Sie können Regeln in Cloud NGFW-Firewallrichtlinien konfigurieren, die für verwaltete Envoy-Proxys gelten, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Diese Proxys werden in einem Nur-Proxy-Subnetz ausgeführt.
Für interne Application Load Balancer und interne Proxy-Network Load Balancer gelten die folgenden Anforderungen und Optionen für Firewallregeln:
Firewallregeln für die Load-Balancer-Back-Ends: Wenn Sie Back-Ends vom Typ „Instanzgruppe“ oder zonale NEG-Back-Ends vom Typ
GCE_VM_IP_PORTverwenden, müssen Sie Firewallregeln konfigurieren, die es den verwalteten Envoy-Proxys ermöglichen, eine Verbindung zu den Back-End-VMs herzustellen.Firewallregeln, die auf die verwalteten Envoy-Proxys angewendet werden: Diese Firewallregeln werden auf die verwalteten Envoy-Proxys angewendet. Die Regeln bieten eine optionale Zugriffssteuerung für Load-Balancer-Weiterleitungsregeln, was nützlich ist, wenn der Load-Balancer regionale Internet-NEGs oder Private Service Connect-NEGs verwendet.
In diesem Dokument wird beschrieben, wie Sie die Firewallregeln für die verwalteten Envoy-Proxys einrichten.
Load-Balancing-Ressourcen erstellen
Bevor Sie Firewallregeln und ‑richtlinien konfigurieren, müssen Sie die Umgebung und die Load-Balancing-Ressourcen einrichten, z. B. ein VPC-Netzwerk (Virtual Private Cloud), ein Subnetz, einen Load Balancer mit seinen Back-Ends und einer Weiterleitungsregel sowie eine Client-VM-Instanz zum Testen der Verbindung.
Informationen zum Erstellen und Konfigurieren der Ressourcen für den ausgewählten Load-Balancer finden Sie in den folgenden Dokumenten:
- Regionenübergreifenden internen Application Load Balancer mit Back-Ends von VM-Instanzgruppen einrichten
- Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
- Regionenübergreifenden internen Proxy-Network Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
- Regionalen internen Proxy-Network Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
Notieren Sie sich nach dem Erstellen der Ressourcen die folgenden Details. Sie verwenden diese Details später in diesem Dokument, um Firewallregeln und ‑richtlinien zu konfigurieren:
- Die Region des Load-Balancers
- Name und IP-Adresse der Weiterleitungsregel
- Der Name des VPC-Netzwerk
- Der Name, die Zone und die IP-Adresse der Client-VM-Instanz, die Sie zum Testen der Load-Balancer-Verbindung erstellt haben
Cloud NGFW-Ressourcen erstellen
Erstellen Sie eine regionale Netzwerk-Firewallrichtlinie in derselben Region wie der Load-Balancer. Weitere Informationen finden Sie unter Regionale Netzwerk-Firewallrichtlinie erstellen.
Verknüpfen Sie die Firewallrichtlinie mit dem VPC-Netzwerk.
Damit die Regeln einer Firewallrichtlinie auf eine Weiterleitungsregel für einen Load Balancer angewendet werden, müssen Sie die Richtlinie mit dem VPC-Netzwerk verknüpfen, in dem sich die Weiterleitungsregel befindet. Durch diese Zuordnung werden die Regeln der Firewallrichtlinie im VPC-Netzwerk aktiviert.
Wenn Sie den Traffic steuern möchten, der den Load-Balancer erreicht, erstellen Sie Firewallregeln für eingehenden Traffic in einer regionalen Netzwerk-Firewallrichtlinie. Im Gegensatz zu VM-Zielen ist der eingehende Traffic zulässig, wenn keine Firewallregeln für die verwalteten Envoy-Proxys gelten, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Wenn Sie den Zugriff auf eine oder mehrere Weiterleitungsregeln für Load Balancer einschränken möchten, müssen Sie mindestens zwei Firewallregeln für eingehenden Traffic mit
--target-type INTERNAL_MANAGED_LBerstellen:Eine Firewallregel für eingehenden Traffic mit niedrigerer Priorität, die
--src-ip-ranges=0.0.0.0/0ablehnt.Eine Firewallregel zum Zulassen von eingehendem Traffic mit höherer Priorität, bei der
--src-ip-rangesauf die genehmigten Quell-IP-Adressbereiche festgelegt ist.Eine Firewallregel für eingehenden Traffic mit höherer Priorität, bei der
--src-ip-rangesauf die IP-Adressen der Google-Systemdiagnose-Prober für die verwalteten Envoy-Proxys festgelegt ist. Weitere Informationen finden Sie unter Prüfungs-IP-Bereiche und Firewallregeln in der Übersicht zu Systemdiagnosen.Firewall-Logs ansehen Weitere Informationen finden Sie unter Logs ansehen.
Beschränkungen
Wenn Sie Cloud NGFW-Firewallrichtlinien zum Schutz von Load-Balancer-Back-Ends verwenden, gelten die folgenden Einschränkungen:
Load-Balancer unterstützen Firewallregeln für eingehenden Traffic, um Traffic vom Client zu untersuchen. Die Firewallregeln sind so konfiguriert, dass Traffic, der für die virtuelle IP-Adresse (VIP) des Load-Balancers bestimmt ist, ausgewertet wird. Der ausgehende Traffic, der über das Nur-Proxy-Subnetz von den Backend-Instanzen zum Load-Balancer fließt, wird von den Firewallregeln zugelassen.
Load Balancer unterstützen keine hierarchischen Firewallrichtlinien. Nur Netzwerk-Firewallrichtlinien werden unterstützt.
Firewallrichtlinienregeln zum Schutz von Load-Balancer-Back-Ends unterstützen nur das TCP-Protokoll.
Load-Balancer unterstützen die folgenden Cloud NGFW-Features nicht:
- Standortbestimmung
- Netzwerk-Bedrohungsinformationen (Network Threat Intelligence, NTI)
- Angabe des Ziel-IP-Bereichs
- Portspezifikation
Eine Firewallregel kann entweder auf eine einzelne Weiterleitungsregel oder auf alle Weiterleitungsregeln im VPC-Netzwerk ausgerichtet sein. Sie können keine Firewallregel konfigurieren, die auf eine bestimmte Liste mit mehreren Weiterleitungsregeln ausgerichtet ist.
Für Firewallregeln, bei denen
target-typeaufINTERNAL_MANAGED_LBfestgelegt ist, können die NetzwerktypenVPC_NETWORKSoderINTRA_VPCverwendet werden, nicht jedoch die NetzwerktypenINTERNEToderNON_INTERNET.Die Load Balancer unterstützen Firewallrichtlinien mit den Netzwerktypen
VPC_NETWORKSundINTRA_VPC.VPC_NETWORKSgibt Quell-Traffic aus definierten VPCs an.INTRA_VPCgibt Quell-Traffic innerhalb derselben VPC an.