כיצד להגדיר כללי חומת אש בפלטפורמת הענן של גוגל?

תוהה כיצד לאפשר או לדחות זרימת רשת בפלטפורמת הענן של גוגל (GCP)?


כל פרויקט שאתה יוצר ב- GCP מגיע עם כללי ברירת המחדל של חומת האש.

בואו ונבדוק מה הם.

  • default-allow-icmp – אפשר מכל מקור לכל ה- IP של הרשת. פרוטוקול ICMP משמש בעיקר לפינג למטרה.
  • ברירת מחדל לאפשר-פנימית – אפשר קישוריות בין מופעים בכל יציאה.
  • default-allow-rdp – אפשר לפגישת RDP להתחבר לשרתי Windows מכל מקור שהוא.
  • default-allow-ssh – אפשר הפעלת SSH להתחבר לשרתי UNIX מכל מקור שהוא.

כפי שניתן לראות, כללי ברירת המחדל מאפשרים קישוריות בסיסית לאפשר פינג אל השרת והתחברות אליו.

האם אתה זקוק ליותר מזה?

אני בטוח שכן. כאן עליך לדעת כיצד להגדיר תצורה על פי צרכים.

חומת האש של GCP היא כללים המוגדרים על ידי תוכנה; אינך צריך ללמוד או להתחבר למכשירי חומרה חומת אש רגילים.

חוקים חומת האש של גוגל בענן חוקים.

כל התצורה נעשית באמצעות מסוף GCP או באמצעות פקודות. עם זאת, אסביר כיצד לעשות שימוש במסוף.

כללי חומת האש זמינים תחת רשת VPC בקטע רשת בתפריט השמאלי.

כשאתה לוחץ על צור כלל חומת אש, הוא יבקש ממך את פרטי הקישוריות. בואו נבין מה כל האפשרויות העומדות בפנינו ומה המשמעות של זה.

שם – שם חומת האש (רק באותיות קטנות ואסור להכניס מקום)

תיאור – לא חובה אבל טוב להכנס למשהו משמעותי, אז אתה זוכר בעתיד

רשת – אם לא יצרת VPC כלשהו, ​​תראה רק ברירת מחדל ותשאיר אותו כמו שהוא. עם זאת, אם יש לך VPC מרובים, בחר ברשת בה ברצונך להחיל את כללי חומת האש.

עדיפות – עדיפות כלל החלה על הרשת. הנמוכים ביותר קיבלו את העדיפות הגבוהה ביותר והיא מתחילה מ- 1000. ברוב המקרים אתה רוצה לשמור על כל השירותים הקריטיים (HTTP, HTTPS וכו ‘) עם עדיפות 1000.

כיוון התנועה – בחר את סוג הזרימה בין כניסה (נכנסת) ויציאה (יוצאת).

פעולה בהתאמה – בחר אם ברצונך לאפשר או להכחיש

יעדים – היעד שבו ברצונך להחיל את הכללים. יש לך אפשרות להחיל את הכללים על כל המופעים ברשת, אפשר רק בתגיות או בחשבון שירות ספציפי.

מסנן מקור – מקור שתוקף לאישור או להכחשה. ניתן לסנן לפי טווחי IP, רשתות משנה, תגי מקור וחשבונות שירות.

טווחי IP מקור – אם נבחר IP טווח במסנן המקור שהוא ברירת מחדל, ציין את טווח ה- IP שיאפשר.

פילטר מקור שני – אימות מקור מרובה אפשרי.

דוגמה: אתה יכול לקבל מסנן מקור ראשון כתגי מקור ומסנן שני כחשבון שירות. כל התאמה שתאפשר לו תותר / תידחה.

פרוטוקול ויציאות – באפשרותך לבחור את כל היציאות או לציין נפרדות (TCP / UDP). אתה יכול לקבל מספר יציאות ייחודיות בכלל יחיד.

בואו ונחקור את התרחישים בזמן אמת …

שינית את יציאת SSH מ 22 למשהו אחר (נניח 5000) מסיבות אבטחה. מאז אתה לא יכול להיכנס ל- VM.

למה?

ובכן, אתה יכול בקלות לנחש מכיוון שיציאה 5000 אסורה בחומת האש. כדי לאפשר, עליך ליצור כלל חומת אש כמפורט להלן.

  • ציין שם כלל
  • בחר כניסה לכיוון התנועה
  • בחר לאפשר פעולה של התאמה
  • בחר את כל המופעים ברשת ביעד (בהנחה שברצונך להתחבר לכל VM עם יציאה 5000)
  • בחר טווחי IP במסנן המקור (בהנחה שברצונך להתחבר ממקורות כלשהם)
  • ספק טווחי IP של מקור כ- 0.0.0.0/0
  • בחר בפרוטוקולים ויציאות שצוינו והזן tcp: 5000
  • לחץ על צור

נסה לחבר את ה- VM שלך ליציאה 5000 וזה אמור להיות בסדר.

חלק מה שיטות עבודה מומלצות לניהול כללי חומת אש.

  • אפשר רק את הנדרש (צורך בסיס)
  • במידת האפשר, ציין IP או טווחי מקור בודדים במקום 0.0.0.0/0 (ANY)
  • שייך מופעי VM לתגיות והשתמש ביעד זה במקום בכל המקרים
  • שלב מספר יציאות בכלל יחיד להתאמת המקור והיעד
  • סקור את כללי חומת האש מדי פעם

ממשק גרפי של GCP קל להבנה ולניהול.

אני מקווה שזה נותן לך מושג לניהול כללי חומת האש של Google Cloud Platform. אם אתה מעוניין ללמוד יותר אז הייתי ממליץ על כך קורס מקוון.

תגיות:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map