Configura un criterio firewall di rete globale per consentire il traffico in uscita verso un FQDN

Scopri come creare e configurare un criterio firewall di rete globale per consentire il traffico in uscita verso un nome di dominio completo (FQDN) specifico utilizzando la console Google Cloud. Il criterio del firewall blocca tutto l'altro traffico in uscita proveniente dalla tua rete. Questa guida rapida crea una rete Virtual Private Cloud (VPC) con una subnet, crea una macchina virtuale (VM) nella rete VPC, configura un criterio firewall che utilizza le regole in uscita, quindi testa il criterio firewall dalla VM.

Prima di iniziare

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

8. Assicurati di disporre del ruolo Amministratore rete Compute (roles/compute.networkAdmin).

Creare una rete VPC personalizzata con una subnet IPv4

Crea una rete VPC in modalità personalizzata con una subnet IPv4.

1. Nella console Google Cloud, vai alla pagina Reti VPC.

   Vai a Reti VPC

2. Fai clic su Crea rete VPC.

3. In Nome, inserisci vpc-fw-policy-egress.

4. In Modalità di creazione subnet, seleziona Personalizzata.

5. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per la subnet:

   • Nome: inserisci subnet-1.
   • Regione: seleziona us-central1.
   • Intervallo IPv4: inserisci 10.0.0.0/24.

6. Fai clic su Fine.

7. Fai clic su Crea.

Crea una VM

Crea una VM nella subnet che hai configurato nella sezione precedente.

1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

   Vai a Crea un'istanza

2. In Nome, inserisci instance-1-us.

3. In Regione, seleziona us-central1 (Iowa).

4. Espandi Opzioni avanzate, quindi Networking.

5. Nella sezione Interfacce di rete, espandi l'interfaccia di rete esistente e specificare i seguenti parametri di configurazione:

   • Rete: seleziona vpc-fw-policy-egress.
   • Subnet: seleziona subnet-1 IPv4 (10.0.0.0/24).
   • Indirizzo IPv4 esterno: seleziona Nessuno.

6. Fai clic su Fine.

7. Fai clic su Crea.

Crea un router Cloud e un gateway Cloud NAT

Nella sezione precedente hai creato una VM senza indirizzi IP esterni. Crea un router Cloud per consentire alla VM di accedere alla rete internet pubblica e un gateway Cloud NAT per la stessa regione e subnet in cui ha creato la tua VM.

1. Nella console Google Cloud, vai alla pagina Cloud NAT.

   Vai a Cloud NAT

2. Fai clic su Inizia o Crea gateway Cloud NAT.

   Nota:se questo è il primo gateway Cloud NAT che stai creando, Fai clic su Inizia. Se hai già gateway esistenti, Google Cloud mostra il pulsante Crea gateway Cloud NAT. Per creare un altro gateway, fai clic su Crea gateway Cloud NAT.

3. In Nome gateway, inserisci fw-egress-nat-gw.

4. In Tipo NAT, seleziona Pubblico.

5. Nella sezione Seleziona router Cloud, specifica i seguenti parametri di configurazione:

   • Rete: seleziona vpc-fw-policy-egress.
   • Regione: seleziona us-central1 (Iowa)
   • Router Cloud: fai clic su Crea nuovo router.
     1. In Nome, inserisci fw-egress-router.
     2. Fai clic su Crea.

6. Fai clic su Crea.

Crea un criterio firewall di rete globale per abilitare IAP

Per abilitare Identity-Aware Proxy per le VM della tua rete, crea un account criterio firewall di rete e aggiungere una regola firewall al criterio. IAP consente l'accesso amministrativo alle VM.

La regola firewall deve avere le seguenti caratteristiche:

• Si applica a tutte le VM a cui vuoi accedere utilizzando l'inoltro TCP di IAP.
• Consente il traffico in entrata dall'intervallo di indirizzi IP 35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP.
• Consenta le connessioni a tutte le porte che vuoi rendere accessibili utilizzando l'inoltro TCP di IAP, ad esempio la porta 22 per SSH.

Per abilitare l'accesso IAP a tutte le VM nella rete vpc-fw-policy-egress, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Fai clic su Crea criterio firewall.

3. Nella sezione Configura criterio, inserisci fw-egress-policy in Nome criterio.

4. Per Ambito di deployment, seleziona Globale e fai clic su Continua.

5. Per creare regole per il criterio, fai clic su Aggiungi regola nella sezione Aggiungi regole.

   1. In Priorità, inserisci 100.
   2. In Direzione del traffico, seleziona In entrata.
   3. Per Azione in caso di corrispondenza, seleziona Consenti.
   4. Per Log, seleziona On.
   5. Nella sezione Target, per Tipo di destinazione, seleziona Tutte le istanze nella rete.
   6. Nella sezione Origine, per Intervalli IP, inserisci 35.235.240.0/20.
   7. Nella sezione Protocollo e porte, seleziona Protocolli e porte specificati.
   8. Seleziona la casella di controllo TCP e inserisci 22 in Porte.
   9. Fai clic su Crea.

6. Fai clic su Continua.

7. Per associare la tua rete VPC al criterio, nel campo Nella sezione Associa il criterio alle reti VPC, fai clic su Associa.

8. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Associa.

9. Fai clic su Continua.

10. Fai clic su Crea.

Aggiungi una regola firewall per negare il traffico in uscita verso tutte le destinazioni

Per negare il traffico in uscita verso tutte le destinazioni, aggiungi una regola firewall a fw-egress-policy.

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic su Crea regola.

4. In Priority (Priorità), inserisci 700.

5. In Direzione del traffico, seleziona In uscita.

6. Per Azione in caso di corrispondenza, seleziona Nega.

7. In Log, seleziona On.

8. Nella sezione Destinazione, per Intervalli IP, inserisci 0.0.0.0/0.

9. Fai clic su Crea.

Aggiungi una regola firewall per consentire il traffico in uscita solo verso un nome di dominio completo specifico

Per consentire il traffico in uscita solo verso un nome di dominio completo specifico, ads.google.com, aggiungi un firewall in fw-egress-policy.

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic su Crea regola.

4. In Priority (Priorità), inserisci 600.

5. Per Direzione del traffico, seleziona In uscita.

6. Per Azione in caso di corrispondenza, seleziona Consenti.

7. Per Log, seleziona On.

8. Nella sezione Destinazione, per i FQDN, inserisci ads.google.com.

9. Fai clic su Crea.

Testa il criterio firewall di rete globale

Dopo aver configurato il criterio firewall di rete globale, segui questi passaggi per testarlo:

1. Nella console Google Cloud, vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Nella colonna Connetti per la VM instance-1-us, fai clic su SSH.

3. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che venga stabilita la connessione.

4. Per verificare che il traffico in uscita verso https://ads.google.com sia consentito, esegui il seguente comando:

     curl -I https://ads.google.com
   

   Il comando precedente restituisce le informazioni dell'intestazione di https://ads.google.com, il che significa che le connessioni in uscita sono consentite.

5. Per verificare che il traffico in uscita sia bloccato verso qualsiasi altra destinazione, specifica un nome di dominio completo ed esegui questo comando:

     curl -m 2 -I https://mail.yahoo.com
   

   Il comando precedente restituisce un messaggio Connection timed out, come previsto perché hai creato una regola firewall per negare il traffico in uscita verso tutte le destinazioni tranne https://ads.google.com.

Visualizza i log

Puoi verificare che le regole del firewall siano state applicate al traffico in uscita accedendo ai log. Per visualizzare i dettagli del log:

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Nella colonna Conteggio hit, fai clic sul numero relativo alla regola creata nel criterio Crea un criterio firewall di rete globale . Si apre la pagina Esplora log.

4. Per visualizzare la regola firewall applicata al traffico in uscita, espandi il singolo log. Puoi visualizzare connessione, disposizione, posizione remota e regola espandi le sezioni pertinenti.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse usata in questa guida rapida: eliminare il progetto che contiene le risorse, o mantenere il progetto ed eliminare le singole risorse.

Per eliminare le risorse create in questa guida rapida, completa le seguenti attività.

Elimina il criterio firewall

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic sulla scheda Associazioni.

4. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Rimuovi associazione.

5. Nella finestra di dialogo Rimuovi l'associazione di un criterio firewall, fai clic su Rimuovi.

6. Fai clic su Elimina.

7. Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.

Elimina la VM

1. Nella console Google Cloud, vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Seleziona la casella di controllo per la VM instance-1-us.

3. Fai clic su Elimina.

4. Nella finestra di dialogo Elimina instance-1-us, fai clic su Elimina.

Elimina il gateway Cloud NAT e il router Cloud

1. Nella console Google Cloud, vai alla pagina Router cloud.

   Vai ai router Cloud

2. Seleziona la casella di controllo per fw-egress-router.

3. Fai clic su Elimina.

4. Nella finestra di dialogo Elimina fw-egress-router, fai clic su Elimina.

Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.

Elimina la rete VPC e le rispettive subnet

1. Nella console Google Cloud, vai alla pagina Reti VPC.

   Vai alle reti VPC

2. Nella colonna Nome, fai clic su vpc-fw-policy-egress.

3. Fai clic su Elimina rete VPC.

4. Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

Quando elimini una rete VPC, vengono eliminate anche le relative subnet.

Passaggi successivi

• Per i concetti relativi ai criteri firewall, consulta la Panoramica dei criteri firewall.
• Per i concetti relativi alle regole dei criteri firewall, consulta la panoramica sulle regole dei criteri firewall.
• Per creare, aggiornare, monitorare ed eliminare le regole firewall VPC, vedi Utilizzare le regole firewall VPC.
• Per determinare i costi, consulta la sezione Prezzi di Cloud NGFW.