Scopri come creare e configurare un criterio del firewall di rete globale per consentire il traffico in uscita a un nome di dominio completo (FQDN) specifico utilizzando la console Google Cloud. Il criterio del firewall blocca tutto l'altro traffico in uscita proveniente dalla tua rete. Questa guida introduttiva crea una rete Virtual Private Cloud (VPC) con una subnet, un'istanza di macchina virtuale (VM) nella rete VPC, configura un criterio firewall che utilizza regole di uscita e poi testa il criterio firewall dalla VM.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
- Assicurati di disporre del ruolo Amministratore rete Compute (
roles/compute.networkAdmin
).
Creare una rete VPC personalizzata con una subnet IPv4
Crea una rete VPC in modalità personalizzata con una subnet IPv4.
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
In Nome, inserisci
vpc-fw-policy-egress
.In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per la subnet:
- Nome: inserisci
subnet-1
. - Regione: seleziona us-central1.
- Intervallo IPv4: inserisci
10.0.0.0/24
.
- Nome: inserisci
Fai clic su Fine.
Fai clic su Crea.
Crea una VM
Crea una VM nella subnet configurata nella sezione precedente.
Nella console Google Cloud, vai alla pagina Crea un'istanza.
Nel riquadro Configurazione macchina, segui questi passaggi:
- In Nome, inserisci
instance-1-us
. - In Regione, seleziona
us-central1 (Iowa)
.
- In Nome, inserisci
Nel menu di navigazione, fai clic su Networking.
- Nella sezione Interfacce di rete, fai clic su
default
e specifica i seguenti parametri di configurazione:- Rete:
vpc-fw-policy-egress
- Subnet:
subnet-1 IPv4 (10.0.0.0/24)
- Indirizzo IPv4 esterno: Nessuno
- Rete:
- Fai clic su Fine.
- Nella sezione Interfacce di rete, fai clic su
Fai clic su Crea.
Crea un router Cloud e un gateway Cloud NAT
Nella sezione precedente hai creato una VM senza indirizzo IP esterno. Per consentire alla VM di accedere alla rete internet pubblica, crea un router cloud e un gateway Cloud NAT per la stessa regione e la stessa subnet in cui hai creato la VM.
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway Cloud NAT.
Nota:se è il primo gateway Cloud NAT che crei, fai clic su Inizia. Se hai già dei gateway esistenti, Google Cloud viene visualizzato il pulsante Crea gateway Cloud NAT. Per creare un altro gateway, fai clic su Crea gateway Cloud NAT.
In Nome gateway, inserisci
fw-egress-nat-gw
.In Tipo NAT, seleziona Pubblico.
Nella sezione Seleziona router cloud, specifica i seguenti parametri di configurazione:
- Rete: seleziona vpc-fw-policy-egress.
- Regione: seleziona us-central1 (Iowa).
- Router Cloud: fai clic su Crea nuovo router.
- In Nome, inserisci
fw-egress-router
. - Fai clic su Crea.
- In Nome, inserisci
Fai clic su Crea.
Crea una policy del firewall di rete globale per abilitare IAP
Per attivare Identity-Aware Proxy per le VM nella tua rete, crea una policy del firewall di rete globale e aggiungi una regola firewall alla policy. IAP consente l'accesso amministrativo alle VM.
La regola firewall deve avere le seguenti caratteristiche:
- Si applica a tutte le VM a cui vuoi accedere utilizzando l'inoltro TCP di IAP.
- Consente il traffico in entrata dall'intervallo di indirizzi IP
35.235.240.0/20
. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP. - Consenta le connessioni a tutte le porte che vuoi rendere accessibili utilizzando l'inoltro TCP di IAP, ad esempio la porta
22
per SSH.
Per attivare l'accesso IAP a tutte le VM nella rete vpc-fw-policy-egress
,
segui questi passaggi:
Nella console Google Cloud, vai alla pagina Policy firewall.
Fai clic su Crea criterio firewall.
Nella sezione Configura criterio, in Nome criterio, inserisci
fw-egress-policy
.In Ambito di deployment, seleziona Globale e fai clic su Continua.
Per creare regole per il criterio, fai clic su Aggiungi regola nella sezione Aggiungi regole.
- In Priorità, inserisci
100
. - Per Direzione del traffico, seleziona In entrata.
- Per Azione in caso di corrispondenza, seleziona Consenti.
- Per Log, seleziona On.
- Nella sezione Target, per Tipo di target, seleziona Tutte le istanze nella rete.
- Nella sezione Origine, inserisci
35.235.240.0/20
in Intervalli IP. - Nella sezione Protocollo e porte, seleziona Protocolli e porte specificati.
- Seleziona la casella di controllo TCP e inserisci
22
in Porte. - Fai clic su Crea.
- In Priorità, inserisci
Fai clic su Continua.
Per associare la rete VPC al criterio, fai clic su Associa nella sezione Associa il criterio alle reti VPC.
Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Associa.
Fai clic su Continua.
Fai clic su Crea.
Aggiungi una regola firewall per negare il traffico in uscita verso tutte le destinazioni
Per negare il traffico in uscita verso tutte le destinazioni, aggiungi una regola firewall a
fw-egress-policy
.
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.
Fai clic su Crea regola.
In Priorità, inserisci
700
.In Direzione del traffico, seleziona In uscita.
Per Azione in caso di corrispondenza, seleziona Nega.
Per Log, seleziona On.
Nella sezione Destinazione, inserisci
0.0.0.0/0
in Intervalli IP.Fai clic su Crea.
Aggiungi una regola firewall per consentire il traffico in uscita solo a un FQDN specifico
Per consentire il traffico in uscita solo a un FQDN specifico, ads.google.com
, aggiungi una regola firewall in fw-egress-policy
.
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.
Fai clic su Crea regola.
In Priorità, inserisci
600
.In Direzione del traffico, seleziona In uscita.
Per Azione in caso di corrispondenza, seleziona Consenti.
Per Log, seleziona On.
Nella sezione Destinazione, inserisci
ads.google.com
per FQDN.Fai clic su Crea.
Testare il criterio firewall di rete globale
Dopo aver configurato la policy del firewall di rete globale, segui questi passaggi per testarla:
Nella console Google Cloud, vai alla pagina Istanze VM.
Nella colonna Connetti per la VM
instance-1-us
, fai clic su SSH.Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che venga stabilita la connessione.
Per verificare che il traffico in uscita verso https://ads.google.com sia consentito, esegui il seguente comando:
curl -I https://ads.google.com
Il comando precedente restituisce le informazioni dell'intestazione di https://ads.google.com, il che significa che le connessioni in uscita sono consentite.
Per verificare che il traffico in uscita sia bloccato per qualsiasi altra destinazione, specifica un FQDN ed esegui il seguente comando:
curl -m 2 -I https://mail.yahoo.com
Il comando precedente restituisce un messaggio
Connection timed out
, come previsto, perché hai creato una regola firewall per negare il traffico in uscita verso tutte le destinazioni, ad eccezione di https://ads.google.com.
Visualizza i log
Puoi verificare che le regole del firewall siano state applicate al traffico in uscita accedendo ai log. Per visualizzare i dettagli del log:
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.
Nella colonna Conteggio hit, fai clic sul numero della regola che hai creato nella sezione Creare una policy del firewall di rete globale. Si apre la pagina Esplora log.
Per visualizzare la regola firewall applicata al traffico in uscita, espandi il singolo log. Puoi visualizzare i dettagli relativi a connessione, disposizione, posizione remota e regola espandendo le sezioni pertinenti.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa guida rapida, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Per eliminare le risorse create in questa guida rapida, completa le seguenti attività.
Elimina il criterio firewall
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.
Fai clic sulla scheda Associazioni.
Seleziona la casella di controllo
vpc-fw-policy-egress
e fai clic su Rimuovi associazione.Nella finestra di dialogo Rimuovi un'associazione dei criteri firewall, fai clic su Rimuovi.
Fai clic su Elimina.
Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.
Elimina la VM
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona la casella di controllo per la VM
instance-1-us
.Fai clic su Elimina.
Nella finestra di dialogo Elimina instance-1-us, fai clic su Elimina.
Elimina il gateway Cloud NAT e il router Cloud
Nella console Google Cloud, vai alla pagina Router cloud.
Seleziona la casella di controllo per
fw-egress-router
.Fai clic su Elimina.
Nella finestra di dialogo Elimina fw-egress-router, fai clic su Elimina.
Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.
Elimina la rete VPC e le relative subnet
Nella console Google Cloud, vai alla pagina Reti VPC.
Nella colonna Nome, fai clic su vpc-fw-policy-egress.
Fai clic su Elimina rete VPC.
Nella finestra di dialogo Elimina una rete, fai clic su Elimina.
Quando elimini una rete VPC, vengono eliminate anche le relative subnet.
Passaggi successivi
- Per i concetti relativi ai criteri firewall, consulta la Panoramica dei criteri firewall.
- Per i concetti relativi alle regole delle policy firewall, consulta la Panoramica delle regole delle policy firewall.
- Per creare, aggiornare, monitorare ed eliminare le regole firewall VPC, consulta Utilizzare le regole firewall VPC.
- Per determinare i costi, consulta la sezione Prezzi di Cloud NGFW.