Чудите се как да разрешите или откажете мрежовия поток в Google Cloud Platform (GCP)?


Всеки проект, който създавате в GCP, се предлага с правила за защитна стена по подразбиране.

Нека да проучим какви са те.

  • подразбиране, позволяват-ICMP – позволява от всеки източник до всички мрежови IP. ICMP протоколът се използва най-вече за пингване на целта.
  • подразбиране-позволи-вътрешен – позволяват свързване между копия на всеки порт.
  • подразбиране, позволяват-ПРСР – позволете на RDP сесията да се свързва към сървъри на Windows от всеки източник.
  • подразбиране, позволяват-SSH – дайте възможност на SSH сесията да се свърже към UNIX сървъри от всеки източник.

Както можете да видите, правилата по подразбиране позволяват на основното свързване да даде възможност за ping и влизане в сървъра.

Имате ли нужда от повече от това?

Сигурен съм, че го правите. Това е мястото, където трябва да знаете как да конфигурирате въз основа на нуждите.

GCP защитната стена е софтуерно дефинирани правила; не е нужно да се научите или да влизате в конвенционални хардуерни устройства за защитна стена.

Правилата на защитната стена на Google Cloud са изключително важни.

Цялата конфигурация се извършва или чрез GCP Console, или чрез команди. Все пак ще обясня как да направя с помощта на конзола.

Правилата на защитната стена са достъпни в VPC мрежата в раздел за мрежа от лявото меню.

Когато щракнете върху създаване на правило за защитна стена, той ще ви поиска подробности за свързаност. Нека разберем какви са всички възможности и какво означава това.

име – име на защитната стена (само в малки и малки места не е разрешено)

описание – незадължително, но е добре да въведете нещо смислено, така че да помните в бъдеще

мрежа – Ако не сте създали нито един VPC, тогава ще видите само по подразбиране и ще го оставите такъв, какъвто е. Ако обаче имате няколко VPC, изберете мрежата, където искате да приложите правилата на защитната стена.

приоритет – приоритет на правилото, приложен към мрежата. Най-ниският получи най-висок приоритет и той започва от 1000. В повечето случаи искате да запазите всички критични услуги (HTTP, HTTPS и т.н.) с приоритет 1000.

Посока на движението – изберете типа на потока между входящи (входящи) и изходящи (изходящи).

Действие на мач – изберете дали искате да разрешите или откажете

Цели – целта, където искате да приложите правилата. Имате възможност да приложите правилата към всички инстанции в мрежата, разрешавайте само на конкретни маркери или акаунт за услуги.

Източник филтър – източник, който ще бъде потвърден или разрешен, или отказан. Можете да филтрирате по IP диапазони, подмрежи, маркери на източници и акаунти за услуги.

Източник IP диапазони – ако е избран IP обхват в източника филтър, който е по подразбиране, тогава предоставете обхвата на IP, който ще бъде разрешен.

Втори източник филтър – възможно е многократно потвърждаване на източника.

Например: можете да имате първия източник филтър като източник маркери и втори филтър като акаунт за услуга. Който и да съвпада, ще бъде разрешено / отказано.

Протокол и портове – можете да изберете всички портове или да посочите отделен (TCP / UDP). Можете да имате няколко уникални порта в едно правило.

Нека проучим сценариите в реално време …

Променихте SSH порта от 22 на нещо друго (да кажем 5000) от съображения за сигурност. Оттогава не можете да влезете във виртуална машина.

Защо?

Е, лесно можете да се досетите, защото порт 5000 не е разрешен в защитната стена. За да разрешите, трябва да създадете правило за защитна стена, както е посочено по-долу.

  • Въведете име на правило
  • Изберете навлизане по посока на трафика
  • Изберете, за да разрешите действие на съвпадение
  • Изберете всички инстанции в целевата мрежа (ако приемем, че искате да се свържете с която и да е VM с порт 5000)
  • Изберете IP диапазони в източника филтър (ако приемете, че искате да се свържете от ВСИЧКИ източници)
  • Осигурете IP диапазони на източника като 0.0.0.0/0
  • Изберете определени протоколи и портове и въведете tcp: 5000
  • Кликнете върху създаване

Опитайте да свържете вашия VM с порт 5000 и трябва да е добре.

Някои от най-добри практики за управление на правилата на защитната стена.

  • Разрешава се само това, което се изисква (според нуждите)
  • Където е възможно, посочете индивидуален IP източник или диапазони вместо 0.0.0.0/0 (НЯКОЙ)
  • Свържете екземплярите от VM с маркерите и използвайте това в target вместо всички инстанции
  • Комбинирайте няколко порта в едно правило за съвпадение на източник и местоназначение
  • Периодично преглеждайте правилата на защитната стена

Графичният интерфейс на GCP е лесен за разбиране и управление.

Надявам се това ви дава представа за управление на правилата на защитната стена на Google Cloud Platform. Ако се интересувате да научите повече, бих препоръчал това онлайн курс.

ЕТИКЕТИ:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me