Para controlar el tráfico de red en tu entorno de Google Cloud , administra las políticas de firewall de red globales y sus reglas. En esta página, se describe cómo enumerar, describir y actualizar las políticas y sus reglas individuales. Aprenderás a clonar reglas entre políticas y a administrar las asociaciones de políticas con tus redes de nube privada virtual (VPC).
Antes de leer esta página, asegúrate de conocer los conceptos que se describen en la Descripción general de las políticas de firewall de red globales.
Tareas de políticas de firewall
En esta sección, se describe cómo administrar las políticas de firewall de red globales.
Describe una política de firewall de red global
Puedes ver detalles sobre una política de firewall de red global, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se incluyen en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de regla por política de firewall de red global" en la tabla Por política de firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política de firewall de red global.
Haz clic en tu política.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
Actualiza la descripción de la política de firewall de red global
El único campo de una política que se puede actualizar es el campo Descripción.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política de firewall de red global.
Haz clic en tu política.
Haz clic en Editar.
En el campo Descripción, cambia el texto.
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
Enumera las políticas de firewall de red globales
Puedes ver una lista de las políticas disponibles en tu proyecto.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
En la sección Políticas de firewall de red, se muestran las políticas disponibles en tu proyecto.
gcloud
gcloud compute network-firewall-policies list --global
Quita la asociación de red
Si necesitas cambiar la política de firewall de red global asociada a una red de VPC, te recomendamos que primero asocies una política nueva en lugar de borrar una política asociada existente. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que siempre haya una política de firewall de red global asociada a la red de VPC.
Para borrar una asociación entre una política de firewall de red global y una red de VPC, sigue los pasos que se mencionan en esta sección. Las reglas de la política de firewall de red global no se aplican a las conexiones nuevas después de que se borra su asociación.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige tu proyecto o la carpeta que contiene la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieres borrar.
Haz clic en Quitar asociación.
gcloud
gcloud compute network-firewall-policies associations delete \
--firewall-policy FIREWALL_POLICY \
--name ASSOCIATION_NAME \
--firewall-policy-region FIREWALL_POLICY_REGION \
--global-firewall-policy
Borra una política de firewall de red global
Antes de borrar una política de firewall de red global, debes borrar todas sus asociaciones.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en la política que deseas borrar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se quiten todas las asociaciones, haz clic en Borrar.
gcloud
Usa el siguiente comando para borrar la política:
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
Tareas de reglas de políticas de firewall
En esta sección, se describe cómo administrar las reglas de las políticas de firewall de red globales.
Clona reglas de una política a otra
La clonación copia las reglas de una política de origen a una política de destino y reemplaza todas las reglas existentes en la política de destino.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en la política desde la que deseas copiar las reglas.
Haz clic en Clonar en la parte superior de la pantalla.
Proporciona el nombre de una política de destino.
Si deseas asociar la política nueva de inmediato, haz clic en Continuar > Asociar.
En la página Asociar política con redes de VPC, selecciona las redes y haz clic en Asociar.
Haz clic en Continuar.
Haz clic en Clonar.
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
Reemplaza lo siguiente:
TARGET_POLICY: Es el nombre de la política de destino.SOURCE_POLICY: Es la URL de la política de origen.
Describe una regla
Puedes ver detalles sobre una regla específica en una política de firewall de red global.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.
Actualiza una regla de política de firewall de red global
Puedes modificar una regla de política de firewall de red global para cambiar los atributos de la regla, como la acción en caso de coincidencia, los rangos de direcciones IP o los protocolos y puertos.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política de firewall de red global.
Haz clic en el nombre de la política de firewall de red global que contiene la regla que deseas actualizar.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos de la regla de firewall que deseas cambiar. Para obtener descripciones sobre cada campo, consulta uno de los siguientes recursos:
Haz clic en Guardar.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy \
[...other flags that you want to modify...]
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.
Proporciona las marcas que deseas modificar. Para ver las descripciones de las marcas, consulta una de las siguientes opciones:
Visualiza las reglas de firewall vigentes para una interfaz de VM
Puedes ver todas las reglas de firewall (de todas las políticas de firewall aplicables y las reglas de firewall de VPC) que se aplican a una interfaz de red de una VM de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Instancias de VM.
En el menú de selección de proyectos, selecciona el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en el nombre de la interfaz.
En la sección Análisis de configuración de red, haz clic en la pestaña Firewalls.
Para ver las reglas de firewall efectivas, haz clic en la pestaña Vista de reglas de firewall.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Reemplaza lo siguiente:
INSTANCE_NAME: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0).INTERFACE: Es la interfaz de la VM para la que deseas ver las reglas efectivas; el valor predeterminado esnic0.ZONE: la zona de la VM. Esta línea es opcional si la zona deseada ya está configurada como predeterminada.
Visualiza las reglas de firewall vigentes para una red
Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a todas las regiones de una red de VPC.
Console
En la consola de Google Cloud , ve a la página Redes de VPC.
Haz clic en la red para la que deseas ver las reglas de la política de firewall.
En la página Detalles de la red de VPC, haz clic en la pestaña Firewalls.
Para ver las reglas que se aplican a esta red, haz clic en la pestaña Vista de reglas de firewall.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Reemplaza NETWORK_NAME por la red para la que deseas ver las reglas vigentes.
También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.
Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.
Borra una regla de una política
Si borras una regla de una política, esta dejará de aplicarse a las conexiones nuevas hacia el destino de la regla o desde él.
Console
En la consola de Google Cloud , ve a la página Políticas de firewall.
En el menú de selección de proyectos, elige el proyecto que contiene la política.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
Reemplaza lo siguiente:
PRIORITY: Es el número de prioridad que identifica de forma única la regla.POLICY_NAME: Es el nombre de la política que contiene la regla.
¿Qué sigue?
- Políticas de firewall de redes regionales
- Políticas jerárquicas de firewall
- Crea reglas y políticas de firewall de red globales