Configura una policy del firewall di rete globale per consentire il traffico in uscita a un FQDN

Scopri come creare e configurare un criterio del firewall di rete globale per consentire il traffico in uscita a un nome di dominio completo (FQDN) specifico utilizzando la console Google Cloud. Il criterio del firewall blocca tutto l'altro traffico in uscita proveniente dalla tua rete. Questa guida introduttiva crea una rete Virtual Private Cloud (VPC) con una subnet, un'istanza di macchina virtuale (VM) nella rete VPC, configura un criterio firewall che utilizza regole di uscita e poi testa il criterio firewall dalla VM.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  8. Assicurati di disporre del ruolo Amministratore rete Compute (roles/compute.networkAdmin).

Creare una rete VPC personalizzata con una subnet IPv4

Crea una rete VPC in modalità personalizzata con una subnet IPv4.

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic su Crea rete VPC.

  3. In Nome, inserisci vpc-fw-policy-egress.

  4. In Modalità di creazione subnet, seleziona Personalizzata.

  5. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per la subnet:

    • Nome: inserisci subnet-1.
    • Regione: seleziona us-central1.
    • Intervallo IPv4: inserisci 10.0.0.0/24.
  6. Fai clic su Fine.

  7. Fai clic su Crea.

Crea una VM

Crea una VM nella subnet configurata nella sezione precedente.

  1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. Nel riquadro Configurazione macchina, segui questi passaggi:

    1. In Nome, inserisci instance-1-us.
    2. In Regione, seleziona us-central1 (Iowa).
  3. Nel menu di navigazione, fai clic su Networking.

    1. Nella sezione Interfacce di rete, fai clic su default e specifica i seguenti parametri di configurazione:
      • Rete: vpc-fw-policy-egress
      • Subnet: subnet-1 IPv4 (10.0.0.0/24)
      • Indirizzo IPv4 esterno: Nessuno
    2. Fai clic su Fine.
  4. Fai clic su Crea.

Crea un router Cloud e un gateway Cloud NAT

Nella sezione precedente hai creato una VM senza indirizzo IP esterno. Per consentire alla VM di accedere alla rete internet pubblica, crea un router cloud e un gateway Cloud NAT per la stessa regione e la stessa subnet in cui hai creato la VM.

  1. Nella console Google Cloud, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic su Inizia o Crea gateway Cloud NAT.

    Nota:se è il primo gateway Cloud NAT che crei, fai clic su Inizia. Se hai già dei gateway esistenti, Google Cloud viene visualizzato il pulsante Crea gateway Cloud NAT. Per creare un altro gateway, fai clic su Crea gateway Cloud NAT.

  3. In Nome gateway, inserisci fw-egress-nat-gw.

  4. In Tipo NAT, seleziona Pubblico.

  5. Nella sezione Seleziona router cloud, specifica i seguenti parametri di configurazione:

    • Rete: seleziona vpc-fw-policy-egress.
    • Regione: seleziona us-central1 (Iowa).
    • Router Cloud: fai clic su Crea nuovo router.
      1. In Nome, inserisci fw-egress-router.
      2. Fai clic su Crea.
  6. Fai clic su Crea.

Crea una policy del firewall di rete globale per abilitare IAP

Per attivare Identity-Aware Proxy per le VM nella tua rete, crea una policy del firewall di rete globale e aggiungi una regola firewall alla policy. IAP consente l'accesso amministrativo alle VM.

La regola firewall deve avere le seguenti caratteristiche:

  • Si applica a tutte le VM a cui vuoi accedere utilizzando l'inoltro TCP di IAP.
  • Consente il traffico in entrata dall'intervallo di indirizzi IP 35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP.
  • Consenta le connessioni a tutte le porte che vuoi rendere accessibili utilizzando l'inoltro TCP di IAP, ad esempio la porta 22 per SSH.

Per attivare l'accesso IAP a tutte le VM nella rete vpc-fw-policy-egress, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Policy firewall.

    Vai a Policy del firewall

  2. Fai clic su Crea criterio firewall.

  3. Nella sezione Configura criterio, in Nome criterio, inserisci fw-egress-policy.

  4. In Ambito di deployment, seleziona Globale e fai clic su Continua.

  5. Per creare regole per il criterio, fai clic su Aggiungi regola nella sezione Aggiungi regole.

    1. In Priorità, inserisci 100.
    2. Per Direzione del traffico, seleziona In entrata.
    3. Per Azione in caso di corrispondenza, seleziona Consenti.
    4. Per Log, seleziona On.
    5. Nella sezione Target, per Tipo di target, seleziona Tutte le istanze nella rete.
    6. Nella sezione Origine, inserisci 35.235.240.0/20 in Intervalli IP.
    7. Nella sezione Protocollo e porte, seleziona Protocolli e porte specificati.
    8. Seleziona la casella di controllo TCP e inserisci 22 in Porte.
    9. Fai clic su Crea.
  6. Fai clic su Continua.

  7. Per associare la rete VPC al criterio, fai clic su Associa nella sezione Associa il criterio alle reti VPC.

  8. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Associa.

  9. Fai clic su Continua.

  10. Fai clic su Crea.

Aggiungi una regola firewall per negare il traffico in uscita verso tutte le destinazioni

Per negare il traffico in uscita verso tutte le destinazioni, aggiungi una regola firewall a fw-egress-policy.

  1. Nella console Google Cloud, vai alla pagina Policy firewall.

    Vai a Policy del firewall

  2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

  3. Fai clic su Crea regola.

  4. In Priorità, inserisci 700.

  5. In Direzione del traffico, seleziona In uscita.

  6. Per Azione in caso di corrispondenza, seleziona Nega.

  7. Per Log, seleziona On.

  8. Nella sezione Destinazione, inserisci 0.0.0.0/0 in Intervalli IP.

  9. Fai clic su Crea.

Aggiungi una regola firewall per consentire il traffico in uscita solo a un FQDN specifico

Per consentire il traffico in uscita solo a un FQDN specifico, ads.google.com, aggiungi una regola firewall in fw-egress-policy.

  1. Nella console Google Cloud, vai alla pagina Policy firewall.

    Vai a Policy del firewall

  2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

  3. Fai clic su Crea regola.

  4. In Priorità, inserisci 600.

  5. In Direzione del traffico, seleziona In uscita.

  6. Per Azione in caso di corrispondenza, seleziona Consenti.

  7. Per Log, seleziona On.

  8. Nella sezione Destinazione, inserisci ads.google.com per FQDN.

  9. Fai clic su Crea.

Testare il criterio firewall di rete globale

Dopo aver configurato la policy del firewall di rete globale, segui questi passaggi per testarla:

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nella colonna Connetti per la VM instance-1-us, fai clic su SSH.

  3. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che venga stabilita la connessione.

  4. Per verificare che il traffico in uscita verso https://ads.google.com sia consentito, esegui il seguente comando:

      curl -I https://ads.google.com
    

    Il comando precedente restituisce le informazioni dell'intestazione di https://ads.google.com, il che significa che le connessioni in uscita sono consentite.

  5. Per verificare che il traffico in uscita sia bloccato per qualsiasi altra destinazione, specifica un FQDN ed esegui il seguente comando:

      curl -m 2 -I https://mail.yahoo.com
    

    Il comando precedente restituisce un messaggio Connection timed out, come previsto, perché hai creato una regola firewall per negare il traffico in uscita verso tutte le destinazioni, ad eccezione di https://ads.google.com.

Visualizza i log

Puoi verificare che le regole del firewall siano state applicate al traffico in uscita accedendo ai log. Per visualizzare i dettagli del log:

  1. Nella console Google Cloud, vai alla pagina Policy firewall.

    Vai a Policy del firewall

  2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

  3. Nella colonna Conteggio hit, fai clic sul numero della regola che hai creato nella sezione Creare una policy del firewall di rete globale. Si apre la pagina Esplora log.

  4. Per visualizzare la regola firewall applicata al traffico in uscita, espandi il singolo log. Puoi visualizzare i dettagli relativi a connessione, disposizione, posizione remota e regola espandendo le sezioni pertinenti.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa guida rapida, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Per eliminare le risorse create in questa guida rapida, completa le seguenti attività.

Elimina il criterio firewall

  1. Nella console Google Cloud, vai alla pagina Policy firewall.

    Vai a Policy del firewall

  2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

  3. Fai clic sulla scheda Associazioni.

  4. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Rimuovi associazione.

  5. Nella finestra di dialogo Rimuovi un'associazione dei criteri firewall, fai clic su Rimuovi.

  6. Fai clic su Elimina.

  7. Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.

Elimina la VM

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Seleziona la casella di controllo per la VM instance-1-us.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo Elimina instance-1-us, fai clic su Elimina.

Elimina il gateway Cloud NAT e il router Cloud

  1. Nella console Google Cloud, vai alla pagina Router cloud.

    Vai a Router Cloud

  2. Seleziona la casella di controllo per fw-egress-router.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo Elimina fw-egress-router, fai clic su Elimina.

Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.

Elimina la rete VPC e le relative subnet

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Nella colonna Nome, fai clic su vpc-fw-policy-egress.

  3. Fai clic su Elimina rete VPC.

  4. Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

Quando elimini una rete VPC, vengono eliminate anche le relative subnet.

Passaggi successivi