Tự hỏi làm thế nào để cho phép hoặc từ chối lưu lượng mạng trên Google Cloud Platform (GCP?


Mỗi dự án bạn tạo trong GCP đều đi kèm với các quy tắc tường lửa mặc định.

Hãy cùng khám phá những gì họ đang có.

  • mặc định-cho phép-icmp – cho phép từ bất kỳ nguồn nào cho tất cả IP mạng. Giao thức ICMP chủ yếu được sử dụng để ping mục tiêu.
  • mặc định cho phép nội bộ – cho phép kết nối giữa các phiên bản trên bất kỳ cổng nào.
  • default-allow -rdp – cho phép phiên RDP kết nối với máy chủ Windows từ bất kỳ nguồn nào.
  • mặc định-allow-ssh – kích hoạt phiên SSH để kết nối với máy chủ UNIX từ bất kỳ nguồn nào.

Như bạn có thể thấy các quy tắc mặc định cho phép kết nối cơ bản để bật ping và đăng nhập vào máy chủ.

Bạn có cần nhiều hơn thế không?

Tôi chắc chắn rằng bạn làm. Đó là nơi mà bạn cần biết cách cấu hình dựa trên nhu cầu.

Tường lửa GCP là các quy tắc được xác định bằng phần mềm; bạn không cần phải học hoặc đăng nhập vào các thiết bị phần cứng tường lửa thông thường.

Các quy tắc tường lửa của Google Cloud là trạng thái.

Tất cả các cấu hình được thực hiện thông qua Bảng điều khiển GCP hoặc các lệnh. Tuy nhiên, tôi sẽ giải thích cách sử dụng bảng điều khiển.

Các quy tắc tường lửa có sẵn trong mạng VPC trong phần mạng ở menu bên trái.

Khi bạn nhấp vào tạo quy tắc tường lửa, nó sẽ hỏi bạn các chi tiết kết nối. Hãy để chúng tôi hiểu tất cả các lựa chọn chúng ta có và điều đó có nghĩa là gì.

Tên – tên của tường lửa (chỉ viết thường và không được phép có không gian)

Sự miêu tả – tùy chọn nhưng tốt để nhập một cái gì đó có ý nghĩa, vì vậy bạn nhớ trong tương lai

Mạng – Nếu bạn đã tạo ra bất kỳ VPC nào thì bạn sẽ chỉ thấy mặc định và để nguyên như vậy. Tuy nhiên, nếu bạn có nhiều VPC thì hãy chọn mạng nơi bạn muốn áp dụng quy tắc tường lửa.

Sự ưu tiên – ưu tiên quy tắc áp dụng cho mạng. Thấp nhất có mức ưu tiên cao nhất và bắt đầu từ 1000. Trong hầu hết các trường hợp, bạn muốn giữ tất cả các dịch vụ quan trọng (HTTP, HTTPS, v.v.) với mức ưu tiên 1000.

Hướng giao thông – chọn loại luồng giữa xâm nhập (đến) và đi ra (đi).

Hành động trên trận đấu – chọn nếu bạn muốn cho phép hoặc từ chối

Mục tiêu – mục tiêu mà bạn muốn áp dụng các quy tắc. Bạn có một tùy chọn để áp dụng các quy tắc cho tất cả các phiên bản trong mạng, chỉ cho phép trên các thẻ hoặc tài khoản dịch vụ cụ thể.

Bộ lọc nguồn – một nguồn sẽ được xác nhận để cho phép hoặc từ chối. Bạn có thể lọc theo dải IP, mạng con, thẻ nguồn và tài khoản dịch vụ.

Phạm vi IP nguồn – nếu phạm vi IP được chọn trong bộ lọc nguồn mặc định thì cung cấp phạm vi IP sẽ được phép.

Bộ lọc nguồn thứ hai – có thể xác thực nhiều nguồn.

Ví dụ: bạn có thể có bộ lọc nguồn đầu tiên dưới dạng thẻ nguồn và bộ lọc thứ hai làm tài khoản dịch vụ. Bất cứ điều gì phù hợp sẽ được phép / từ chối.

Giao thức và cổng – bạn có thể chọn tất cả các cổng hoặc chỉ định từng cổng (TCP / UDP). Bạn có thể có nhiều cổng duy nhất trong một quy tắc.

Hãy cùng khám phá kịch bản thời gian thực

Bạn đã thay đổi cổng SSH từ 22 sang một thứ khác (giả sử 5000 nói) vì lý do bảo mật. Kể từ đó, bạn có thể vào được VM.

Tại sao?

Chà, bạn có thể dễ dàng đoán ra vì cổng 5000 không được phép trong tường lửa. Để cho phép, bạn cần tạo quy tắc tường lửa như dưới đây.

  • Cung cấp một tên quy tắc
  • Chọn đường vào theo hướng giao thông
  • Chọn cho phép hành động của trận đấu
  • Chọn tất cả các phiên bản trong mạng trong mục tiêu (giả sử bạn muốn kết nối với bất kỳ VM nào có cổng 5000)
  • Chọn dải IP trong bộ lọc nguồn (giả sử bạn muốn kết nối từ BẤT K source nguồn nào)
  • Cung cấp dải IP nguồn là 0,0.0.0 / 0
  • Chọn các giao thức và cổng được chỉ định và nhập tcp: 5000
  • Nhấp vào tạo

Hãy thử kết nối máy ảo của bạn với cổng 5000, và nó sẽ ổn thôi.

Một số thực hành tốt nhất để quản lý các quy tắc tường lửa.

  • Chỉ cho phép những gì được yêu cầu (cơ sở cần thiết)
  • Bất cứ nơi nào có thể, chỉ định IP nguồn hoặc phạm vi riêng lẻ thay vì 0.0.0.0/0 (BẤT K))
  • Liên kết các phiên bản VM với các thẻ và sử dụng nó trong mục tiêu thay vì tất cả các phiên bản
  • Kết hợp nhiều cổng trong một quy tắc duy nhất để khớp nguồn và đích
  • Xem lại quy tắc tường lửa định kỳ

Giao diện đồ họa GCP dễ hiểu và dễ quản lý.

Tôi hy vọng điều này cung cấp cho bạn ý tưởng quản lý các quy tắc tường lửa của Google Cloud Platform. Nếu muốn tìm hiểu thêm thì tôi khuyên bạn nên khóa học trực tuyến.

THẺ

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me