Kako konfigurirati pravila vatrozida na Google Cloud platformi?

Pitate se kako dopustiti ili odbiti protok mreže na Google Cloud Platformu (GCP)?


Svaki projekt koji stvorite u GCP-u dolazi sa zadanim pravilima vatrozida.

Istražimo što su oni.

  • default-dopustiti-ICMP – dopuštaju iz bilo kojeg izvora sve mrežne IP adrese. ICMP protokol se uglavnom koristi za pingiranje cilja.
  • zadanih dopustiti interna – omogućiti povezivanje instanci na bilo kojem ulazu.
  • default-dopustiti-RDP – dopustiti RDP sesiji da se poveže s Windows poslužiteljima iz bilo kojeg izvora.
  • default-dopustiti-ssh – omogućiti SSH sesiji za spajanje na UNIX poslužitelje iz bilo kojeg izvora.

Kao što vidite, zadana pravila omogućuju osnovno povezivanje kako bi se omogućilo ping na poslužitelj i prijava na njega.

Treba li vam više od ovoga?

Siguran sam da znate. Tu morate znati kako konfigurirati na temelju potreba.

GCP vatrozid su softverski definirana pravila; ne morate učiti ili se prijavljivati ​​na uobičajene hardverske uređaje vatrozida.

Pravila Google firewall-a su izvanredna.

Sva konfiguracija vrši se bilo putem GCP Console-a ili naredbama. No objasnit ću vam kako to učiniti pomoću konzole.

Pravila vatrozida dostupna su u VPC mreži u odjeljku umrežavanja na lijevom bočnom izborniku.

Kada kliknete na stvori pravilo vatrozida, zatražit će vas detalje o povezivanju. Da razumemo što sve mogućnosti imamo i što to znači.

Ime – naziv vatrozida (samo malim i malim razmacima nije dopušteno)

Opis – neobvezno, ali dobro je unijeti nešto smisleno, tako da se sjećate u budućnosti

Mreža – Ako niste stvorili nijedan VPC, vidjet ćete samo zadani i ostavit ćete ga onakvim kakav jest. No ako imate više VPC-a, odaberite mrežu u kojoj želite primijeniti pravila vatrozida.

Prioritet – prioritet pravila primijenjen na mrežu. Najniži su dobili najveći prioritet, a počinju od 1000. U većini slučajeva želite zadržati sve kritične usluge (HTTP, HTTPS itd.) S prioritetom 1000.

Smjer prometa – odaberite vrstu toka između ulaza (dolazni) i izlaza (odlaznog).

Akcija na utakmicu – odaberite želite li dopustiti ili odbiti

ciljevi – cilj na koji želite primijeniti pravila. Imate mogućnost primjene pravila na sve instance u mreži, dopuštajte ih samo na određenim oznakama ili računu usluge.

Izvorni filter – izvor koji će se potvrditi ili dopustiti ili negirati. Možete filtrirati po IP rasponima, podmrežama, izvornim oznakama i računima usluga.

Izvorni IP rasponi – ako je odabran IP raspon u izvornom filtru koji je zadani, navedite raspon IP koji će biti dopušten.

Drugi izvor filtra – višestruka provjera izvora je moguća.

Na primjer: prvi izvorni filtar možete imati kao izvorne oznake, a drugi filtar kao račun usluge. Bez obzira na to što se podudara, bit će dozvoljeno / odbijeno.

Protokol i portovi – možete odabrati sve portove ili odrediti pojedinačni (TCP / UDP). Možete imati više jedinstvenih portova u jednom pravilu.

Istražimo scenarije u stvarnom vremenu …

Promijenili ste SSH port sa 22 na nešto drugo (recimo 5000) iz sigurnosnih razloga. Od tada ne možete stupiti u VM.

Zašto?

Pa, lako možete pogoditi jer port 5000 nije dopušten u vatrozidu. Da biste to omogućili, morate kreirati pravilo vatrozida kao niže.

  • Navedite naziv pravila
  • Odaberite ulaz u smjeru prometa
  • Odaberite da biste dozvolili akciju podudaranja
  • Odaberite sve instance u ciljanoj mreži (pod pretpostavkom da se želite povezati s bilo kojim VM-om s priključkom 5000)
  • Odaberite IP raspone u izvornom filtru (pod pretpostavkom da se želite povezati iz bilo kojeg izvora)
  • Navedite raspone IP izvora kao 0.0.0.0/0
  • Odaberite određene protokole i portove i unesite tcp: 5000
  • Kliknite Create

Pokušajte spojiti svoj VM sa portom 5000 i trebao bi biti u redu.

Neki od najbolje prakse za upravljanje pravilima vatrozida.

  • Dopusti samo ono što je potrebno (na osnovi potrebe)
  • Gdje god je to moguće, navedite pojedinačni IP izvor ili IPA područja umjesto 0,0.0.0/0 (BILO)
  • Pridružite instance VM-a s oznakama i koristite ih u targetu umjesto svih instanci
  • Kombinirajte više portova u jednom pravilu radi podudaranja izvora i odredišta
  • Povremeno pregledavajte pravila vatrozida

GCP grafičko sučelje lako je razumjeti i upravljati.

Nadam se da vam ovo daje ideju upravljanja pravilima vatrozida Google Cloud Platform. Ako ste zainteresirani za učenje više, preporučio bih vam ovo online tečaj.

OZNAKE:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map