Erfahren Sie, wie Sie eine globale Firewallrichtlinie erstellen und konfigurieren, um ausgehenden Traffic zu einem bestimmten vollständig qualifizierten Domainnamen (FQDN) mithilfe der Google Cloud Console zuzulassen. Die Firewallrichtlinie blockiert den gesamten anderen ausgehenden Traffic, der von Ihrem Netzwerk stammt. In dieser Kurzanleitung wird ein VPC-Netzwerk (Virtual Private Cloud) mit einem Subnetz erstellt, eine VM-Instanz im VPC-Netzwerk erstellt, eine Firewallrichtlinie eingerichtet, die Regeln für ausgehenden Traffic verwendet, und dann getestet Firewallrichtlinie von der VM.
Hinweise
- Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
Compute Engine and Identity-Aware Proxy (IAP) APIs aktivieren.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
Compute Engine and Identity-Aware Proxy (IAP) APIs aktivieren.
- Sie benötigen die Rolle „Compute-Netzwerkadministrator“ (
roles/compute.networkAdmin
).
Benutzerdefiniertes VPC-Netzwerk mit einem IPv4-Subnetz erstellen
Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit einem IPv4-Subnetz.
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name
vpc-fw-policy-egress
ein.Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:
- Name: Geben Sie
subnet-1
ein. - Region: Wählen Sie us-central1 aus.
- IPv4-Bereich: Geben Sie
10.0.0.0/24
ein.
- Name: Geben Sie
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.
VM erstellen
Erstellen Sie eine VM in dem Subnetz, das Sie im vorherigen Abschnitt konfiguriert haben.
Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.
Geben Sie für Name
instance-1-us
ein.Wählen Sie bei Region die Option
us-central1 (Iowa)
aus.Maximieren Sie Erweiterte Optionen und dann Netzwerk.
Maximieren Sie im Bereich Netzwerkschnittstellen die vorhandene Netzwerkschnittstelle und geben Sie die folgenden Konfigurationsparameter an:
- Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
- Subnetzwerk: Wählen Sie subnet-1 IPv4 (10.0.0.0/24) aus.
- Externe IPv4-Adresse: Wählen Sie Keine aus.
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.
Cloud Router und Cloud NAT-Gateway erstellen
Im vorherigen Abschnitt haben Sie eine VM ohne externe IP-Adresse erstellt. Damit die VM auf das öffentliche Internet zugreifen kann, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway für dieselbe Region und dasselbe Subnetz, in dem Sie Ihre VM erstellt haben.
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.
Hinweis: Wenn dies das erste Cloud NAT-Gateway ist, das Sie erstellen, klicken Sie auf Jetzt starten. Wenn Sie bereits Gateways haben, wird in Google Cloud die Schaltfläche Cloud NAT-Gateway erstellen angezeigt. Klicken Sie zum Erstellen eines weiteren Gateways auf Cloud NAT-Gateway erstellen.
Geben Sie als Gatewayname
fw-egress-nat-gw
ein.Wählen Sie als NAT-Typ Öffentlich aus.
Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:
- Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
- Region: Wählen Sie us-central1 (Iowa) aus.
- Cloud Router: Klicken Sie auf Neuen Router erstellen.
- Geben Sie für Name
fw-egress-router
ein. - Klicken Sie auf Erstellen.
- Geben Sie für Name
Klicken Sie auf Erstellen.
Globale Netzwerk-Firewallrichtlinie erstellen, um IAP zu aktivieren
Um Identity-Aware Proxy für die VMs in Ihrem Netzwerk zu aktivieren, erstellen Sie eine globale Firewallrichtlinie für das Netzwerk und fügen Sie der Richtlinie eine Firewallregel hinzu. IAP ermöglicht Administratorzugriff auf die VMs.
Die Firewallregel muss die folgenden Eigenschaften haben:
- Gilt für alle VMs, die über die IAP-TCP-Weiterleitung zugänglich sein sollen.
- Lässt eingehenden Traffic aus dem IP-Adressbereich
35.235.240.0/20
zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet. - Lässt Verbindungen zu allen Ports zu, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port
22
für SSH.
So aktivieren Sie den IAP-Zugriff auf alle VMs im vpc-fw-policy-egress
-Netzwerk:
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname
fw-egress-policy
ein.Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.
Klicken Sie im Abschnitt Regeln hinzufügen auf Regel hinzufügen, um Regeln für Ihre Richtlinie zu erstellen.
- Geben Sie
100
als Priorität ein. - Wählen Sie für Traffic-Richtung die Option Eingehend aus.
- Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
- Wählen Sie für Logs Ein aus.
- Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
- Geben Sie im Abschnitt Quelle unter IP-Bereiche
35.235.240.0/20
ein. - Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
- Klicken Sie das Kästchen TCP an und geben Sie für Ports den Wert
22
ein. - Klicken Sie auf Erstellen.
- Geben Sie
Klicken Sie auf Weiter.
Klicken Sie im Abschnitt Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen, um Ihr VPC-Netzwerk mit der Richtlinie zu verknüpfen.
Klicken Sie auf das Kästchen vpc-fw-policy-egress und dann auf vpc-fw-policy-egress.
Klicken Sie auf Weiter.
Klicken Sie auf Erstellen.
Firewallregel hinzufügen, um ausgehenden Traffic zu allen Zielen abzulehnen
Wenn Sie ausgehenden Traffic zu allen Zielen ablehnen möchten, fügen Sie eine Firewallregel zu fw-egress-policy
hinzu.
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.
Klicken Sie auf Regel erstellen.
Geben Sie
700
als Priorität ein.Wählen Sie unter Traffic-Richtung Ausgehend aus.
Wählen Sie für Aktion bei Übereinstimmung die Option Ablehnen aus.
Wählen Sie für Logs Ein aus.
Geben Sie im Abschnitt Ziel unter IP-Bereiche
0.0.0.0/0
ein.Klicken Sie auf Erstellen.
Firewallregel hinzufügen, um ausgehenden Traffic nur zu einem bestimmten FQDN zuzulassen
Wenn Sie ausgehenden Traffic nur zu einem bestimmten FQDN (ads.google.com
) zulassen möchten, fügen Sie in fw-egress-policy
eine Firewallregel hinzu.
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.
Klicken Sie auf Regel erstellen.
Geben Sie
600
als Priorität ein.Wählen Sie unter Traffic-Richtung Ausgehend aus.
Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
Wählen Sie für Logs Ein aus.
Geben Sie im Abschnitt Ziel unter FQDNs den Wert
ads.google.com
ein.Klicken Sie auf Erstellen.
Globale Netzwerk-Firewallrichtlinie testen
Nachdem Sie die globale Netzwerk-Firewallrichtlinie konfiguriert haben, führen Sie die folgenden Schritte aus, um die Richtlinie zu testen:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Spalte Verbinden der
instance-1-us
-VM auf SSH.Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.
Prüfen Sie mit folgendem Befehl, ob der ausgehende Traffic zu https://ads.google.com zulässig ist:
curl -I https://ads.google.com
Der vorherige Befehl gibt die Headerinformationen von https://ads.google.com zurück. Dies bedeutet, dass ausgehende Verbindungen zulässig sind.
Geben Sie einen beliebigen FQDN an und führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zu einem anderen Ziel blockiert wird:
curl -m 2 -I https://mail.yahoo.com
Der vorherige Befehl gibt die Meldung
Connection timed out
zurück. Dies wird erwartet, da Sie eine Firewallregel erstellt haben, um ausgehenden Traffic an alle Ziele außer https://ads.google.com abzulehnen.
Logs ansehen
Sie können prüfen, ob die Firewallregeln auf den ausgehenden Traffic angewendet wurden, indem Sie auf die Logs zugreifen. Rufen Sie das Protokoll mit den folgenden Schritten auf:
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.
Klicken Sie in der Spalte Trefferzahl auf die Zahl für die Regel, die Sie im Abschnitt Globale Netzwerk-Firewallrichtlinie erstellen erstellt haben. Die Seite Log-Explorer wird geöffnet.
Erweitern Sie das einzelne Log, um die auf den ausgehenden Traffic angewendete Firewallregel anzusehen. Sie können die Verbindung, die Anordnung, den Remote-Standort und die Regeldetails aufrufen, indem Sie die entsprechenden Abschnitte maximieren.
Bereinigen
Damit Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen.
Führen Sie die folgenden Aufgaben aus, um die in dieser Kurzanleitung erstellten Ressourcen zu löschen.
Firewallrichtlinie löschen
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.
Klicken Sie auf den Tab Verknüpfungen.
Markieren Sie das Kästchen
vpc-fw-policy-egress
und klicken Sie auf Verknüpfung entfernen.Klicken Sie im Dialogfeld Firewallrichtlinienverknüpfung entfernen auf Entfernen.
Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.
VM löschen
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie auf das Kästchen für die VM
instance-1-us
.Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld instance-1-us löschen auf Löschen.
Cloud-NAT-Gateway und Cloud Router löschen
Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.
Aktivieren Sie das Kästchen für
fw-egress-router
.Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld fw-egress-router löschen auf Löschen.
Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.
VPC-Netzwerk und dessen Subnetze löschen
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Spalte Name auf vpc-fw-policy-egress.
Klicken Sie auf VPC-Netzwerk löschen.
Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.
Wenn Sie ein VPC-Netzwerk löschen, werden auch seine Subnetze gelöscht.
Nächste Schritte
- Informationen zu Konzepten von Firewallrichtlinien finden Sie in der Übersicht zu Firewallrichtlinien.
- Informationen zu Konzepten von Firewallrichtlinienregeln finden Sie in der Übersicht zu Firewallregeln.
- Informationen zum Erstellen, Aktualisieren, Überwachen und Löschen von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.
- Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.