Dienst zur Erkennung und Abwehr von Eindringversuchen in Ihrem Netzwerk einrichten

Der Dienst zur Einbruchserkennung und -vermeidung überwacht Ihren Google Cloud Arbeitslast-Traffic auf schädliche Aktivitäten und ergreift präventive Maßnahmen zu deren Vermeidung. Damit Sie diesen Dienst in Ihrem Netzwerk aktivieren können, müssen Sie mehrere Cloud Next Generation Firewall-Komponenten einrichten. In dieser Anleitung wird der End-to-End-Workflow beschrieben, mit dem Sie den Dienst zur Einbruchserkennung und ‑vermeidung in Ihrem Netzwerk konfigurieren.

Ziele

In diesem Anleitung werden die folgenden Aufgaben erläutert:

  • VPC-Netzwerk (Virtual Private Cloud) mit zwei Subnetzen erstellen
  • Erstellen Sie eine Server-VM-Instanz im ersten Subnetz des VPC-Netzwerk und installieren Sie den Apache-Server auf der VM.
  • Erstellen Sie eine Client-VM-Instanz im zweiten Subnetz des VPC-Netzwerks.
  • Erstellen Sie ein Sicherheitsprofil und eine Sicherheitsprofilgruppe.
  • Erstellen Sie einen Firewall-Endpunkt und verknüpfen Sie ihn mit dem VPC-Netzwerk.
  • Fügen Sie eine globale Netzwerkfirewall-Richtlinie mit folgenden Firewallregeln hinzu:
    • Eine Firewallregel, um den Identity-Aware Proxy-Zugriff (IAP) auf die VM-Instanzen im VPC-Netzwerk zu ermöglichen.
    • Eine Firewallregel, um den gesamten eingehenden Traffic für die Layer-7-Prüfung weiterzuleiten.
  • Prüfen Sie, ob schädlicher Traffic zur Server-VM-Instanz blockiert wird.
  • Bereinigen Sie die Ressourcen.

Das folgende Diagramm zeigt die allgemeine Architektur der Bereitstellungseinrichtung in dieser Anleitung. Die Firewallrichtlinie fw-policy-ips in VPC vpc-ips leitet den eingehenden Traffic an den Firewall-Endpunkt in der Zone asia-southeast1-a weiter. Der Firewall-Endpunkt endpoint-ips prüft den Traffic auf Bedrohungen. Wenn eine Bedrohung erkannt wird, werden die präventiven Maßnahmen gemäß den Anweisungen im Sicherheitsprofil sec-profile-ips angewendet.

Dienst zur Angriffsprävention und -erkennung in einem benutzerdefinierten VPC-Netzwerk, um Bedrohungen zu identifizieren und zu verhindern.
Dienst zur Angriffserkennung und ‑abwehr in einem benutzerdefinierten VPC-Netzwerk (zum Vergrößern klicken)

Kosten

Für das Erstellen der Firewall-Endpunkte fallen Kosten an. Weitere Informationen zu den Preisen finden Sie unter Cloud Next Generation Firewall – Preise.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Aktivieren Sie die Compute Engine API für Ihr Projekt.
  7. Aktivieren Sie die Network Security API für Ihr Projekt.
  8. Aktivieren Sie die Identity-Aware Proxy API für Ihr Projekt.
  9. Sie benötigen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihre Organisation.
  10. Wenn Sie lieber mit der Befehlszeile arbeiten möchten, installieren Sie das Google Cloud CLI. Informationen zum Konzept und zur Installation des Tools finden Sie in der gcloud-CLI-Übersicht.

    Hinweis: Wenn Sie die gloud CLI noch nicht ausgeführt haben, führen Sie zuerst gcloud init aus, um Ihr gcloud-CLI-Verzeichnis zu initialisieren.

Benutzerdefiniertes VPC-Netzwerk mit Subnetzen erstellen

In diesem Abschnitt erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit zwei IPv4-Subnetzen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie für Name vpc-ips ein.

  4. Geben Sie unter Beschreibung VPC network to set up intrusion detection and prevention service ein.

  5. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  6. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    • Name: subnet-ips-server
    • Region: asia-southeast1
    • IPv4-Bereich: 10.0.0.0/24

  7. Klicken Sie auf Fertig.

  8. Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:

    • Name: subnet-ips-client
    • Region: us-central1
    • IPv4-Bereich: 192.168.10.0/24

  9. Klicken Sie auf Fertig.

  10. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:

    gcloud compute networks create vpc-ips \
  --subnet-mode custom \
  --description "VPC network to set up intrusion detection and prevention service."

  2. Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.

  3. Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-ips-server \
  --network vpc-ips \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-ips-client \
  --network vpc-ips \
  --region us-central1 \
  --range 192.168.10.0/24

Cloud Router und Cloud NAT-Gateway erstellen

Bevor Sie im nächsten Abschnitt Client- und Server-Linux-VM-Instanzen ohne öffentliche IPv4-Adressen erstellen, müssen Sie einen Cloud Router und ein Cloud NAT-Gateway erstellen, damit diese VMs auf das öffentliche Internet zugreifen können.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie als Gatewayname gateway-ips ein.

  4. Wählen Sie als NAT-Typ Öffentlich aus.

  5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

    • Netz: vpc-ips
    • Region: asia-southeast1
    • Cloud Router: Neuen Router erstellen.
      1. Geben Sie für Name router-ips ein.
      2. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

    gcloud compute routers create router-ips \
  --network=vpc-ips \
  --region=asia-southeast1

  2. Führen Sie folgenden Befehl aus, um ein Cloud NAT-Gateway zu erstellen:

    gcloud compute routers nats create gateway-ips \
  --router=router-ips \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

VM-Instanzen erstellen

In diesem Abschnitt erstellen Sie Server- und Client-VM-Instanzen.

Server-VM-Instanz erstellen

In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-ips-server und installieren den Apache-Server darauf.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-server-ips ein.
    2. Wählen Sie bei Region die Option asia-southeast1 (Singapore) aus.
    3. Wählen Sie bei Zone die Option asia-southeast1-a aus.

  3. Klicken Sie im Navigationsmenü auf Betriebssystem und Speicher.

    Prüfen Sie im Abschnitt Betriebssystem und Speicher, ob Image auf Debian GNU/Linux 12 (Bookworm) festgelegt ist. Falls nicht, klicken Sie auf Ändern und legen Sie das Feld Betriebssystem auf Debian und das Feld Version auf Debian GNU/Linux 12 (Bookworm) fest.

  4. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Klicken Sie im Bereich Netzwerkschnittstellen auf default und geben Sie die folgenden Konfigurationsparameter an:
      • Netz: vpc-ips
      • Subnetzwerk: subnet-ips-server IPv4 (10.0.0.0/24)
      • Externe IPv4-Adresse: Keine
    2. Klicken Sie auf Fertig.

  5. Klicken Sie im Navigationsmenü auf Erweitert und geben Sie das folgende Skript in das Feld Startskript ein:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. Klicken Sie auf Erstellen.

  7. Notieren Sie sich die externe IP-Adresse der Server-VM, sobald sie erstellt wurde.

gcloud

Führen Sie den folgenden Befehl aus, um die Server-VM zu erstellen:

gcloud compute instances create vm-server-ips \
    --network vpc-ips \
    --zone asia-southeast1-a \
    --subnet subnet-ips-server \
    --stack-type IPV4_ONLY \
    --image-project debian-cloud \
    --image-family debian-11 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

Notieren Sie sich die externe IP-Adresse der VM im zurückgegebenen Status.

Client-VM-Instanz erstellen

In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-ips-client.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-client-ips ein.
    2. Wählen Sie bei Region die Option us-central1 (Iowa) aus.
    3. Wählen Sie bei Zone die Option us-central1-a aus.

  3. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Klicken Sie im Bereich Netzwerkschnittstellen auf default und geben Sie die folgenden Konfigurationsparameter an:
      • Netz: vpc-ips
      • Subnetzwerk: subnet-ips-client IPv4 (192.168.10.0/24)
    2. Klicken Sie auf Fertig.

  4. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um die Client-VM zu erstellen:

gcloud compute instances create vm-client-ips \
    --network vpc-ips \
    --zone us-central1-a \
    --subnet subnet-ips-client \
    --stack-type IPV4_ONLY

Sicherheitsprofil erstellen

In diesem Abschnitt erstellen Sie ein Sicherheitsprofil vom Typ threat-prevention in Ihrer Organisation. Informationen zu den Berechtigungen, die zum Erstellen eines Sicherheitsprofils erforderlich sind, finden Sie unter Sicherheitsprofil für die Bedrohungsvermeidung erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Wählen Sie den Tab Sicherheitsprofile aus.

  4. Klicken Sie auf Profil erstellen.

  5. Geben Sie für Name sec-profile-ips ein.

  6. Geben Sie unter Beschreibung Security profile to set up intrusion detection and prevention service ein.

  7. Klicken Sie auf Weiter.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um ein Sicherheitsprofil zu erstellen:

gcloud network-security security-profiles \
    threat-prevention \
    create sec-profile-ips \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --description "Security profile to set up intrusion detection and prevention service."

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.
  • PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet wird.

Sicherheitsprofilgruppe erstellen

In diesem Abschnitt erstellen Sie eine Sicherheitsprofilgruppe, die das Sicherheitsprofil enthält, das Sie im vorherigen Abschnitt erstellt haben. Informationen zu den Berechtigungen, die zum Erstellen einer Sicherheitsprofilgruppe erforderlich sind, finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus.

  4. Klicken Sie auf Profilgruppe erstellen.

  5. Geben Sie für Name sec-profile-group-ips ein.

  6. Geben Sie unter Beschreibung Security profile group to set up intrusion detection and prevention service ein.

  7. Wählen Sie in der Liste Bedrohungsschutzprofil sec-profile-ips aus.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Sicherheitsprofilgruppe zu erstellen:

gcloud network-security security-profile-groups \
    create sec-profile-group-ips \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --threat-prevention-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-ips \
    --description "Security profile group to set up intrusion detection and prevention service."

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
  • PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.

Firewall-Endpunkt erstellen

In diesem Abschnitt erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone. Informationen zu den zum Erstellen eines Firewall-Endpunkts erforderlichen Berechtigungen finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.

Hinweis: Wenn Sie einen Firewall-Endpunkt erstellen, wird der Status des Firewall-Endpunkts auf Creating festgelegt. Wenn der Firewall-Endpunkt bereit ist, ändert sich der Status in Active.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie in der Liste Region asia-southeast1 (Singapore) aus.

  5. Wählen Sie in der Liste Zone asia-southeast1-a aus.

  6. Geben Sie für Name endpoint-ips ein.

  7. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um eine Firewallr-Endpunkt zu erstellen:

gcloud network-security firewall-endpoints \
    create endpoint-ips \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.
  • PROJECT_ID: Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Firewall-Endpunktverknüpfung erstellen

In diesem Abschnitt verknüpfen Sie den Firewall-Endpunkt mit dem VPC-Netzwerk, das Sie im vorherigen Schritt erstellt haben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das vpc-ips-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.

  3. Wählen Sie den Tab Firewall-Endpunkt aus.

  4. Klicken Sie auf Endpunktverknüpfung hinzufügen.

  5. Wählen Sie in der Liste Region asia-southeast1 aus.

  6. Wählen Sie in der Liste Zone asia-southeast1-a aus.

  7. Wählen Sie in der Liste Firewall-Endpunkt die Option endpoint-ips aus.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um eine Firewall-Endpunktverknüpfung zu erstellen:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-ips \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-ips \
    --network vpc-ips \
    --zone asia-southeast1-a \
    --project PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.
  • PROJECT_ID: Projekt-ID, in der die Verknüpfung erstellt wird.

Globale Netzwerk-Firewall-richtlinie erstellen

In diesem Abschnitt erstellen Sie eine globale Netzwerkfirewall-Richtlinie mit den folgenden zwei Firewallregeln:

  1. Eine Firewallregel für eingehenden Traffic mit der Priorität 100, die TCP-Traffic an die Ports 3389 und 22 erlaubt. Diese Regel ermöglicht den IAP-Zugriff auf die VM-Instanzen im VPC-Netzwerk.
  2. Eine Firewallregel für eingehenden Traffic mit der Priorität 200, um die Layer-7-Prüfung für den eingehenden Traffic zur Server-VM in einer bestimmten Zone durchzuführen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste zur Projektauswahl Ihr Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie für Name fw-policy-ips ein.

  5. Wählen Sie unter Bereitstellungsbereich die Option Global aus.

  6. Klicken Sie auf Weiter und dann auf Regel hinzufügen.

  7. Geben Sie in das Feld für die Priorität den Wert 100 ein.

  8. Wählen Sie für Logs Ein aus.

  9. Wählen Sie für Traffic-Richtung die Option Eingehend aus.

  10. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  11. Wählen Sie für den Filter Quelle die Option IPv4 aus und geben Sie dann im Feld IP-Bereich die Option 35.235.240.0/20 ein.

  12. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.

  13. Wählen Sie TCP aus und geben Sie unter Ports 22,3389 ein.

  14. Klicken Sie auf Erstellen.

  15. Klicken Sie auf Regel hinzufügen.

  16. Geben Sie in das Feld für die Priorität den Wert 200 ein.

  17. Wählen Sie für Logs Ein aus.

  18. Wählen Sie für Traffic-Richtung die Option Eingehend aus.

  19. Wählen Sie für Aktion bei Übereinstimmung die Option Sicherheitsprofilgruppe anwenden aus.

  20. Wählen Sie in der Liste Sicherheitsprofilgruppe die Option sec-profile-group-ips aus.

  21. Wählen Sie im Filter Ziel die Option IPv4 aus und geben Sie dann im Feld IP-Bereich die externe IP-Adresse der Server-VM ein, die Sie im Abschnitt Server-VM-Instanzen erstellen erstellt haben.

  22. Klicken Sie auf Erstellen.

  23. Klicken Sie auf Weiter.

  24. Klicken Sie auf Richtlinie mit VPC-Netzwerken verknüpfen.

  25. Wählen Sie das vpc-ips-Netzwerk.

  26. Klicken Sie auf Verknüpfen.

  27. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie folgenden Befehl aus, um eine globale Netzwerkfirewall-Richtlinie zu erstellen:

    gcloud compute network-firewall-policies \
  create fw-policy-ips \
  --global \
  --project PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Eine Projekt-ID, in der die globale Richtlinie für Netzwerkfirewalls erstellt wird.

  2. Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und den IAP-Zugriff zu aktivieren:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-ips \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22, tcp:3389 \
  --global-firewall-policy \
  --enable-logging

  3. Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und die Layer-7-Prüfung für Bedrohungsvermeidung und -erkennung zu aktivieren:

    gcloud compute network-firewall-policies rules create 200 \
  --direction INGRESS \
  --firewall-policy fw-policy-ips \
  --action apply_security_profile_group \
  --dest-ip-ranges SERVER_VM_IP \
  --layer4-configs tcp:0-65535 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-ips \
  --enable-logging

    Ersetzen Sie Folgendes:

    • SERVER_VM_IP: externe IP-Adresse der Server-VM, die Sie im Abschnitt Server-VM-Instanzen erstellen erstellt haben.

    • ORGANIZATION_ID: Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  4. Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem VPC-Netzwerk zu verknüpfen:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-ips \
 --network vpc-ips \
 --name fw-pol-association-ips \
 --global-firewall-policy \
 --project PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID, in der die VPC-Verknüpfung erstellt wird.

Einrichtung testen

In diesem Abschnitt testen Sie die Einrichtung, indem Sie Traffic generieren, der vom Endpunkt abgefangen wird. Dann wird die globale Netzwerk-Firewallrichtlinie angewendet und die Layer-7-Prüfung durchgeführt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Kopieren Sie in der Spalte Externe IP-Adresse der vm-server-ips-VM die externe IP-Adresse der VM.

  3. Klicken Sie in der Spalte Verbinden der vm-client-ips-VM auf SSH.

  4. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  5. Führen Sie den folgenden Befehl aus, um zu prüfen, dass eine Anfrage, die keine Bedrohung darstellt, nicht blockiert wird: 

    curl EXTERNAL_IP -m 2

    Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

    Die erwartete Antwort lautet:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine schädliche Anfrage blockiert wird. Mit diesem Befehl wird eine Anfrage zum Zugriff auf die Passwortdatei gesendet, was nicht zulässig ist.

    curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/

    Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

    Es wird eine Connection timed out-Nachricht erwartet, da der Firewall-Endpunkt die Bedrohung in der Anfrage erkennt und das Paket blockiert.

  7. Schließen Sie das Dialogfeld SSH-in-browser.

gcloud

  1. Führen Sie folgenden Befehl aus, um eine Verbindung zur vm-client-ips-VM herzustellen:

    gcloud compute ssh vm-client-ips \
   --zone=us-central1-a \
   --tunnel-through-iap

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie den folgenden Befehl aus, um zu prüfen, dass eine Anfrage, die keine Bedrohung darstellt, nicht blockiert wird: 

    curl EXTERNAL_IP -m 2

    Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

    Die erwartete Antwort lautet:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  3. Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine schädliche Anfrage blockiert wird:

    curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/

    Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

    Es wird eine Connection timed out-Nachricht erwartet, da der Firewall-Endpunkt die Bedrohung in der Anfrage erkennt und das Paket blockiert.

  4. Geben Sie exit ein, um den SSH-in-Browser zu schließen.

Bedrohungslogs ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Bedrohungen auf.

    Zu Bedrohungen

  2. Wählen Sie bei Bedarf Ihr Google Cloud Projekt aus.

  3. Im Bereich Bedrohung sehen Sie den Logeintrag für die Bedrohung, die in Ihrem vpc-ips-Netzwerk erkannt wurde.

Bereinigen

Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

In diesem Abschnitt löschen Sie die in dieser Anleitung erstellten Ressourcen.

Firewall-Endpunktverknüpfung löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das vpc-ips-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.

  3. Wählen Sie den Tab Firewall-Endpunkt aus. Der Tab enthält eine Liste der konfigurierten Firewall-Endpunktverknüpfungen.

  4. Markieren Sie das Kästchen neben endpoint-ips und klicken Sie dann auf Löschen.

  5. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um die Firewall-Endpunktverknüpfung zu löschen:

gcloud network-security firewall-endpoint-association \
    delete endpoint-ips \
    --zone asia-southeast1-a

Firewall-Endpunkt löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie endpoint-ips und klicken Sie dann auf Löschen.

  3. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie die folgenden Befehle aus, um den Firewall-Endpunkt zu löschen:

gcloud network-security firewall-endpoints delete endpoint-ips \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Organisation, in der der Endpunkt erstellt wurde.

Globale Netzwerkfirewall-Endpunktrichtlinie löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf fw-policy-ips.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfungen entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die Verknüpfung zwischen Firewallrichtlinie und VPC-Netzwerk zu entfernen:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-ips \
  --firewall-policy fw-policy-ips \
  --global-firewall-policy

  2. Löschen Sie die Firewallrichtlinie.

    gcloud compute network-firewall-policies delete fw-policy-ips --global

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Sicherheitsprofilgruppe löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofilgruppen aus.

  3. Wählen Sie sec-profile-group-ips und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um die Sicherheitsprofilgruppe zu löschen:

gcloud network-security security-profile-groups \
    delete sec-profile-group-ips \
    --organization ORGANIZATION_ID \
    --location global

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

Sicherheitsprofil löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.

  3. Wählen Sie sec-profile-ips und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um das Sicherheitsprofil zu löschen:

gcloud network-security security-profiles threat-prevention \
    delete sec-profile-ips \
    --organization ORGANIZATION_ID \
    --location global

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.

VMs löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Markieren Sie die Kästchen für die VMs vm-client-ips und vm-server-ips.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld Möchten Sie 2 Instanzen löschen? auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die vm-client-ips-VM zu löschen:

    gcloud compute instances delete vm-client-ips \
  --zone us-central1-a

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie den folgenden Befehl aus, um die vm-server-ips-VM zu löschen:

    gcloud compute instances delete vm-server-ips \
  --zone asia-southeast1-a

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

VPC-Netzwerk und dessen Subnetze löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie in der Spalte Name auf vpc-ips.

  3. Klicken Sie auf VPC-Netzwerk löschen.

  4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.

gcloud

  1. Führen Sie folgenden Befehl aus, um das Subnetz subnet-ips-client des VPC-Netzwerks vpc-ips zu löschen:

    gcloud compute networks subnets delete subnet-ips-client \
    --region us-central1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie folgenden Befehl aus, um das Subnetz subnet-ips-server des VPC-Netzwerks vpc-ips zu löschen:

    gcloud compute networks subnets delete subnet-ips-server \
    --region=asia-southeast1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  3. Führen Sie folgenden Befehl aus, um das VPC-Netzwerk vpc-ips zu löschen:

    gcloud compute networks delete vpc-ips

Nächste Schritte