Globale Netzwerk-Firewallrichtlinie konfigurieren, um ausgehenden Traffic zu einem FQDN zuzulassen

Hier erfahren Sie, wie Sie mit der Google Cloud Console eine globale Netzwerk-Firewallrichtlinie erstellen und konfigurieren, um ausgehenden Traffic zu einem bestimmten voll qualifizierten Domainnamen (FQDN) zuzulassen. Die Firewallrichtlinie blockiert allen anderen ausgehenden Traffic, der von Ihrem Netzwerk stammt. In dieser Kurzanleitung wird ein VPC-Netzwerk (Virtual Private Cloud) mit einem Subnetz und eine VM-Instanz im VPC-Netzwerk erstellt sowie eine Firewallrichtlinie eingerichtet, die Regeln für ausgehenden Traffic verwendet. Danach wird die Firewallrichtlinie von der VM aus getestet.

Vorbereitung

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

8. Prüfen Sie, ob Sie die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin) haben.

Benutzerdefiniertes VPC-Netzwerk mit einem IPv4-Subnetz erstellen

Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit einem IPv4-Subnetz.

1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

   Zur Seite VPC-Netzwerke

2. Klicken Sie auf VPC-Netzwerk erstellen.

3. Geben Sie für Name vpc-fw-policy-egress ein.

4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

5. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

   • Name: Geben Sie subnet-1 ein.
   • Region: Wählen Sie us-central1 aus.
   • IPv4-Bereich: Geben Sie 10.0.0.0/24 ein.

6. Klicken Sie auf Fertig.

7. Klicken Sie auf Erstellen.

VM erstellen

Erstellen Sie eine VM in dem Subnetz, das Sie im vorherigen Abschnitt konfiguriert haben.

1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

   Zur Seite „Instanz erstellen“

2. Geben Sie für Name instance-1-us ein.

3. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

4. Maximieren Sie Erweiterte Optionen und dann Netzwerk.

5. Maximieren Sie im Bereich Netzwerkschnittstellen die vorhandene Netzwerkschnittstelle und geben Sie die folgenden Konfigurationsparameter an:

   • Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
   • Subnetzwerk: Wählen Sie subnet-1 IPv4 (10.0.0.0/24) aus.
   • Externe IPv4-Adresse: Wählen Sie Keine aus.

6. Klicken Sie auf Fertig.

7. Klicken Sie auf Erstellen.

Cloud Router und Cloud NAT-Gateway erstellen

Im vorherigen Abschnitt haben Sie eine VM ohne externe IP-Adresse erstellt. Damit die VM auf das öffentliche Internet zugreifen kann, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway für dieselbe Region und dasselbe Subnetz, in dem Sie auch Ihre VM erstellt haben.

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

   Zur Seite "Cloud NAT"

2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

   Hinweis: Falls dies das erste Cloud NAT-Gateway ist, das Sie erstellen, klicken Sie auf Erste Schritte. Wenn Sie bereits Gateways haben, zeigt Google Cloud die Gateway-Schaltfläche Cloud NAT erstellen an. Klicken Sie zum Erstellen eines weiteren Gateways auf Cloud NAT-Gateway erstellen.

3. Geben Sie als Gatewayname fw-egress-nat-gw ein.

4. Wählen Sie als NAT-Typ Öffentlich aus.

5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

   • Netzwerk: Wählen Sie vpc-fw-policy-egress aus.
   • Region: Wählen Sie us-central1 (Iowa) aus.
   • Cloud Router: Klicken Sie auf Neuen Router erstellen.
     1. Geben Sie für Name fw-egress-router ein.
     2. Klicken Sie auf Erstellen.

6. Klicken Sie auf Erstellen.

Globale Netzwerk-Firewallrichtlinie zum Aktivieren von IAP erstellen

Wenn Sie Identity-Aware Proxy für die VMs in Ihrem Netzwerk aktivieren möchten, erstellen Sie eine globale Netzwerk-Firewallrichtlinie und fügen Sie der Richtlinie eine Firewallregel hinzu. IAP ermöglicht Administratorzugriff auf die VMs.

Die Firewallregel muss die folgenden Eigenschaften haben:

• Gilt für alle VMs, die über die IAP-TCP-Weiterleitung zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Adressbereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.
• Lässt Verbindungen zu allen Ports zu, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port 22 für SSH.

So aktivieren Sie den IAP-Zugriff auf alle VMs im vpc-fw-policy-egress-Netzwerk:

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie auf Firewallrichtlinie erstellen.

3. Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname fw-egress-policy ein.

4. Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.

5. Klicken Sie im Abschnitt Regeln hinzufügen auf Regel hinzufügen, um Regeln für die Richtlinie zu erstellen.

   1. Geben Sie 100 als Priorität ein.
   2. Wählen Sie für Traffic-Richtung die Option Eingehend aus.
   3. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
   4. Wählen Sie für Logs Ein aus.
   5. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
   6. Geben Sie im Abschnitt Quelle unter IP-Bereiche 35.235.240.0/20 ein.
   7. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
   8. Markieren Sie das Kästchen TCP und geben Sie unter TCP 22 ein.
   9. Klicken Sie auf Erstellen.

6. Klicken Sie auf Weiter.

7. Wenn Sie Ihr VPC-Netzwerk mit der Richtlinie verknüpfen möchten, klicken Sie im Bereich Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen.

8. Markieren Sie das Kästchen vpc-fw-policy-egress und klicken Sie dann auf vpc-fw-policy-egress.

9. Klicken Sie auf Weiter.

10. Klicken Sie auf Erstellen.

Firewallregel hinzufügen, um ausgehenden Traffic an alle Ziele abzulehnen

Wenn Sie ausgehenden Traffic an alle Ziele ablehnen möchten, fügen Sie fw-egress-policy eine Firewallregel hinzu.

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

3. Klicken Sie auf Regel erstellen.

4. Geben Sie 700 als Priorität ein.

5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

6. Wählen Sie für Aktion bei Übereinstimmung die Option Ablehnen aus.

7. Wählen Sie für Logs Ein aus.

8. Geben Sie im Abschnitt Ziel unter IP-Bereiche 0.0.0.0/0 ein.

9. Klicken Sie auf Erstellen.

Firewallregel hinzufügen, um ausgehenden Traffic nur zu einem bestimmten FQDN zuzulassen

Wenn Sie ausgehenden Traffic nur zu einem bestimmten FQDN (ads.google.com) zulassen möchten, fügen Sie eine Firewallregel in fw-egress-policy hinzu.

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

3. Klicken Sie auf Regel erstellen.

4. Geben Sie 600 als Priorität ein.

5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

6. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

7. Wählen Sie für Logs Ein aus.

8. Geben Sie im Abschnitt Ziel unter FQDNs ads.google.com ein.

9. Klicken Sie auf Erstellen.

Globale Netzwerk-Firewallrichtlinie testen

Nachdem Sie die globale Richtlinie für Netzwerkfirewalls konfiguriert haben, führen Sie die folgenden Schritte aus, um die Richtlinie zu testen:

1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

   Zur Seite „VM-Instanzen“

2. Klicken Sie in der Spalte Verbinden der instance-1-us-VM auf SSH.

3. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

4. Führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zu https://ads.google.com zulässig ist:

     curl -I https://ads.google.com
   

   Der vorherige Befehl gibt die Headerinformationen von https://ads.google.com zurück und bedeutet, dass ausgehende Verbindungen zulässig sind.

5. Geben Sie einen beliebigen FQDN an und führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zu einem beliebigen anderen Ziel blockiert wird:

     curl -m 2 -I https://mail.yahoo.com
   

   Der vorherige Befehl gibt die Meldung Connection timed out zurück. Dies wird erwartet, da Sie eine Firewallregel erstellt haben, um ausgehenden Traffic an alle Ziele außer https://ads.google.com abzulehnen.

Logs ansehen

Sie können anhand der Logs prüfen, ob die Firewallregeln auf den ausgehenden Traffic angewandt wurden. Rufen Sie das Protokoll mit den folgenden Schritten auf:

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

3. Klicken Sie in der Spalte Trefferzahl auf die Zahl für die Regel, die Sie im Abschnitt Globale Netzwerk-Firewallrichtlinie erstellen erstellt haben. Die Seite Log-Explorer wird geöffnet.

4. Wenn Sie die auf den ausgehenden Traffic angewendete Firewallregel aufrufen möchten, maximieren Sie das relevante Log. Sie können sich die Details zu Verbindung, Status, Remote-Speicherort und Regeln ansehen, indem Sie die entsprechenden Abschnitte maximieren.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen.

Führen Sie die folgenden Schritte aus, um die in dieser Kurzanleitung erstellten Ressourcen zu löschen:

Firewallrichtlinie löschen

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf fw-egress-policy.

3. Klicken Sie auf den Tab Verknüpfungen.

4. Markieren Sie das Kästchen vpc-fw-policy-egress und klicken Sie auf Verknüpfung entfernen.

5. Klicken Sie im Dialogfeld Firewallrichtlinienverknüpfung entfernen auf Entfernen.

6. Klicken Sie auf Löschen.

7. Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.

VM löschen

1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

   Zur Seite „VM-Instanzen“

2. Markieren Sie das Kästchen für die VM instance-1-us.

3. Klicken Sie auf Löschen.

4. Klicken Sie im Dialogfeld instance-1-us löschen auf Löschen.

Cloud NAT-Gateway und Cloud Router löschen

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

   Zu "Cloud Router"

2. Aktivieren Sie das Kästchen für fw-egress-router.

3. Klicken Sie auf Löschen.

4. Klicken Sie im Dialogfeld fw-egress-router löschen auf Löschen.

Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

VPC-Netzwerk und dessen Subnetze löschen

1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

   Zur Seite VPC-Netzwerke

2. Klicken Sie in der Spalte Name auf vpc-fw-policy-egress.

3. Klicken Sie auf VPC-Netzwerk löschen.

4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie ein VPC-Netzwerk löschen, werden auch dessen Subnetze gelöscht.

Nächste Schritte

• Informationen zu Firewallrichtlinien finden Sie in der Übersicht: Firewallrichtlinien.
• Informationen zu Firewallrichtlinienregeln finden Sie in der Übersicht über Regeln der Firewallrichtlinien.
• Informationen zum Erstellen, Aktualisieren, Überwachen und Löschen von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln nutzen.
• Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.