Sådan konfigureres firewallregler i Google Cloud Platform?

Spekulerer på, hvordan man tillader eller nægter netværksstrøm på Google Cloud Platform (GCP)?


Hvert projekt, du opretter i GCP, leveres med standard firewallreglerne.

Lad os undersøge, hvad er de.

  • standard-tillader-ICMP – tillad fra enhver kilde til al netværks-IP. ICMP-protokol bruges mest til at pinge målet.
  • standard-tillade-interne – tilslut forbindelse mellem forekomster på enhver port.
  • standard-tillader-RDP – tillad RDP-session at oprette forbindelse til Windows-servere fra enhver kilde.
  • standard-tillader-ssh – aktiver SSH-session til at oprette forbindelse til UNIX-servere fra enhver kilde.

Som du kan se standardreglerne tillader grundlæggende forbindelse til at aktivere ping til og login til serveren.

Har du brug for mere end dette?

Det er jeg sikker på, at du gør. Det er her du har brug for at vide, hvordan du konfigurerer baseret på behov.

GCP-firewall er softwaredefinerede regler; behøver du ikke at lære eller logge på konventionelle firewallhardware-enheder.

Google Cloud-firewall-regler er tilstede.

Al konfiguration udføres enten via GCP Console eller kommandoer. Jeg vil dog forklare, hvordan man gør ved hjælp af en konsol.

Firewall-regler er tilgængelige under VPC-netværk i netværksafsnittet i menuen til venstre.

Når du klikker på oprette en firewall-regel, vil den bede dig om forbindelsesdetaljer. Lad os forstå, hvad alle muligheder, vi har, og hvad det betyder.

Navn – navn på firewall (kun med små bogstaver og ingen plads er tilladt)

Beskrivelse – valgfrit, men godt at indtaste noget meningsfuldt, så du husker i fremtiden

Netværk – Hvis du ikke har oprettet nogen VPC, vil du kun se standard og forlade den som den er. Hvis du dog har flere VPC, skal du vælge det netværk, hvor du vil anvende firewall-reglerne.

Prioritet – regelprioritet, der anvendes på netværket. Laveste fik højeste prioritet, og det starter fra 1000. I de fleste tilfælde vil du beholde alle kritiske tjenester (HTTP, HTTPS osv.) Med prioritet 1000.

Retning af trafik – vælg flowtype mellem indtrængen (indgående) og udgangen (udgående).

Handling på kamp – vælg, om du vil tillade eller afvise

Mål – målet, hvor du vil anvende reglerne. Du har en mulighed for at anvende reglerne på alle forekomster i netværket, kun tillade på specifikke tags eller servicekonto.

Kildefilter – en kilde, der vil blive valideret til enten at tillade eller afvise. Du kan filtrere efter IP-intervaller, undernetværk, kildetags og servicekonti.

Kilde IP-intervaller – hvis valgt IP-område i kildefilteret, der er standard, skal du angive det IP-interval, der vil være tilladt.

Anden kildefilter – validering af flere kilder er mulig.

Eks: du kan have det første kildefilter som kildetags og det andet filter som en servicekonto. Uanset hvilket match det vil være tilladt / afvist.

Protokol og porte – Du kan enten vælge alle porte eller specificere en enkelt (TCP / UDP). Du kan have flere unikke porte i en enkelt regel.

Lad os udforske scenarier i realtid …

Du har ændret SSH-port fra 22 til noget andet (lad os sige 5000) af sikkerhedsmæssige årsager. Siden da kan du ikke komme ind i en VM.

Hvorfor?

Nå, du kan nemt gætte, fordi port 5000 ikke er tilladt i firewall. For at tillade det, skal du oprette en firewall-regel som nedenfor.

  • Angiv et regelnavn
  • Vælg indtrængning i trafikretningen
  • Vælg at give mulighed for kamphandling
  • Vælg alle forekomster i et netværk i mål (forudsat at du vil oprette forbindelse til en hvilken som helst VM med port 5000)
  • Vælg IP-intervaller i kildefilter (forudsat at du vil oprette forbindelse fra NOE kilder)
  • Angiv kilde-IP-intervaller som 0.0.0.0/0
  • Vælg specificerede protokoller og porte, og indtast tcp: 5000
  • Klik på Opret

Prøv at forbinde din VM med port 5000, og det skal være ok.

Nogle af bedste praksis til styring af firewall-regler.

  • Tillad kun det, der kræves (behov-basis)
  • Hvor det er muligt, skal du angive IP-kilder eller intervaller i stedet for 0.0.0.0/0 (ANY)
  • Knyt VM-forekomster til tags og brug det i mål i stedet for alle tilfælde
  • Kombiner flere porte i en enkelt regel for at matche kilde og destination
  • Gennemgå regelmæssigt firewallregler

GCPs grafiske interface er let at forstå og styre.

Jeg håber, at dette giver dig en idé om styring af Google Cloud Platform-firewallregler. Hvis jeg er interesseret i at lære mere, vil jeg anbefale dette online kursus.

Tags:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map