Políticas de firewall de redes globales

Las políticas de firewall de red globales te permiten actualizar por lotes todas las reglas de firewall mediante su agrupación en un solo objeto de política. Puedes asignar políticas de firewall de red a una red de nube privada virtual (VPC). Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita.

Especificaciones

  • Las políticas de firewall de red global son recursos de contenedor para las reglas de firewall. Cada recurso de política de firewall de red global se define dentro de un proyecto.
    • Después de crear una política de firewall de red global, puedes agregar, actualizar y borrar reglas de firewall en la política.
    • Para obtener información sobre las reglas de firewall de red global, consulta Reglas de política de firewall.
  • Para aplicar reglas de política de firewall de red global a una red de VPC, debes associate la política de firewall con esa red de VPC.
    • Puedes asociar una política de firewall de red global con varias redes de VPC. Asegúrate de que la política de firewall y las redes asociadas pertenezcan al mismo proyecto.
    • Cada red de VPC puede asociarse solo con una política de firewall de red global.
    • Si la política de firewall no está asociada con ninguna red de VPC, las reglas en esa política no tendrán efecto. Una política de firewall que no está asociada con ninguna red es una política de firewall de red global no asociada.
  • Cuando una política de firewall de red global está asociada con una o más redes de VPC, las reglas de la política de firewall se aplican de las siguientes maneras:
    • Las reglas existentes se aplican a los recursos aplicables en las redes de VPC asociadas.
    • Los cambios realizados en las reglas se aplican a los recursos aplicables en las redes de VPC asociadas.
  • Las reglas de firewall de red global se aplican junto con otras reglas de firewall, como se describe en Orden de evaluación de reglas y políticas.
  • Las reglas de políticas de firewall de red globales se usan para configurar la inspección de la capa 7 del tráfico coincidente, por ejemplo, mientras se usa el servicio de prevención de intrusiones.

    Crea una regla de política de firewall con la acción apply_security_profile_group y el nombre del grupo de perfil de seguridad. El tráfico que coincide con la regla de política de firewall se reenvía de forma transparente al extremo de firewall para la inspección de la capa 7. Para obtener información sobre cómo crear una regla de política de firewall, consulta Crea reglas de firewall de red globales.

Detalles de la reglas de las políticas de firewall de red globales

Para obtener más información sobre los componentes y parámetros de las reglas en una política de firewall de red global, consulta Reglas de políticas de firewall.

En la siguiente tabla, se resumen las diferencias clave entre las reglas de política de firewall de red global y las reglas de firewall de VPC:

Reglas de políticas de firewall de la red globales Reglas de firewall de VPC
Número de prioridad Debe ser único en la política Se permiten las prioridades duplicadas
Cuentas de servicio como objetivos
Cuentas de servicio como fuentes
(solo reglas de entrada)
No
Tipo de etiqueta Etiqueta segura Etiqueta de red
Nombre y descripción Nombre de la política, política y descripción de la regla Nombre y descripción de la regla
Actualización por lotes Sí (para clonación de política, edición y reemplazo de funciones) No
Reutilizar No
Cuota Recuento de atributos: se basa en la complejidad total de cada regla en la política Recuento de reglas: las reglas de firewall complejas y simples tienen el mismo impacto de cuota

Reglas predefinidas

Cuando creas una política de firewall de red global, Cloud Next Generation Firewall agrega reglas predefinidas con la prioridad más baja a la política. Estas reglas se aplican a cualquier conexión que no coincida con una regla definida de manera explícita en la política, lo que provoca que esas conexiones se pasen a políticas o reglas de red de nivel inferior.

Para obtener información sobre los distintos tipos de reglas predefinidas y sus características, consulta Reglas predefinidas.

roles de Identity and Access Management (IAM)

Los roles de IAM rigen las siguientes acciones en relación con las políticas de red de firewall globales:

  • Crea una política de firewall de red global
  • Asocia una política con una red
  • Modificar una política existente
  • Visualizar las reglas de firewall vigentes para una red o VM en particular

En la siguiente tabla, se describen los roles necesarios para cada acción:

Acción Rol necesario
Crea una nueva política de firewall de red global Rol compute.securityAdmin en el proyecto al que pertenece la política
Asocia una política con una red Rol compute.networkAdmin en el proyecto en el que se ubicará la política
Modificar la política agregando, actualizando o borrando reglas de firewall de la política El rol compute.securityAdmin en el proyecto en el que se ubicará la política
Borrar la política Rol compute.networkAdmin en el proyecto en el que se ubicará la política
Visualizar las reglas de firewall vigentes para una red de VPC Cualquiera de los siguientes roles para la red:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Visualizar las reglas de firewall vigentes para una VM en una red Cualquiera de los siguientes roles para la VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Los siguientes roles son pertinentes a las políticas de firewall de red globales.

Nombre del rol Descripción
compute.securityAdmin Se puede otorgar a nivel de proyecto o de política. Si se otorga para un proyecto, permite a los usuarios crear, actualizar y borrar políticas de firewall de red globales y sus reglas. A nivel de la política, permite a los usuarios actualizar las reglas de la política, pero no crear ni borrar la política. Esta función también permite a los usuarios asociar una política con una red.
compute.networkAdmin Se otorga a nivel de proyecto o a nivel de red. Si se otorga para una red, permite que los usuarios vean la lista de políticas de firewall de red globales.
compute.viewer
compute.networkUser
compute.networkViewer
Permite que los usuarios vean las reglas de firewall que se aplicaron a la red o a la instancia.
Incluye el permiso compute.networks.getEffectiveFirewalls para las redes y el compute.instances.getEffectiveFirewalls para las instancias.