Kuidas konfigureerida tulemüürireegleid Google’i pilvplatvormil?

Huvitav, kuidas lubada või keelata võrguvoogu Google’i pilvplatvormil (GCP?


Iga GCP-s loodud projektiga on kaasas vaikse tulemüürireeglid.

Uurime, mis need on.

  • vaikimisi luba-icmp – lubada mis tahes allikast kogu võrgu IP-le. ICMP protokolli kasutatakse enamasti sihtmärgi pingutamiseks.
  • vaikimisi luba-sisemine – võimaldada ühenduvust mis tahes pordi esinemisjuhtude vahel.
  • vaikimisi luba-rdp – lubada RDP-seansil luua ühenduse mis tahes allikast Windowsi serveritega.
  • vaikimisi luba-ssh – lubada SSH-seansil luua ühenduse mis tahes allikast UNIX-i serveritega.

Nagu näete vaikereeglid, võimaldavad põhilised ühendused serverisse pingimise ja serverisse sisselogimise võimaldamiseks.

Kas vajate rohkemat kui seda?

Olen kindel, et teete seda. Siin peate teadma, kuidas vajadustest lähtuvalt konfigureerida.

GCP tulemüür on tarkvara määratletud reeglid; ei pea te tavalisi tulemüüri riistvara seadmeid õppima ega sisse logima.

Google Cloudi tulemüürireeglid on oleklikud.

Kogu konfigureerimine toimub kas GCP konsooli või käskude kaudu. Kuid ma selgitan, kuidas seda teha konsooli abil.

Tulemüürireeglid on saadaval VPC-võrgu alt võrgunduse jaotises vasakpoolses menüüs.

Kui klõpsate tulemüürireegli loomisel, küsib see teilt ühenduse üksikasju. Saame aru, mida kõik võimalused meil on ja mida see tähendab.

Nimi – tulemüüri nimi (ainult väiketähed ja tühikud pole lubatud)

Kirjeldus – valikuline, kuid hea millegi sisuka sisestamiseks, nii et mäletate seda tulevikus

Võrgustik – Kui te pole VPC-d loonud, näete ainult vaikeseadet ja jätate selle selliseks, nagu see on. Kui teil on aga mitu VPC-d, valige võrk, kuhu soovite tulemüürireegleid rakendada.

Prioriteet – võrgule rakendatud reegli prioriteet. Madalaim sai kõrgeima prioriteedi ja see algab 1000-st. Enamikul juhtudel soovite säilitada kõik kriitilised teenused (HTTP, HTTPS jne) prioriteediga 1000.

Liikluse suund – valige voolu tüüp sissetuleva (sissetuleva) ja väljavoolu (väljamineva) vahel.

Tegevus matšil – valige, kas soovite lubada või keelata

Sihtmärgid – sihtkoht, kus soovite reegleid rakendada. Teil on võimalus rakendada reegleid kõigi võrgus esinevate juhtumite korral, lubada ainult kindlatel siltidel või teenusekontol.

Allikafilter – allikas, mille valideerimine lubab või keelab. Saate filtreerida IP-vahemike, alamvõrkude, lähtekoodide ja teenusekontode järgi.

Allika IP vahemikud – kui valitud on IP-vahemik lähtefiltris, mis on vaikimisi, siis esitage lubatud IP-vahemik.

Teine allikafilter – mitme allika valideerimine on võimalik.

Näiteks: teil võib olla esimene lähtefilter lähtetekstidena ja teine ​​filter teenusekontona. Ükskõik, kumb vaste seda lubatakse / keelatakse.

Protokoll ja pordid – võite valida kas kõik pordid või määrata ühe (TCP / UDP). Ühel reeglil võib olla mitu ainulaadset porti.

Uurime reaalajas stsenaariume …

Olete turvalisuse huvides muutnud SSH-pordi 22-lt millekski muuks (ütleme näiteks 5000). Pärast seda ei saa te VM-i sattuda.

Miks?

Noh, saate hõlpsalt arvata, kuna port 5000 pole tulemüüris lubatud. Selle lubamiseks peate looma tulemüüri reegli, nagu allpool toodud.

  • Sisestage reegli nimi
  • Valige sisenemine liikluse suunas
  • Valige, kas lubada matš
  • Valige kõik sihtmärgiks oleva võrgu eksemplarid (eeldusel, et soovite luua ühenduse iga pordiga 5000 asuva VM-ga)
  • Valige IP-vahemikud lähtefiltris (eeldusel, et soovite luua ühenduse mis tahes allikast)
  • Esitage allika IP vahemikud kui 0.0.0.0/0
  • Valige täpsustatud protokollid ja pordid ning sisestage tcp: 5000
  • Klõpsake nuppu Loo

Proovige ühendada oma VM portiga 5000 ja see peaks olema korras.

Mõned parimad tavad tulemüürireeglite haldamiseks.

  • Luba ainult seda, mis on vajalik (vajaduspõhine)
  • Võimaluse korral määrake üksiku allika IP või vahemikud 0.0.0.0/0 (ANY) asemel
  • Seostage VM-i eksemplarid siltidega ja kasutage seda kõigi esinemisjuhtude asemel sihtmärgis
  • Kombineerige mitu pordi ühes reeglis, et lähte- ja sihtkoht sobitada
  • Vaadake perioodiliselt tulemüürireegleid

GCP graafilist liidest on lihtne mõista ja hallata.

Loodetavasti annab see teile idee Google’i pilvplatvormi tulemüürireeglite haldamisest. Kui soovite rohkem teada saada, soovitaksin seda veebikursus.

Sildid:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map