Políticas de cortafuegos

Las políticas de cortafuegos te permiten agrupar varias reglas de cortafuegos para poder actualizarlas todas a la vez, controladas de forma eficaz por los roles de gestión de identidades y accesos (IAM). Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, al igual que las reglas de cortafuegos de la nube privada virtual (VPC).

Políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten agrupar reglas en un objeto de política que se puede aplicar a muchas redes de VPC de uno o varios proyectos. Puedes asociar políticas de cortafuegos jerárquicas a toda una organización o a carpetas concretas.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos jerárquicas, consulta Políticas de cortafuegos jerárquicas.

Políticas de cortafuegos de red globales

Las políticas de cortafuegos de red globales te permiten agrupar reglas en un objeto de política que se aplica a todas las regiones (global). Una política de cortafuegos no se aplica hasta que se asocia a una red VPC. Para asociar una política de cortafuegos de red global a una red, consulta Asociar una política a una red. Después de asociar una política de cortafuegos de red global a una red de VPC, las reglas de la política se pueden aplicar a los recursos de la red de VPC. Solo puedes asociar una política de cortafuegos de red a una red de VPC.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos de red globales, consulta Políticas de cortafuegos de red globales.

Políticas de cortafuegos de red regionales

Las políticas de cortafuegos de red regionales te permiten agrupar reglas en un objeto de política que se aplica a una región específica. Una política de cortafuegos de red regional no surte efecto hasta que se asocia a una red VPC de la misma región. Para asociar una política de cortafuegos de red regional a una red, consulta Asociar una política a la red. Después de asociar una política de cortafuegos de red regional a una red de VPC, las reglas de la política se pueden aplicar a los recursos de esa región de la red de VPC.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos regionales, consulta Políticas de cortafuegos de red regionales.

Aplicar políticas y reglas de cortafuegos a una red

Las redes de VPC normales admiten reglas de cortafuegos en políticas de cortafuegos jerárquicas, políticas de cortafuegos de red globales, políticas de cortafuegos de red regionales y reglas de cortafuegos de VPC. Todas las reglas de cortafuegos se programan como parte de la pila de virtualización de redes de Andromeda.

En el caso de las redes de VPC de RoCE, consulta Cloud NGFW para redes de VPC de RoCE en lugar de esta sección.

Orden de aplicación de las políticas de cortafuegos de red

Cada red de VPC normal tiene un orden de aplicación de la política de cortafuegos de red que controla cuándo se evalúan las reglas de las políticas de cortafuegos de red globales y regionales.

  • AFTER_CLASSIC_FIREWALL (predeterminado): Cloud NGFW evalúa las reglas de cortafuegos de VPC antes de evaluar las reglas de las políticas de cortafuegos de red globales y regionales.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red globales y regionales antes de evaluar las reglas de cortafuegos de VPC.

Para cambiar el orden de aplicación de las políticas de cortafuegos de red, haga lo siguiente:

  • Usa el método networks.patch y asigna el atributo networkFirewallPolicyEnforcementOrder de la red VPC.

  • Usa el comando gcloud compute networks update con la marca --network-firewall-policy-enforcement-order.

    Por ejemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Proceso de evaluación de reglas de cortafuegos

En el caso de un paquete determinado, Cloud NGFW evalúa las siguientes reglas exclusivamente en función de la dirección del tráfico:

  • Reglas de cortafuegos de entrada si un recurso de destino recibe el paquete.
  • Reglas de cortafuegos de salida si un recurso de destino envía el paquete.

Cloud NGFW evalúa las reglas de cortafuegos en un orden específico. El orden depende del orden de aplicación de la política de cortafuegos de la red, que puede ser AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

Orden de evaluación de las reglas en el orden de cumplimiento de AFTER_CLASSIC_FIREWALL

En el AFTER_CLASSIC_FIREWALLorden de aplicación de las políticas de cortafuegos de red, Cloud NGFW evalúa las reglas de cortafuegos de VPC después de evaluar las reglas de las políticas de cortafuegos jerárquicas. Este es el orden de evaluación predeterminado.

Las reglas de cortafuegos se evalúan en el siguiente orden:

  1. Políticas de cortafuegos jerárquicas.

    Cloud NGFW evalúa las políticas de cortafuegos jerárquicas en el siguiente orden:

    1. La política de cortafuegos jerárquica asociada a la organización que contiene el recurso de destino.
    2. Políticas de cortafuegos jerárquicas asociadas a los ancestros de la carpeta, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.

    Al evaluar las reglas de cada política de cortafuegos jerárquica, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de cortafuegos jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: la evaluación de la regla continúa con una de las siguientes opciones:
      • Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
      • El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.

    Si ninguna regla de una política de cortafuegos jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta una de las siguientes opciones:

    • Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
    • El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.

  2. Reglas de cortafuegos de VPC.

    Al evaluar las reglas de cortafuegos de VPC, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    Cuando una o dos reglas de cortafuegos de VPC coinciden con el tráfico, la acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.

    Si dos reglas coinciden, deben tener la misma prioridad, pero acciones diferentes. En este caso, Cloud NGFW aplica la regla de cortafuegos de deny VPC e ignora la regla de cortafuegos de allow VPC.

    Si ninguna regla de cortafuegos de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.

  3. Política de cortafuegos de red global.

    Al evaluar las reglas de una política de cortafuegos de red global, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de cortafuegos de red global, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: la evaluación de la regla continúa con el paso de la política de cortafuegos de red regional en el orden de evaluación.

    Si ninguna regla de una política de cortafuegos de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de cortafuegos de red regional en el orden de evaluación.

  4. Políticas de cortafuegos de red regionales.

    Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red regionales asociadas a la región y a la red de VPC del recurso de destino.

    Al evaluar las reglas de una política de cortafuegos de red regional, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de cortafuegos de red regional, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: la evaluación de la regla continúa con el siguiente paso en el orden de evaluación.

    Si ninguna regla de una política de cortafuegos de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en el siguiente paso del orden de evaluación.

  5. Reglas de cortafuegos implícitas.

    Cloud NGFW aplica las siguientes reglas de cortafuegos implícitas cuando todas las reglas que coinciden con el tráfico tienen una acción goto_next explícita o cuando la evaluación de las reglas continúa siguiendo acciones goto_next implícitas.

    • Permitir salida implícita
    • Denegación implícita de entrada

En el siguiente diagrama se muestra el orden de evaluación cuando el orden de aplicación de la política de cortafuegos de red es AFTER_CLASSIC_FIREWALL:

Flujo de resolución de reglas de cortafuegos.
Imagen 1. Flujo de resolución de reglas de cortafuegos (haz clic para ampliar).

Orden de evaluación de las reglas en el orden de cumplimiento de BEFORE_CLASSIC_FIREWALL

En el BEFORE_CLASSIC_FIREWALLorden de aplicación de las políticas de cortafuegos de red, Cloud NGFW evalúa las reglas de cortafuegos de VPC después de evaluar las reglas de las políticas de cortafuegos de red.

Las reglas de cortafuegos se evalúan en el siguiente orden:

  1. Políticas de cortafuegos jerárquicas.

    Cloud NGFW evalúa las políticas de cortafuegos jerárquicas en el siguiente orden:

    1. La política de cortafuegos jerárquica asociada a la organización que contiene el recurso de destino.
    2. Las políticas de cortafuegos jerárquicas asociadas a los ancestros de la carpeta, desde la carpeta de nivel superior hasta la carpeta que contiene el proyecto del recurso de destino.

    Al evaluar las reglas de cada política de cortafuegos jerárquica, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de cortafuegos jerárquica, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: la evaluación de la regla continúa con una de las siguientes opciones:
      • Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
      • El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.

    Si ninguna regla de una política de cortafuegos jerárquica coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta una de las siguientes opciones:

    • Una política de cortafuegos jerárquica asociada a un ancestro de la carpeta más cercano al recurso de destino, si existe.
    • El siguiente paso en el orden de evaluación, si se han evaluado todas las políticas de cortafuegos jerárquicas.

  2. Política de cortafuegos de red global.

    Al evaluar las reglas de una política de cortafuegos de red global, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de cortafuegos de red global, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: la evaluación de la regla continúa con el paso de la política de cortafuegos de red regional en el orden de evaluación.

    Si ninguna regla de una política de cortafuegos de red global coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación hasta el paso de la política de cortafuegos de red regional en el orden de evaluación.

  3. Políticas de cortafuegos de red regionales.

    Cloud NGFW evalúa las reglas de las políticas de cortafuegos de red regionales que están asociadas a la región y a la red de VPC del recurso de destino. Si hay varias políticas asociadas a la misma región y red, se evalúa primero la que tenga la prioridad de asociación más alta.

    Al evaluar las reglas de una política de cortafuegos de red regional, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    En una política de cortafuegos de red regional, como máximo, una regla puede coincidir con el tráfico. La acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.
    • goto_next: la evaluación de la regla continúa con el siguiente paso en el orden de evaluación.

    Si ninguna regla de una política de cortafuegos de red regional coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita. Esta acción continúa la evaluación en el siguiente paso del orden de evaluación.

  4. Reglas de cortafuegos de VPC.

    Al evaluar las reglas de cortafuegos de VPC, Cloud NGFW sigue estos pasos:

    1. Ignora todas las reglas cuyos objetivos no coincidan con el recurso de destino.
    2. Ignora todas las reglas que no coincidan con la dirección del paquete.
    3. Evalúa las reglas restantes de la prioridad más alta a la más baja.

      La evaluación se detiene cuando se cumple una de las siguientes condiciones:

      • Una regla que se aplica al recurso de destino coincide con el tráfico.
      • Ninguna regla que se aplique al recurso de destino coincide con el tráfico.

    Cuando una o dos reglas de cortafuegos de VPC coinciden con el tráfico, la acción al coincidir de la regla de cortafuegos puede ser una de las siguientes:

    • allow: la regla permite el tráfico y se detiene toda la evaluación de reglas.
    • deny: la regla rechaza el tráfico y se detiene toda la evaluación de reglas.

    Si dos reglas coinciden, deben tener la misma prioridad, pero acciones diferentes. En este caso, Cloud NGFW aplica la regla de cortafuegos de deny VPC e ignora la regla de cortafuegos de allow VPC.

    Si ninguna regla de cortafuegos de VPC coincide con el tráfico, Cloud NGFW usa una acción goto_next implícita para continuar con el siguiente paso en el orden de evaluación.

  5. Reglas de cortafuegos implícitas.

    Cloud NGFW aplica las siguientes reglas de cortafuegos implícitas cuando todas las reglas que coinciden con el tráfico tienen una acción goto_next explícita o cuando la evaluación de las reglas continúa siguiendo acciones goto_next implícitas.

    • Permitir salida implícita
    • Denegación implícita de entrada

En el siguiente diagrama se muestra el orden de evaluación cuando el orden de aplicación de la política de cortafuegos de red es BEFORE_CLASSIC_FIREWALL:

Flujo de resolución de reglas de cortafuegos.
Imagen 2. Flujo de resolución de reglas de cortafuegos (haz clic para ampliar).

Reglas de cortafuegos efectivas

Las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales y regionales controlan las conexiones. Puede ser útil ver todas las reglas de cortafuegos que afectan a una interfaz de red o de VM concreta.

Reglas de cortafuegos efectivas de la red

Puedes ver todas las reglas de cortafuegos aplicadas a una red de VPC. La lista incluye todos los tipos de reglas siguientes:

  • Reglas heredadas de políticas de cortafuegos jerárquicas
  • Reglas de cortafuegos de VPC
  • Reglas aplicadas desde las políticas de cortafuegos de red globales y regionales

Reglas de cortafuegos efectivas de la instancia

Puedes ver todas las reglas de cortafuegos aplicadas a la interfaz de red de una VM. La lista incluye todos los tipos de reglas siguientes:

  • Reglas heredadas de políticas de cortafuegos jerárquicas
  • Reglas aplicadas desde el cortafuegos de la VPC de la interfaz
  • Reglas aplicadas desde las políticas de cortafuegos de red globales y regionales

Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de la máquina virtual. No se muestran las reglas de otras políticas.

Para ver las reglas de la política de cortafuegos en vigor de una región, consulta Obtener las políticas de cortafuegos regionales en vigor de una red.

Reglas predefinidas

Cuando creas una política de cortafuegos jerárquica, una política de cortafuegos de red global o una política de cortafuegos de red regional, Cloud NGFW añade reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW añade a la política dependen de cómo crees la política.

Si creas una política de cortafuegos con la Trusted Cloud consola, Cloud NGFW añade las siguientes reglas a la nueva política:

  1. Reglas de ir a siguiente para intervalos IPv4 privados
  2. Reglas de denegación de geolocalización predefinidas
  3. Reglas de ir a la siguiente con la prioridad más baja posible

Si creas una política de cortafuegos con la CLI de Google Cloud o la API, Cloud NGFW solo añade a la política las reglas de prioridad más baja posibles para ir a la siguiente.

Todas las reglas predefinidas de una nueva política de cortafuegos usan intencionadamente prioridades bajas (números de prioridad altos) para que puedas anularlas creando reglas con prioridades más altas. A excepción de las reglas de ir a la siguiente con la prioridad más baja posible, también puede personalizar las reglas predefinidas.

Reglas de salto a la siguiente para intervalos de IPv4 privados

  • Una regla de salida con intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridad 1000 y acción goto_next.

  • Una regla de entrada con intervalos IPv4 de origen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridad 1001 y acción goto_next.

Reglas de denegación de geolocalización predefinidas

  • Una regla de entrada con geolocalizaciones de origen coincidentes CU, IR, KP, SY, XC y XD, prioridad 1005 y acción deny.

Para obtener más información sobre las geolocalizaciones, consulta Objetos de geolocalización.

Reglas de ir a la siguiente con la prioridad más baja posible

No puedes modificar ni eliminar las siguientes reglas:

  • Una regla de salida con el intervalo IPv6 de destino ::/0, la prioridad 2147483644 y la goto_next acción.

  • Una regla de entrada con el intervalo IPv6 de origen ::/0, la prioridad 2147483645 y la acción goto_next.

  • Una regla de salida con el intervalo IPv4 de destino 0.0.0.0/0, la prioridad 2147483646 y la goto_next acción.

  • Una regla de entrada con el intervalo IPv4 de origen 0.0.0.0/0, la prioridad 2147483647 y la goto_nextacción.

Siguientes pasos