Com configurar les regles del tallafoc a la plataforma Google Cloud?

Es pregunta com permetre o denegar el flux de xarxa a Google Cloud Platform (GCP)?


Cada projecte que creeu a GCP ve amb les normes predeterminades del tallafoc.

Explorem què són?.

  • default-allow-icmp – Permet des de qualsevol font a tota la IP de xarxa. El protocol ICMP s’utilitza principalment per fer ping a la destinació.
  • default-allow-intern – Permet connectar entre instàncies en qualsevol port.
  • default-allow-rdp – Permet que la sessió RDP es connecti als servidors de Windows des de qualsevol font.
  • default-allow-ssh – activeu la sessió SSH per connectar-se a servidors UNIX des de qualsevol font.

Com es pot veure, les regles predeterminades permeten connectivitat bàsica per habilitar ping i iniciar sessió al servidor.

Necessiteu més que això?

Estic segur que ho fas. És allà on heu de saber configurar segons les necessitats.

El tallafoc GCP és unes regles definides pel programari; no cal que aprengueu ni inicieu la sessió en dispositius de maquinari de tallafoc convencionals.

Les normes de tallafoc de Google Cloud són estrictes.

Tota la configuració es fa a través de consola o comandes de GCP. Tot i això, explicaré com fer servir mitjançant una consola.

Les normes de tallafoc estan disponibles a la xarxa VPC a la secció de xarxa del menú esquerre.

Quan feu clic a crear una regla de tallafoc, us demanarà els detalls de connectivitat. Entenem què són totes les opcions i què vol dir això?.

Nom – nom del tallafoc (només en minúscula i no es permet espai)

Descripció – opcional, però bo per introduir alguna cosa significativa, de manera que ho recordeu en el futur

Xarxa – Si no heu creat cap VPC, veureu només el valor per defecte i el deixareu tal com està. Tanmateix, si teniu diversos VPC, seleccioneu la xarxa on vulgueu aplicar les regles del tallafoc.

Prioritat – regla la prioritat aplicada a la xarxa La més baixa té la prioritat més alta i comença a partir del 1000. En la majoria dels casos, voleu mantenir tots els serveis crítics (HTTP, HTTPS, etc.) amb la prioritat 1000.

Direcció de trànsit – Seleccioneu el tipus de flux entre entrada (entrant) i outgress (sortint).

Acció al partit – tria si vols permetre o negar

Objectius – l’objectiu on voleu aplicar les regles. Teniu l’opció d’aplicar les regles a totes les instàncies de la xarxa, només permetre en etiquetes específiques o compte de servei.

Filtre font – una font que es validarà per permetre o denegar. Podeu filtrar els intervals IP, subxarxes, etiquetes font i comptes de servei.

Ranges IP d’origen – si s’ha seleccionat l’interval IP al filtre font, per defecte, proporcioneu l’interval de la IP que estarà permès.

Segon filtre font – és possible validar múltiples fonts.

Ex: podeu tenir el primer filtre font com a etiquetes font i el segon filtre com a compte de servei. Qualsevol partit que es permeti / denegarà.

Protocol i ports – podeu seleccionar tots els ports o especificar-ne un (TCP / UDP). Podeu tenir diversos ports únics en una sola regla.

Anem a explorar els escenaris en temps real …

Heu canviat el port SSH de 22 a una altra cosa (diguem-ne 5000) per motius de seguretat. Des de llavors, no podeu entrar en una màquina virtual.

Per què?

Bé, podeu intuir fàcilment perquè no es permet el port 5000 al tallafoc. Per permetre-ho, cal crear una regla de tallafoc com es mostra a continuació.

  • Proporciona un nom de regla
  • Trieu l’entrada en direcció al trànsit
  • Trieu permetre l’acció de coincidència
  • Seleccioneu totes les instàncies d’una xarxa en destinació (suposant que voleu connectar-vos a qualsevol màquina virtual amb el port 5000)
  • Seleccioneu els intervals IP al filtre font (suposant que voleu connectar-vos des de qualsevol font)
  • Proporcioneu intervals IP d’origen com a 0.0.0.0/0
  • Seleccioneu protocols i ports especificats i introduïu tcp: 5000
  • Feu clic a crea

Proveu de connectar la vostra màquina virtual amb el port 5000, i hauria d’estar bé.

Alguns dels millors pràctiques per gestionar les regles del tallafoc.

  • Permet només el que es requereix (base-necessitat)
  • Sempre que sigui possible, especifiqueu IP o intervals de font individuals en lloc del 0.0.0.0/0 (QUALSEVOL)
  • Associeu instàncies de VM amb les etiquetes i utilitzeu-lo a la destinació en lloc de totes les instàncies
  • Combina diversos ports en una sola regla per combinar la font i la destinació
  • Reviseu periòdicament les normes del tallafoc

La interfície gràfica GCP és fàcil d’entendre i gestionar.

Espero que això us doni una idea de gestionar les normes de tallafoc de Google Cloud Platform. Si esteu interessats en aprendre més, us recomano això curs en línia.

Tags:

  • PPC

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map