Ako nakonfigurovať pravidlá brány firewall v službe Google Cloud Platform?

Zaujíma vás, ako povoliť alebo zakázať sieťový tok na platforme Google Cloud Platform (GCP)?


Každý projekt, ktorý vytvoríte v GCP, sa dodáva s predvolenými pravidlami brány firewall.

Pozrime sa, čo sú zač.

  • default-allow-ICMP – povoliť z ľubovoľného zdroja na všetky sieťové IP. Protokol ICMP sa väčšinou používa na pingovanie cieľa.
  • default-allow-interné – umožňujú pripojenie medzi inštanciami na ľubovoľnom porte.
  • default-allow-rdp – povoliť relácii RDP na pripojenie k serverom Windows z ľubovoľného zdroja.
  • default-allow-ssh – povoliť reláciu SSH na pripojenie k serverom UNIX z ľubovoľného zdroja.

Ako vidíte, predvolené pravidlá umožňujú základnému pripojeniu povoliť ping a prihlásenie na server.

Potrebujete viac ako toto?

Som si istý, že áno. Tu potrebujete vedieť, ako konfigurovať na základe potrieb.

GCP firewall je softvérové ​​pravidlá; nemusíte sa učiť alebo sa prihlasovať na konvenčné hardvérové ​​zariadenia brány firewall.

Pravidlá brány Google Cloud firewall sú stavové.

Celá konfigurácia sa vykonáva prostredníctvom konzoly GCP alebo príkazov. Vysvetlím však, ako to urobiť pomocou konzoly.

Pravidlá brány firewall sú k dispozícii v sieti VPC v časti Sieť na ľavej strane ponuky.

Keď kliknete na vytvorenie pravidla brány firewall, požiada vás o podrobnosti pripojenia. Poďme pochopiť, čo máme všetky možnosti a čo to znamená.

názov – názov brány firewall (iba malými písmenami a bez medzery)

popis – voliteľné, ale dobré zadať niečo zmysluplné, takže si budete pamätať v budúcnosti

sieť – Ak ste nevytvorili žiadny VPC, zobrazí sa iba predvolená hodnota a ponechajte ju tak, ako je. Ak však máte viac VPC, vyberte sieť, na ktorú chcete aplikovať pravidlá brány firewall.

priorita – priorita pravidla použitá v sieti. Najnižšia má najvyššiu prioritu a začína od 1 000. Vo väčšine prípadov chcete zachovať všetky kritické služby (HTTP, HTTPS atď.) S prioritou 1 000.

Smer premávky – vyberte typ toku medzi vstupom (prichádzajúcim) a výstupom (odchádzajúcim).

Akcia na zápas – vyberte, či chcete povoliť alebo zakázať

ciele – cieľ, v ktorom chcete pravidlá uplatniť. Máte možnosť uplatniť pravidlá na všetky inštancie v sieti, povoliť iba na konkrétne značky alebo účet služieb.

Zdrojový filter – zdroj, ktorý bude overený tak, aby bol povolený alebo zamietnutý. Môžete filtrovať podľa rozsahov IP, podsietí, zdrojových značiek a účtov služieb.

Zdrojové rozsahy IP – ak je vybratý rozsah IP v zdrojovom filtri, ktorý je predvolený, potom uveďte rozsah IP, ktorý bude povolený.

Filter druhého zdroja – je možné overenie viacerých zdrojov.

Napr. Môžete mať prvý zdrojový filter ako zdrojové značky a druhý filter ako účet služby. Ktorýkoľvek zápas bude povolený / zamietnutý.

Protokol a prístavy – môžete vybrať všetky porty alebo zadať jednotlivé porty (TCP / UDP). V jednom pravidle môžete mať viac jedinečných portov.

Pozrime sa na scenáre v reálnom čase …

Z bezpečnostných dôvodov ste zmenili port SSH z 22 na niečo iné (povedzme 5 000). Od tej doby sa nemôžete dostať do VM.

prečo?

Môžete to ľahko uhádnuť, pretože v bráne firewall nie je povolený port 5000. Aby ste to mohli povoliť, musíte si vytvoriť pravidlo brány firewall, ako je uvedené nižšie.

  • Zadajte názov pravidla
  • Vyberte vstup do smeru premávky
  • Vyberte, či chcete povoliť akciu zápasu
  • Vyberte všetky inštancie v cieľovej sieti (za predpokladu, že sa chcete pripojiť k ľubovoľnému virtuálnemu počítaču s portom 5000)
  • Vyberte rozsahy IP vo filtri zdrojov (za predpokladu, že sa chcete pripojiť z ŽIADNEHO zdroja)
  • Poskytnite rozsah zdrojov IP ako 0.0.0.0/0
  • Vyberte určené protokoly a porty a zadajte tcp: 5000
  • Kliknite na tlačidlo vytvoriť

Pokúste sa pripojiť váš VM k portu 5000 a malo by to byť v poriadku.

Niektoré z osvedčené postupy na správu pravidiel brány firewall.

  • Povoliť iba to, čo sa vyžaduje (na základe potreby)
  • Ak je to možné, namiesto 0.0.0.0/0 (ANY) uveďte individuálnu zdrojovú IP alebo rozsahy.
  • Priradiť inštancie VM k značkám a používať ich v cieli namiesto všetkých inštancií
  • Skombinujte viac portov do jedného pravidla na priradenie zdroja a cieľa
  • Pravidelne kontrolujte pravidlá brány firewall

Grafické rozhranie GCP je ľahko zrozumiteľné a spravovateľné.

Dúfame, že vám to poskytne predstavu o spravovaní pravidiel brány firewall platformy Google Cloud Platform. V prípade záujmu o ďalšie informácie by som to odporučil online kurz.

Tagy:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map