如何在Google Cloud Platform（GCP）中配置防火墙规则

想知道如何在Google Cloud Platform（GCP）上允许或拒绝网络流量？

在GCP中创建的每个项目都带有默认的防火墙规则。

让我们来看看它们是什么。

• default-allow-icmp – 允许从任何源到所有网络IP。 ICMP协议主要用于对目标进行ping测试。
• default-allow-internal – 允许在任何端口之间的实例之间进行连接。
• default-allow-rdp – 允许从任何源连接到Windows服务器的RDP会话。
• default-allow-ssh – 允许从任何源启用SSH会话到connect to UNIX servers。

正如您所见，默认规则允许基本连接性以启用ping和登录到服务器。

您需要更多吗？

我确定你需要。这就是您需要根据需求进行配置的地方。

GCP防火墙是软件定义的规则；您不需要学习或登录传统的防火墙硬件设备。

Google Cloud防火墙规则是有状态的。所有的配置都是通过GCP控制台或命令完成的。但是，我将解释如何使用控制台进行操作。

防火墙规则在左侧菜单上的网络部分的VPC网络下可用。

当您单击创建防火墙规则时，它将要求您提供连接详细信息。让我们了解我们有哪些选项以及它们的含义。

名称 – 防火墙的名称（只允许小写字母和无空格）

描述 – 可选，但最好输入一些有意义的内容，以便将来记住

网络 – 如果您还没有创建任何VPC，则只会看到默认网络，并将其保持不变。但是，如果您有多个VPC，则选择您要应用防火墙规则的网络。

优先级 – 应用于网络的规则优先级。优先级最低，最高优先级为1000。在大多数情况下，您希望将所有关键服务（HTTP，HTTPS等）的优先级设置为1000。

流量的方向 – 选择入站（传入）和出站（传出）之间的流量类型。

匹配时的操作 – 选择允许还是拒绝

目标 – 您希望应用规则的目标。您可以选择将规则应用于网络中的所有实例，仅允许特定标签或服务帐户。

源筛选器 – 将用于验证是否允许或拒绝的源。您可以按IP范围，子网，源标签和服务帐户进行筛选。

源IP范围 – 如果在源筛选器中选择了默认的IP范围，则提供要允许的IP范围。

第二个源筛选器 – 可以进行多个源验证。

例如：您可以将第一个源筛选器设置为源标签，将第二个筛选器设置为服务帐户。任何匹配的规则都将被允许/拒绝。

协议和端口 – 您可以选择所有端口或指定单个端口（TCP / UDP）。您可以在单个规则中拥有多个唯一端口。

让我们探索实时场景…

由于安全原因，您已将changed SSH port从22更改为其他端口（假设为5000）。从那时起，您无法进入虚拟机。

为什么？

嗯，您可以很容易猜到，因为防火墙中未允许端口5000。要允许，您需要创建以下防火墙规则。

• 提供规则名称
• 选择入口方向的流量
• 选择允许匹配的操作
• 在目标中选择网络中的所有实例（假设您要连接到任何使用端口5000的虚拟机）
• 在源过滤器中选择IP范围（假设您想从任何源连接）
• 将源IP范围提供为0.0.0.0/0
• 选择指定的协议和端口并输入tcp:5000
• 点击创建

尝试使用端口5000连接您的虚拟机，应该可以正常工作。

管理防火墙规则的一些最佳实践。

• 仅允许所需内容（基于需求）
• 在可能的情况下，指定单个源IP或范围，而不是0.0.0.0/0（任何源IP）
• 将VM实例与标签相关联，并在目标中使用该标签，而不是所有实例
• 将多个端口组合在一个规则中以匹配源和目标
• 定期审核防火墙规则

GCP的图形界面易于理解和管理。

希望这能让您对管理防火墙有所了解。如果有兴趣学习GCP，我建议查看这个course。