Globale Netzwerk-Firewallrichtlinie konfigurieren, um ausgehenden Traffic an einen FQDN zuzulassen

Erfahren Sie, wie Sie eine globale Firewallrichtlinie erstellen und konfigurieren, um ausgehenden Traffic zu einem bestimmten vollständig qualifizierten Domainnamen (FQDN) mithilfe der Google Cloud Console zuzulassen. Die Firewallrichtlinie blockiert den gesamten anderen ausgehenden Traffic, der von Ihrem Netzwerk stammt. In dieser Kurzanleitung wird ein VPC-Netzwerk (Virtual Private Cloud) mit einem Subnetz erstellt, eine VM-Instanz im VPC-Netzwerk erstellt, eine Firewallrichtlinie eingerichtet, die Regeln für ausgehenden Traffic verwendet, und dann getestet Firewallrichtlinie von der VM.

Hinweise

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Compute Engine and Identity-Aware Proxy (IAP) APIs aktivieren.

    Aktivieren Sie die APIs

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  7. Compute Engine and Identity-Aware Proxy (IAP) APIs aktivieren.

    Aktivieren Sie die APIs

    8.
  8. Sie benötigen die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin).

Benutzerdefiniertes VPC-Netzwerk mit einem IPv4-Subnetz erstellen

Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit einem IPv4-Subnetz.

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie für Name vpc-fw-policy-egress ein.

  4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  5. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    • Name: Geben Sie subnet-1 ein.
    • Region: Wählen Sie us-central1 aus.
    • IPv4-Bereich: Geben Sie 10.0.0.0/24 ein.

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Erstellen.

VM erstellen

Erstellen Sie eine VM in dem Subnetz, das Sie im vorherigen Abschnitt konfiguriert haben.

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Geben Sie für Name instance-1-us ein.

  3. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

  4. Maximieren Sie Erweiterte Optionen und dann Netzwerk.

  5. Maximieren Sie im Bereich Netzwerkschnittstellen die vorhandene Netzwerkschnittstelle und geben Sie die folgenden Konfigurationsparameter an:

    • Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
    • Subnetzwerk: Wählen Sie subnet-1 IPv4 (10.0.0.0/24) aus.
    • Externe IPv4-Adresse: Wählen Sie Keine aus.

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Erstellen.

Cloud Router und Cloud NAT-Gateway erstellen

Im vorherigen Abschnitt haben Sie eine VM ohne externe IP-Adresse erstellt. Damit die VM auf das öffentliche Internet zugreifen kann, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway für dieselbe Region und dasselbe Subnetz, in dem Sie Ihre VM erstellt haben.

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

    Hinweis: Wenn dies das erste Cloud NAT-Gateway ist, das Sie erstellen, klicken Sie auf Jetzt starten. Wenn Sie bereits Gateways haben, wird in Google Cloud die Schaltfläche Cloud NAT-Gateway erstellen angezeigt. Klicken Sie zum Erstellen eines weiteren Gateways auf Cloud NAT-Gateway erstellen.

  3. Geben Sie als Gatewayname fw-egress-nat-gw ein.

  4. Wählen Sie als NAT-Typ Öffentlich aus.

  5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

    • Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
    • Region: Wählen Sie us-central1 (Iowa) aus.
    • Cloud Router: Klicken Sie auf Neuen Router erstellen.
      1. Geben Sie für Name fw-egress-router ein.
      2. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Erstellen.

Globale Netzwerk-Firewallrichtlinie erstellen, um IAP zu aktivieren

Um Identity-Aware Proxy für die VMs in Ihrem Netzwerk zu aktivieren, erstellen Sie eine globale Firewallrichtlinie für das Netzwerk und fügen Sie der Richtlinie eine Firewallregel hinzu. IAP ermöglicht Administratorzugriff auf die VMs.

Die Firewallregel muss die folgenden Eigenschaften haben:

  • Gilt für alle VMs, die über die IAP-TCP-Weiterleitung zugänglich sein sollen.
  • Lässt eingehenden Traffic aus dem IP-Adressbereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.
  • Lässt Verbindungen zu allen Ports zu, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port 22 für SSH.

So aktivieren Sie den IAP-Zugriff auf alle VMs im vpc-fw-policy-egress-Netzwerk:

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie auf Firewallrichtlinie erstellen.

  3. Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname fw-egress-policy ein.

  4. Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.

  5. Klicken Sie im Abschnitt Regeln hinzufügen auf Regel hinzufügen, um Regeln für Ihre Richtlinie zu erstellen.

    1. Geben Sie 100 als Priorität ein.
    2. Wählen Sie für Traffic-Richtung die Option Eingehend aus.
    3. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
    4. Wählen Sie für Logs Ein aus.
    5. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
    6. Geben Sie im Abschnitt Quelle unter IP-Bereiche 35.235.240.0/20 ein.
    7. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
    8. Klicken Sie das Kästchen TCP an und geben Sie für Ports den Wert 22 ein.
    9. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Weiter.

  7. Klicken Sie im Abschnitt Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen, um Ihr VPC-Netzwerk mit der Richtlinie zu verknüpfen.

  8. Klicken Sie auf das Kästchen vpc-fw-policy-egress und dann auf vpc-fw-policy-egress.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf Erstellen.

Firewallregel hinzufügen, um ausgehenden Traffic zu allen Zielen abzulehnen

Wenn Sie ausgehenden Traffic zu allen Zielen ablehnen möchten, fügen Sie eine Firewallregel zu fw-egress-policy hinzu.

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie 700 als Priorität ein.

  5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

  6. Wählen Sie für Aktion bei Übereinstimmung die Option Ablehnen aus.

  7. Wählen Sie für Logs Ein aus.

  8. Geben Sie im Abschnitt Ziel unter IP-Bereiche 0.0.0.0/0 ein.

  9. Klicken Sie auf Erstellen.

Firewallregel hinzufügen, um ausgehenden Traffic nur zu einem bestimmten FQDN zuzulassen

Wenn Sie ausgehenden Traffic nur zu einem bestimmten FQDN (ads.google.com) zulassen möchten, fügen Sie in fw-egress-policy eine Firewallregel hinzu.

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie 600 als Priorität ein.

  5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

  6. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  7. Wählen Sie für Logs Ein aus.

  8. Geben Sie im Abschnitt Ziel unter FQDNs den Wert ads.google.com ein.

  9. Klicken Sie auf Erstellen.

Globale Netzwerk-Firewallrichtlinie testen

Nachdem Sie die globale Netzwerk-Firewallrichtlinie konfiguriert haben, führen Sie die folgenden Schritte aus, um die Richtlinie zu testen:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie in der Spalte Verbinden der instance-1-us-VM auf SSH.

  3. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  4. Prüfen Sie mit folgendem Befehl, ob der ausgehende Traffic zu https://ads.google.com zulässig ist:

      curl -I https://ads.google.com

    Der vorherige Befehl gibt die Headerinformationen von https://ads.google.com zurück. Dies bedeutet, dass ausgehende Verbindungen zulässig sind.

  5. Geben Sie einen beliebigen FQDN an und führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zu einem anderen Ziel blockiert wird:

      curl -m 2 -I https://mail.yahoo.com

    Der vorherige Befehl gibt die Meldung Connection timed out zurück. Dies wird erwartet, da Sie eine Firewallregel erstellt haben, um ausgehenden Traffic an alle Ziele außer https://ads.google.com abzulehnen.

Logs ansehen

Sie können prüfen, ob die Firewallregeln auf den ausgehenden Traffic angewendet wurden, indem Sie auf die Logs zugreifen. Rufen Sie das Protokoll mit den folgenden Schritten auf:

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

  3. Klicken Sie in der Spalte Trefferzahl auf die Zahl für die Regel, die Sie im Abschnitt Globale Netzwerk-Firewallrichtlinie erstellen erstellt haben. Die Seite Log-Explorer wird geöffnet.

  4. Erweitern Sie das einzelne Log, um die auf den ausgehenden Traffic angewendete Firewallregel anzusehen. Sie können die Verbindung, die Anordnung, den Remote-Standort und die Regeldetails aufrufen, indem Sie die entsprechenden Abschnitte maximieren.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen.

Führen Sie die folgenden Aufgaben aus, um die in dieser Kurzanleitung erstellten Ressourcen zu löschen.

Firewallrichtlinie löschen

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

  3. Klicken Sie auf den Tab Verknüpfungen.

  4. Markieren Sie das Kästchen vpc-fw-policy-egress und klicken Sie auf Verknüpfung entfernen.

  5. Klicken Sie im Dialogfeld Firewallrichtlinienverknüpfung entfernen auf Entfernen.

  6. Klicken Sie auf Löschen.

  7. Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.

VM löschen

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie auf das Kästchen für die VM instance-1-us.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld instance-1-us löschen auf Löschen.

Cloud-NAT-Gateway und Cloud Router löschen

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Aktivieren Sie das Kästchen für fw-egress-router.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld fw-egress-router löschen auf Löschen.

Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

VPC-Netzwerk und dessen Subnetze löschen

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie in der Spalte Name auf vpc-fw-policy-egress.

  3. Klicken Sie auf VPC-Netzwerk löschen.

  4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie ein VPC-Netzwerk löschen, werden auch seine Subnetze gelöscht.

Nächste Schritte