]
[--layer4-configs=LAYER_4_CONFIGS]
[--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS]
[--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES]
[--dest-ip-ranges=DEST_IP_RANGES]

Haz los cambios siguientes:

• PRIORITY: el orden de evaluación numérico de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
• POLICY_NAME: nombre de la política de cortafuegos de red regional en la que quieras crear la regla.
• PROJECT_ID: el ID del proyecto que contiene la política de cortafuegos de red regional.
• POLICY_REGION: la región de la política.
• DESCRIPTION: una descripción opcional de la nueva regla.
• ACTION: especifica una de las siguientes acciones:
  • allow: permite las conexiones que coincidan con la regla.
  • deny: deniega las conexiones que coinciden con la regla.
  • goto_next: continúa el proceso de evaluación de reglas de cortafuegos.
• Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
• Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
• Especifica un objetivo:
  • Si omite la marca --target-forwarding-rules, Cloud NGFW usará los objetivos del balanceador de carga más amplios.
  • TARGET_FORWARDING_RULES: una sola regla de reenvío para un balanceador de carga de aplicación interno o un balanceador de carga de red de proxy interno especificado en el formato de reglas de reenvío de destino. Este parámetro reduce los objetivos más amplios del balanceador de carga a un balanceador de carga de aplicaciones interno o a un balanceador de carga de red con proxy interno específicos.
• LAYER_4_CONFIGS: lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
  • Un nombre de protocolo IP (tcp) o un número de protocolo IP de IANA (17) sin ningún puerto de destino.
  • Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
  • Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
• Especifica un origen para la regla de entrada. Para obtener más información, consulta las combinaciones de fuentes de reglas de entrada:
  • SRC_NETWORK_TYPE: define los tipos de redes de origen que se van a usar junto con otro parámetro de origen admitido para producir una combinación de origen. Los valores válidos cuando --target-type=INTERNAL_MANAGED_LB son VPC_NETWORKS o INTRA_VPC. Para obtener más información, consulta Tipos de redes.
  • SRC_VPC_NETWORKS: lista separada por comas de redes de VPC especificadas por sus identificadores de URL. Especifica esta marca solo cuando --src-network-type sea VPC_NETWORKS.
  • SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
  • SRC_ADDRESS_GROUPS: lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, pero no una combinación de ambas.
  • SRC_DOMAIN_NAMES: una lista de objetos de FQDN separados por comas especificados en el formato de nombre de dominio.
• De forma opcional, especifica un destino para la regla de entrada:
  • DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Crear una regla de salida para destinos de VM

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.update

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

En las siguientes instrucciones se muestra cómo crear una regla de salida. Las reglas de salida solo se aplican a los destinos que son interfaces de red de instancias de Compute Engine.

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En la lista del selector de proyectos, selecciona un proyecto que contenga una política de firewall de red regional.
3. En la sección Políticas de cortafuegos de red, haz clic en el nombre de una política de cortafuegos de red regional en la que quieras crear una regla.
4. En la sección Reglas de cortafuegos, haga clic en Crear regla de cortafuegos y especifique los siguientes parámetros de configuración:
   1. Prioridad: el orden de evaluación numérico de la regla.
      Las reglas se evalúan de mayor a menor prioridad, donde 0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
   2. Descripción: proporciona una descripción opcional.
   3. Dirección del tráfico: selecciona Salida.
   4. Acción tras coincidencia: selecciona una de las siguientes opciones:
      • Permitir: para permitir las conexiones que coincidan con los parámetros de la regla.
      • Denegar: para bloquear las conexiones que coincidan con los parámetros de la regla.
      • Ir al siguiente: para continuar con el proceso de evaluación de la regla de cortafuegos.
   5. Registros: selecciona Activado para habilitar el registro de reglas de cortafuegos o Desactivado para inhabilitarlo en esta regla.
   6. Objetivo: seleccione una de las siguientes opciones:
      • Aplicar a todos: Cloud NGFW usa los destinos de instancia más amplios.
      • Cuentas de servicio: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan la cuenta de servicio que especifiques:
        * En la sección Ámbito de la cuenta de servicio, selecciona En este proyecto > Cuenta de servicio de destino. Esto sirve para especificar una cuenta de servicio en el mismo proyecto que la política de cortafuegos de red regional.
        * En la sección Ámbito de la cuenta de servicio, selecciona En otro proyecto > Cuenta de servicio de destino. Esto sirve para especificar una cuenta de servicio en un proyecto de servicio de VPC compartida.
      • Etiquetas seguras: reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura que especifiques. Haz clic en Seleccionar ámbito de las etiquetas y selecciona la organización o el proyecto que contenga los valores de etiqueta que quieras que coincidan. Para añadir más valores de etiqueta, haz clic en Añadir etiqueta.
   7. Tipo de red de destino: especifica un tipo de red:
      • Para no filtrar el tráfico saliente por tipo de red, selecciona Todos los tipos de red.
      • Para filtrar el tráfico saliente a un tipo de red específico, selecciona Tipo de red específico y, a continuación, un tipo de red:
        * Internet: el tráfico saliente debe coincidir con el tipo de red de Internet para los paquetes de salida.
        * Sin Internet: el tráfico saliente debe coincidir con el tipo de red sin Internet para los paquetes de salida.
   8. Filtros de destino: especifica parámetros de destino adicionales. Algunos parámetros de destino no se pueden usar juntos, y el tipo de red de destino que elijas limita los filtros de destino que puedes usar. Para obtener más información, consulta Destinos de las reglas de salida y Combinaciones de destinos de reglas de salida.
      • Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de destino, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier destino IPv6.
      • Para filtrar el tráfico saliente por FQDN de destino, introduce FQDNs en el campo FQDNs (FQDNs). Para obtener más información, consulta Objetos FQDN.
      • Para filtrar el tráfico saliente por geolocalización de destino, seleccione una o varias ubicaciones en el campo Geolocalizaciones. Para obtener más información, consulta Objetos de geolocalización.
      • Para filtrar el tráfico saliente por grupo de direcciones de destino, seleccione uno o varios grupos de direcciones en el campo Grupos de direcciones. Para obtener más información, consulta Grupos de direcciones para políticas de firewall.
      • Para filtrar el tráfico saliente por listas de Google Threat Intelligence de destino, seleccione una o varias listas de Google Threat Intelligence en el campo Google Cloud Threat Intelligence. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall.
   9. Fuente: especifica parámetros de origen opcionales. Para obtener más información, consulta Fuentes de las reglas de salida.
      • Para omitir el filtrado del tráfico saliente por dirección IP de origen, seleccione Ninguno.
      • Para filtrar el tráfico saliente por dirección IP de origen, seleccione IPv4 o IPv6 y, a continuación, introduzca uno o varios CIDRs con el mismo formato que se utiliza para los intervalos IPv4 o IPv6 de destino.
   10. Protocolos y puertos: especifica los protocolos y los puertos de destino del tráfico que debe coincidir con la regla. Para obtener más información, consulta Protocolos y puertos.
   11. Aplicación: especifica si la regla de cortafuegos se aplica o no:
       • Habilitado: crea la regla y empieza a aplicarla a las conexiones nuevas.
       • Inhabilitada: crea la regla, pero no la aplica a las conexiones nuevas.
5. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION
--description=DESCRIPTION
--direction=EGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
[--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS]
[--layer4-configs=LAYER_4_CONFIGS]
[--dest-network-type=DEST_NETWORK_TYPE]
[--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES]
[--src-ip-ranges=SRC_IP_RANGES]

Haz los cambios siguientes:

• PRIORITY: el orden de evaluación numérico de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes.
• POLICY_NAME: nombre de la política de cortafuegos de red regional en la que quieras crear la regla.
• PROJECT_ID: el ID del proyecto que contiene la política de cortafuegos de red regional.
• POLICY_REGION: la región de la política.
• DESCRIPTION: una descripción opcional de la nueva regla.
• ACTION: especifica una de las siguientes acciones:
  • allow: permite las conexiones que coincidan con la regla.
  • deny: deniega las conexiones que coinciden con la regla.
  • goto_next: continúa el proceso de evaluación de reglas de cortafuegos.
• Las marcas --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
• Las marcas --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
• Especifica un objetivo:
  • Si omite las marcas --target-secure-tags y --target-service-accounts, Cloud NGFW usará los destinos de instancia más amplios.
  • TARGET_SECURE_TAGS: lista separada por comas de valores de etiqueta segura que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que están vinculadas a al menos uno de los valores de etiqueta segura.
  • TARGET_SERVICE_ACCOUNTS: lista separada por comas de cuentas de servicio que reduce los objetivos de instancia más amplios a las interfaces de red de las instancias de VM que usan una de las cuentas de servicio.
• LAYER_4_CONFIGS: lista separada por comas de configuraciones de capa 4. Cada configuración de capa 4 puede ser una de las siguientes:
  • Un nombre de protocolo IP (tcp) o un número de protocolo IP de IANA (17) sin ningún puerto de destino.
  • Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
  • Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
• Especifica un destino para la regla de salida. Para obtener más información, consulta las combinaciones de destinos de reglas de salida:
  • DEST_NETWORK_TYPE: define los tipos de red de destino que se van a usar junto con otro parámetro de destino admitido para generar una combinación de destino. Los valores válidos son INTERNET y NON_INTERNET. Para obtener más información, consulta Tipos de redes.
  • DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
  • DEST_ADDRESS_GROUPS: lista separada por comas de grupos de direcciones especificados por sus identificadores de URL únicos.
  • DEST_DOMAIN_NAMES: una lista de objetos de FQDN separados por comas especificados en el formato de nombre de dominio.
  • DEST_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización.
  • DEST_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall.
• Si quiere, puede especificar un origen para la regla de salida:
  • SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Actualizar una regla

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.get
• compute.regionFirewallPolicies.update

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú de selección de proyectos, elija el proyecto que contenga la política de firewall de red regional.
3. Haga clic en el nombre de la política de cortafuegos de red regional que contenga la regla que quiera actualizar.
4. Haz clic en la prioridad de la regla.
5. Haz clic en Editar.
6. Modifica los campos de la regla de cortafuegos que quieras cambiar. Para ver las descripciones de cada campo, consulte uno de los siguientes artículos:
   • Crear una regla de entrada para los destinos de VM
   • Crear una regla de entrada para los destinos de balanceadores de carga de aplicaciones internos y balanceadores de carga de red de proxy internos
   • Crear una regla de salida para destinos de VM
7. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY
--firewall-policy=POLICY_NAME
--firewall-policy-region=POLICY_REGION
[...other flags that you want to modify...]

Haz los cambios siguientes:

• PRIORITY: número de prioridad que identifica de forma única la regla.
• POLICY_NAME: nombre de la política que contiene la regla.
• POLICY_REGION: la región de la política que contiene la regla.

Proporciona las marcas que quieras modificar. Para ver las descripciones de las marcas, consulta uno de los siguientes artículos:

• Crear una regla de entrada para destinos de VM
• Crear una regla de entrada para los destinos de balanceadores de carga de aplicaciones internos y balanceadores de carga de red de proxy internos
• Crear una regla de salida para destinos de VM

Describe una regla

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.get

Roles

• Administrador de redes de Compute (roles/compute.networkAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos o
• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú del selector de proyectos, selecciona el proyecto que contenga la política.
3. Haz clic en tu política.
4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY
--firewall-policy=POLICY_NAME
--firewall-policy-region=POLICY_REGION

Haz los cambios siguientes:

• PRIORITY: número de prioridad que identifica de forma única la regla.
• POLICY_NAME: nombre de la política que contiene la regla.
• POLICY_REGION: la región de la política que contiene la regla.

Eliminar una regla

Si se elimina una regla de una política, la regla dejará de aplicarse a las nuevas conexiones hacia o desde el destino de la regla.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.update

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú del selector de proyectos, selecciona el proyecto que contenga la política.
3. Haz clic en tu política.
4. Selecciona la regla que quieras eliminar.
5. Haz clic en Eliminar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY
--firewall-policy=POLICY_NAME
--firewall-policy-region=POLICY_REGION

Haz los cambios siguientes:

• PRIORITY: número de prioridad que identifica de forma única la regla.
• POLICY_NAME: nombre de la política que contiene la regla.
• POLICY_REGION: la región de la política que contiene la regla.

Clonar reglas de una política a otra

Al clonar una política, se copian las reglas de la política de origen en la de destino, y se sustituyen todas las reglas que ya hubiera en la política de destino.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.regionFirewallPolicies.cloneRules

Roles

• Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos o en el proyecto que contiene la política de cortafuegos

Consola

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.
   Ir a Políticas de cortafuegos
2. En el menú del selector de proyectos, selecciona el proyecto que contenga la política.
3. Haz clic en la política de la que quieras copiar las reglas.
4. En la parte superior de la pantalla, haz clic en Clonar.
5. Indica el nombre de una política de destino.
6. Si quieres asociar la nueva política inmediatamente, haz clic en Continuar > Asociar.
7. En la página Asociar política a redes de VPC, selecciona las redes y haz clic en Asociar.
8. Haz clic en Continuar.
9. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY
--region=TARGET_POLICY_REGION
--source-firewall-policy=SOURCE_POLICY

Haz los cambios siguientes:

• TARGET_POLICY: el nombre de la política de destino.
• TARGET_POLICY_REGION: la región de la política de destino.
• SOURCE_POLICY: URL de la política de origen.

Obtener las reglas de cortafuegos en vigor de una región de una red

Puede ver todas las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC, las reglas de políticas de cortafuegos de red globales y las reglas de políticas de cortafuegos de red regionales que se aplican a una región específica de una red de VPC.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.networks.getEffectiveFirewalls
• compute.networks.getRegionEffectiveFirewalls

Roles

• Usuario de red de Compute (roles/compute.networkUser) en el proyecto que contiene la red o
• Lector de red de Compute (roles/compute.networkViewer) en el proyecto que contiene la red o
• Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la red o
• Lector de Compute (roles/compute.viewer) en el proyecto que contiene la red

gcloud

gcloud compute network-firewall-policies get-effective-firewalls
--region=REGION_NAME
--network=NETWORK_NAME

Haz los cambios siguientes:

• REGION_NAME: la región de la que quieres ver las reglas vigentes.
• NETWORK_NAME: la red de la que quieres ver las reglas efectivas.