كيفية تكوين قواعد جدار الحماية في Google Cloud Platform؟

التساؤل عن كيفية السماح أو رفض تدفق الشبكة على Google Cloud Platform (GCP?


يأتي كل مشروع تنشئه في GCP مع قواعد جدار الحماية الافتراضية.

دعنا نستكشف ما هي.

  • افتراضي السماح لـ icmp – السماح من أي مصدر لجميع IP الشبكة. يستخدم بروتوكول ICMP في الغالب لتنفيذ الأمر ping على الهدف.
  • افتراضي السماح الداخلي – السماح بالربط بين النسخ على أي منفذ.
  • افتراضي – السماح – rdp – السماح لجلسة RDP بالاتصال بخوادم Windows من أي مصدر.
  • التقصير- السماح- SSH – تمكين جلسة SSH للاتصال بخوادم UNIX من أي مصدر.

كما ترى ، تسمح القواعد الافتراضية بالاتصال الأساسي لتمكين الأمر ping إلى الخادم وتسجيل الدخول إليه.

هل تحتاج اكثر من هذا?

أنا متأكد من أنك تفعل. هذا هو المكان الذي تحتاج إلى معرفة كيفية التهيئة بناءً على الاحتياجات.

جدار حماية GCP عبارة عن قواعد محددة بواسطة البرنامج لا تحتاج إلى تعلم أو تسجيل الدخول إلى أجهزة جدار الحماية التقليدية.

قواعد جدار حماية Google Cloud ذات صفة رسمية.

تتم جميع التهيئة إما من خلال وحدة تحكم GCP أو الأوامر. ومع ذلك ، سأشرح كيفية القيام باستخدام وحدة التحكم.

تتوفر قواعد جدار الحماية تحت شبكة VPC في قسم الشبكات في القائمة اليسرى.

عندما تنقر على إنشاء قاعدة جدار حماية ، ستطلب منك تفاصيل الاتصال. دعونا نفهم ما لدينا من خيارات وماذا يعني ذلك.

اسم – اسم جدار الحماية (فقط بالأحرف الصغيرة ولا يُسمح بمساحة)

وصف – اختياري ولكنه جيد لإدخال شيء ذي معنى ، لذلك تتذكر في المستقبل

شبكة الاتصال – إذا لم تقم بإنشاء أي VPC ، فسترى الافتراضي فقط وتتركه كما هو. ومع ذلك ، إذا كان لديك VPC متعددة ، فحدد الشبكة حيث تريد تطبيق قواعد جدار الحماية.

أفضلية – أولوية القاعدة المطبقة على الشبكة. حصلت Lowest على الأولوية القصوى ، وتبدأ من 1000. في معظم الحالات ، تريد الاحتفاظ بجميع الخدمات المهمة (HTTP و HTTPS وما إلى ذلك) بأولوية 1000.

اتجاه المرور – حدد نوع التدفق بين الدخول (الوارد) والخروج (الصادر).

أكشن في المباراة – اختر ما إذا كنت تريد السماح أو الرفض

الأهداف – الهدف حيث تريد تطبيق القواعد. لديك خيار لتطبيق القواعد على جميع المثيلات في الشبكة ، ولا تسمح إلا بعلامات محددة أو حساب خدمة.

مرشح المصدر – مصدر سيتم التحقق من صحته للسماح أو الرفض. يمكنك التصفية حسب نطاقات IP والشبكات الفرعية وعلامات المصدر وحسابات الخدمة.

نطاقات IP المصدر – إذا كان نطاق IP المحدد في مرشح المصدر افتراضيًا ، فقدم نطاق IP الذي سيتم السماح به.

مرشح المصدر الثاني – التحقق من مصدر متعدد ممكن.

على سبيل المثال: يمكنك الحصول على فلتر المصدر الأول كعلامات مصدر وفلتر ثانٍ كحساب خدمة. أي مباراة سيتم السماح بها / رفضها.

البروتوكول والموانئ – يمكنك اختيار جميع المنافذ أو تحديد منفذ واحد (TCP / UDP). يمكنك الحصول على عدة منافذ فريدة في قاعدة واحدة.

دعنا نستكشف سيناريوهات الوقت الفعلي …

لقد قمت بتغيير منفذ SSH من 22 إلى شيء آخر (دعنا نقول 5000) لأسباب أمنية. منذ ذلك الحين ، لا يمكنك الدخول إلى VM.

لماذا ا?

حسنًا ، يمكنك التخمين بسهولة لأنه لا يُسمح بالمنفذ 5000 في جدار الحماية. للسماح ، تحتاج إلى إنشاء قاعدة جدار حماية على النحو التالي.

  • أدخل اسم القاعدة
  • اختر الدخول في اتجاه حركة المرور
  • اختر السماح بإجراء المطابقة
  • حدد جميع المثيلات في شبكة في الهدف (على افتراض أنك تريد الاتصال بأي VM باستخدام المنفذ 5000)
  • حدد نطاقات IP في فلتر المصدر (بافتراض أنك تريد الاتصال من أي مصادر)
  • وفر نطاقات IP للمصدر على النحو 0.0.0.0/0
  • حدد البروتوكولات والمنافذ المحددة وأدخل tcp: 5000
  • انقر فوق إنشاء

حاول توصيل VM الخاص بك بالمنفذ 5000 ، ويجب أن يكون على ما يرام.

قليلا من ال أفضل الممارسات لإدارة قواعد جدار الحماية.

  • السماح فقط بما هو مطلوب (حسب الحاجة)
  • حيثما كان ذلك ممكنًا ، حدد IP المصدر أو النطاقات الفردية بدلاً من 0.0.0.0/0 (أي)
  • قم بربط مثيلات VM بالعلامات واستخدام ذلك في الهدف بدلاً من جميع المثيلات
  • دمج منافذ متعددة في قاعدة واحدة لمطابقة المصدر والوجهة
  • مراجعة قواعد جدار الحماية بشكل دوري

واجهة GCP الرسومية سهلة الفهم والإدارة.

آمل أن يمنحك هذا فكرة عن إدارة قواعد جدار حماية Google Cloud Platform. إذا كنت مهتمًا بمعرفة المزيد ، فإنني أوصي بذلك دورة على شبكة الإنترنت.

العلامات:

  • برنامج “شركاء Google المعتمدون”

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map