הגדרה של שירות לגילוי חדירות ומניעתן ברשת

שירות לזיהוי פריצות ומניעתן עוקב אחרי תעבורת הנתונים של עומס העבודה ב- Google Cloud כדי לזהות פעילות זדונית ולנקוט פעולות מנע כדי למנוע אותה. כדי להפעיל את השירות הזה ברשת, צריך להגדיר כמה רכיבים של Cloud Next Generation Firewall. במדריך הזה מתואר תהליך העבודה המלא להגדרת שירות גילוי חדירות ומניעתן ברשת.

מטרות

במדריך הזה מוסבר איך לבצע את הפעולות הבאות:

  • יוצרים רשת של ענן וירטואלי פרטי (VPC) עם שתי תת-רשתות.
  • יוצרים מכונה וירטואלית (VM) של שרת ברשת המשנה הראשונה של רשת ה-VPC ומתקינים את שרת Apache במכונה הווירטואלית.
  • יוצרים מופע של מכונה וירטואלית של לקוח ברשת המשנה השנייה של רשת ה-VPC.
  • יוצרים פרופיל אבטחה וקבוצת פרופילי אבטחה.
  • יוצרים נקודת קצה (endpoint) לחומת האש ומשייכים אותה לרשת ה-VPC.
  • מוסיפים מדיניות חומת אש בין רשתות גלובלית עם הכללים הבאים של חומת האש:
    • כלל חומת אש שמאפשר גישה לשרת proxy לאימות זהויות (IAP) למכונות וירטואליות ברשת VPC.
    • כלל חומת אש להפניית כל תעבורת הנתונים הנכנסת לבדיקה בשכבה 7.
  • בודקים אם תעבורה זדונית למכונה הווירטואלית של השרת נחסמת.
  • לפנות את המשאבים.

התרשים הבא מציג את הארכיטקטורה הכללית של הגדרת הפריסה במדריך הזה. מדיניות חומת האש fw-policy-ips ב-VPC vpc-ips, מפנה את תעבורת הנתונים הנכנסת לנקודת הקצה של חומת האש באזור asia-southeast1-a. נקודת הקצה של חומת האש endpoint-ips בודקת את התעבורה כדי לזהות איומים. אם מזוהה איום, המערכת מבצעת את פעולות המניעה באמצעות ההוראות שצוינו בפרופיל האבטחה sec-profile-ips.

שירות למניעת פריצות ולגילוי פריצות ברשת VPC בהתאמה אישית, כדי לזהות ולמנוע איומים.
שירות לגילוי חדירות ומניעת חדירות ברשת VPC בהתאמה אישית (לחצו כדי להגדיל).

עלויות

יצירת נקודות הקצה של חומת האש כרוכה בעלות. פרטים על התמחור זמינים במאמר תמחור של Cloud Next Generation Firewall.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. מפעילים את Compute Engine API בפרויקט.
  7. מפעילים את Network Security API בפרויקט.
  8. מפעילים את Identity-Aware Proxy API בפרויקט.
  9. התפקיד שלכם בארגון צריך להיות אדמין של רשת מחשוב (roles/compute.networkAdmin) ב-IAM.
  10. אם אתם מעדיפים לעבוד משורת הפקודה, אתם יכולים להתקין את Google Cloud CLI. מידע על המושגים ועל ההתקנה של הכלי זמין במאמר סקירה כללית של ה-CLI של gcloud.

    הערה: אם לא הפעלתם את ה-CLI של gcloud בעבר, קודם מריצים את הפקודה gcloud init כדי לאתחל את ספריית ה-CLI של gcloud.

יצירת רשת VPC מותאמת אישית עם רשתות משנה

בקטע הזה, יוצרים רשת VPC במצב מותאם אישית עם שתי תת-רשתות IPv4.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה Name (שם), מזינים vpc-ips.

  4. בשדה תיאור, מזינים VPC network to set up intrusion detection and prevention service.

  5. בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).

  6. בקטע New subnet (רשת משנה חדשה), מציינים את פרמטרי ההגדרה הבאים של רשת משנה:

    • Name (שם): subnet-server-ips
    • אזור: asia-southeast1
    • טווח IPv4: 10.0.0.0/24

  7. לוחצים על סיום.

  8. לוחצים על הוספת רשת משנה ומציינים את פרמטרי ההגדרה הבאים:

    • Name (שם): subnet-client-ips
    • אזור: us-central1
    • טווח IPv4: 192.168.10.0/24

  9. לוחצים על סיום.

  10. לוחצים על יצירה.

gcloud

  1. כדי ליצור רשת VPC, מריצים את הפקודה הבאה:

    gcloud compute networks create vpc-ips \
  --subnet-mode custom \
  --description "VPC network to set up intrusion detection and prevention service."

  2. בתיבת הדו-שיח Authorize cloud shell (אישור Cloud Shell), לוחצים על Authorize (אישור).

  3. כדי ליצור רשת משנה, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-server-ips \
  --network vpc-ips \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. כדי ליצור רשת משנה נוספת, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-client-ips \
  --network vpc-ips \
  --region us-central1 \
  --range 192.168.10.0/24

יצירת Cloud Router ושער Cloud NAT

לפני שיוצרים מכונות וירטואליות של לקוח ושרת Linux ללא כתובות IPv4 ציבוריות בקטע הבא, צריך ליצור Cloud Router ושער Cloud NAT, שמאפשרים למכונות הווירטואליות האלה לגשת לאינטרנט הציבורי.

המסוף

  1. נכנסים לדף Cloud NAT במסוף Google Cloud .

    כניסה ל-Cloud NAT

  2. לוחצים על Get started (תחילת העבודה) או על Create Cloud NAT gateway (יצירת שער Cloud NAT).

  3. בשדה שם השער, מזינים gateway-ips.

  4. בקטע NAT type (סוג NAT), בוחרים באפשרות Public (ציבורי).

  5. בקטע Select Cloud Router, מציינים את פרמטרי ההגדרה הבאים:

    • רשת: vpc-ips
    • אזור: asia-southeast1
    • Cloud Router: יצירת נתב חדש.
      1. בשדה Name (שם), מזינים router-ips.
      2. לוחצים על יצירה.

  6. לוחצים על יצירה.

gcloud

  1. כדי ליצור Cloud Router, מריצים את הפקודה הבאה:

    gcloud compute routers create router-ips \
  --network=vpc-ips \
  --region=asia-southeast1

  2. כדי ליצור שער Cloud NAT, מריצים את הפקודה הבאה:

    gcloud compute routers nats create gateway-ips \
  --router=router-ips \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

יצירת מכונות וירטואליות

בקטע הזה יוצרים מכונות וירטואליות של שרת ושל לקוח.

יצירת מופע של מכונה וירטואלית של השרת

בקטע הזה, יוצרים מופע של מכונה וירטואלית בתת-הרשת subnet-server-ips ומתקינים בו את שרת Apache.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-server-ips.
    2. בשדה אזור, בוחרים באפשרות asia-southeast1 (Singapore).
    3. בשדה Zone, בוחרים באפשרות asia-southeast1-a.

  3. בתפריט הניווט, לוחצים על מערכת הפעלה ואחסון.

    בקטע מערכת הפעלה ואחסון, מוודאים שהאפשרות תמונה היא Debian GNU/Linux 12 (bookworm)‎. אם לא, לוחצים על Change, מגדירים את השדה Operating system ל-Debian ואת השדה Version ל-Debian GNU/Linux 12 (bookworm).

  4. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), לוחצים על default ומציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-ips
      • Subnetwork: subnet-server-ips IPv4 (10.0.0.0/24)
      • כתובת IPv4 חיצונית: ללא
    2. לוחצים על סיום.

  5. בתפריט הניווט, לוחצים על מתקדם ומזינים את הסקריפט הבא בשדה סקריפט לטעינה בזמן ההפעלה:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. לוחצים על יצירה.

  7. אחרי שיוצרים את המכונה הווירטואלית של השרת, חשוב לשים לב לכתובת ה-IP החיצונית שלה.

gcloud

כדי ליצור את המכונה הווירטואלית של השרת, מריצים את הפקודה הבאה:

gcloud compute instances create vm-server-ips \
    --network vpc-ips \
    --zone asia-southeast1-a \
    --subnet subnet-server-ips \
    --stack-type IPV4_ONLY \
    --image-project debian-cloud \
    --image-family debian-11 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

חשוב לשים לב לכתובת ה-IP החיצונית של המכונה הווירטואלית שמופיעה בסטטוס שמוחזר.

יצירת מופע של מכונה וירטואלית של לקוח

בקטע הזה, יוצרים מכונה וירטואלית בתת-הרשת subnet-client-ips.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-client-ips.
    2. בשדה אזור, בוחרים באפשרות us-central1 (Iowa).
    3. בשדה Zone, בוחרים באפשרות us-central1-a.

  3. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), לוחצים על default ומציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-ips
      • Subnetwork: subnet-client-ips IPv4 (192.168.10.0/24)
    2. לוחצים על סיום.

  4. לוחצים על יצירה.

gcloud

כדי ליצור את מכונת הלקוח הווירטואלית, מריצים את הפקודה הבאה:

gcloud compute instances create vm-client-ips \
    --network vpc-ips \
    --zone us-central1-a \
    --subnet subnet-client-ips \
    --stack-type IPV4_ONLY

יצירת פרופיל אבטחה למניעת איומים

בקטע הזה יוצרים פרופיל אבטחה מסוג threat-prevention בארגון. כדי לראות את ההרשאות שנדרשות ליצירת פרופיל אבטחה, אפשר לעיין במאמר יצירת פרופיל אבטחה למניעת איומים.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה פרופילי אבטחה.

  4. לוחצים על יצירת פרופיל.

  5. בשדה Name (שם), מזינים sec-profile-ips.

  6. בשדה תיאור, מזינים Security profile to set up intrusion detection and prevention service.

  7. כדי ליצור פרופיל אבטחה ל-Cloud Next Generation Firewall Enterprise, בקטע Purpose בוחרים באפשרות Cloud NGFW Enterprise.

  8. כדי ליצור פרופיל אבטחה למניעת איומים, בשדה Type (סוג), בוחרים באפשרות Threat prevention (מניעת איומים).

  9. לוחצים על יצירה.

gcloud

כדי ליצור פרופיל אבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profiles \
    threat-prevention \
    create sec-profile-ips \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --description "Security profile to set up intrusion detection and prevention service."

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה.
  • PROJECT_ID: מזהה פרויקט שישמש למכסות ולהגבלות גישה בפרופיל האבטחה.

יצירה של קבוצת פרופילי אבטחה

בקטע הזה יוצרים קבוצת פרופילי אבטחה שתכלול את פרופיל האבטחה שיצרתם בקטע הקודם. כדי לראות את ההרשאות שנדרשות ליצירת קבוצת פרופילים של אבטחה, אפשר לעיין במאמר ההרשאות שנדרשות לביצוע המשימה הזו.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה.

  4. לוחצים על יצירת קבוצת פרופילים.

  5. בשדה Name (שם), מזינים sec-profile-group-ips.

  6. בשדה תיאור, מזינים Security profile group to set up intrusion detection and prevention service.

  7. כדי ליצור קבוצת פרופילים לאבטחה עבור Cloud Next Generation Firewall Enterprise, בקטע Purpose (מטרה), בוחרים באפשרות Cloud NGFW Enterprise.

  8. ברשימה Threat prevention profile בוחרים באפשרות sec-profile-ips.

  9. לוחצים על יצירה.

gcloud

כדי ליצור קבוצה של פרופילי אבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profile-groups \
    create sec-profile-group-ips \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --threat-prevention-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-ips \
    --description "Security profile group to set up intrusion detection and prevention service."

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת פרופילי האבטחה.
  • PROJECT_ID: מזהה פרויקט שישמש למכסות ולהגבלות גישה בקבוצת פרופיל האבטחה.

יצירת נקודת קצה של חומת אש

בקטע הזה יוצרים נקודת קצה של חומת אש באזור ספציפי. כדי לראות את ההרשאות שנדרשות ליצירת נקודת קצה של חומת אש, אפשר לעיין במאמר ההרשאות שנדרשות לביצוע המשימה הזו.

הערה: כשיוצרים נקודת קצה של חומת אש, המצב של נקודת הקצה של חומת האש מוגדר ל-Creating. אחרי שנקודת הקצה של חומת האש מוכנה, המצב משתנה ל-Active.

המסוף

  1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

    לדף Firewall endpoints

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על יצירה.

  4. ברשימה Region בוחרים באזור asia-southeast1 (Singapore).

  5. ברשימה Zone בוחרים באפשרות asia-southeast1-a.

  6. בשדה Name (שם), מזינים endpoint-ips.

  7. ברשימה Billing project, בוחרים את הפרויקט שרוצים להשתמש בו לחיוב של נקודת הקצה של חומת האש. Google Cloud

  8. לוחצים על יצירה.

gcloud

כדי ליצור נקודת קצה של חומת אש, מריצים את הפקודה הבאה:

gcloud network-security firewall-endpoints \
    create endpoint-ips \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה נקודת הקצה של חומת האש.
  • PROJECT_ID: מזהה פרויקט שישמש לחיוב של נקודת הקצה של חומת האש.

יצירת שיוך של נקודת קצה לחומת אש

בקטע הזה, משייכים את נקודת הקצה של חומת האש לרשת ה-VPC שיצרתם בשלב הקודם.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על הרשת vpc-ips כדי להציג את הדף פרטי רשת VPC.

  3. לוחצים על הכרטיסייה נקודות קצה של חומת אש.

  4. לוחצים על Create endpoint association.

  5. ברשימה Region בוחרים באזור asia-southeast1.

  6. ברשימה Zone בוחרים באפשרות asia-southeast1-a.

  7. ברשימה Firewall endpoint בוחרים באפשרות endpoint-ips.

  8. לוחצים על יצירה.

gcloud

כדי ליצור שיוך של נקודת קצה לחומת אש, מריצים את הפקודה הבאה:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-ips \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-ips \
    --network vpc-ips \
    --zone asia-southeast1-a \
    --project PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה נקודת הקצה של חומת האש.
  • PROJECT_ID: מזהה הפרויקט שבו נוצר השיוך.

יצירה של מדיניות חומת אש בין רשתות גלובלית

בקטע הזה יוצרים מדיניות גלובלית של חומת אש ברשת, שמכילה את שני הכללים הבאים של חומת האש:

  1. כלל חומת אש לתעבורת נתונים נכנסת (ingress) עם עדיפות 100 שמאפשר תעבורת TCP ליציאות 3389 ו-22. הכלל הזה מאפשר גישה ל-IAP למכונות וירטואליות ברשת ה-VPC.
  2. כלל חומת אש לתעבורת נתונים נכנסת (ingress) עם עדיפות 200 לביצוע בדיקה בשכבה 7 בתעבורת הנתונים הנכנסת למכונה הווירטואלית של השרת באזור ספציפי.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. ברשימת הפרויקטים, בוחרים את הפרויקט בארגון.

  3. לוחצים על יצירת מדיניות חומת אש.

  4. בשדה שם המדיניות, מזינים fw-policy-ips.

  5. בסוג המדיניות, בוחרים באפשרות מדיניות VPC.

  6. בקטע היקף הפריסה, בוחרים באפשרות גלובלי.

  7. לוחצים על המשך ואז על יצירת כלל חומת אש.

  8. בשדה עדיפות מזינים 100.

  9. בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.

  10. בקטע פעולה בהתאמה, בוחרים באפשרות אישור.

  11. בקטע יומנים, בוחרים באפשרות מופעל.

  12. במסנן מקור, בוחרים באפשרות IPv4, ואז בשדה טווח כתובות IP מזינים 35.235.240.0/20.

  13. בקטע Protocols and ports (פרוטוקולים ויציאות), בוחרים באפשרות Specified protocols and ports (פרוטוקולים ויציאות שצוינו).

  14. בוחרים באפשרות TCP, ובשדה יציאות מזינים 22,3389.

  15. לוחצים על יצירה.

  16. לוחצים על יצירת כלל לחומת האש.

  17. בשדה עדיפות מזינים 200.

  18. בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.

  19. בקטע פעולה במקרה של התאמה, בוחרים באפשרות החלת קבוצת פרופילים של אבטחה.

  20. בקטע יומנים, בוחרים באפשרות מופעל.

  21. ברשימה Security profile group (קבוצת פרופילים של אבטחה), בוחרים באפשרות sec-profile-group-ips.

  22. במסנן Destination, בוחרים באפשרות IPv4, ואז בשדה IP ranges מזינים את כתובת ה-IP החיצונית של מכונת ה-VM של השרת שיצרתם בקטע Create the server VM instances.

  23. לוחצים על יצירה.

  24. לוחצים על המשך כדי לעבור לקטע הוספת כללי שיקוף.

  25. לוחצים שוב על המשך כדי לפתוח את הקטע שיוך מדיניות לרשתות.

  26. בוחרים ברשת vpc-ips.

  27. לוחצים על קישור.

  28. לוחצים על יצירה.

gcloud

  1. כדי ליצור מדיניות גלובלית של חומת אש ברשת, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies \
  create fw-policy-ips \
  --global \
  --project PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה פרויקט שבו נוצרת מדיניות חומת האש הגלובלית ברשת.

  2. כדי להוסיף את כלל חומת האש להפעלת גישה ל-IAP, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-ips \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22, tcp:3389 \
  --global-firewall-policy \
  --enable-logging

  3. כדי להוסיף את כלל חומת האש להפעלת בדיקה בשכבה 7 למניעה ולזיהוי של איומים, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies rules create 200 \
  --direction INGRESS \
  --firewall-policy fw-policy-ips \
  --action apply_security_profile_group \
  --src-ip-ranges 35.235.240.0/20 \
  --dest-ip-ranges SERVER_VM_IP \
  --layer4-configs tcp:0-65535 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-ips \
  --enable-logging

    מחליפים את מה שכתוב בשדות הבאים:

    • SERVER_VM_IP: כתובת ה-IP החיצונית של שרת ה-VM שיצרתם בקטע יצירת מופעים של שרת VM.

    • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת הפרופילים המאובטחת.

  4. כדי לשייך את מדיניות חומת האש לרשת ה-VPC, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-ips \
 --network vpc-ips \
 --name fw-pol-association-ips \
 --global-firewall-policy \
 --project PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט שבו נוצר שיוך ה-VPC.

בדיקת ההגדרה

בקטע הזה בודקים את ההגדרה על ידי יצירת תעבורה שנחטפת על ידי נקודת הקצה, ומדיניות חומת האש הגלובלית ברשת מוחלת כדי לבצע בדיקה ברמה 7.

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. מהעמודה External IP של המכונה הווירטואלית vm-server-ips, מעתיקים את כתובת ה-IP החיצונית של המכונה הווירטואלית.

  3. בעמודה Connect (התחברות) של המכונה הווירטואלית vm-client-ips, לוחצים על SSH.

  4. בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור יתבצע.

  5. כדי לוודא שבקשה שלא מהווה איום לא נחסמת, מריצים את הפקודה הבאה: 

    curl EXTERNAL_IP -m 2

    מחליפים את EXTERNAL_IP בכתובת ה-IP החיצונית של המכונה הווירטואלית vm-server-ips.

    הודעת התגובה הצפויה היא:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. כדי לוודא שבקשה זדונית נחסמת, מריצים את הפקודה הבאה. הפקודה הזו שולחת בקשה לגשת לקובץ הסיסמאות, אבל הגישה אסורה.

    curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/

    מחליפים את EXTERNAL_IP בכתובת ה-IP החיצונית של מכונת vm-server-ips.

    צפויה הודעה Connection timed out כי נקודת הקצה של חומת האש מזהה את האיום בבקשה וחוסמת את החבילה.

  7. סוגרים את תיבת הדו-שיח SSH-in-browser.

gcloud

  1. כדי להתחבר למכונת ה-VM של vm-client-ips, מריצים את הפקודה הבאה:

    gcloud compute ssh vm-client-ips \
   --zone=us-central1-a \
   --tunnel-through-iap

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי לוודא שבקשה שלא מהווה איום לא נחסמת, מריצים את הפקודה הבאה: 

    curl EXTERNAL_IP -m 2

    מחליפים את EXTERNAL_IP בכתובת ה-IP החיצונית של המכונה הווירטואלית vm-server-ips.

    הודעת התגובה הצפויה היא:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  3. כדי לוודא שבקשה זדונית נחסמת, מריצים את הפקודה הבאה:

    curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/

    מחליפים את EXTERNAL_IP בכתובת ה-IP החיצונית של המכונה הווירטואלית vm-server-ips.

    צפויה הודעה Connection timed out כי נקודת הקצה של חומת האש מזהה את האיום בבקשה וחוסמת את החבילה.

  4. כדי לסגור את SSH בדפדפן, מזינים exit.

איך רואים את יומני האיומים

  1. נכנסים לדף Threats במסוף Google Cloud .

    לדף Threats

  2. במקרה הצורך, בוחרים את הפרויקט Google Cloud .

  3. בקטע Threat (איום), אפשר לראות את רשומת היומן של האיום שזוהה ברשת vpc-ips.

הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud בגלל השימוש במשאבים שנעשה במסגרת המדריך הזה, אפשר למחוק את הפרויקט שמכיל את המשאבים או להשאיר את הפרויקט ולמחוק את המשאבים הספציפיים.

בקטע הזה מוחקים את המשאבים שנוצרו במדריך הזה.

מחיקת השיוך של נקודת הקצה לחומת האש

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על הרשת vpc-ips כדי להציג את הדף פרטי רשת VPC.

  3. לוחצים על הכרטיסייה נקודות קצה של חומת אש. בכרטיסייה מוצגת רשימה של שיוכים מוגדרים של נקודות קצה של חומת אש.

  4. מסמנים את התיבה לצד endpoint-ips ולוחצים על מחיקה.

  5. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את השיוך של נקודת הקצה לחומת האש, מריצים את הפקודה הבאה:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-ips \
    --zone asia-southeast1-a

מחיקת נקודת הקצה של חומת האש

המסוף

  1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

    לדף Firewall endpoints

  2. בוחרים באפשרות endpoint-ips ואז לוחצים על מחיקה.

  3. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את נקודת הקצה של חומת האש, מריצים את הפקודות הבאות:

gcloud network-security firewall-endpoints delete endpoint-ips \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה נקודת הקצה.

מחיקת מדיניות חומת האש בין רשתות גלובלית

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    מעבר אל Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על fw-policy-ips.

  4. לוחצים על הכרטיסייה שיוכים.

  5. בוחרים את כל השיוכים.

  6. לוחצים על הסרת השיוך.

  7. אחרי שמסירים את כל השיוכים, לוחצים על מחיקה.

gcloud

  1. כדי להסיר את השיוך בין מדיניות חומת האש לבין רשת VPC, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-ips \
  --firewall-policy fw-policy-ips \
  --global-firewall-policy

  2. מוחקים את מדיניות חומת האש.

    gcloud compute network-firewall-policies delete fw-policy-ips --global

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקת קבוצת פרופילי האבטחה

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה.

  3. בוחרים באפשרות sec-profile-group-ips ואז לוחצים על מחיקה.

  4. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את קבוצת פרופילי האבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profile-groups \
    delete sec-profile-group-ips \
    --organization ORGANIZATION_ID \
    --location global

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת פרופילי האבטחה.

מחיקת פרופיל האבטחה

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.

  3. בוחרים באפשרות sec-profile-ips ואז לוחצים על מחיקה.

  4. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את פרופיל האבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profiles threat-prevention \
    delete sec-profile-ips \
    --organization ORGANIZATION_ID \
    --location global

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה.

מחיקת המכונות הווירטואליות

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. מסמנים את התיבות של מכונות ה-VM‏ vm-client-ips ו-vm-server-ips.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח Delete 2 instances?‎ (למחוק 2 מופעים?), לוחצים על Delete (מחיקה).

gcloud

  1. כדי למחוק את מכונת ה-VM‏ vm-client-ips, מריצים את הפקודה הבאה:

    gcloud compute instances delete vm-client-ips \
  --zone us-central1-a

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי למחוק את מכונת ה-VM‏ vm-server-ips, מריצים את הפקודה הבאה:

    gcloud compute instances delete vm-server-ips \
  --zone asia-southeast1-a

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקת שער Cloud NAT ו-Cloud Router

המסוף

  1. נכנסים לדף Cloud NAT במסוף Google Cloud .

    כניסה ל-Cloud NAT

  2. מסמנים את התיבה לצד תצורת שער gateway-ips.

  3. בתפריט , לוחצים על מחיקה.

  4. נכנסים לדף Cloud Routers במסוף Google Cloud .

    מעבר אל Cloud Routers

  5. מסמנים את התיבה לצד נתב router-ips.

  6. לוחצים על Delete.

gcloud

  1. כדי למחוק את שער Cloud NAT, מריצים את הפקודה הבאה:

    gcloud compute routers nats delete gateway-ips \
  --router=router-ips \
  --region=asia-southeast1

  2. כדי למחוק את Cloud Router, מריצים את הפקודה הבאה:

    gcloud compute routers delete router-ips \
  --project=PROJECT_ID \
  --region=asia-southeast1

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שמכיל את Cloud Router.

מחיקת רשת ה-VPC ותת-הרשתות שלה

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. בעמודה שם, לוחצים על vpc-ips.

  3. לוחצים על מחיקת רשת VPC.

  4. בתיבת הדו-שיח מחיקת רשת, לוחצים על מחיקה.

כשמוחקים VPC, גם רשתות המשנה שלו נמחקות.

gcloud

  1. כדי למחוק את רשת המשנה subnet-client-ips של רשת ה-VPC‏ vpc-ips, מריצים את הפקודה הבאה:

    gcloud compute networks subnets delete subnet-client-ips \
    --region us-central1

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי למחוק את רשת המשנה subnet-server-ips של רשת ה-VPC‏ vpc-ips, מריצים את הפקודה הבאה:

    gcloud compute networks subnets delete subnet-server-ips \
    --region=asia-southeast1

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  3. כדי למחוק את רשת ה-VPC‏, vpc-ips, מריצים את הפקודה הבאה:

    gcloud compute networks delete vpc-ips

המאמרים הבאים