จะกำหนดค่ากฎไฟร์วอลล์ในแพลตฟอร์ม Google Cloud ได้อย่างไร

สงสัยว่าจะอนุญาตหรือปฏิเสธการรับส่งข้อมูลเครือข่ายบนแพลตฟอร์ม Google Cloud (GCP) ได้อย่างไร?


ทุกโครงการที่คุณสร้างใน GCP มาพร้อมกับกฎไฟร์วอลล์เริ่มต้น.

มาสำรวจกันว่าพวกมันคืออะไร.

  • เริ่มต้นช่วยให้-ICMP – อนุญาตจากแหล่งใด ๆ ไปยังเครือข่าย IP ทั้งหมด โปรโตคอล ICMP ส่วนใหญ่จะใช้ในการ ping เป้าหมาย.
  • เริ่มต้นช่วยให้ภายใน – อนุญาตการเชื่อมต่อระหว่างอินสแตนซ์บนพอร์ตใด ๆ.
  • เริ่มต้นช่วยให้-RDP – อนุญาตให้เซสชัน RDP เชื่อมต่อกับเซิร์ฟเวอร์ Windows จากแหล่งใดก็ได้.
  • เริ่มต้นช่วยให้-SSH – เปิดใช้งานเซสชัน SSH เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ UNIX จากแหล่งใดก็ได้.

ในขณะที่คุณสามารถเห็นกฎเริ่มต้นให้การเชื่อมต่อขั้นพื้นฐานเพื่อเปิดใช้งาน ping และเข้าสู่เซิร์ฟเวอร์.

คุณต้องการมากกว่านี้ไหม?

ฉันแน่ใจว่าคุณทำ ที่ซึ่งคุณต้องรู้วิธีกำหนดค่าตามความต้องการ.

ไฟร์วอลล์ GCP เป็นกฎที่กำหนดโดยซอฟต์แวร์ คุณไม่จำเป็นต้องเรียนรู้หรือลงชื่อเข้าใช้อุปกรณ์ฮาร์ดแวร์ไฟร์วอลล์ทั่วไป.

กฎไฟร์วอลล์ Google Cloud นั้นเป็นของรัฐ.

การกำหนดค่าทั้งหมดทำผ่าน GCP Console หรือคำสั่ง อย่างไรก็ตามฉันจะอธิบายวิธีการใช้คอนโซล.

กฎไฟร์วอลล์มีอยู่ภายใต้เครือข่าย VPC ในส่วนเครือข่ายที่เมนูด้านซ้าย.

เมื่อคุณคลิกที่สร้างกฎไฟร์วอลล์มันจะถามรายละเอียดการเชื่อมต่อกับคุณ มาทำความเข้าใจกับตัวเลือกทั้งหมดที่เรามีและสิ่งนั้นหมายความว่าอะไร.

ชื่อ – ชื่อของไฟร์วอลล์ (เฉพาะในตัวพิมพ์เล็กและไม่อนุญาตให้มีพื้นที่ว่าง)

ลักษณะ – เป็นทางเลือก แต่ดีในการป้อนสิ่งที่มีความหมายดังนั้นคุณจึงจำได้ในอนาคต

เครือข่าย – หากคุณยังไม่ได้สร้าง VPC ใด ๆ คุณจะเห็นเฉพาะค่าเริ่มต้นและปล่อยไว้เหมือนเดิม อย่างไรก็ตามหากคุณมี VPC หลายตัวให้เลือกเครือข่ายที่คุณต้องการใช้กฎไฟร์วอลล์.

ลำดับความสำคัญ – ลำดับความสำคัญของกฎที่ใช้กับเครือข่าย ต่ำสุดมีลำดับความสำคัญสูงสุดและเริ่มต้นที่ 1,000 ในกรณีส่วนใหญ่คุณต้องการรักษาบริการที่สำคัญทั้งหมด (HTTP, HTTPS และอื่น ๆ ) ด้วยลำดับความสำคัญ 1000.

ทิศทางของการจราจร – เลือกประเภทการไหลระหว่างทางเข้า (ขาเข้า) และขาออก (ขาออก).

การดำเนินการในการแข่งขัน – เลือกว่าคุณต้องการอนุญาตหรือปฏิเสธ

เป้าหมาย – เป้าหมายที่คุณต้องการใช้กฎ คุณมีตัวเลือกในการใช้กฎกับอินสแตนซ์ทั้งหมดในเครือข่ายอนุญาตเฉพาะกับแท็กหรือบัญชีบริการที่ระบุ.

ตัวกรองแหล่งที่มา – แหล่งที่มาซึ่งจะถูกตรวจสอบเพื่ออนุญาตหรือปฏิเสธ คุณสามารถกรองตามช่วง IP เครือข่ายย่อยแท็กแหล่งที่มาและบัญชีบริการ.

ช่วง IP ต้นทาง – หากช่วง IP ที่เลือกในตัวกรองแหล่งที่มาซึ่งเป็นค่าเริ่มต้นแล้วให้ช่วงของ IP ที่จะได้รับอนุญาต.

ตัวกรองแหล่งที่สอง – การตรวจสอบแหล่งที่มาหลายรายการเป็นไปได้.

ตัวอย่าง: คุณสามารถมีตัวกรองแหล่งข้อมูลแรกเป็นแท็กแหล่งข้อมูลและตัวกรองที่สองเป็นบัญชีบริการ ไม่ว่าการจับคู่แบบใดจะได้รับอนุญาต / ปฏิเสธ.

โปรโตคอลและพอร์ต – คุณสามารถเลือกพอร์ตทั้งหมดหรือระบุพอร์ตเดี่ยว (TCP / UDP) คุณสามารถมีหลายพอร์ตที่ไม่ซ้ำกันในกฎเดียว.

มาสำรวจสถานการณ์แบบเรียลไทม์ …

คุณเปลี่ยนพอร์ต SSH จาก 22 เป็นอย่างอื่น (สมมติว่า 5,000) ด้วยเหตุผลด้านความปลอดภัย ตั้งแต่นั้นมาคุณจะไม่สามารถเข้าสู่ VM.

ทำไม?

คุณสามารถเดาได้ง่ายเพราะพอร์ต 5000 ไม่ได้รับอนุญาตในไฟร์วอลล์ หากต้องการอนุญาตคุณต้องสร้างกฎไฟร์วอลล์ดังต่อไปนี้.

  • ระบุชื่อกฎ
  • เลือกทางเข้าในทิศทางของการจราจร
  • เลือกเพื่ออนุญาตให้ดำเนินการจับคู่
  • เลือกอินสแตนซ์ทั้งหมดในเครือข่ายเป้าหมาย (สมมติว่าคุณต้องการเชื่อมต่อกับ VM ใด ๆ ที่มีพอร์ต 5000)
  • เลือกช่วง IP ในตัวกรองแหล่งข้อมูล (สมมติว่าคุณต้องการเชื่อมต่อจากแหล่งใดก็ได้)
  • ระบุช่วง IP ต้นทางเป็น 0.0.0.0/0
  • เลือกโปรโตคอลและพอร์ตที่ระบุและป้อน tcp: 5000
  • คลิกสร้าง

ลองเชื่อมต่อ VM ของคุณกับพอร์ต 5000 และควรจะใช้ได้.

บางส่วนของ ปฏิบัติที่ดีที่สุด สำหรับการจัดการกฎไฟร์วอลล์.

  • อนุญาตเฉพาะสิ่งที่จำเป็น (ต้องการพื้นฐาน)
  • หากเป็นไปได้ให้ระบุ IP ต้นทางหรือช่วงของแต่ละแหล่งแทน 0.0.0.0/0 (ANY)
  • เชื่อมโยงอินสแตนซ์ VM กับแท็กและใช้ในเป้าหมายแทนอินสแตนซ์ทั้งหมด
  • รวมหลายพอร์ตไว้ในกฎเดียวสำหรับแหล่งที่มาและปลายทางที่ตรงกัน
  • ตรวจสอบกฎไฟร์วอลล์เป็นระยะ

ส่วนต่อประสานกราฟิก GCP นั้นง่ายต่อการเข้าใจและจัดการ.

ฉันหวังว่านี่จะช่วยให้คุณมีความคิดในการจัดการกฎไฟร์วอลล์ของ Google Cloud Platform หากสนใจเรียนรู้เพิ่มเติมฉันจะแนะนำสิ่งนี้ หลักสูตรออนไลน์.

Tags:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map