როგორ კონფიგურაცია Firewall– ის წესების Google Cloud პლატფორმაში?

გაინტერესებთ, როგორ დაუშვას ან უარყოს ქსელის გადინება Google Cloud პლატფორმაზე (GCP)?


GCP– ში შექმნილ ყველა პროექტს შეიცავს firewall– ის ნაგულისხმევი წესები.

მოდით განვიხილოთ, რა არის ისინი.

  • ნაგულისხმევი-ნება-icmp – ნებისმიერი წყაროდან დაუშვით ქსელის ყველა IP. ICMP პროტოკოლი ძირითადად გამოიყენება სამიზნე პინგზე.
  • ნაგულისხმევი-ნებადართული-შიდა – დაუშვან კავშირი ინსტალაციებს შორის ნებისმიერ პორტში.
  • ნაგულისხმევი-ნება-rdp – საშუალებას RDP სესიას დაუკავშირდეს Windows სერვერებს ნებისმიერი წყაროდან.
  • ნაგულისხმევი-ნებადართული ssh – საშუალებას მისცემთ SSH სესიას ნებისმიერ წყაროდან დაუკავშირდეთ UNIX სერვერებს.

როგორც ხედავთ, ნაგულისხმევი წესები საშუალებას აძლევს საბაზისო კავშირს საშუალებას აძლევს სერვერზე პინგს შესვლა და შესვლა.

ამაზე მეტად გჭირდებათ?

დარწმუნებული ვარ ეს არის სადაც თქვენ უნდა იცოდეთ როგორ გააკეთოთ კონფიგურაცია მოთხოვნილებებზე დაყრდნობით.

GCP firewall არის პროგრამული უზრუნველყოფით განსაზღვრული წესები; თქვენ არ გჭირდებათ სწავლა ან შესვლა ჩვეულებრივი ბუხრის აპარატების მოწყობილობებზე.

Google Cloud firewall- ის წესები სახელმწიფოებურია.

ყველა კონფიგურაცია შესრულებულია GCP Console ან ბრძანებების საშუალებით. ამასთან, მე აგიხსნით, თუ როგორ უნდა გავაკეთოთ კონსოლის გამოყენებით.

Firewall- ის წესები ხელმისაწვდომია VPC ქსელის ქვეშ, ქსელის განყოფილებაში მარცხენა მხარეს მენიუში.

როდესაც დააჭირეთ ბუხრის წესის შექმნას, ის მოგაკითხავთ კავშირის დეტალებს. მოდით გავიგოთ, რა გვაქვს ყველა ვარიანტი და რას ნიშნავს ეს.

სახელი – firewall- ის სახელი (მხოლოდ მცირე და მცირე ზომის სივრცე არ არის დაშვებული)

აღწერა – სურვილისამებრ, მაგრამ კარგი, რომ რაიმე მნიშვნელოვანი აზრი შეიტანოთ, ასე რომ გახსოვთ მომავალში

ქსელი – თუ თქვენ ვერ შექმენით რაიმე VPC, მაშინ მხოლოდ ნაგულისხმევი ნახავთ და დატოვეთ ის, როგორც ეს არის. ამასთან, თუ მრავალჯერადი VPC გაქვთ, მაშინ შეარჩიეთ ქსელი, სადაც გსურთ გამოიყენოთ firewall- ის წესები.

პრიორიტეტი – წესის პრიორიტეტი, რომელიც გამოიყენება ქსელში. ყველაზე დაბალი პრიორიტეტი მიიღო და ის იწყება 1000-დან. უმეტეს შემთხვევაში, გსურთ ყველა მნიშვნელოვანი სერვისის შენარჩუნება (HTTP, HTTPS და ა.შ.) პრიორიტეტული 1000.

მოძრაობის მიმართულება – შეარჩიეთ ნაკადის ტიპი ინტეგრაციას (შემომავალ) და გარეგანს (გამავალი) შორის..

მოქმედება მატჩზე – შეარჩიე, გინდა თუ არა ამის უფლება

მიზნები – სამიზნე, სადაც გსურთ წესების გამოყენება. თქვენ გაქვთ უფლება, გამოიყენოთ წესები ქსელში არსებული ყველა ინსტანციისთვის, დაუშვათ მხოლოდ კონკრეტული ჩანართების ან მომსახურების ანგარიში.

წყაროს ფილტრი – წყარო, რომლის დამოწმებაც შესაძლებელი იქნება ან დაუშვებელია. შეგიძლიათ გაფილტროთ IP დიაპაზონის, ქვესაშენების, წყაროების და სერვისის ანგარიშების მიხედვით.

წყაროს IP დიაპაზონი – თუ არჩეული IP დიაპაზონი წყაროს ფილტრში, რომელიც ნაგულისხმევია, მიუთითეთ IP დიაპაზონი, რომელიც დაიშვება.

მეორე წყაროს ფილტრი – შესაძლებელია მრავალი წყაროს დამოწმება.

მაგალითად: თქვენ შეგიძლიათ პირველი წყაროს ფილტრი, როგორც წყარო თეგები, და მეორე ფილტრი, როგორც მომსახურების ანგარიში. რომელი მატჩიც იქნება დაშვებული / უარყოფილი.

პროტოკოლი და პორტები – შეგიძლიათ აირჩიოთ ყველა პორტები ან მიუთითოთ ინდივიდუალური (TCP / UDP). თქვენ შეგიძლიათ მრავალჯერადი უნიკალური პორტი ერთი წესით.

მოდით განვიხილოთ რეალურ დროში სცენარი…

თქვენ შეცვალეთ SSH პორტი 22 – დან სხვა რამეში (ვთქვათ 5000 – ზე) უსაფრთხოების მიზეზების გამო. მას შემდეგ ვერ მოხვდები VM- ს.

რატომ?

ისე, მარტივად შეგიძლიათ გამოიცნოთ, რადგან პორტის 5000 დაუშვებელია ბუხარში. ამის დასაყენებლად, თქვენ უნდა შექმნათ firewall წესი, როგორც ქვემოთ.

  • მიუთითეთ წესის სახელი
  • შეარჩიეთ მისამართი ტრაფიკის მიმართულებით
  • შეარჩიეთ მატჩი მოქმედების საშუალებას
  • შეარჩიეთ სამიზნე ქსელში არსებული ყველა შემთხვევა (თუ ვიმედოვნებთ, რომ გსურთ დაუკავშირდეთ ნებისმიერ VM- ს პორტთან 5000)
  • შეარჩიეთ IP დიაპაზონები წყაროს ფილტრში (თუ ვიმსჯელებთ, რომ ნებისმიერი წყაროდან დაკავშირება გსურთ)
  • უზრუნველყოს წყაროს IP დიაპაზონი, როგორც 0.0.0.0/0
  • შეარჩიეთ მითითებული პროტოკოლები და პორტები და შეიყვანეთ tcp: 5000
  • დააჭირეთ შექმნას

შეეცადეთ დააკავშიროთ თქვენი VM- ს პორტთან 5000, და ეს კარგი უნდა იყოს.

Ზოგიერთი საუკეთესო პრაქტიკა ბუხრის წესების მართვისთვის.

  • ნებადართულია მხოლოდ ის, რაც საჭიროა (საჭიროების საფუძველი)
  • სადაც ეს შესაძლებელია, მიუთითეთ ინდივიდუალური წყარო IP ან მერყეობს 0.0.0.0/0 ნაცვლად (ANY)
  • დაუკავშირეთ VM- ს ინსტაგრამებს წარწერებთან და გამოიყენეთ ის სამიზნეში, ყველა ინსტანციის ნაცვლად
  • შეუთავსეთ მრავალჯერადი პორტები ერთ წესში წყაროსა და დანიშნულების შესაბამისობისთვის
  • პერიოდულად გადახედეთ firewall- ის წესებს

GCP გრაფიკული ინტერფეისი ადვილად გასაგებია და მართვა.

იმედი მაქვს, რომ ეს მოგცემთ იდეას Google Cloud Platform Firewall- ის წესების მართვის შესახებ. თუ დაინტერესებული ხართ მეტი ცოდნით, ამას გირჩევთ ონლაინ კურსი.

ტეგები:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map