Hoe configureer ik firewallregels in Google Cloud Platform?

Vraagt ​​u zich af hoe u netwerkstromen op Google Cloud Platform (GCP) kunt toestaan ​​of weigeren?


Elk project dat u in GCP maakt, wordt geleverd met de standaard firewallregels.

Laten we eens kijken wat ze zijn.

  • default-allow-icmp – Sta toe van elke bron tot alle netwerk-IP. Het ICMP-protocol wordt meestal gebruikt om het doelwit te pingen.
  • default-allow-internal – connectiviteit toestaan ​​tussen instanties op elke poort.
  • default-allow-rdp – RDP-sessie toestaan ​​om vanaf elke bron verbinding te maken met Windows-servers.
  • default-allow-ssh – schakel SSH-sessie in om vanaf elke bron verbinding te maken met UNIX-servers.

Zoals u kunt zien, staan ​​de standaardregels basisconnectiviteit toe om pingen naar en inloggen op de server mogelijk te maken.

Heeft u meer nodig dan dit?

Ik weet zeker dat je dat doet. Dat is waar u moet weten hoe u moet configureren op basis van behoeften.

GCP-firewall is software-gedefinieerde regels; u hoeft niet te leren of in te loggen op conventionele firewallhardware-apparaten.

De firewallregels van Google Cloud zijn stateful.

Alle configuratie wordt gedaan via GCP Console of via opdrachten. Ik zal echter uitleggen hoe je een console moet gebruiken.

Firewallregels zijn beschikbaar onder het VPC-netwerk in het netwerkgedeelte in het menu aan de linkerkant.

Wanneer u klikt op een firewallregel maken, wordt u gevraagd naar de connectiviteitsgegevens. Laten we eens kijken wat alle opties zijn die we hebben en wat betekent dat.

Naam – naam van de firewall (alleen in kleine letters en er is geen spatie toegestaan)

Omschrijving – optioneel, maar goed om iets zinvols in te voeren, zodat u het zich in de toekomst herinnert

Netwerk – Als je geen VPC hebt gemaakt, zie je alleen de standaard en laat je deze zoals hij is. Als u echter meerdere VPC’s heeft, selecteert u het netwerk waarop u de firewallregels wilt toepassen.

Prioriteit – regelprioriteit toegepast op het netwerk. Laagste heeft de hoogste prioriteit en begint vanaf 1000. In de meeste gevallen wilt u alle kritieke services (HTTP, HTTPS, enz.) Behouden met prioriteit 1000.

Richting van het verkeer – selecteer het stroomtype tussen inkomend (inkomend) en uitgaand (uitgaand).

Actie op wedstrijd – kies of u dit wilt toestaan ​​of weigeren

Doelen – het doelwit waarop u de regels wilt toepassen. Je hebt een optie om de regels toe te passen op alle instanties in het netwerk, alleen toe te staan ​​op specifieke tags of serviceaccount.

Bronfilter – een bron die zal worden gevalideerd om toe te staan ​​of te weigeren. U kunt filteren op IP-bereiken, subnetwerken, brontags en serviceaccounts.

Bron-IP-bereiken – indien geselecteerd IP-bereik in bronfilter dat standaard is, geef dan het IP-bereik op dat zal worden toegestaan.

Tweede bronfilter – validatie van meerdere bronnen is mogelijk.

Bijv .: u kunt het eerste bronfilter gebruiken als brontags en het tweede filter als serviceaccount. Welke overeenkomst ook wordt toegestaan ​​/ geweigerd.

Protocol en poorten – u kunt alle poorten selecteren of een individuele specificeren (TCP / UDP). U kunt in één regel meerdere unieke poorten hebben.

Laten we de realtime scenario’s verkennen …

U heeft om veiligheidsredenen de SSH-poort gewijzigd van 22 in iets anders (laten we zeggen 5000). Sindsdien kunt u geen toegang meer krijgen tot een virtuele machine.

Waarom?

Nou, je kunt het gemakkelijk raden omdat poort 5000 niet is toegestaan ​​in de firewall. Om dit toe te staan, moet u een firewallregel maken, zoals hieronder.

  • Geef een regelnaam op
  • Kies inkomend verkeer
  • Kies ervoor om actie van match toe te staan
  • Selecteer alle instanties in een netwerk in doel (ervan uitgaande dat u verbinding wilt maken met elke virtuele machine met poort 5000)
  • Selecteer IP-bereiken in bronfilter (ervan uitgaande dat u verbinding wilt maken met ELKE bron)
  • Geef bron-IP-bereiken op als 0.0.0.0/0
  • Selecteer gespecificeerde protocollen en poorten en voer tcp: 5000 in
  • Klik op maken

Probeer uw VM te verbinden met poort 5000 en het zou in orde moeten zijn.

Sommige van de beste praktijken voor het beheer van firewallregels.

  • Alleen toestaan ​​wat nodig is (op basis van behoefte)
  • Geef waar mogelijk individuele bron-IP of -bereiken op in plaats van 0.0.0.0/0 (ELK)
  • Koppel VM-instanties aan de tags en gebruik die in het doel in plaats van alle instanties
  • Combineer meerdere poorten in één regel voor het matchen van bron en bestemming
  • Bekijk regelmatig de firewallregels

De grafische interface van GCP is gemakkelijk te begrijpen en te beheren.

Ik hoop dat dit u een idee geeft van het beheer van de firewallregels van Google Cloud Platform. Als je meer wilt leren, zou ik dit aanraden online cursus.

TAGS:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map