Diese Seite wurde von der Cloud Translation API übersetzt.

Sicherheitsrichtlinien für den Netzwerk-Edge konfigurieren

Mit Sicherheitsrichtlinien für den Netzwerk-Edge können Sie Regeln konfigurieren, um Traffic zuzulassen oder zu blockieren am Rand des Google-Netzwerks. Sie können die Sicherheit des Netzwerk-Edges konfigurieren Richtlinien für die folgenden Front-End-Typen:

Externe Passthrough-Netzwerk-Load-Balancer
Protokollweiterleitung
VMs mit öffentlichen IP-Adressen

Sie können Sicherheitsrichtlinien für den Netzwerk-Edge verwenden, um nach Quell- und Ziel-IP-Adressbereichen zu filtern ähnlich wie Cloud Next Generation Firewall, aber ohne Ihre Ressourcen zu verbrauchen. In Außerdem ist eine Sicherheitsrichtlinie für den Netzwerk-Edge der einzige Sicherheitsrichtlinientyp mit Unterstützung für die Byte-Offset-Filterung.

Benutzerdefinierte Regeln für Sicherheitsrichtlinien für den Netzwerk-Edge konfigurieren

Wie bei Back-End- und Edge-Sicherheitsrichtlinien können Sie benutzerdefinierte Regeln für Sicherheitsrichtlinien für den Netzwerk-Edge Im folgenden Beispiel erstellen Sie ein Netzwerk Edge Security Policy, konfigurieren Sie eine benutzerdefinierte Regel, um nur Traffic von einem bestimmten Quell-IP-Adressbereich und verknüpfen Sie die Richtlinie mit Ihrem Back-End-Dienst.

Die Sicherheitsrichtlinien für den Netzwerk-Edge unterstützen mehrere Google Cloud Armor-Filter, einschließlich einzigartiger Filter wie Byte-Offset-Filterung. Weitere Informationen zu welche Sicherheitsrichtlinien beim Netzwerk-Edge unterstützt werden, finden Sie in der Übersicht über die Sicherheitsrichtlinien Darüber hinaus können Sie Sicherheitsrichtlinien für den Netzwerk-Edge in Vorschaumodus.

Bevor Sie fortfahren, müssen Sie bei Google Cloud Armor Enterprise registrieren und Erweiterten DDoS-Schutz für Netzwerke konfigurieren. Sie können keine benutzerdefinierten Regeln für Sicherheitsrichtlinien für den Netzwerk-Edge ohne aktive Cloud Armor Enterprise-Abo und erweiterter DDoS-Schutz für Netzwerke.

So konfigurieren Sie benutzerdefinierte Regeln:

Erstellen Sie eine neue Sicherheitsrichtlinie für den Netzwerk-Edge mit dem Namen POLICY_NAME in der Region REGION. Nicht dieselbe Sicherheitsrichtlinie verwenden den Sie bei der Aktivierung des erweiterten DDoS-Schutzes für Netzwerke verwendet haben.
```
gcloud compute security-policies create POLICY_NAME \
   --type=CLOUD_ARMOR_NETWORK \
   --region=REGION
```

Richtlinien ändern default_Regel von allow bis deny, um Traffic zu blockieren, der von andere Regeln.

gcloud compute security-policies rules update 2147483647 \
   --security-policy=POLICY_NAME \
   --action=deny \
   --region=REGION

In derselben Sicherheitsrichtlinie eine Regel mit Priorität hinzufügen RULE_PRIORITY, die Anfragen in der Quell-IP-Adresse zulässt Adressbereich RANGE.

gcloud compute security-policies rules create RULE_PRIORITY \
   --security-policy=POLICY_NAME \
   --network-src-ip-ranges=RANGE \
   --action=allow \
   --region=REGION

Sicherheitsrichtlinie mit Ihrem Back-End-Dienst verknüpfen BACKEND_SERVICE_NAME

gcloud compute backend-services update BACKEND_SERVICE_NAME \
   --security-policy=POLICY_NAME \
   --region=REGION

Alternativ können Sie die Sicherheitsrichtlinie mit einer einzelnen VM verknüpfen mit dem folgenden Befehl:

gcloud beta compute instances network-interfaces update VM_NAME \
   --security-policy=POLICY_NAME \
   --security-policy-region=REGION \
   --network-interface=NETWORK_INTERFACE \
   --zone=ZONE_NAME

Optional: Sie können überprüfen, ob die Sicherheitsrichtlinie angehängt ist, indem Sie den folgenden Befehl. Bei Erfolg wird das Feld securityPolicy in der Ausgabe enthält einen Link zu Ihrer Sicherheitsrichtlinienressource.
```
gcloud compute instances describe VM_NAME --zone=ZONE_NAME
```

Nachdem Sie das vorherige Beispiel erstellt haben, können Sie Ihrem Sicherheitsrichtlinie für den Netzwerk-Edge mit dem Befehl security-policies rules update Folgende Felder werden für Sicherheitsrichtlinien für den Netzwerk-Edge unterstützt:

Feld	Flag	Beschreibung
IP-Adresse der Quelle	`--network-src-ip-ranges`	Quell-IPv4/6-Adressen oder CIDR-Präfixe im Standardtextformat.
Quellports	`--network-src-ports`	Quellportnummern für TCP/UDP/SCTP. Jedes Element kann ein 16-Bit- (z. B. „80“) oder einen Bereich (z. B. „0-1023“).
Quellregioncodes	`--network-src-region-codes`	Zweistelliger Ländercode (ISO 3166-1 alpha-2).
Quell-ASNs	`--network-src-asns`	Nummer des autonomen BGP-Systems der Quell-IP-Adresse.
Ziel-IP-Adressbereiche	`--network-dest-ip-ranges`	Ziel-IPv4/6-Adressen oder CIDR-Präfixe in Standardtext Format.
Zielports	`--network-dest-ports`	Zielportnummern für TCP/UDP/SCTP. Jedes Element kann ein eine (16-Bit-)Zahl (z. B. „80“) oder einen Bereich (z. B. „0-1023“).
IP-Adressprotokolle	`--network-ip-protocols`	Nächster IPv4-Protokoll-/IPv6-Header (nach Erweiterungsheadern). Jedes -Element kann eine 8-Bit-Zahl (z. B. "6"), ein Bereich (z. B. "253–254") oder einen der folgenden Protokollnamen: <ph type="x-smartling-placeholder"> </ph> `tcp` `udp` `icmp` `esp` `ah` `ipip` `sctp`
Byte-Offset-Filterung	–	Weitere Informationen finden Sie im folgenden Abschnitt.

Wenn Sie das Flag --network-src-region-codes mit einem Sicherheits-Edge-Netzwerk verwenden können Sie Regionscodes für die folgenden Gebiete verwenden, sofern umfassende US-Sanktionen:

Gebiete	Zugewiesener Code
Krim	XC
Die sogenannte Volksrepublik Donezk (DNR) und die sogenannte Volksrepublik Lugansk (LNR)	XD

Byte-Offset-Filterung konfigurieren

Wenn Sie externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlicher IP-Adresse verwenden kann Google Cloud Armor bei eingehenden Adressen eine Deep Packet Inspection durchführen Zugriffe. Sie können Sicherheitsrichtlinienregeln konfigurieren, die mit einer bestimmten TCP/UDP-Byte-Offsetwert. Sie können die Regel so konfigurieren, dass die Regelaktion angewendet wird wenn der konfigurierte Wert vorhanden ist oder wenn er nicht vorhanden ist.

Im folgenden Beispiel wird Traffic zugelassen, wenn der Wert vorhanden ist, und abgelehnt. alle anderen Zugriffe:

Erstellen Sie eine neue Sicherheitsrichtlinie für den Netzwerk-Edge. Sie können diesen Schritt überspringen, wenn Sie Es gibt bereits eine Sicherheitsrichtlinie für den Netzwerk-Edge.
```
gcloud compute security-policies create POLICY_NAME \
   --type=CLOUD_ARMOR_NETWORK \
   --region=REGION_NAME
```
Sicherheitsrichtlinie für den Netzwerk-Edge aktualisieren, um benutzerdefinierte Felder hinzuzufügen mithilfe der folgenden Parameter:
- Basis: Der Wert kann IPv4, IPv6, TCP oder UDP sein.
- Offset: Offset des Felds von der Basis in Byte
- Size: Größe des Felds in Byte (maximaler Wert ist 4)
- Maske: Die Maske für die Bits in dem Feld, das abgeglichen werden soll.
Pro Richtlinie kannst du bis zu acht benutzerdefinierte Felder verwenden. Im folgenden Beispiel erstellen Sie zwei benutzerdefinierte Felder.
```
gcloud compute security-policies add-user-defined-field POLICY_NAME \
   --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \
   --base=TCP \
   --offset=OFFSET \
   --size=SIZE \
   --mask=MASK \
   --region=REGION_NAME
```
```
gcloud compute security-policies add-user-defined-field POLICY_NAME \
   --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \
   --base=UDP \
   --offset=OFFSET \
   --size=SIZE \
   --mask=MASK \
   --region=REGION_NAME
```

Fügen Sie in der Sicherheitsrichtlinie des Netzwerk-Edges eine Regel mit demselben Namen des benutzerdefinierten Felds hinzu die Sie im vorherigen Beispiel verwendet haben. VALUE1 ersetzen und VALUE2 mit Werten, die dem Traffic entsprechen, die Sie zulassen möchten.

gcloud compute security-policies rules create RULE_PRIORITY \
   --security-policy=POLICY_NAME \
   --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \
   --action=allow \
   --region=REGION_NAME

Legen Sie die Standardregel in der Sicherheitsrichtlinie für den Netzwerk-Edge als deny-Regel. Sie können diesen Schritt überspringen, wenn die Standardregel in Ihrer Sicherheit Richtlinie ist bereits eine Ablehnungsregel.
```
gcloud compute security-policies rules update 2147483647 \
   --security-policy=POLICY_NAME \
   --action=deny \
   --region=REGION_NAME
```

Sicherheitsrichtlinie des Netzwerk-Edges mit dem externen Passthrough-Network Load Balancer verknüpfen Back-End-Dienst.

gcloud compute backend-services update BACKEND_SERVICE_NAME \
   --security-policy=POLICY_NAME \
   --region=REGION_NAME

Monitoring

Google Cloud Armor exportiert die folgenden Messwerte für jede Ihrer Sicherheitsrichtlinienregeln für den Netzwerk-Edge:

packet_count
- Blocked: ein boolescher Wert, der das Ergebnis von allow oder deny
  darstellt Regelaktion
- Count: der Wert von packet_count, der jeweils einmal erhöht wird 10.000 Pakete. Zum Beispiel bedeutet der packet_count-Wert 5, dass dass mindestens 50.000 Pakete Ihrer Regel entsprechen
preview_packet_count: identisch mit packet_count, wird für Regeln in der Vorschau verwendet Modus

Wenn Sie Messwerte für Sicherheitsrichtlinien für den Netzwerk-Edge aufrufen möchten, müssen Sie zuerst die Network Security API (networksecurity.googleapis.com). Diese Berechtigung ist in der Rolle „Compute-Sicherheitsadministrator“ (roles/compute.securityAdmin). Nachdem Sie die Network Security API aktiviert haben, können Sie sich die Messwerte in Monitoring in der Google Cloud Console ansehen.

Zu Monitoring