Configura un criterio firewall di rete globale per consentire il traffico in uscita verso un nome di dominio completo

Scopri come creare e configurare un criterio firewall di rete globale per consentire il traffico in uscita verso un nome di dominio completo (FQDN) specifico utilizzando la console Google Cloud. Il criterio firewall blocca tutto il traffico in uscita dalla tua rete. Questa guida rapida crea una rete Virtual Private Cloud (VPC) con una subnet, crea un'istanza di una macchina virtuale (VM) nella rete VPC, configura un criterio firewall che utilizza le regole in uscita e quindi testa il criterio firewall dalla VM.

Prima di iniziare

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

4. Abilita le API Compute Engine and Identity-Aware Proxy (IAP) .

   Abilita le API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

7. Abilita le API Compute Engine and Identity-Aware Proxy (IAP) .

   Abilita le API

8. Assicurati di disporre del ruolo Amministratore rete Compute (roles/compute.networkAdmin).

Crea una rete VPC personalizzata con una subnet IPv4

Crea una rete VPC in modalità personalizzata con una subnet IPv4.

1. Nella console Google Cloud, vai alla pagina Reti VPC.

   Vai a Reti VPC

2. Fai clic su Crea rete VPC.

3. In Nome, inserisci vpc-fw-policy-egress.

4. In Modalità di creazione subnet, seleziona Personalizzata.

5. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per la subnet:

   • Nome: inserisci subnet-1.
   • Regione: seleziona us-central1.
   • Intervallo IPv4: inserisci 10.0.0.0/24.

6. Fai clic su Fine.

7. Fai clic su Crea.

Crea una VM

Crea una VM nella subnet configurata nella sezione precedente.

1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

   Vai a Crea un'istanza

2. In Nome, inserisci instance-1-us.

3. In Regione, seleziona us-central1 (Iowa).

4. Espandi Opzioni avanzate ed espandi Networking.

5. Nella sezione Interfacce di rete, espandi l'interfaccia di rete esistente e specifica i seguenti parametri di configurazione:

   • Rete: seleziona vpc-fw-policy-egress.
   • Subnet: seleziona subnet-1 IPv4 (10.0.0.0/24).
   • Indirizzo IPv4 esterno: seleziona Nessuno.

6. Fai clic su Fine.

7. Fai clic su Crea.

crea un router Cloud e un gateway Cloud NAT

Nella sezione precedente hai creato una VM senza indirizzi IP esterni. Per consentire alla VM di accedere alla rete internet pubblica, crea un router Cloud e un gateway Cloud NAT per la stessa regione e subnet in cui hai creato la VM.

1. Nella console Google Cloud, vai alla pagina Cloud NAT.

   Vai a Cloud NAT

2. Fai clic su Inizia o Crea gateway Cloud NAT.

   Nota: se questo è il primo gateway Cloud NAT che stai creando, fai clic su Inizia. Se hai già dei gateway, Google Cloud mostra il pulsante Crea Cloud NAT per il gateway. Per creare un altro gateway, fai clic su Crea il gateway Cloud NAT.

3. In Nome gateway, inserisci fw-egress-nat-gw.

4. Per Tipo NAT, seleziona Pubblico.

5. Nella sezione Seleziona router Cloud, specifica i seguenti parametri di configurazione:

   • Rete: seleziona vpc-fw-policy-egress.
   • Regione: seleziona us-central1 (Iowa).
   • Router Cloud: fai clic su Crea nuovo router.
     1. In Nome, inserisci fw-egress-router.
     2. Fai clic su Crea.

6. Fai clic su Crea.

Crea un criterio firewall di rete globale per abilitare IAP

Per abilitare Identity-Aware Proxy per le VM nella tua rete, crea un criterio firewall di rete globale e aggiungi una regola firewall a quel criterio. IAP consente l'accesso amministrativo alle VM.

La regola firewall deve avere le seguenti caratteristiche:

• Si applica a tutte le VM a cui vuoi che siano accessibili mediante l'inoltro TCP IAP.
• Consente il traffico in entrata dall'intervallo di indirizzi IP 35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che IAP utilizza per l'inoltro TCP.
• Consente le connessioni a tutte le porte in cui vuoi che siano accessibili mediante l'inoltro TCP IAP, ad esempio la porta 22 per SSH.

Per abilitare l'accesso IAP a tutte le VM nella rete vpc-fw-policy-egress, procedi nel seguente modo:

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Fai clic su Crea criterio firewall.

3. Nella sezione Configura criterio, per Nome criterio, inserisci fw-egress-policy.

4. In Ambito del deployment, seleziona Globale e fai clic su Continua.

5. Per creare regole per il tuo criterio, nella sezione Aggiungi regole, fai clic su Aggiungi regola.

   1. In Priority (Priorità), inserisci 100.
   2. Per Direzione del traffico, seleziona In entrata.
   3. Per Azione in corrispondenza della corrispondenza, seleziona Consenti.
   4. Per Log, seleziona On.
   5. Nella sezione Destinazione, per Tipo di destinazione, seleziona Tutte le istanze nella rete.
   6. Nella sezione Origine, per Intervalli IP, inserisci 35.235.240.0/20.
   7. Nella sezione Protocollo e porte, seleziona Protocolli e porte specificati.
   8. Seleziona la casella di controllo TCP e per Porte inserisci 22.
   9. Fai clic su Crea.

6. Fai clic su Continua.

7. Per associare la tua rete VPC al criterio, nella sezione Associa criterio a reti VPC, fai clic su Associa.

8. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Associa.

9. Fai clic su Continua.

10. Fai clic su Crea.

Aggiungi una regola firewall per negare il traffico in uscita verso tutte le destinazioni

Per negare il traffico in uscita verso tutte le destinazioni, aggiungi una regola firewall a fw-egress-policy.

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic su Crea regola.

4. In Priority (Priorità), inserisci 700.

5. In Direzione del traffico, seleziona In uscita.

6. Per Azione in caso di corrispondenza, seleziona Rifiuta.

7. Per Log, seleziona On.

8. Nella sezione Destination (Destinazione), inserisci 0.0.0.0/0 per Intervalli IP.

9. Fai clic su Crea.

Aggiungi una regola firewall per consentire il traffico in uscita solo verso un nome di dominio completo specifico

Per consentire il traffico in uscita solo verso un nome di dominio completo specifico, ads.google.com, aggiungi una regola firewall in fw-egress-policy.

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic su Crea regola.

4. In Priority (Priorità), inserisci 600.

5. In Direzione del traffico, seleziona In uscita.

6. Per Azione in corrispondenza della corrispondenza, seleziona Consenti.

7. Per Log, seleziona On.

8. Nella sezione Destinazione, inserisci ads.google.com per i Nomi di dominio completi.

9. Fai clic su Crea.

Testa il criterio firewall della rete globale

Dopo aver configurato il criterio firewall di rete globale, segui questi passaggi per testare il criterio:

1. Nella console Google Cloud, vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Nella colonna Connetti per la VM instance-1-us, fai clic su SSH.

3. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che venga stabilita la connessione.

4. Per verificare che il traffico in uscita verso https://ads.google.com sia consentito, esegui questo comando:

     curl -I https://ads.google.com
   

   Il comando precedente restituisce le informazioni di intestazione https://ads.google.com, il che significa che sono consentite le connessioni in uscita.

5. Per verificare che il traffico in uscita sia bloccato verso qualsiasi altra destinazione, specifica un nome di dominio completo ed esegui questo comando:

     curl -m 2 -I https://mail.yahoo.com
   

   Il comando precedente restituisce un messaggio Connection timed out, il che è previsto perché hai creato una regola firewall per negare il traffico in uscita verso tutte le destinazioni tranne https://ads.google.com.

Visualizza i log

Puoi verificare che le regole firewall siano state applicate al traffico in uscita accedendo ai log. Per visualizzare i dettagli del log:

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Nella colonna Conteggio hit, fai clic sul numero della regola creata nella sezione Crea un criterio firewall di rete globale. Viene visualizzata la pagina Esplora log.

4. Per visualizzare la regola firewall applicata al traffico in uscita, espandi il singolo log. Puoi visualizzare i dettagli di connessione, disposizione, località remota e regola espandendo le sezioni pertinenti.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa guida rapida, elimina il progetto che le contiene oppure mantieni il progetto ed elimina le singole risorse.

Per eliminare le risorse create in questa guida rapida, completa le attività seguenti.

Elimina il criterio firewall

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic sulla scheda Associazioni.

4. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Rimuovi associazione.

5. Nella finestra di dialogo Rimuovi l'associazione di un criterio firewall, fai clic su Rimuovi.

6. Fai clic su Elimina.

7. Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.

Elimina la VM

1. Nella console Google Cloud, vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Seleziona la casella di controllo per la VM instance-1-us.

3. Fai clic su Elimina.

4. Nella finestra di dialogo Elimina instances-1-us, fai clic su Elimina.

Elimina il gateway Cloud NAT e il router Cloud

1. Nella console Google Cloud, vai alla pagina Router Cloud.

   Vai a Router Cloud

2. Seleziona la casella di controllo per fw-egress-router.

3. Fai clic su Elimina.

4. Nella finestra di dialogo Elimina fw-egress-router, fai clic su Elimina.

Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.

Elimina la rete VPC e le relative subnet

1. Nella console Google Cloud, vai alla pagina Reti VPC.

   Vai a Reti VPC

2. Nella colonna Nome, fai clic su vpc-fw-policy-egress.

3. Fai clic su Elimina rete VPC.

4. Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

Quando elimini una rete VPC, vengono eliminate anche le relative subnet.

Passaggi successivi

• Per i concetti relativi ai criteri firewall, consulta la Panoramica dei criteri firewall.
• Per i concetti relativi alle regole dei criteri firewall, consulta la Panoramica delle regole dei criteri firewall.
• Per creare, aggiornare, monitorare ed eliminare le regole firewall VPC, consulta Utilizzare le regole firewall VPC.
• Per determinare i costi, consulta i prezzi di Cloud NGFW.