Administra políticas y reglas de firewall jerárquicas

Las políticas de firewall jerárquicas proporcionan un control detallado sobre el tráfico de tu red. En esta página, se describe cómo administrar las políticas de firewall jerárquicas y sus reglas para proteger tus recursos de Google Cloud .

Antes de leer esta página, asegúrate de conocer los conceptos que se describen en la descripción general de las políticas de firewall jerárquicas. Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Tareas de políticas de firewall

En esta sección, se describe cómo administrar las políticas de firewall jerárquicas.

Para verificar el progreso de una operación que resulta de una tarea que se indica en esta sección, asegúrate de que tu principal de IAM tenga los siguientes permisos o roles además de los permisos o roles necesarios para cada tarea.

Describe una política

Puedes ver detalles sobre una política de firewall jerárquica, incluidas las reglas de la política y los atributos de regla asociados. Todos estos atributos de regla se incluyen en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de reglas por política de firewall jerárquica" en la tabla Por política de firewall.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Enumera políticas

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

    Para una organización, en la sección Políticas de firewall asociadas a esta organización, se muestran las políticas asociadas. En la sección Políticas de firewall ubicadas en esta organización, se enumeran las políticas que son propiedad de la organización.

    Para una carpeta, en la sección Políticas de firewall asociadas a esta carpeta o heredadas por esta carpeta, se muestran las políticas asociadas o heredadas por la carpeta. En la sección Políticas de firewall ubicadas en esta carpeta, se enumeran las políticas que son propiedad de la carpeta.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Enumera las asociaciones de un recurso

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Para el recurso seleccionado (organización o carpeta), aparece una lista de políticas asociadas y heredadas.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mueve una política de un recurso a otro

Mover una política solo cambia su política principal. Cambiar el elemento superior de la política puede cambiar qué principales de IAM pueden crear y actualizar reglas en la política, y qué principales de IAM pueden crear asociaciones futuras.

Mover una política no cambia ninguna asociación de política existente ni la evaluación de las reglas en la política.

Console

Usa la CLI de Google Cloud para este procedimiento.

gcloud

Ejecuta estos comandos para mover la política de firewall jerárquica a una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Ejecuta estos comandos para mover la política de firewall jerárquica a una carpeta de una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Reemplaza lo siguiente:

  • POLICY_NAME: puede ser el nombre corto o el nombre generado por el sistema de la política que mueves
  • ORG_ID: Es el ID de la organización a la que se transfiere la política.
  • FOLDER_ID: ID de la carpeta a la que se mueve la política

Actualiza una descripción de la política

El único campo de una política que se puede actualizar es el campo Descripción.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en Editar.

  5. Modifica la descripción.

  6. Haz clic en Guardar.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Borra una asociación

Si necesitas cambiar la política de firewall jerárquica asociada a una organización o carpeta, te recomendamos que asocies una política nueva en lugar de borrar una política asociada existente. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que una política de firewall jerárquica siempre esté asociada a la organización o la carpeta.

Para borrar una asociación entre una política de firewall jerárquica y una organización o carpeta, sigue los pasos que se mencionan en esta sección. Las reglas de la política de firewall jerárquica no se aplican a las conexiones nuevas después de que se borra su asociación.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona la asociación que quieres borrar.

  6. Haz clic en Quitar asociación.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Borra una política

Antes de borrar una política de firewall jerárquica, debes borrar todas sus asociaciones.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en la política que deseas borrar.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Quitar asociación.

  7. Una vez que se quiten todas las asociaciones, haz clic en Borrar.

gcloud

Usa el siguiente comando para borrar la política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Tareas de reglas de políticas de firewall

En esta sección, se describe cómo administrar las reglas de políticas de firewall jerárquicas.

Clona reglas de una política a otra

Quita todas las reglas de la política de destino y reemplázalas por las reglas de la política de origen.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en la política de la que deseas copiar reglas.

  4. Haz clic en Clonar en la parte superior de la pantalla.

  5. Proporciona el nombre de una política de destino.

  6. Opcional: Si deseas asociar la política nueva de inmediato, haz clic en Continuar para abrir la sección Asociar política con recursos.

  7. Haz clic en Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Reemplaza los siguientes elementos:

  • POLICY_NAME: La política que recibirá las reglas copiadas
  • SOURCE_POLICY: La política de la que se deben copiar las reglas; debe ser la URL del recurso
  • ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Describe una regla

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Reemplaza lo siguiente:

  • POLICY_NAME: Es el nombre de la política de firewall jerárquica que contiene la regla nueva.
  • ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Enumera todas las reglas en una política

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política. Las reglas se enumeran en la pestaña Reglas de firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Reemplaza lo siguiente:

  • POLICY_NAME: Es el nombre de la política de firewall jerárquica que contiene la regla.
  • ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Actualiza una regla

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú del selector de proyectos, selecciona la organización o la carpeta que contiene la política de firewall jerárquica.

  3. Haz clic en el nombre de la política de firewall jerárquica que contiene la regla que deseas actualizar.

  4. Haz clic en la prioridad de la regla.

  5. Haz clic en Editar.

  6. Modifica los campos de la regla de firewall que deseas cambiar. Para obtener descripciones sobre cada campo, consulta uno de los siguientes recursos:

  7. Haz clic en Guardar.

gcloud 

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Reemplaza lo siguiente:

  • PRIORITY: Es el número de prioridad que identifica de forma única la regla.
  • POLICY_NAME: Es el nombre de la política que contiene la regla.
  • ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Proporciona las marcas que deseas modificar. Para ver las descripciones de las marcas, consulta una de las siguientes opciones:

Borrar una regla

Si borras una regla de una política, esta dejará de aplicarse a las conexiones nuevas hacia el destino de la regla o desde él.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieres borrar.

  5. Haz clic en Borrar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad de la regla que deseas borrar de la política.
  • POLICY_NAME: Es el nombre de la política de firewall jerárquica que contiene la regla.
  • ORG_ID: Es el ID de la organización que contiene la política de firewall jerárquica.

Obtén reglas de firewall efectivas para una red

Puedes ver todas las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales que se aplican a todas las regiones de una red de VPC.

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en la red para la que deseas ver las reglas de la política de firewall.

  3. Haz clic en Firewalls.

  4. Expande cada política de firewall para ver las reglas que se aplican a esta red.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Reemplaza NETWORK_NAME por la red para la que deseas ver las reglas vigentes.

También puedes ver las reglas de firewall efectivas para una red desde la página Firewall.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. Las políticas de firewall se enumeran en la sección Políticas de firewall que heredó este proyecto.

  3. Haz clic en las políticas de firewall para ver las reglas que se aplican a esta red.

Obtén reglas de firewall efectivas para una interfaz de VM

Puedes ver todas las reglas de firewall (de todas las políticas de firewall aplicables y las reglas de firewall de VPC) que se aplican a una interfaz de red de una VM de Compute Engine.

Console

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En el menú de selección de proyectos, selecciona el proyecto que contiene la VM.

  3. Haz clic en la VM.

  4. En Interfaces de red, haz clic en la interfaz.

  5. Las reglas de firewall efectivas aparecen en la pestaña Firewalls disponible en la sección Análisis de configuración de red.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Reemplaza lo siguiente:

  • INSTANCE_NAME: Es la VM para la que deseas ver las reglas efectivas; si no se especifica ninguna interfaz, el comando muestra reglas para la interfaz principal (nic0).
  • INTERFACE: Es la interfaz de la VM para la que deseas ver las reglas efectivas; el valor predeterminado es nic0.
  • ZONE: la zona de la VM. Esta línea es opcional si la zona deseada ya está configurada como predeterminada.

Soluciona problemas

En esta sección, se incluyen explicaciones para los mensajes de error que puedes encontrar cuando creas políticas de firewall jerárquicas.

  • FirewallPolicy may not specify a name. One will be provided.

    No puedes especificar un nombre de política. Los “nombres” de la política jerárquica de firewall son IDs numéricos que se generan Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.

  • FirewallPolicy may not specify associations on creation.

    Las asociaciones solo se pueden crear después de que se crean las políticas jerárquicas de firewall.

  • Can't move firewall policy to a different organization.

    Las transferencias de políticas jerárquicas de firewall deben permanecer dentro de la misma organización.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Si un recurso ya está adjunto a una política jerárquica de firewall, la operación de adjunto fallará, a menos que la opción para reemplazar las asociaciones existentes esté configurada como verdadera.

  • Can't have rules with the same priorities.

    Las prioridades de las reglas deben ser únicas en una política jerárquica de firewall.

  • Direction must be specified for a firewall policy rule.

    Cuando se crean reglas de políticas de firewall jerárquicas mediante el envío directo de solicitudes de REST, se debe especificar la dirección de la regla. Cuando se usa Google Cloud CLI y no se especifica ninguna dirección, el valor predeterminado es INGRESS.

  • Can't specify enable_logging on a goto_next rule.

    El registro de firewall no está permitido en las reglas con acción goto_next, ya que las acciones goto_next se usan para representar el orden de evaluación de diferentes políticas de firewall, y no son acciones de la terminal, es decir, PERMITIR o RECHAZAR.

  • Must specify at least one destination on Firewall policy rule.

    La marca layer4Configs en la regla de política de firewall debe especificar al menos un protocolo o un protocolo y un puerto de destino.

    Si quieres obtener más información para solucionar problemas de reglas de políticas de firewall, consulta Solución de problemas de las reglas de firewall de VPC.

¿Qué sigue?