Kaip sukonfigūruoti ugniasienės taisykles „Google Cloud Platform“?

Svarstote, kaip leisti arba atmesti tinklo srautą „Google Cloud Platform“ (GCP?


Kiekvienam projektui, kurį sukuriate GSP, pateikiamos numatytosios ugniasienės taisyklės.

Panagrinėkime, kas jie yra.

  • numatytasis-leisti-icmp – leisti iš bet kurio šaltinio į visą tinklo IP. ICMP protokolas dažniausiai naudojamas taikiniui nustatyti.
  • numatytasis-leisti-vidinis – leisti ryšį tarp egzempliorių bet kuriame uoste.
  • numatytasis leidimas-rdp Leisti RDP sesijai prisijungti prie „Windows“ serverių iš bet kurio šaltinio.
  • numatytasis-leisti-ssh – įgalinti SSH sesiją prisijungti prie UNIX serverių iš bet kurio šaltinio.

Kaip matote numatytąsias taisykles, pagrindinį ryšį leidžia įjungti ir prisijungti prie serverio.

Ar jums reikia daugiau nei šito?

Aš tikiu, kad jūs tai darote. Čia reikia žinoti, kaip konfigūruoti atsižvelgiant į poreikius.

GCP užkarda yra programinės įrangos apibrėžtos taisyklės; jums nereikia mokytis ar prisijungti prie įprastų ugniasienės aparatūros įrenginių.

„Google Cloud“ užkardos taisyklės yra valstybinės.

Visa konfigūracija atliekama naudojant „GCP Console“ arba komandas. Tačiau paaiškinsiu, kaip tai padaryti naudojant konsolę.

Ugniasienės taisykles galima rasti VPC tinkle, tinklų skiltyje, kairiajame meniu.

Kai spustelėsite sukurti ugniasienės taisyklę, ji paprašys jūsų prisijungimo informacijos. Supraskime, kokias turime visas galimybes ir ką tai reiškia.

vardas – ugniasienės pavadinimas (tik mažosiomis raidėmis ir tarpo palikti negalima)

apibūdinimas – neprivaloma, bet gera įvesti ką nors reikšmingo, todėl prisimenate ateityje

Tinklas – Jei dar nesukūrėte jokio VPC, pamatysite tik numatytąjį ir paliksite tokį, koks yra. Tačiau, jei turite kelis VPC, tada pasirinkite tinklą, kuriame norite naudoti ugniasienės taisykles.

Prioritetas – tinklui taikomas taisyklės prioritetas. Mažiausias gavo aukščiausią prioritetą, o jis prasideda nuo 1000. Daugeliu atvejų jūs norite išlaikyti visas svarbiausias paslaugas (HTTP, HTTPS ir kt.) Su 1000 prioritetu..

Eismo kryptis – pasirinkite srauto tipą tarp įėjimo (įėjimo) ir išėjimo (išeinančio).

Veiksmas rungtynėse – pasirinkti, ar norite leisti, ar paneigti

Tikslai – taikinys, kuriame norite taikyti taisykles. Turite galimybę taikyti taisykles visiems tinklo egzemplioriams, leisti tik tam tikrose žymas ar paslaugos abonementą.

Šaltinio filtras – šaltinis, kuris bus patvirtintas leisti arba paneigti. Galite filtruoti pagal IP diapazonus, potinklinius tinklus, šaltinio žymas ir paslaugų abonementus.

Šaltinio IP diapazonas – jei pasirinktas IP diapazonas šaltinio filtre, kuris yra numatytasis, nurodykite leistiną IP diapazoną.

Antrasis šaltinio filtras – Galimas kelių šaltinių patvirtinimas.

Pvz .: pirmąjį šaltinio filtrą galite naudoti kaip šaltinio žymas, o antrąjį – kaip paslaugų abonementą. Nepriklausomai nuo to, ar jis bus leistas / atmestas.

Protokolas ir prievadai – Galite pasirinkti visus prievadus arba nurodyti individualų (TCP / UDP). Vienoje taisyklėje galite turėti kelis unikalius prievadus.

Panagrinėkime realaus laiko scenarijus …

Saugumo sumetimais pakeitėte SSH prievadą iš 22 į kažką kitą (tarkime 5000). Nuo to laiko negalite patekti į VM.

Kodėl?

Na, jūs galite lengvai atspėti, nes 5000 prievado negalima užkardoje. Norėdami leisti, turite sukurti ugniasienės taisyklę, kaip nurodyta toliau.

  • Pateikite taisyklės pavadinimą
  • Pasirinkite įvažiavimą eismo kryptimi
  • Pasirinkite leisti rungtynes
  • Pasirinkite visus tikslinio tinklo egzempliorius (darant prielaidą, kad norite prisijungti prie bet kurio VM su 5000 prievadu)
  • Pasirinkite IP diapazonus šaltinio filtre (darant prielaidą, kad norite prisijungti iš bet kokių šaltinių)
  • Pateikite šaltinio IP diapazonus kaip 0.0.0.0/0
  • Pasirinkite nurodytus protokolus ir prievadus ir įveskite tcp: 5000
  • Spustelėkite sukurti

Pabandykite prijungti savo VM su 5000 prievadu, ir tai turėtų būti gerai.

Keletas iš geriausia praktika ugniasienės taisyklių tvarkymui.

  • Leisti tik tai, ko reikia (poreikio pagrindu)
  • Jei įmanoma, nurodykite atskirą šaltinio IP arba diapazonus, o ne 0.0.0.0/0 (BET KOKI)
  • Susiekite VM egzempliorius su žymėmis ir naudokite juos tikslinėje vietoje visų egzempliorių
  • Derinkite kelis prievadus vienoje taisyklėje, kad suderintumėte šaltinį ir tikslą
  • Periodiškai peržiūrėkite ugniasienės taisykles

GSP grafinę sąsają lengva suprasti ir valdyti.

Tikiuosi, kad tai suteiks idėją valdyti „Google Cloud Platform“ ugniasienės taisykles. Jei norėtumėte sužinoti daugiau, rekomenduočiau tai internetinis kursas.

ŽENKLAI:

  • GSP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map