Usar reglas y políticas de cortafuegos de red globales

En esta página se da por hecho que conoces los conceptos descritos en el resumen de las políticas de cortafuegos de red globales.

Tareas de políticas de cortafuegos

Crear una política de cortafuegos de red global

Puedes crear una política para cualquier red de nube privada virtual (VPC) de tu proyecto. Una vez que hayas creado una política, podrás asociarla a cualquier red de VPC de tu proyecto. Una vez que la política se asocia a una red de VPC, las reglas de la política se activan para las instancias de máquina virtual (VM) de la red asociada.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la lista del selector de proyectos, selecciona el proyecto de tu organización.

  3. Haz clic en Crear política de cortafuegos.

  4. En el campo Nombre, introduce el nombre de la política.

  5. En Ámbito de implementación, selecciona Global (Global).

  6. Para crear reglas para su política, haga clic en Continuar y, a continuación, en Añadir regla.

    Para obtener más información, consulta el artículo Crear reglas de cortafuegos de red globales.

  7. Si quieres asociar la política a una red, haz clic en Continuar y, a continuación, en Asociar política a redes de VPC.

    Para obtener más información, consulta el artículo Asociar una política a la red.

  8. Haz clic en Crear.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Haz los cambios siguientes:

  • NETWORK_FIREWALL_POLICY_NAME: nombre de la política
  • DESCRIPTION: una descripción de la política

Asociar una política a la red

Asocia una política a una red para activar las reglas de la política en cualquier VM de esa red.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Haz clic en Añadir asociaciones.

  6. Selecciona las redes del proyecto.

  7. Haz clic en Asociar.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Haz los cambios siguientes:

  • POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política.
  • NETWORK_NAME: el nombre de tu red.
  • ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se asigna a network-NETWORK_NAME.

Describe una política de cortafuegos de red global

Puede ver todos los detalles de una política, incluidas todas sus reglas de cortafuegos. Además, puede ver muchos atributos en todas las reglas de la política. Estos atributos se tienen en cuenta para calcular el límite de cada política.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política de firewall de red global.

  3. Haz clic en tu política.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Actualizar la descripción de una política de cortafuegos de red global

El único campo de política que se puede actualizar es el de Descripción.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política de firewall de red global.

  3. Haz clic en tu política.

  4. Haz clic en Editar.

  5. En el campo Descripción, cambia el texto.

  6. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Listar políticas de cortafuegos de red globales

Puedes ver una lista de las políticas disponibles en tu proyecto.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

    En la sección Políticas de cortafuegos de red se muestran las políticas disponibles en tu proyecto.

gcloud

gcloud compute network-firewall-policies list --global

Eliminar una política de cortafuegos de red global

Para poder eliminar una política de cortafuegos de red global, primero debes eliminar todas las asociaciones de esa política.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en la política que quieras eliminar.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona todas las asociaciones.

  6. Haz clic en Eliminar asociaciones.

  7. Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

  1. Lista de todas las redes asociadas a una política de cortafuegos:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

  2. Eliminar asociaciones concretas. Para quitar la asociación, debes tener el rol compute.SecurityAdmin en la política de cortafuegos de red global y el rol compute.networkAdmin en la red de VPC asociada.

    gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

  3. Elimina la política:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Eliminar una asociación

Para detener la aplicación de una política de cortafuegos en una red, elimina la asociación.

Sin embargo, si quieres sustituir una política de cortafuegos por otra, no es necesario que elimines la asociación actual. Si se elimina esa asociación, habrá un periodo en el que no se aplicará ninguna de las dos políticas. En su lugar, sustituye la política actual cuando asocies una nueva.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto o la carpeta que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la pestaña Asociaciones.

  5. Selecciona la asociación que quieras eliminar.

  6. Haz clic en Eliminar asociaciones.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tareas de reglas de políticas de cortafuegos

Crear reglas de cortafuegos de red globales

Las reglas de las políticas de cortafuegos de red globales deben crearse en una política de cortafuegos de red global. Las reglas no se activan hasta que asocias la política que las contiene a una red de VPC.

Cada regla de una política de cortafuegos de red global puede incluir intervalos IPv4 o IPv6, pero no ambos.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga tu política.

  3. Haz clic en el nombre de tu política global.

  4. En la pestaña Reglas de cortafuegos, haga clic en Crear.

  5. Rellena los campos de la regla:

    1. En el campo Prioridad, define el número de orden de la regla, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Es recomendable asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 o 300).
    2. En Dirección del tráfico, elige entrada o salida.
    3. En Acción tras coincidencia, elija una de las siguientes opciones:
      1. Permitir: permite las conexiones que coincidan con la regla.
      2. Deny (Denegar): deniega las conexiones que coincidan con la regla.
      3. Ir al siguiente: pasa la evaluación de la conexión a la siguiente regla de cortafuegos inferior de la jerarquía.
      4. Ir a la inspección de la capa 7: envía los paquetes al endpoint del cortafuegos configurado para la inspección y la prevención de la capa 7.
        • En la lista Grupo de perfiles de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
        • Para habilitar la inspección TLS de los paquetes, selecciona Habilitar inspección TLS.
    4. En Recogida de registros, selecciona Activado o Desactivado.
    5. Especifica el objetivo de la regla. Elige una de las siguientes opciones para el campo Tipo de segmentación:
      • Si quieres que la regla se aplique a todas las instancias de la red, elige Todas las instancias de la red.
      • Si quieres que la regla se aplique a instancias concretas por Etiquetas, elige Etiquetas seguras. Haga clic en SELECCIONAR ÁMBITO y elija la organización o el proyecto en el que quiera crear etiquetas. Introduzca los pares clave-valor a los que se aplicará la regla. Para añadir más pares clave-valor, haga clic en AÑADIR ETIQUETA.
      • Si quieres que la regla se aplique a instancias concretas por cuenta de servicio asociada, primero elige Cuenta de servicio y, a continuación, en Ámbito de la cuenta de servicio, indica si la cuenta de servicio está en el proyecto actual o en otro. En el campo Cuenta de servicio de destino, elige o escribe el nombre de la cuenta de servicio.

    6. En el caso de una regla de entrada, especifique el filtro de origen:

      • Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier fuente IPv6.
      • Para limitar la fuente por etiquetas, en la sección Etiquetas, haga clic en SELECCIONAR ÁMBITO. Selecciona la organización o el proyecto para los que quieras crear etiquetas. Introduzca los pares clave-valor a los que se aplicará la regla. Para añadir más pares clave-valor, haga clic en AÑADIR ETIQUETA.

    7. En el caso de una regla de salida, especifica el filtro de destino:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de destino, seleccione IPv6 y, a continuación, introduzca los bloques CIDR en el campo Intervalo de IP. Usa ::/0 para cualquier destino IPv6.

    8. Opcional: Si vas a crear una regla de entrada, especifica los FQDNs de origen a los que se aplica esta regla. Si está creando una regla de salida, seleccione los FQDNs de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombre de dominio, consulta Objetos de FQDN.

    9. Opcional: Si vas a crear una regla de entrada, selecciona las geolocalizaciones de origen a las que se aplica esta regla. Si vas a crear una regla de salida, selecciona las geolocalizaciones de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de geolocalización, consulta Objetos de geolocalización.

    10. Opcional: Si vas a crear una regla de entrada, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones de políticas de cortafuegos.

    11. Opcional: Si vas a crear una regla de entrada, selecciona las listas de Inteligencia de amenazas de Google Cloud de origen a las que se aplica esta regla. Si va a crear una regla de salida, seleccione las listas de Inteligencia de amenazas de Google Cloud de destino a las que se aplica esta regla. Para obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.

    12. Opcional: En el caso de una regla de entrada, especifica los filtros de destino:

      • Para filtrar el tráfico entrante por intervalos de IPv4 de destino, selecciona IPv4 e introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
      • Para filtrar el tráfico entrante por intervalos de IPv6 de destino, selecciona Intervalos de IPv6 e introduce los bloques CIDR en el campo Intervalos de IPv6 de destino. Usa ::/0 para cualquier destino IPv6. Para obtener más información, consulta Destinos de las reglas de entrada.

    13. Opcional: En el caso de una regla de salida, especifica el filtro de origen:

      • Para filtrar el tráfico saliente por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
      • Para filtrar el tráfico saliente por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalo de IPs. Usa ::/0 para cualquier fuente IPv6. Para obtener más información, consulta Fuentes de reglas de salida.

    14. En Protocolos y puertos, especifique si la regla se aplica a todos los protocolos y puertos de destino o a qué protocolos y puertos de destino se aplica.

    15. Haz clic en Crear.

  6. Haz clic en Añadir regla para añadir otra regla.

  7. Para asociar la política a una red, haz clic en Continuar > Asociar política a redes VPC o en Crear para crear la política.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Haz los cambios siguientes:

  • PRIORITY: el orden de evaluación numérico de la regla

    Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Una buena práctica es asignar a las reglas números de prioridad que permitan insertar otras más adelante (por ejemplo, 100, 200 y 300).

  • ACTION: una de las siguientes acciones:

    • allow: permite las conexiones que coincidan con la regla.
    • deny: deniega las conexiones que coincidan con la regla.
    • apply_security_profile_group: envía los paquetes de forma transparente al endpoint del cortafuegos configurado para la inspección de la capa 7.
    • goto_next: pasa la evaluación de la conexión al siguiente nivel de la jerarquía, ya sea una carpeta o la red.

  • POLICY_NAME: nombre de la política de cortafuegos de red global.

  • SECURITY_PROFILE_GROUP: nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7. Especifica este argumento solo cuando se selecciona la acción apply_security_profile_group.

  • --tls-inspect: inspecciona el tráfico de TLS mediante la política de inspección de TLS cuando se selecciona la acción apply_security_profile_group en la regla. De forma predeterminada, la inspección de TLS está inhabilitada. También puedes especificar --no-tls-inspect .

  • TARGET_SECURE_TAG: lista separada por comas de etiquetas seguras para definir objetivos

  • SERVICE_ACCOUNT: lista de cuentas de servicio separada por comas para definir objetivos

  • DIRECTION: indica si la regla es INGRESS o EGRESS. El valor predeterminado es INGRESS.

    • Incluya --src-ip-ranges para especificar los intervalos de direcciones IP de la fuente de tráfico.
    • Incluye --dest-ip-ranges para especificar intervalos de direcciones IP del destino del tráfico.

    Para obtener más información, consulta los artículos sobre objetivos, fuentes y destinos.

  • SRC_NETWORK_TYPE: indica el tipo de tráfico de red de origen al que se aplica la regla de entrada. Puedes asignar a este argumento uno de los siguientes valores:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

  • SRC_VPC_NETWORK: lista separada por comas de redes de VPC

    Solo puedes usar --src-networks cuando --src-network-type se haya definido como VPC_NETWORKS.

  • DEST_NETWORK_TYPE: indica el tipo de tráfico de red de destino al que se aplica la regla de salida. Puedes asignar a este argumento uno de los siguientes valores:

    • INTERNET
    • NON_INTERNET

    Para borrar el valor de este argumento, usa una cadena vacía. Un valor vacío indica todos los tipos de red. Para obtener más información, consulta Tipos de redes.

  • IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Pueden ser todos los intervalos de direcciones IPv4 o todos los intervalos de direcciones IPv6. Por ejemplo:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: una lista de etiquetas separadas por comas.

    No puede usar etiquetas seguras de origen si el tipo de red es INTERNET.

  • COUNTRY_CODE: lista separada por comas de códigos de país de dos letras.

    • Para la dirección de entrada, especifica los códigos de país en la marca --src-region-code. No puedes usar la marca --src-region-code para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • En el caso de la dirección de salida, los códigos de país se especifican en la marca --dest-region-code. No puedes usar la marca --dest-region-code para la dirección de entrada.

  • LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas.

    • En el caso de la dirección de entrada, especifique las listas de Google Threat Intelligence de origen en la marca --src-threat-intelligence. No puedes usar la marca --src-threat-intelligence para la dirección de salida ni cuando --src-network-type se haya definido como NON_INTERNET, VPC_NETWORK o INTRA_VPC.
    • Para la dirección de salida, especifica las listas de Google Threat Intelligence de destino en la marca --dest-threat-intelligence. No puedes usar la marca --dest-threat-intelligence para la dirección de entrada.

  • ADDR_GRP_URL: un identificador de URL único del grupo de direcciones

    • Para la dirección de entrada, especifica los grupos de direcciones de origen en la marca --src-address-groups. No puedes usar la marca --src-address-groups para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-address-groups. No puedes usar la marca --dest-address-groups para la dirección de entrada.

  • DOMAIN_NAME: lista de nombres de dominio separados por comas con el formato descrito en Formato de nombre de dominio

    • Para la dirección de entrada, especifica los nombres de dominio de origen en la marca --src-fqdns. No puedes usar la marca --src-fqdns para la dirección de salida.
    • Para la dirección de salida, especifica los grupos de direcciones de destino en la marca --dest-fqdns. No puedes usar la marca --dest-fqdns para la dirección de entrada.

  • PROTOCOL_PORT: lista separada por comas de nombres o números de protocolos (tcp,17), protocolos y puertos de destino (tcp:80), o protocolos e intervalos de puertos de destino (tcp:5000-6000)

    No puedes especificar un puerto o un intervalo de puertos sin un protocolo. En el caso de ICMP, no puedes especificar un puerto ni un intervalo de puertos. Por ejemplo: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Para obtener más información, consulta protocolos y puertos.

  • --enable-logging y --no-enable-logging: habilita o inhabilita el registro de reglas de cortafuegos de la regla en cuestión.

  • --disabled: indica que la regla de cortafuegos, aunque exista, no se debe tener en cuenta al procesar las conexiones. Si se omite esta marca, se habilita la regla. También puede especificar --no-disabled.

Actualizar una regla

Para ver las descripciones de los campos, consulta Crear reglas de cortafuegos de red globales.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

  5. Haz clic en Editar.

  6. Modifica los campos que quieras cambiar.

  7. Haz clic en Guardar.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Describe una regla

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Haz clic en la prioridad de la regla.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Haz los cambios siguientes:

  • PRIORITY: la prioridad de la regla que quieres ver. Como cada regla debe tener una prioridad única, este ajuste identifica una regla de forma exclusiva.
  • POLICY_NAME: el nombre de la política que contiene la regla

Eliminar una regla de una política

Si eliminas una regla de una política, se quitará de todas las máquinas virtuales que la hereden.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haz clic en tu política.

  4. Selecciona la regla que quieras eliminar.

  5. Haz clic en Eliminar.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Haz los cambios siguientes:

  • PRIORITY: la prioridad de la regla que quieres eliminar de la política
  • POLICY_NAME: la política que contiene la regla

Clonar reglas de una política a otra

Quita todas las reglas de la política de destino y sustitúyelas por las reglas de la política de origen.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En el menú de selección de proyectos, elige el proyecto que contenga la política.

  3. Haga clic en la política de la que quiera copiar las reglas.

  4. En la parte superior de la pantalla, haz clic en Clonar.

  5. Indica el nombre de una política de destino.

  6. Si quieres asociar la nueva política inmediatamente, haz clic en Continuar > Asociar política de red con recursos.

  7. Haz clic en Clonar.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Haz los cambios siguientes:

  • POLICY_NAME: la política de destino en la que quieres sustituir las reglas por las reglas clonadas.
  • SOURCE_POLICY: la URL del recurso de la política de origen desde la que quiere clonar las reglas.

Obtener las reglas de cortafuegos vigentes de una red

Puedes ver todas las reglas de políticas de cortafuegos de jerarquía, las reglas de cortafuegos de VPC y la política de cortafuegos de red global aplicada a una red de VPC específica.

Consola

  1. En la Google Cloud consola, ve a la página Redes de VPC.

    Ir a redes de VPC

  2. Haz clic en la red de la que quieras ver las reglas de la política de cortafuegos.

  3. Haz clic en Políticas de cortafuegos.

  4. Despliega cada política de cortafuegos para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Haz los cambios siguientes:

  • NETWORK_NAME: la red de la que quieres ver las reglas efectivas.

También puedes ver las reglas de cortafuegos efectivas de una red en la página Cortafuegos.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. Las políticas de cortafuegos se muestran en la sección Políticas de cortafuegos que ha heredado este proyecto.

  3. Haga clic en cada política de cortafuegos para ver las reglas que se aplican a esta red.

Obtener las reglas de cortafuegos efectivas de una interfaz de VM

Puede ver todas las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales aplicadas a una interfaz de VM de Compute Engine específica.

Consola

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. En el menú de selección de proyectos, elige el proyecto que contiene la VM.

  3. Haz clic en la VM.

  4. En Interfaces de red, haz clic en la interfaz.

  5. Consulta las reglas de cortafuegos vigentes en Detalles de cortafuegos y rutas.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Haz los cambios siguientes:

  • INSTANCE_NAME: la VM de la que quieres ver las reglas efectivas. Si no se especifica ninguna interfaz, el comando devuelve las reglas de la interfaz principal (nic0).
  • INTERFACE: interfaz de la VM de la que quieres ver las reglas vigentes. El valor predeterminado es nic0.
  • ZONE: la zona de la VM. Esta línea es opcional si la zona elegida ya está definida como predeterminada.