Cum să configurați regulile firewallului în platforma Google Cloud?

Întrebați-vă cum să permiteți sau să refuzați fluxul de rețea pe platforma Google Cloud (GCP)?


Fiecare proiect pe care îl creați în GCP vine cu regulile implicite pentru firewall.

Să explorăm care sunt acestea.

  • default-permit-ICMP – permiteți de la orice sursă la tot IP-ul rețelei. Protocolul ICMP este folosit în cea mai mare parte pentru a face ping la țintă.
  • default-permit-internă – permite conectarea între instanțele de pe orice port.
  • default-permit-RDP – permiteți sesiunea RDP să se conecteze la serverele Windows din orice sursă.
  • default-permit-ssh – permiteți sesiunea SSH să se conecteze la servere UNIX din orice sursă.

După cum puteți vedea, regulile implicite permit conectivitatea de bază pentru a activa ping-ul și conectați-vă la server.

Ai nevoie de mai mult decât asta?

Sunt sigur că da. Acolo trebuie să știți cum să configurați pe baza nevoilor.

Firewall-ul GCP este reguli definite de software; nu trebuie să înveți sau să te autentifici la dispozitivele hardware firewall convenționale.

Regulile firewall-ului Google Cloud sunt statutare.

Toată configurația se face fie prin Consola GCP, fie prin comenzi. Cu toate acestea, voi explica cum se face folosind o consolă.

Regulile firewall sunt disponibile în rețeaua VPC în secțiunea de rețea din meniul din partea stângă.

Când faceți clic pe creați o regulă pentru firewall, acesta vă va cere detaliile conectivității. Să înțelegem ce opțiuni avem și ce înseamnă asta.

Nume – numele firewallului (numai cu litere mici și nu este permis niciun spațiu)

Descriere – opțional, dar bine să introduceți ceva semnificativ, așa că vă amintiți în viitor

Reţea – Dacă nu ați creat niciun VPC, veți vedea doar implicit și îl veți lăsa așa cum este. Cu toate acestea, dacă aveți mai multe VPC, atunci selectați rețeaua în care doriți să aplicați regulile firewall-ului.

Prioritate – prioritate de regulă aplicată rețelei. Cea mai mică prioritate a primit cea mai mare prioritate și începe de la 1000. În cele mai multe cazuri, doriți să păstrați toate serviciile critice (HTTP, HTTPS, etc.) cu prioritatea 1000.

Direcția traficului – selectați tipul de flux între intrare (intrare) și decalare (ieșire).

Acțiune la meci – alegeți dacă doriți să permiteți sau să negați

Obiective – ținta în care doriți să aplicați regulile. Aveți o opțiune de a aplica regulile la toate instanțele din rețea, permiteți doar pe anumite etichete sau cont de servicii.

Filtrul sursă – o sursă care va fi validată pentru a permite sau refuza. Puteți filtra după intervale IP, subrețele, etichete sursă și conturi de servicii.

Domenii de IP sursă – dacă este selectat intervalul IP în filtrul sursă, care este implicit, atunci furnizați intervalul de IP care va fi permis.

Al doilea filtru sursă – este posibilă validarea mai multor surse.

Ex: puteți avea primul filtru sursă ca etichete sursă și al doilea filtru ca cont de serviciu. Indiferent de meci, acesta va fi permis / refuzat.

Protocol și porturi – puteți selecta fie toate porturile sau specifica unul individual (TCP / UDP). Puteți avea mai multe porturi unice într-o singură regulă.

Să explorăm scenariile în timp real …

Ați schimbat portul SSH de la 22 la altceva (să zicem 5000) din motive de securitate. De atunci, nu puteți intra într-o mașină virtuală.

De ce?

Ei bine, puteți ghici cu ușurință, deoarece portul 5000 nu este permis în firewall. Pentru a permite, trebuie să creezi o regulă pentru firewall ca mai jos.

  • Furnizați un nume de regulă
  • Alegeți intrarea în direcția de trafic
  • Alegeți să permiteți acțiunea de potrivire
  • Selectați toate instanțele dintr-o rețea în țintă (presupunând că doriți să vă conectați la orice VM cu portul 5000)
  • Selectați intervalele IP în filtrul sursă (presupunând că doriți să vă conectați din ORICE surse)
  • Furnizați intervale de IP sursă la 0.0.0.0/0
  • Selectați protocoalele și porturile specificate și introduceți tcp: 5000
  • Faceți clic pe Create

Încercați să conectați VM-ul cu portul 5000 și ar trebui să fie ok.

Unele dintre cele mai bune practici pentru gestionarea regulilor firewallului.

  • Permiteți numai ceea ce este necesar (baza necesității)
  • Ori de câte ori este posibil, specificați IP sursă individuală sau intervale în loc de 0.0.0.0/0 (ORICE)
  • Asociați instanțele VM cu etichetele și utilizați-le în țintă în loc de toate instanțele
  • Combinați mai multe porturi într-o singură regulă pentru potrivirea sursei și destinației
  • Examinați periodic regulile firewall-ului

Interfața grafică GCP este ușor de înțeles și de gestionat.

Sper că acest lucru vă oferă o idee despre gestionarea regulilor firewall-ului Google Cloud Platform. Dacă sunteți interesat să aflați mai multe, aș recomanda acest lucru curs online.

ETICHETE:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map