Firewall-Endpunkte und Endpunktverknüpfungen erstellen

Ein Firewall-Endpunkt ist eine zonale Ressource, die eine Layer-7-Prüfung für den Netzwerkverkehr bietet. Erstellen Sie Firewall-Endpunkte, um erweiterte Sicherheitsrichtlinien wie die Einbruchserkennung und -vermeidung durchzusetzen.

Nachdem Sie einen Firewall-Endpunkt erstellt haben, erstellen Sie eine Firewall-Endpunktverknüpfung, um den Endpunkt mit einem oder mehreren VPC-Netzwerken in derselben Zone zu verknüpfen. Wenn die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert ist, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.

Sie können einen Firewall-Endpunkt mit oder ohne Unterstützung für Jumbo Frames erstellen. Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt erstellen und ihn über die Google Cloud Console, die Google Cloud CLI oder Terraform mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.

Hinweis

Bevor Sie Firewall-Endpunkte und ‑Zuordnungen konfigurieren, führen Sie die folgenden Schritte aus:

  1. Sie benötigen ein VPC-Netzwerk und ein Subnetz.
  2. Aktivieren Sie die erforderlichen APIs:
  3. Installieren Sie die gcloud CLI, wenn Sie gcloud-Befehlszeilenbeispiele ausführen möchten.

Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Firewall-Endpunkten benötigen. Weitere Informationen

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihr Nutzerkonto die Rolle Compute-Netzwerknutzer (roles/compute.networkUser) haben, die die folgenden Berechtigungen umfasst:

  • networksecurity.operations.get
  • networksecurity.operations.list

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.

Firewall-Endpunkt erstellen

Sie erstellen einen Firewall-Endpunkt in einer bestimmten Zone. Damit der Traffic ordnungsgemäß geprüft wird und Routingfehler vermieden werden, erstellen Sie den Firewall-Endpunkt in derselben Zone wie die Arbeitslasten, die Sie prüfen möchten.

Sie können einen Firewall-Endpunkt auf Organisations- oder Projektebene erstellen. Endpunkte auf Organisationsebene unterstützen nur Sicherheitsprofilgruppen auf Organisationsebene. Endpunkte auf Projektebene unterstützen sowohl Sicherheitsprofilgruppen auf Organisations- als auch auf Projektebene.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation oder das Projekt aus.

  3. Wenn Sie die Organisation ausgewählt haben, klicken Sie auf Endpunkt auf Organisationsebene erstellen.

    Wenn Sie ein Projekt ausgewählt haben, klicken Sie im Bereich Firewall-Endpunkte in diesem Projekt auf Endpunkt auf Projektebene erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  6. Geben Sie in das Feld Name einen Namen ein.

  7. Wenn Sie einen Endpunkt auf Organisationsebene erstellen, wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das Sie für die Abrechnung des Firewall-Endpunkts verwenden möchten.

  8. Klicken Sie auf Weiter.

  9. Wenn der Endpunkt Jumbo Frames unterstützen soll, klicken Sie das Kästchen Unterstützung von Jumbo Frames aktivieren an. Andernfalls entfernen Sie das Häkchen.

  10. Klicken Sie auf Weiter.

  11. Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.

    1. Wählen Sie in der Liste Projekt das Google Cloud Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
    2. Wenn die Compute Engine API oder die Network Security API für das Google Cloud -Projekt nicht aktiviert sind, klicken Sie auf Aktivieren.
    3. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie mit dem Firewall-Endpunkt verknüpfen möchten.
    4. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
    5. Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.
  12. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints create-Befehl:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location LOCATION \
    [--billing-project QUOTA_PROJECT_ID] \
    [--enable-jumbo-frames]

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisations-ID. Mit diesem Flag erstellen Sie einen Firewall-Endpunkt auf Organisationsebene.

  • PROJECT_ID: Projekt-ID. Mit diesem Flag können Sie einen Firewall-Endpunkt auf Projektebene erstellen.

  • LOCATION: die Zone, in der der Endpunkt erstellt werden soll.

  • QUOTA_PROJECT_ID: die Projekt-ID des Kontingents. Verwenden Sie dieses Flag nur für Firewall-Endpunkte auf Organisationsebene.

Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewallendpunkt zu erstellen, der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt. Lassen Sie dieses Flag aus, um einen Endpunkt ohne Unterstützung für Jumbo Frames zu erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

Terraform

Verwenden Sie die Terraform-Ressource google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Wenn Sie einen Firewall-Endpunkt erstellen möchten,der Jumbo-Frames mit einer Größe von bis zu 8.500 Bytes unterstützt, legen Sie das Feld enable_jumbo_frames auf true fest. Wenn Sie einen Firewallendpunkt erstellen möchten, der keine Jumbo Frames unterstützt, legen Sie dieses Feld auf false fest. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Firewall-Endpunktverknüpfung erstellen

Eine Firewall-Endpunktverknüpfung verbindet einen Firewall-Endpunkt mit einem VPC-Netzwerk in einer bestimmten Zone. Diese Verknüpfung sorgt dafür, dass Traffic, der einer Abfangregel für das zugeordnete Netzwerk in dieser Zone entspricht, vom Firewall-Endpunkt geprüft wird.

Sie benötigen einen Firewall-Endpunkt, bevor Sie eine Verknüpfung erstellen können.

Anforderungen für die Verknüpfung

Beachten Sie bei der Konfiguration von Endpunktzuordnungen die folgenden Anforderungen:

  • Zonenbeschränkungen:Sie müssen die Verknüpfung in derselben Zone wie den Firewall-Endpunkt erstellen. Für eine effektive Traffic-Prüfung sollten Sie Zuordnungen in Zonen erstellen, in denen Ihre Compute-Instanzen bereitgestellt werden.
  • Ein Endpunkt pro Zone:In einer einzelnen Zone können Sie ein VPC-Netzwerk nur mit einem Firewall-Endpunkt verknüpfen (entweder auf Projektebene oder auf Organisationsebene). Sie können jedoch ein einzelnes VPC-Netzwerk mit verschiedenen Firewall-Endpunkten in mehreren verschiedenen Zonen verknüpfen.
  • Projektübergreifende Verknüpfungen:Sie können ein VPC-Netzwerk mit einem Firewall-Endpunkt in einem separaten Projekt verknüpfen. Wenn Sie einen Endpunkt auf Projektebene verwenden, muss sich das Projekt des Endpunkts in derselben Organisation wie das VPC-Netzwerk befinden.
  • Ressourcenzuordnung:Eine Zuordnung ist eine Ressource auf Projektebene. Sie erstellen die Zuordnung in dem Projekt, in dem Ihre Compute-Instanzen bereitgestellt werden, auch wenn sie auf einen Firewall-Endpunkt auf Organisationsebene verweist.

Ein Firewallendpunkt mit Unterstützung für Jumbo-Frames kann nur Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren. Alternativ kann ein Firewallendpunkt ohne Unterstützung für Jumbo Frames nur Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren. Wenn Sie einen URL-Filterdienst oder einen Dienst zur Einbruchserkennung und -verhinderung benötigen, empfehlen wir, die zugehörigen VPC-Netzwerke so zu konfigurieren, dass die Grenzwerte für die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 8.500 Byte und 1.460 Byte verwendet werden. Weitere Informationen finden Sie unter Unterstützte Paketgröße.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.

  3. Klicken Sie auf Endpunktverknüpfung erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie die Firewall-Endpunktverknüpfung erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie die Firewall-Endpunktverknüpfung erstellen möchten.

  6. Wählen Sie in der Liste Firewall-Endpunkt den Firewall-Endpunkt aus, den Sie der Verknüpfung hinzufügen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie der Zuordnung hinzufügen möchten.

  8. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.

  9. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Firewall-Endpunktverknüpfung den gcloud network-security firewall-endpoint-associations create-Befehl.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --location LOCATION \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Firewall-Endpunkt auf Projektebene

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/LOCATION/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --location LOCATION \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Ersetzen Sie Folgendes:

  • NAME: der Name der Firewall-Endpunktverknüpfung.

  • ORGANIZATION_ID: die Organisations-ID, in der der Firewall-Endpunkt vorhanden ist. Verwenden Sie dieses Flag nur für einen Firewall-Endpunkt auf Organisationsebene.

  • ENDPOINT_PROJECT_ID: die Projekt-ID, in der sich der Firewall-Endpunkt befindet. Verwenden Sie dieses Flag nur für einen Firewall-Endpunkt auf Projektebene.

  • LOCATION: die Zone, in der sich der Firewall-Endpunkt befindet.

  • FIREWALL_ENDPOINT_NAME: der Name des Firewall-Endpunkts.

  • PROJECT_NAME: Der Google Cloud Projektname des Netzwerks.

  • NETWORK_NAME: Der Name des Netzwerks.

  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird. Dies sollte das Projekt sein, in dem Sie den Traffic abfangen möchten.

  • TLS_PROJECT_NAME: der Google Cloud Projektname der TLS-Prüfungsrichtlinie.

  • REGION_NAME: der Name der Region der TLS-Prüfungsrichtlinie.

  • TLS_POLICY_NAME: der Name der TLS-Prüfungsrichtlinie.

    Diese Richtlinie wird für die TLS-Prüfung des verschlüsselten Traffics im angegebenen Netzwerk verwendet. Dies ist ein optionales Argument.

Nächste Schritte