如何在Google Cloud Platform(GCP)中配置防火墙规则

想知道如何在Google Cloud Platform(GCP)上允许或拒绝网络流量?

在GCP中创建的每个项目都带有默认的防火墙规则。

让我们来看看它们是什么。

  • default-allow-icmp – 允许从任何源到所有网络IP。 ICMP协议主要用于对目标进行ping测试。
  • default-allow-internal – 允许在任何端口之间的实例之间进行连接。
  • default-allow-rdp – 允许从任何源连接到Windows服务器的RDP会话。
  • default-allow-ssh – 允许从任何源启用SSH会话到connect to UNIX servers

正如您所见,默认规则允许基本连接性以启用ping和登录到服务器。

您需要更多吗?

我确定你需要。这就是您需要根据需求进行配置的地方。

GCP防火墙是软件定义的规则;您不需要学习或登录传统的防火墙硬件设备。

Google Cloud防火墙规则是有状态的。所有的配置都是通过GCP控制台或命令完成的。但是,我将解释如何使用控制台进行操作。

防火墙规则在左侧菜单上的网络部分的VPC网络下可用。

当您单击创建防火墙规则时,它将要求您提供连接详细信息。让我们了解我们有哪些选项以及它们的含义。

名称 – 防火墙的名称(只允许小写字母和无空格)

描述 – 可选,但最好输入一些有意义的内容,以便将来记住

网络 – 如果您还没有创建任何VPC,则只会看到默认网络,并将其保持不变。但是,如果您有多个VPC,则选择您要应用防火墙规则的网络。

优先级 – 应用于网络的规则优先级。优先级最低,最高优先级为1000。在大多数情况下,您希望将所有关键服务(HTTP,HTTPS等)的优先级设置为1000。

流量的方向 – 选择入站(传入)和出站(传出)之间的流量类型。

匹配时的操作 – 选择允许还是拒绝

目标 – 您希望应用规则的目标。您可以选择将规则应用于网络中的所有实例,仅允许特定标签或服务帐户。

源筛选器 – 将用于验证是否允许或拒绝的源。您可以按IP范围,子网,源标签和服务帐户进行筛选。

源IP范围 – 如果在源筛选器中选择了默认的IP范围,则提供要允许的IP范围。

第二个源筛选器 – 可以进行多个源验证。

例如:您可以将第一个源筛选器设置为源标签,将第二个筛选器设置为服务帐户。任何匹配的规则都将被允许/拒绝。

协议和端口 – 您可以选择所有端口或指定单个端口(TCP / UDP)。您可以在单个规则中拥有多个唯一端口。

让我们探索实时场景…

由于安全原因,您已将changed SSH port从22更改为其他端口(假设为5000)。从那时起,您无法进入虚拟机。

为什么?

嗯,您可以很容易猜到,因为防火墙中未允许端口5000。要允许,您需要创建以下防火墙规则。

  • 提供规则名称
  • 选择入口方向的流量
  • 选择允许匹配的操作
  • 在目标中选择网络中的所有实例(假设您要连接到任何使用端口5000的虚拟机)
  • 在源过滤器中选择IP范围(假设您想从任何源连接)
  • 源IP范围提供为0.0.0.0/0
  • 选择指定的协议和端口并输入tcp:5000
  • 点击创建

尝试使用端口5000连接您的虚拟机,应该可以正常工作。

管理防火墙规则的一些最佳实践

  • 仅允许所需内容(基于需求)
  • 在可能的情况下,指定单个源IP或范围,而不是0.0.0.0/0(任何源IP)
  • 将VM实例与标签相关联,并在目标中使用该标签,而不是所有实例
  • 将多个端口组合在一个规则中以匹配源和目标
  • 定期审核防火墙规则

GCP的图形界面易于理解和管理。

希望这能让您对管理防火墙有所了解。如果有兴趣学习GCP,我建议查看这个course

类似文章