Configura una policy del firewall di rete globale per consentire il traffico in uscita a un FQDN

Scopri come creare e configurare una policy del firewall di rete globale per consentire il traffico in uscita verso un nome di dominio completo (FQDN) specifico utilizzando la console Google Cloud . Il criterio firewall blocca tutto il traffico in uscita proveniente dalla tua rete. Questa guida rapida crea una rete Virtual Private Cloud (VPC) con una subnet, crea un'istanza di macchina virtuale (VM) nella rete VPC, configura una policy firewall che utilizza regole di uscita e poi testa la policy firewall dalla VM.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

1. Assicurati di disporre del ruolo Amministratore rete Compute (roles/compute.networkAdmin).
2. Assicurati di conoscere i concetti relativi alle policy firewall e alle regole delle policy firewall.
3. Assicurati di conoscere i prezzi di Cloud NGFW. Per maggiori informazioni, consulta la pagina Prezzi di Cloud NGFW.

Crea una rete VPC personalizzata con una subnet IPv4

Crea una rete VPC in modalità personalizzata con una subnet IPv4.

1. Nella console Google Cloud , vai alla pagina Reti VPC.

   Vai a Reti VPC

2. Fai clic su Crea rete VPC.

3. In Nome, inserisci vpc-fw-policy-egress.

4. In Modalità di creazione subnet, seleziona Personalizzata.

5. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per la subnet:

   • Nome: inserisci subnet-1.
   • Regione: seleziona us-central1.
   • Intervallo IPv4: inserisci 10.0.0.0/24.

6. Fai clic su Fine.

7. Fai clic su Crea.

Crea una VM

Crea una VM nella subnet che hai configurato nella sezione precedente.

1. Nella console Google Cloud , vai alla pagina Crea un'istanza.

   Vai a Crea un'istanza

2. Nel riquadro Configurazione macchina, segui questi passaggi:

   1. In Nome, inserisci instance-1-us.
   2. In Regione, seleziona us-central1 (Iowa).

3. Nel menu di navigazione, fai clic su Networking.

   1. Nella sezione Interfacce di rete, fai clic su default e specifica i seguenti parametri di configurazione:
      • Rete: vpc-fw-policy-egress
      • Subnet: subnet-1 IPv4 (10.0.0.0/24)
      • Indirizzo IPv4 esterno: Nessuno
   2. Fai clic su Fine.

4. Fai clic su Crea.

Crea un router Cloud e un gateway Cloud NAT

Nella sezione precedente hai creato una VM senza indirizzi IP esterni. Per consentire alla VM di accedere a internet pubblico, crea un router Cloud e un gateway Cloud NAT per la stessa regione e subnet in cui hai creato la VM.

1. Nella Google Cloud console, vai alla pagina Cloud NAT.

   Vai a Cloud NAT

2. Fai clic su Inizia o Crea gateway Cloud NAT.

   Nota:se è il primo gateway Cloud NAT che crei, fai clic su Inizia. Se hai già gateway esistenti, Google Cloud viene visualizzato il pulsante del gateway Crea Cloud NAT. Per creare un altro gateway, fai clic su Crea gateway Cloud NAT.

3. In Nome gateway, inserisci fw-egress-nat-gw.

4. In Tipo NAT, seleziona Pubblico.

5. Nella sezione Seleziona Cloud Router, specifica i seguenti parametri di configurazione:

   • Rete: seleziona vpc-fw-policy-egress.
   • Regione: seleziona us-central1 (Iowa).
   • Router Cloud: fai clic su Crea nuovo router.
     1. In Nome, inserisci fw-egress-router.
     2. Fai clic su Crea.

6. Fai clic su Crea.

Crea una policy del firewall di rete globale per consentire il tunneling TCP di IAP

Per consentire il tunneling di Identity-Aware Proxy per le VM nella tua rete, crea una policy del firewall di rete globale e aggiungi una regola firewall alla policy. IAP consente l'accesso amministrativo alle VM.

La regola firewall deve avere le seguenti caratteristiche:

• Si applichi a tutte le VM a cui vuoi accedere utilizzando l'inoltro TCP di IAP.
• Consente il traffico in entrata dall'intervallo di indirizzi IP 35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP.
• Consente le connessioni a tutte le porte che vuoi rendere accessibili utilizzando l'inoltro TCP di IAP, ad esempio la porta 22 per SSH.

Per attivare l'accesso IAP a tutte le VM nella rete vpc-fw-policy-egress, segui questi passaggi:

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Fai clic su Crea criterio firewall.

3. Nella sezione Configura policy, in Nome della policy, inserisci fw-egress-policy.

4. In Ambito di deployment, seleziona Globale e fai clic su Continua.

5. Per creare regole per il criterio, nella sezione Aggiungi regole, fai clic su Aggiungi regola.

   1. In Priorità, inserisci 100.
   2. In Direzione del traffico, seleziona In entrata.
   3. Per Azione in caso di corrispondenza, seleziona Consenti.
   4. Per Log, seleziona On.
   5. Nella sezione Target, per Tipo di target, seleziona Tutte le istanze nella rete.
   6. Nella sezione Origine, per Intervalli IP, inserisci 35.235.240.0/20.
   7. Nella sezione Protocolli e porte, seleziona Protocolli e porte specificati.
   8. Seleziona la casella di controllo TCP e inserisci 22 in Porte.
   9. Fai clic su Crea.

6. Fai clic su Continua.

7. Per associare la rete VPC alla policy, nella sezione Associa policy a reti VPC, fai clic su Associa.

8. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Associa.

9. Fai clic su Continua.

10. Fai clic su Crea.

Aggiungere una regola firewall per negare il traffico in uscita verso tutte le destinazioni

Per negare il traffico in uscita a tutte le destinazioni, aggiungi una regola firewall a fw-egress-policy.

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic su Crea regola.

4. In Priorità, inserisci 700.

5. In Direzione del traffico, seleziona In uscita.

6. Per Azione in caso di corrispondenza, seleziona Nega.

7. Per Log, seleziona On.

8. Nella sezione Destinazione, per Intervalli IP, inserisci 0.0.0.0/0.

9. Fai clic su Crea.

Aggiungi una regola firewall per consentire il traffico in uscita solo a un FQDN specifico

Per consentire il traffico in uscita solo a un FQDN specifico, ads.google.com, aggiungi una regola firewall in fw-egress-policy.

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic su Crea regola.

4. In Priorità, inserisci 600.

5. In Direzione del traffico, seleziona In uscita.

6. Per Azione in caso di corrispondenza, seleziona Consenti.

7. Per Log, seleziona On.

8. Nella sezione Destinazione, per Nomi di dominio completi, inserisci ads.google.com.

9. Fai clic su Crea.

Testa la policy del firewall di rete globale

Dopo aver configurato la policy del firewall di rete globale, segui questi passaggi per testarla:

1. Nella console Google Cloud , vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Nella colonna Connetti per la VM instance-1-us, fai clic su SSH.

3. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che la connessione venga stabilita.

4. Per verificare che il traffico in uscita verso https://ads.google.com sia consentito, esegui questo comando:

     curl -I https://ads.google.com
   

   Il comando precedente restituisce le informazioni di intestazione di https://ads.google.com, il che significa che le connessioni in uscita sono consentite.

5. Per verificare che il traffico in uscita sia bloccato verso qualsiasi altra destinazione, specifica un FQDN qualsiasi ed esegui questo comando:

     curl -m 2 -I https://mail.yahoo.com
   

   Il comando precedente restituisce un messaggio Connection timed out, il che è previsto perché hai creato una regola firewall per negare il traffico in uscita a tutte le destinazioni tranne https://ads.google.com.

Visualizzare i log

Puoi verificare che le regole firewall siano state applicate al traffico in uscita accedendo ai log. Per visualizzare i dettagli del log, segui questi passaggi:

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Nella colonna Conteggio hit, fai clic sul numero della regola che hai creato nella sezione Crea una policy del firewall di rete globale. Si apre la pagina Esplora log.

4. Per visualizzare la regola firewall applicata al traffico in uscita, espandi il singolo log. Puoi visualizzare i dettagli di connessione, disposizione, posizione remota e regola espandendo le sezioni pertinenti.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa guida rapida, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Per eliminare le risorse create in questa guida rapida, completa le seguenti attività.

Elimina il criterio firewall

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Nella sezione Criteri firewall di rete, fai clic su fw-egress-policy.

3. Fai clic sulla scheda Associazioni.

4. Seleziona la casella di controllo vpc-fw-policy-egress e fai clic su Rimuovi associazione.

5. Nella finestra di dialogo Rimuovi un'associazione dei criteri firewall, fai clic su Rimuovi.

6. Fai clic su Elimina.

7. Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.

Elimina la VM

1. Nella console Google Cloud , vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Seleziona la casella di controllo per la VM instance-1-us.

3. Fai clic su Elimina.

4. Nella finestra di dialogo Elimina istanza-1-us, fai clic su Elimina.

Elimina il gateway Cloud NAT e il router Cloud

1. Nella Google Cloud console, vai alla pagina Cloud Router.

   Vai a Router Cloud

2. Seleziona la casella di controllo per fw-egress-router.

3. Fai clic su Elimina.

4. Nella finestra di dialogo Elimina fw-egress-router, fai clic su Elimina.

Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.

Elimina la rete VPC e le relative subnet

1. Nella console Google Cloud , vai alla pagina Reti VPC.

   Vai a Reti VPC

2. Nella colonna Nome, fai clic su vpc-fw-policy-egress.

3. Fai clic su Elimina rete VPC.

4. Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

Quando elimini una rete VPC, vengono eliminate anche le relative subnet.

Passaggi successivi

• Per creare, aggiornare, monitorare ed eliminare le regole firewall VPC, consulta Utilizzo delle regole firewall VPC.