Globale Netzwerk-Firewallrichtlinie konfigurieren, um ausgehenden Traffic zu einem FQDN zuzulassen

Hier erfahren Sie, wie Sie eine globale Netzwerk-Firewallrichtlinie erstellen und konfigurieren, um ausgehenden Traffic zu einem bestimmten voll qualifizierten Domainnamen (FQDN) über die Google Cloud Console zuzulassen. Die Firewallrichtlinie blockiert allen anderen ausgehenden Traffic, der von Ihrem Netzwerk stammt. In dieser Kurzanleitung wird ein VPC-Netzwerk (Virtual Private Cloud) mit einem Subnetz und eine VM-Instanz im VPC-Netzwerk erstellt sowie eine Firewallrichtlinie eingerichtet, die Regeln für ausgehenden Traffic verwendet. Danach wird die Firewallrichtlinie von der VM aus getestet.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Sie benötigen die Rolle „Compute Network Admin“ (roles/compute.networkAdmin).
  9. Sie sollten mit den Konzepten für Firewallrichtlinien und Firewallrichtlinienregeln vertraut sein.
  10. Machen Sie sich mit den Preisen für Cloud NGFW vertraut. Weitere Informationen finden Sie unter Cloud NGFW – Preise.

    11. Benutzerdefiniertes VPC-Netzwerk mit einem IPv4-Subnetz erstellen

    Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit einem IPv4-Subnetz.

    1. Rufen Sie in der Google Cloud -Console die Seite VPC-Netzwerke auf.

      Zur Seite VPC-Netzwerke

    2. Klicken Sie auf VPC-Netzwerk erstellen.

    3. Geben Sie für Name vpc-fw-policy-egress ein.

    4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

    5. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

      • Name: Geben Sie subnet-1 ein.
      • Region: Wählen Sie us-central1 aus.
      • IPv4-Bereich:Geben Sie 10.0.0.0/24 ein.

    6. Klicken Sie auf Fertig.

    7. Klicken Sie auf Erstellen.

    VM erstellen

    Erstellen Sie eine VM im Subnetz, das Sie im vorherigen Abschnitt konfiguriert haben.

    1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

      Zur Seite „Instanz erstellen“

    2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

      1. Geben Sie für Name instance-1-us ein.
      2. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

    3. Klicken Sie im Navigationsmenü auf Netzwerk.

      1. Klicken Sie im Bereich Netzwerkschnittstellen auf default und geben Sie die folgenden Konfigurationsparameter an:
        • Netz: vpc-fw-policy-egress
        • Subnetzwerk: subnet-1 IPv4 (10.0.0.0/24)
        • Externe IPv4-Adresse: Keine
      2. Klicken Sie auf Fertig.

    4. Klicken Sie auf Erstellen.

    Cloud Router und Cloud NAT-Gateway erstellen

    Im vorherigen Abschnitt haben Sie eine VM ohne externe IP-Adresse erstellt. Damit die VM auf das öffentliche Internet zugreifen kann, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway für dieselbe Region und dasselbe Subnetz, in dem Sie Ihre VM erstellt haben.

    1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

      Zur Seite "Cloud NAT"

    2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

      Hinweis: Falls dies das erste Cloud NAT-Gateway ist, das Sie erstellen, klicken Sie auf Erste Schritte. Wenn Sie bereits Gateways haben,zeigt Google Clouddie Gateway-Schaltfläche Cloud NAT erstellen an. Wenn Sie ein weiteres Gateway erstellen möchten, klicken Sie auf Cloud NAT-Gateway erstellen.

    3. Geben Sie als Gatewayname fw-egress-nat-gw ein.

    4. Wählen Sie als NAT-Typ Öffentlich aus.

    5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

      • Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
      • Region: Wählen Sie us-central1 (Iowa) aus.
      • Cloud Router: Klicken Sie auf Neuen Router erstellen.
        1. Geben Sie für Name fw-egress-router ein.
        2. Klicken Sie auf Erstellen.

    6. Klicken Sie auf Erstellen.

    Globale Netzwerk-Firewallrichtlinie erstellen, um IAP-TCP-Tunneling zuzulassen

    Wenn Sie Identity-Aware Proxy-Tunneling für die VMs in Ihrem Netzwerk zulassen möchten, erstellen Sie eine globale Netzwerk-Firewallrichtlinie und fügen Sie der Richtlinie eine Firewallregel hinzu. IAP ermöglicht den Administratorzugriff auf die VMs.

    Die Firewallregel muss die folgenden Eigenschaften haben:

    • Gilt für alle VMs, die über die IAP-TCP-Weiterleitung zugänglich sein sollen.
    • Lässt eingehenden Traffic aus dem IP-Adressbereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.
    • Lässt Verbindungen zu allen Ports zu, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port 22 für SSH.

    So aktivieren Sie den IAP-Zugriff auf alle VMs im vpc-fw-policy-egress-Netzwerk:

    1. Rufen Sie in der Google Cloud -Console die Seite Firewall-Richtlinien auf.

      Zu den Firewall-Richtlinien

    2. Klicken Sie auf Firewallrichtlinie erstellen.

    3. Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname fw-egress-policy ein.

    4. Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.

    5. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie im Bereich Regeln hinzufügen auf Regel hinzufügen.

      1. Geben Sie 100 als Priorität ein.
      2. Wählen Sie für Traffic-Richtung die Option Eingehend aus.
      3. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
      4. Wählen Sie für Logs Ein aus.
      5. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
      6. Geben Sie im Abschnitt Quelle unter IP-Bereiche 35.235.240.0/20 ein.
      7. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
      8. Markieren Sie das Kästchen TCP und geben Sie unter TCP 22 ein.
      9. Klicken Sie auf Erstellen.

    6. Klicken Sie auf Weiter.

    7. Wenn Sie Ihr VPC-Netzwerk mit der Richtlinie verknüpfen möchten, klicken Sie im Bereich Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen.

    8. Markieren Sie das Kästchen vpc-fw-policy-egress und klicken Sie dann auf vpc-fw-policy-egress.

    9. Klicken Sie auf Weiter.

    10. Klicken Sie auf Erstellen.

    Firewallregel hinzufügen, um ausgehenden Traffic zu allen Zielen abzulehnen

    Wenn Sie ausgehenden Traffic an alle Ziele ablehnen möchten, fügen Sie fw-egress-policy eine Firewallregel hinzu.

    1. Rufen Sie in der Google Cloud -Console die Seite Firewall-Richtlinien auf.

      Zu den Firewall-Richtlinien

    2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-egress-policy.

    3. Klicken Sie auf Regel erstellen.

    4. Geben Sie 700 als Priorität ein.

    5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

    6. Wählen Sie unter Aktion bei Übereinstimmung die Option Ablehnen aus.

    7. Wählen Sie für Logs Ein aus.

    8. Geben Sie im Abschnitt Ziel unter IP-Bereiche 0.0.0.0/0 ein.

    9. Klicken Sie auf Erstellen.

    Firewallregel hinzufügen, um ausgehenden Traffic nur zu einem bestimmten FQDN zuzulassen

    Wenn Sie ausgehenden Traffic nur zu einem bestimmten FQDN (ads.google.com) zulassen möchten, fügen Sie eine Firewallregel in fw-egress-policy hinzu.

    1. Rufen Sie in der Google Cloud -Console die Seite Firewall-Richtlinien auf.

      Zu den Firewall-Richtlinien

    2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-egress-policy.

    3. Klicken Sie auf Regel erstellen.

    4. Geben Sie 600 als Priorität ein.

    5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

    6. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

    7. Wählen Sie für Logs Ein aus.

    8. Geben Sie im Abschnitt Ziel unter FQDNs ads.google.com ein.

    9. Klicken Sie auf Erstellen.

    Globale Netzwerk-Firewallrichtlinie testen

    Nachdem Sie die globale Netzwerk-Firewallrichtlinie konfiguriert haben, gehen Sie so vor, um die Richtlinie zu testen:

    1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

      Zu "VM-Instanzen"

    2. Klicken Sie in der Spalte Verbinden der instance-1-us-VM auf SSH.

    3. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

    4. Führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zu https://ads.google.com zulässig ist:

        curl -I https://ads.google.com

      Der vorherige Befehl gibt die Header-Informationen von https://ads.google.com zurück. Das bedeutet, dass ausgehende Verbindungen zulässig sind.

    5. Geben Sie einen beliebigen FQDN an und führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zu einem beliebigen anderen Ziel blockiert wird:

        curl -m 2 -I https://mail.yahoo.com

      Der vorherige Befehl gibt die Meldung Connection timed out zurück. Dies wird erwartet, da Sie eine Firewallregel erstellt haben, um ausgehenden Traffic an alle Ziele außer https://ads.google.com abzulehnen.

    Logs ansehen

    Sie können anhand der Logs prüfen, ob die Firewallregeln auf den ausgehenden Traffic angewandt wurden. Rufen Sie das Protokoll mit den folgenden Schritten auf:

    1. Rufen Sie in der Google Cloud -Console die Seite Firewall-Richtlinien auf.

      Zu den Firewall-Richtlinien

    2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-egress-policy.

    3. Klicken Sie in der Spalte Trefferzahl auf die Zahl für die Regel, die Sie im Abschnitt Globale Netzwerk-Firewallrichtlinie erstellen erstellt haben. Die Seite Log-Explorer wird geöffnet.

    4. Wenn Sie die auf den ausgehenden Traffic angewendete Firewallregel aufrufen möchten, maximieren Sie das relevante Log. Sie können sich die Details zu Verbindung, Status, Remote-Speicherort und Regeln ansehen, indem Sie die entsprechenden Abschnitte maximieren.

    Bereinigen

    Damit Ihrem Google Cloud -Konto die in dieser Kurzanleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen.

    Führen Sie die folgenden Schritte aus, um die in dieser Kurzanleitung erstellten Ressourcen zu löschen.

    Firewallrichtlinie löschen

    1. Rufen Sie in der Google Cloud -Console die Seite Firewall-Richtlinien auf.

      Zu den Firewall-Richtlinien

    2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-egress-policy.

    3. Klicken Sie auf den Tab Verknüpfungen.

    4. Markieren Sie das Kästchen vpc-fw-policy-egress und klicken Sie auf Verknüpfung entfernen.

    5. Klicken Sie im Dialogfeld Firewallrichtlinien-Verknüpfung entfernen auf Entfernen.

    6. Klicken Sie auf Löschen.

    7. Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.

    VM löschen

    1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

      Zu "VM-Instanzen"

    2. Markieren Sie das Kästchen für die VM instance-1-us.

    3. Klicken Sie auf Löschen.

    4. Klicken Sie im Dialogfeld instance-1-us löschen auf Löschen.

    Cloud NAT-Gateway und Cloud Router löschen

    1. Rufen Sie in der Google Cloud Console die Seite Cloud Router auf.

      Zu "Cloud Router"

    2. Aktivieren Sie das Kästchen für fw-egress-router.

    3. Klicken Sie auf Löschen.

    4. Klicken Sie im Dialogfeld fw-egress-router löschen auf Löschen.

    Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

    VPC-Netzwerk und dessen Subnetze löschen

    1. Rufen Sie in der Google Cloud -Console die Seite VPC-Netzwerke auf.

      Zur Seite VPC-Netzwerke

    2. Klicken Sie in der Spalte Name auf vpc-fw-policy-egress.

    3. Klicken Sie auf VPC-Netzwerk löschen.

    4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

    Wenn Sie ein VPC-Netzwerk löschen, werden auch dessen Subnetze gelöscht.

    Nächste Schritte

    • Informationen zum Erstellen, Aktualisieren, Überwachen und Löschen von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln nutzen.