Paano Itatakda ang Mga Panuntunan ng Firewall sa Google Cloud Platform?

Nagtataka kung paano pahintulutan o tanggihan ang daloy ng network sa Google Cloud Platform (GCP?


Ang bawat proyekto na nilikha mo sa GCP ay may default na mga patakaran sa firewall.

Tingnan natin kung ano sila.

  • default-payagan-icmp – payagan mula sa anumang mapagkukunan sa lahat ng network ng IP. Karaniwang ginagamit ang protocol ng ICMP upang i-ping ang target.
  • default-payagan-panloob – payagan ang pagkakakonekta sa pagitan ng mga pagkakataon sa anumang port.
  • default-payagan-rdp – payagan ang session ng RDP na kumonekta sa mga Windows server mula sa anumang mapagkukunan.
  • default-payagan-ssh – paganahin ang SSH session upang kumonekta sa mga UNIX server mula sa anumang mapagkukunan.

Tulad ng nakikita mo ang mga default na patakaran ay nagbibigay-daan sa pangunahing koneksyon upang paganahin ang ping at mag-login sa server.

Kailangan mo ba ng higit pa sa ito?

Sigurado ako na ginagawa mo. Iyon kung saan kailangan mong malaman kung paano i-configure batay sa mga pangangailangan.

Ang GCP firewall ay mga patakaran na tinukoy ng software; hindi mo kailangang malaman o mag-log in sa maginoo na mga aparatong hardware na firewall.

Ang mga panuntunan ng firewall ng Google Cloud ay hindi mapagbigay.

Ang lahat ng pagsasaayos ay ginagawa alinman sa pamamagitan ng GCP Console o mga utos. Gayunpaman, ipapaliwanag ko kung paano magagawa gamit ang isang console.

Ang mga panuntunan ng firewall ay magagamit sa ilalim ng network ng VPC sa seksyon ng networking sa kaliwang bahagi ng menu.

Kapag nag-click ka na lumikha ng isang panuntunan ng firewall, tatanungin ka nito ng mga detalye ng koneksyon. Unawain natin kung ano ang lahat ng mga pagpipilian na mayroon tayo at kung ano ang ibig sabihin nito.

Pangalan – pangalan ng firewall (tanging sa maliit na maliit at walang puwang na pinapayagan)

Paglalarawan – opsyonal ngunit mahusay na magpasok ng isang bagay na makabuluhan, kaya naalala mo sa hinaharap

Network – Kung hindi ka pa nilikha ng VPC, makikita mo lamang ang default at iwanan mo ito. Gayunpaman, kung mayroon kang maraming VPC pagkatapos ay piliin ang network kung saan nais mong ilapat ang mga panuntunan sa firewall.

Kaduna – priyoridad ng panuntunan na inilalapat sa network. Ang pinakamababang nakuha ang pinakamataas na priyoridad, at nagsisimula ito mula sa 1000. Sa karamihan ng mga kaso, nais mong mapanatili ang lahat ng mga kritikal na serbisyo (HTTP, HTTPS, atbp.) Na may priority 1000.

Direksyon ng trapiko – Piliin ang uri ng daloy sa pagitan ng ingress (papasok) at outgress (papalabas).

Pagkilos sa tugma – pumili kung nais mong payagan o tanggihan

Mga target – ang target kung saan nais mong ilapat ang mga patakaran. Mayroon kang isang pagpipilian upang ilapat ang mga patakaran sa lahat ng mga pagkakataon sa network, payagan lamang sa mga tiyak na tag o account ng serbisyo.

Pinuno ng filter – isang mapagkukunan na kung saan ay mapatunayan sa alinman sa payagan o tanggihan. Maaari kang mag-filter sa pamamagitan ng mga IP na saklaw, subnetworks, mga tag ng mapagkukunan at mga account sa serbisyo.

Mga saklaw ng IP na pinagmulan – kung napiling hanay ng IP sa pinagmulan ng filter na default pagkatapos ay ibigay ang saklaw ng IP na pahihintulutan.

Pangalawang filter ng mapagkukunan – Posibleng ang pagpapatunay ng maraming mapagkukunan.

Hal: maaari kang magkaroon ng unang mapagkukunan ng filter bilang mga tag ng mapagkukunan at pangalawang filter bilang isang account sa serbisyo. Alinmang tumutugma ito ay pinapayagan / tanggihan.

Protocol at port – Maaari mong piliin ang lahat ng mga port o tukuyin ang bawat isa (TCP / UDP). Maaari kang magkaroon ng maraming mga natatanging port sa isang solong panuntunan.

Hayaan tuklasin ang mga real-time na mga sitwasyon …

Binago mo ang SSH port mula 22 hanggang sa iba pa (sabihin natin ang 5000) para sa mga kadahilanang pangseguridad. Simula noon, hindi ka makakapasok sa isang VM.

Bakit?

Well, madali mong hulaan dahil ang port 5000 ay hindi pinapayagan sa firewall. Upang payagan, kailangan mong lumikha ng isang panuntunan ng firewall tulad ng sa ibaba.

  • Magbigay ng isang pangalan ng panuntunan
  • Pumili ng ingress sa direksyon ng trapiko
  • Piliin upang payagan para sa pagkilos ng tugma
  • Piliin ang lahat ng mga pagkakataon sa isang network sa target (sa pagpapalagay na nais mong kumonekta sa anumang VM na may port 5000)
  • Piliin ang mga saklaw ng IP sa pinagmulan ng filter (sa pag-aakalang nais mong kumonekta mula sa ANUMANG mga mapagkukunan)
  • Magbigay ng mga saklaw ng IP na mapagkukunan bilang 0.0.0.0/0
  • Piliin ang tinukoy na mga protocol at port at ipasok ang tcp: 5000
  • I-click ang lumikha

Subukang ikonekta ang iyong VM sa port 5000, at dapat itong maging ok.

Ilan sa mga pinakamahusay na kasanayan para sa pamamahala ng mga panuntunan sa firewall.

  • Payagan lamang kung ano ang kinakailangan (kailangan-batayan)
  • Kung saan posible, tukuyin ang mga indibidwal na mapagkukunan ng IP o saklaw sa halip na 0.0.0.0 / 0 (ANUMANG)
  • Mga Kaugnay na VM na mga pagkakataon sa mga tag at gamitin na sa target sa halip na lahat ng mga pagkakataon
  • Pagsamahin ang maramihang mga port sa isang solong panuntunan para sa pagtutugma ng mapagkukunan at patutunguhan
  • Repasuhin ang mga panuntunan sa firewall na pana-panahon

Ang interface ng grapikong GCP ay madaling maunawaan at pamahalaan.

Inaasahan kong nagbibigay ito sa iyo ng isang ideya ng pamamahala ng mga patakaran ng firewall ng Google Cloud Platform. Kung interesado akong matuto nang higit pa ay inirerekumenda ko ito kurso sa online.

TAGS:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map