Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת כללים לחומת אש

בדף הזה מוסבר איך להגדיר Google Cloud כללי חומת אש וכללי חומת אש ברשת עמיתים.

כשמגדירים מנהרות Cloud VPN כדי להתחבר לרשת השכנה, צריך לבדוק ולשנות את כללי חומת האש ב- Google Cloud וברשתות השכנות כדי לוודא שהם עונים על הצרכים שלכם. אם הרשת השכנה היא רשת ענן וירטואלי פרטי (VPC) אחרת, צריך להגדיר Google Cloud כללי חומת אש לשני הצדדים של חיבור הרשת.

מידע נוסף על Cloud VPN זמין במקורות המידע הבאים:

לפני שמגדירים Cloud VPN, כדאי לעיין בשיטות המומלצות.
מידע נוסף על Cloud VPN זמין בסקירה הכללית על Cloud VPN.
הגדרות של המונחים שמופיעים בדף הזה מפורטות בקטע מונחים מרכזיים.

Google Cloud כללי חומת אש

Google Cloud כללי חומת אש חלים על חבילות שנשלחות אל מכונות וירטואליות (VM) וממכונות וירטואליות ברשת ה-VPC, ודרך מנהרות Cloud VPN.

כללי היציאה המשתמעת מאפשרים למכונות וירטואליות ולמשאבים אחרים ברשת Google Cloud לשלוח בקשות יוצאות ולקבל תשובות שנקבעו. עם זאת, הכלל implied deny ingress חוסם את כל התנועה הנכנסת למשאבי Google Cloud .

לפחות, צריך ליצור כללי חומת אש שמאפשרים תעבורת נתונים נכנסת מהרשת השכנה אל Google Cloud. אם יצרתם כללי יציאה כדי לדחות סוגים מסוימים של תנועה, יכול להיות שתצטרכו ליצור גם כללי יציאה אחרים.

תמיד מותרת תנועה שמכילה את הפרוטוקולים UDP 500, ‏ UDP 4500 ו-ESP (IPsec, פרוטוקול IP מספר 50) אל שער Cloud VPN וממנו, לכתובת IP חיצונית אחת או יותר. עם זאת, Google Cloud כללי חומת האש לא חלים על חבילות IPsec שעברו אנקפסולציה שנשלחות משער Cloud VPN לשער VPN שכנה.

מידע נוסף על Google Cloud כללים של חומת אש זמין במאמר בנושא סקירה כללית על כללים של חומת אש ב-VPC.

הגדרות לדוגמה

דוגמאות נוספות להגבלת תעבורת נתונים נכנסת (ingress) או תעבורת נתונים יוצאת (egress) זמינות בדוגמאות להגדרות במאמרי העזרה של VPC.

בדוגמה הבאה נוצר כלל לחומת האש מסוג ingress allow. הכלל הזה מאפשר את כל תעבורת הנתונים של TCP,‏ UDP ו-ICMP מ-CIDR של הרשת השכנה למכונות הווירטואליות ברשת ה-VPC.

ההרשאות שנדרשות למשימה הזו

כדי לבצע את המשימה הזו, אתם צריכים את ההרשאות או תפקידי ה-IAM שמצוינים כאן.

תפקידים

roles/compute.securityAdmin

המסוף

נכנסים לדף VPN tunnels במסוף Google Cloud .

מעבר למנהרות VPN
לוחצים על מנהרת ה-VPN שבה רוצים להשתמש.
בקטע VPN gateway (שער VPN), לוחצים על השם של רשת ה-VPC. הפעולה הזו תעביר אתכם לדף פרטי רשת ה-VPC שכולל את המנהרה.
לוחצים על הכרטיסייה כללי חומת אש.
לוחצים על הוספת כלל לחומת האש. הוספת כלל ל-TCP, ל-UDP ול-ICMP:
- שם: מזינים allow-tcp-udp-icmp.
- מסנן מקור: בוחרים באפשרות טווחים של IPv4.
- טווח כתובות IP של המקור: מזינים ערך של טווח כתובות IP של רשת מרוחקת מתוך הערכים שהזנתם כשיצרתם את המנהרה. אם יש לכם יותר מטווח אחד של רשתות עמיתים, צריך להזין את כל הטווחים. מקישים על המקש Tab בין הערכים. כדי לאפשר תנועה מכל כתובות ה-IPv4 של המקור ברשת העמיתים, מציינים 0.0.0.0/0.
- פרוטוקולים או יציאות ספציפיים: בוחרים באפשרות tcp או udp.
- פרוטוקולים אחרים: מזינים icmp.
- תגי טירגוט: מוסיפים תג או תגים תקינים.
לוחצים על יצירה.

אם אתם צריכים לאפשר גישה לכתובות IPv6 ברשת ה-VPC שלכם מהרשת השכנה, מוסיפים כלל לחומת האש allow-ipv6-tcp-udp-icmpv6.

לוחצים על הוספת כלל לחומת האש. הוספת כלל עבור TCP,‏ UDP ו-ICMPv6:
- שם: מזינים allow-ipv6-tcp-udp-icmpv6.
- מסנן מקור: בוחרים באפשרות טווחים של IPv6.
- טווח כתובות IP של המקור: מזינים ערך של טווח כתובות IP של רשת מרוחקת מתוך הערכים שהזנתם כשיצרתם את המנהרה. אם יש לכם יותר מטווח אחד של רשתות עמיתים, צריך להזין את כל הטווחים. מקישים על המקש Tab בין הערכים. כדי לאפשר תנועה מכל כתובות ה-IPv6 של המקור ברשת העמיתים, מציינים ::/0.
- פרוטוקולים או יציאות ספציפיים: בוחרים באפשרות tcp או udp.
- פרוטוקולים אחרים: מזינים 58. ‫58 הוא מספר הפרוטוקול של ICMPv6.
- תגי טירגוט: מוסיפים תג או תגים תקינים.
לוחצים על יצירה.

יוצרים כללים אחרים לחומת האש לפי הצורך.

אפשר גם ליצור כללים מהדף Firewall במסוף Google Cloud .

gcloud

מריצים את הפקודה הבאה:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

מחליפים את IPV4_PEER_SOURCE_RANGE בטווחי IPv4 של המקור מהרשת העמיתה.

אם יש לכם יותר מטווח אחד של רשתות עמיתות, צריך לספק רשימה מופרדת בפסיקים בשדה source-ranges (--source-ranges 192.168.1.0/24,192.168.2.0/24).

כדי לאפשר תנועה מכל כתובות ה-IPv4 של המקור ברשת העמיתים, מציינים 0.0.0.0/0.

כללי חומת אש של IPv6

אם אתם צריכים לאפשר גישה לכתובות IPv6 ברשת ה-VPC שלכם מהרשת השכנה, מוסיפים כלל לחומת האש allow-ipv6-tcp-udp-icmpv6.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

‫58 הוא מספר הפרוטוקול של ICMPv6.

מחליפים את PEER_SOURCE_RANGE בטווחי IPv6 של מקורות מהרשת שלכם. אם יש לכם יותר מטווח אחד של רשתות עמיתות, צריך לספק רשימה מופרדת בפסיקים בשדה source-ranges (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

כדי לאפשר תנועה מכל כתובות ה-IPv6 של המקור ברשת העמיתים, מציינים ::/0.

כללי חומת אש אחרים

יוצרים כללים אחרים לחומת האש לפי הצורך.

מידע נוסף על הפקודה firewall-rules זמין במאמר בנושא כללים של חומת האש של gcloud.

כללי חומת אש של קישור בין רשתות שכנות (peering)

כשמגדירים את כללי חומת האש של האפליקציות להשוואה, כדאי לקחת בחשבון את הנקודות הבאות:

מגדירים כללים שמאפשרים תעבורת נתונים יוצאת (egress) ותעבורת נתונים נכנסת (ingress) אל טווחי כתובות ה-IP שמשמשים את רשתות המשנה ברשת ה-VPC וממנה.
אתם יכולים לאשר את כל הפרוטוקולים והיציאות, או להגביל את התעבורה רק לפרוטוקולים וליציאות שאתם צריכים.
אם אתם צריכים להשתמש ב-ping כדי לתקשר בין מערכות עמיתות ומכונות או משאבים ב- Google Cloud, אתם צריכים לאפשר תעבורת ICMP.
אם אתם צריכים לגשת לכתובות IPv6 ברשת העמיתים שלכם באמצעות ping, אתם צריכים לאפשר ICMPv6 (פרוטוקול IP מספר 58) בחומת האש של רשת העמיתים.
אפשר להטמיע כללי חומת אש מקומיים גם במכשירי הרשת (מכשירי אבטחה, מכשירי חומת אש, מתגים, נתבים ושערים) וגם בתוכנות שפועלות במערכות (למשל תוכנת חומת אש שכלולה במערכת הפעלה). כדי לאפשר תעבורת נתונים, צריך להגדיר את כל כללי חומת האש בנתיב לרשת ה-VPC בהתאם.
אם מנהרת ה-VPN שלכם משתמשת בניתוב דינמי (BGP), חשוב לוודא שאתם מאפשרים תנועת BGP לכתובות ה-IP המקומיות. פרטים נוספים מופיעים בקטע הבא.

שיקולים לגבי BGP בשערי רשת שכנה

ניתוב דינמי (BGP) מחליף מידע על מסלולים באמצעות יציאת TCP ‏179. חלק משערי ה-VPN, כולל שערי Cloud VPN, מאפשרים את התעבורה הזו באופן אוטומטי כשבוחרים ניתוב דינמי. אם שער ה-VPN של העמית לא תומך בכך, צריך להגדיר אותו כך שיאפשר תנועה נכנסת ויוצאת ביציאת TCP 179. כל כתובות ה-IP של BGP משתמשות בבלוק ה-CIDR של 169.254.0.0/16 link-local.

אם שער ה-VPN של העמית לא מחובר ישירות לאינטרנט, צריך לוודא שהוא ונתבי העמית, כללי חומת האש ומכשירי האבטחה מוגדרים כך שיעבירו לפחות תנועת BGP (יציאת TCP‏ 179) ותנועת ICMP לשער ה-VPN. פרוטוקול ICMP לא נדרש, אבל הוא שימושי לבדיקת הקישוריות בין Cloud Router לבין שער ה-VPN. טווח כתובות ה-IP שאליו צריך לחול כלל חומת האש של העמית צריך לכלול את כתובות ה-IP של BGP של Cloud Router והשער שלכם.

המאמרים הבאים

כדי לוודא שהרכיבים מתקשרים בצורה תקינה עם Cloud VPN, אפשר לעיין במאמר בנושא בדיקת סטטוס ה-VPN.
כדי להשתמש בתרחישים של זמינות גבוהה וקצב העברה גבוה או בתרחישים של כמה רשתות משנה, אפשר לעיין במאמר בנושא הגדרות מתקדמות.
כדי לעזור לכם לפתור בעיות נפוצות שאתם עלולים להיתקל בהן כשאתם משתמשים ב-Cloud VPN, תוכלו לעיין במאמר בנושא פתרון בעיות.