如何在Google Cloud Platform(GCP)中配置防火墙规则
想知道如何在Google Cloud Platform(GCP)上允许或拒绝网络流量?
在GCP中创建的每个项目都带有默认的防火墙规则。
让我们来看看它们是什么。
- default-allow-icmp – 允许从任何源到所有网络IP。 ICMP协议主要用于对目标进行ping测试。
- default-allow-internal – 允许在任何端口之间的实例之间进行连接。
- default-allow-rdp – 允许从任何源连接到Windows服务器的RDP会话。
- default-allow-ssh – 允许从任何源启用SSH会话到connect to UNIX servers。
正如您所见,默认规则允许基本连接性以启用ping和登录到服务器。
您需要更多吗?
我确定你需要。这就是您需要根据需求进行配置的地方。
GCP防火墙是软件定义的规则;您不需要学习或登录传统的防火墙硬件设备。
Google Cloud防火墙规则是有状态的。所有的配置都是通过GCP控制台或命令完成的。但是,我将解释如何使用控制台进行操作。
防火墙规则在左侧菜单上的网络部分的VPC网络下可用。
当您单击创建防火墙规则时,它将要求您提供连接详细信息。让我们了解我们有哪些选项以及它们的含义。
名称 – 防火墙的名称(只允许小写字母和无空格)
描述 – 可选,但最好输入一些有意义的内容,以便将来记住
网络 – 如果您还没有创建任何VPC,则只会看到默认网络,并将其保持不变。但是,如果您有多个VPC,则选择您要应用防火墙规则的网络。
优先级 – 应用于网络的规则优先级。优先级最低,最高优先级为1000。在大多数情况下,您希望将所有关键服务(HTTP,HTTPS等)的优先级设置为1000。
流量的方向 – 选择入站(传入)和出站(传出)之间的流量类型。
匹配时的操作 – 选择允许还是拒绝
目标 – 您希望应用规则的目标。您可以选择将规则应用于网络中的所有实例,仅允许特定标签或服务帐户。
源筛选器 – 将用于验证是否允许或拒绝的源。您可以按IP范围,子网,源标签和服务帐户进行筛选。
源IP范围 – 如果在源筛选器中选择了默认的IP范围,则提供要允许的IP范围。
第二个源筛选器 – 可以进行多个源验证。
例如:您可以将第一个源筛选器设置为源标签,将第二个筛选器设置为服务帐户。任何匹配的规则都将被允许/拒绝。
协议和端口 – 您可以选择所有端口或指定单个端口(TCP / UDP)。您可以在单个规则中拥有多个唯一端口。
让我们探索实时场景…
由于安全原因,您已将changed SSH port从22更改为其他端口(假设为5000)。从那时起,您无法进入虚拟机。
为什么?
嗯,您可以很容易猜到,因为防火墙中未允许端口5000。要允许,您需要创建以下防火墙规则。
- 提供规则名称
- 选择入口方向的流量
- 选择允许匹配的操作
- 在目标中选择网络中的所有实例(假设您要连接到任何使用端口5000的虚拟机)
- 在源过滤器中选择IP范围(假设您想从任何源连接)
- 将源IP范围提供为0.0.0.0/0
- 选择指定的协议和端口并输入tcp:5000
- 点击创建
尝试使用端口5000连接您的虚拟机,应该可以正常工作。
管理防火墙规则的一些最佳实践。
- 仅允许所需内容(基于需求)
- 在可能的情况下,指定单个源IP或范围,而不是0.0.0.0/0(任何源IP)
- 将VM实例与标签相关联,并在目标中使用该标签,而不是所有实例
- 将多个端口组合在一个规则中以匹配源和目标
- 定期审核防火墙规则
GCP的图形界面易于理解和管理。
希望这能让您对管理防火墙有所了解。如果有兴趣学习GCP,我建议查看这个course。