Firewall-Endpunkte und Endpunktverknüpfungen erstellen

Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und ihn über die Google Cloud Console, die Google Cloud CLI oder Terraform mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.

Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC- Netzwerken in derselben Zone. Wenn die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert ist, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.

Sie können einen Firewall-Endpunkt mit oder ohne Jumbo-Frame-Unterstützung erstellen. Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Hinweis

Bevor Sie Firewall-Endpunkte und -Verknüpfungen konfigurieren, führen Sie die folgenden Schritte aus:

  1. Sie benötigen ein VPC-Netzwerk und ein Subnetz.
  2. Aktivieren Sie die erforderlichen APIs:
  3. Installieren Sie die gcloud CLI, wenn Sie gcloud Befehlszeilenbeispiele ausführen möchten.

Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen (Identity and Access Management) in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Firewall-Endpunkten benötigen. Weitere Informationen finden Sie unter Zugriff verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihr Nutzerkonto die Rolle „Compute Network User“ (roles/compute.networkUser) haben, die die folgenden Berechtigungen umfasst:

  • networksecurity.operations.get
  • networksecurity.operations.list

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte und -Verknüpfungen finden Sie unter Kontingente und Limits.

Firewall-Endpunkt erstellen

Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.

Endpunkt auf Organisationsebene

Sie können einen Firewall-Endpunkt auf Organisationsebene erstellen. Diese Endpunkte unterstützen nur Sicherheitsprofilgruppen auf Organisationsebene.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  6. Geben Sie in das Feld Name einen Namen ein.

  7. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Wenn der Endpunkt Jumbo-Frames unterstützen soll, wählen Sie das Kästchen Jumbo-Frame-Unterstützung aktivieren aus. Entfernen Sie andernfalls das Häkchen aus diesem Kästchen.

  10. Klicken Sie auf Weiter.

  11. Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.

    1. Wählen Sie in der Liste Projekt das Google Cloud Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
    2. Wenn die Compute Engine API oder die Network Security API für das Google Cloud Projekt nicht aktiviert ist, klicken Sie auf Aktivieren.
    3. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie mit dem Firewall-Endpunkt verknüpfen möchten.
    4. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
    5. Klicken Sie auf Endpunktverknüpfung hinzufügen, um eine weitere Verknüpfung hinzuzufügen.

  12. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints create Befehl:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: eine Google Cloud Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewall-Endpunkt zu erstellen, der Jumbo-Frames mit einer Größe von bis zu 8.500 Byte unterstützt. Überspringen Sie dieses Flag, um einen Endpunkt ohne Jumbo-Frame-Unterstützung zu erstellen. Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunkt verknüpfungen erstellen.

Terraform

Verwenden Sie die google_network_security_firewall_endpoint Terraform-Ressource.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Wenn Sie einen Firewall-Endpunkt erstellen möchten,der Jumbo-Frames mit einer Größe von bis zu 8.500 Byte unterstützt, legen Sie für das Feld enable_jumbo_frames den Wert true fest. Wenn Sie einen Firewall-Endpunkt erstellen möchten, der keine Jumbo-Frames unterstützt, legen Sie für dieses Feld den Wert false fest. Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Endpunkt auf Projektebene

Sie können einen Firewall-Endpunkt auf Projektebene erstellen. Diese Endpunkte unterstützen sowohl Sicherheitsprofilgruppen auf Organisationsebene als auch auf Projektebene.

gcloud

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud beta network-security firewall-endpoints create Befehl:

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewall-Endpunkt zu erstellen, der Jumbo-Frames mit einer Größe von bis zu 8.500 Byte unterstützt. Überspringen Sie dieses Flag, um einen Endpunkt ohne Jumbo-Frame-Unterstützung zu erstellen. Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunkt verknüpfungen erstellen.

Firewall-Endpunktverknüpfung erstellen

Eine Firewall-Endpunktverknüpfung verbindet einen Firewall-Endpunkt mit einem VPC-Netzwerk in einer bestimmten Zone. Diese Verknüpfung sorgt dafür, dass Traffic, der einer Abfangregel für das verknüpfte Netzwerk in dieser Zone entspricht, vom Firewall-Endpunkt geprüft wird.

Stellen Sie sicher, dass Sie einen Firewall-Endpunkt haben, bevor Sie eine Verknüpfung erstellen.

Anforderungen an Verknüpfungen

Beachten Sie beim Konfigurieren von Endpunktverknüpfungen die folgenden Anforderungen:

  • Zonenbeschränkungen:Sie müssen die Verknüpfung in derselben Zone wie den Firewall-Endpunkt erstellen. Für eine effektive Traffic-Prüfung erstellen Sie Verknüpfungen in Zonen, in denen Ihre Compute-Instanzen bereitgestellt werden.
  • Ein Endpunkt pro Zone: In einer einzelnen Zone können Sie ein VPC Netzwerk nur mit einem Firewall-Endpunkt verknüpfen (entweder auf Projektebene (Vorschau) oder auf Organisationsebene). Sie können jedoch ein einzelnes VPC-Netzwerk mit verschiedenen Firewall-Endpunkten in mehreren verschiedenen Zonen verknüpfen.
  • Projektübergreifende Verknüpfungen:Sie können ein VPC Netzwerk mit einem Firewall-Endpunkt in einem separaten Projekt verknüpfen.
    • Wenn Sie einen Endpunkt auf Projektebene (Vorschau) verwenden, muss sich das Projekt des Endpunkts in derselben Organisation wie das VPC-Netzwerk befinden.
  • Ressourcenzuordnung:Eine Verknüpfung ist eine Ressource auf Projektebene. Sie erstellen die Verknüpfung in dem spezifischen Projekt, in dem Ihre Compute-Instanzen bereitgestellt werden, auch wenn die Verknüpfung auf einen Firewall-Endpunkt auf Organisationsebene verweist.

Ein Firewall-Endpunkt mit Jumbo-Frame-Unterstützung kann nur Pakete mit einer Größe von bis zu 8.500 Byte akzeptieren. Alternativ kann ein Firewall-Endpunkt ohne Jumbo-Frame-Unterstützung nur Pakete mit einer Größe von bis zu 1.460 Byte akzeptieren. Wenn Sie den URL-Filterdienst oder den Dienst zur Einbruchserkennung und -vermeidung benötigen, empfehlen wir,die verknüpften VPC-Netzwerke so zu konfigurieren,dass die MTU-Limits (Maximum Transmission Unit) von 8.500 Byte und 1.460 Byte verwendet werden. Weitere Informationen finden Sie unter Unterstützte Paketgröße.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud Projekt aus.

  3. Klicken Sie auf Endpunktverknüpfung erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie die Firewall-Endpunktverknüpfung erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie die Firewall-Endpunktverknüpfung erstellen möchten.

  6. Wählen Sie in der Liste Firewall-Endpunkt den Firewall-Endpunkt aus, den Sie der Verknüpfung hinzufügen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie der Verknüpfung hinzufügen möchten.

  8. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.

  9. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Firewall-Endpunktverknüpfung den gcloud network-security firewall-endpoint-associations create Befehl.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Firewall-Endpunkt auf Projektebene

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Ersetzen Sie Folgendes:

  • NAME: der Name der Firewall-Endpunktverknüpfung.

  • ORGANIZATION_ID: die Organisations-ID, in der der Firewall-Endpunkt auf Organisationsebene erstellt wird.

  • ENDPOINT_PROJECT_ID: die Google Cloud Projekt-ID, in der der Firewall-Endpunkt auf Projektebene erstellt wird.

  • ZONE: die Zone des Firewall-Endpunkts.

  • FIREWALL_ENDPOINT_NAME: der Name des Firewall-Endpunkts.

  • PROJECT_NAME: der Google Cloud Projektname des Netzwerks.

  • NETWORK_NAME: Der Name des Netzwerks.

  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird. Dies sollte das Projekt sein, in dem Sie Traffic abfangen möchten.

  • TLS_PROJECT_NAME: der Google Cloud Projektname von der TLS-Prüfungsrichtlinie.

  • REGION_NAME: der Regionsname der TLS-Prüfungsrichtlinie.

  • TLS_POLICY_NAME: der Name der TLS-Prüfungsrichtlinie.

    Diese Richtlinie wird für die TLS-Prüfung des verschlüsselten Traffics im angegebenen Netzwerk verwendet. Dies ist ein optionales Argument.

Nächste Schritte