Firewall-Endpunkte und Endpunktverknüpfungen erstellen

Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und ihn über dieGoogle Cloud console, die Google Cloud CLI oder Terraform mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.

Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC-Netzwerken in derselben Zone. Wenn die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert ist, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.

Sie können einen Firewall-Endpunkt mit oder ohne Unterstützung für Jumbo Frames erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Hinweis

Bevor Sie Firewall-Endpunkte und ‑Zuordnungen konfigurieren, führen Sie die folgenden Schritte aus:

  1. Sie benötigen ein VPC-Netzwerk und ein Subnetz.
  2. Aktivieren Sie die erforderlichen APIs:
  3. Installieren Sie die gcloud CLI, wenn Sie gcloud-Befehlszeilenbeispiele ausführen möchten.

Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen Identity and Access Management (IAM)-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Firewall-Endpunkten benötigen. Weitere Informationen

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihr Nutzerkonto die Rolle Compute Network User (roles/compute.networkUser) haben, die die folgenden Berechtigungen umfasst:

  • networksecurity.operations.get
  • networksecurity.operations.list

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.

Firewall-Endpunkt erstellen

Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.

Endpunkt auf Organisationsebene

Sie können einen Firewall-Endpunkt auf Organisationsebene erstellen. Diese Endpunkte unterstützen nur Sicherheitsprofilgruppen auf Organisationsebene.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  6. Geben Sie in das Feld Name einen Namen ein.

  7. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Wenn der Endpunkt Jumbo Frames unterstützen soll, klicken Sie das Kästchen Unterstützung von Jumbo Frames aktivieren an. Andernfalls entfernen Sie das Häkchen.

  10. Klicken Sie auf Weiter.

  11. Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.

    1. Wählen Sie in der Liste Projekt das Google Cloud Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
    2. Wenn die Compute Engine API oder die Network Security API für das Google Cloud Projekt nicht aktiviert sind, klicken Sie auf Aktivieren.
    3. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie mit dem Firewall-Endpunkt verknüpfen möchten.
    4. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
    5. Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.

  12. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints create-Befehl:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: eine Google Cloud Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewallendpunkt zu erstellen, der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt. Lassen Sie dieses Flag aus, um einen Endpunkt ohne Unterstützung für Jumbo Frames zu erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

Terraform

Verwenden Sie die Terraform-Ressource google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Wenn Sie einen Firewall-Endpunkt erstellen möchten,der Jumbo-Frames mit einer Größe von bis zu 8.500 Bytes unterstützt, legen Sie das Feld enable_jumbo_frames auf true fest. Wenn Sie einen Firewallendpunkt erstellen möchten, der keine Jumbo Frames unterstützt, legen Sie dieses Feld auf false fest. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Endpunkt auf Projektebene

Sie können einen Firewall-Endpunkt auf Projektebene erstellen. Diese Endpunkte unterstützen Sicherheitsprofilgruppen auf Organisations- und Projektebene.

gcloud

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud beta network-security firewall-endpoints create-Befehl:

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewallendpunkt zu erstellen, der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt. Lassen Sie dieses Flag aus, um einen Endpunkt ohne Unterstützung für Jumbo Frames zu erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

Firewall-Endpunktverknüpfung erstellen

Eine Firewall-Endpunktverknüpfung verbindet einen Firewall-Endpunkt mit einem VPC-Netzwerk in einer bestimmten Zone. Diese Verknüpfung sorgt dafür, dass Traffic, der einer Abfangregel für das zugeordnete Netzwerk in dieser Zone entspricht, vom Firewall-Endpunkt geprüft wird.

Sie benötigen einen Firewall-Endpunkt, bevor Sie eine Verknüpfung erstellen können.

Anforderungen für die Verknüpfung

Beachten Sie bei der Konfiguration von Endpunktzuordnungen die folgenden Anforderungen:

  • Zonenbeschränkungen:Sie müssen die Verknüpfung in derselben Zone wie den Firewall-Endpunkt erstellen. Für eine effektive Traffic-Prüfung sollten Sie Zuordnungen in Zonen erstellen, in denen Ihre Compute-Instanzen bereitgestellt werden.
  • Ein Endpunkt pro Zone:In einer einzelnen Zone können Sie ein VPC-Netzwerk nur mit einem Firewall-Endpunkt verknüpfen (entweder auf Projektebene (Vorabversion) oder auf Organisationsebene). Sie können jedoch ein einzelnes VPC-Netzwerk mit verschiedenen Firewall-Endpunkten in mehreren verschiedenen Zonen verknüpfen.
  • Projektübergreifende Verknüpfungen:Sie können ein VPC-Netzwerk mit einem Firewall-Endpunkt in einem separaten Projekt verknüpfen.
    • Wenn Sie einen Endpunkt auf Projektebene (Preview) verwenden, muss sich das Projekt des Endpunkts in derselben Organisation wie das VPC-Netzwerk befinden.
  • Ressourcenzuordnung:Eine Zuordnung ist eine Ressource auf Projektebene. Sie erstellen die Zuordnung in dem Projekt, in dem Ihre Compute-Instanzen bereitgestellt werden, auch wenn sie auf einen Firewall-Endpunkt auf Organisationsebene verweist.

Ein Firewallendpunkt mit Unterstützung für Jumbo-Frames kann nur Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren. Alternativ kann ein Firewallendpunkt ohne Jumbo-Frame-Unterstützung nur Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren. Wenn Sie einen URL-Filterdienst oder einen Dienst zur Einbruchserkennung und -verhinderung benötigen, empfehlen wir, die zugehörigen VPC-Netzwerke so zu konfigurieren, dass die Grenzwerte für die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 8.500 Byte und 1.460 Byte verwendet werden. Weitere Informationen finden Sie unter Unterstützte Paketgröße.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.

  3. Klicken Sie auf Endpunktverknüpfung erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie die Firewall-Endpunktverknüpfung erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie die Firewall-Endpunktverknüpfung erstellen möchten.

  6. Wählen Sie in der Liste Firewall-Endpunkt den Firewall-Endpunkt aus, den Sie der Verknüpfung hinzufügen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie der Zuordnung hinzufügen möchten.

  8. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.

  9. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Firewall-Endpunktverknüpfung den gcloud network-security firewall-endpoint-associations create-Befehl.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Firewall-Endpunkt auf Projektebene

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Ersetzen Sie Folgendes:

  • NAME: der Name der Firewall-Endpunktverknüpfung.

  • ORGANIZATION_ID: Organisations-ID, in der der Firewall-Endpunkt auf Organisationsebene erstellt wird.

  • ENDPOINT_PROJECT_ID: die Google Cloud Projekt-ID, in der der Firewall-Endpunkt auf Projektebene erstellt wird.

  • ZONE: die Zone des Firewall-Endpunkts.

  • FIREWALL_ENDPOINT_NAME: der Name des Firewall-Endpunkts.

  • PROJECT_NAME: Der Google Cloud Projektname des Netzwerks.

  • NETWORK_NAME: Der Name des Netzwerks.

  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird. Dies sollte das Projekt sein, in dem Sie den Traffic abfangen möchten.

  • TLS_PROJECT_NAME: der Google Cloud Projektname der TLS-Prüfungsrichtlinie.

  • REGION_NAME: der Name der Region der TLS-Prüfungsrichtlinie

  • TLS_POLICY_NAME: der Name der TLS-Prüfungsrichtlinie.

    Diese Richtlinie wird für die TLS-Prüfung des verschlüsselten Traffics im angegebenen Netzwerk verwendet. Dies ist ein optionales Argument.

Nächste Schritte