Angriffsschutzdienst in Ihrem Netzwerk einrichten

Der Dienst zur Angriffsprävention überwacht Ihren Google Cloud-Arbeitslast-Traffic auf schädliche Aktivitäten und ergreift präventive Maßnahmen zu deren Vermeidung. Um diesen Dienst in Ihrem Netzwerk zu aktivieren, müssen Sie mehrere Cloud Next Generation Firewall-Komponenten einrichten. In dieser Anleitung wird der End-to-End-Workflow beschrieben, mit dem Sie den Dienst zur Angriffsprävention in Ihrem Netzwerk konfigurieren.

Ziele

In diesem Anleitung werden die folgenden Aufgaben erläutert:

Erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) mit zwei Subnetzen.
Erstellen Sie eine Server-VM-Instanz im ersten Subnetz des VPC-Netzwerks und installieren Sie den Apache-Server auf der VM.
Erstellen Sie im zweiten Subnetz des VPC-Netzwerks eine Client-VM-Instanz.
Erstellen Sie ein Sicherheitsprofil und eine Sicherheitsprofilgruppe.
Erstellen Sie einen Firewall-Endpunkt und verknüpfen Sie ihn mit dem VPC-Netzwerk.
Fügen Sie eine globale Netzwerkfirewall-Richtlinie mit folgenden Firewallregeln hinzu:
- Eine Firewallregel, die Identity-Aware Proxy (IAP)-Zugriff auf die VM-Instanzen im VPC-Netzwerk ermöglicht.
- Eine Firewallregel, die den gesamten eingehenden Traffic für die Layer-7-Prüfung weiterleitet.
Prüfen Sie, ob schädlicher Traffic zur Server-VM-Instanz blockiert wird.
Bereinigen Sie die Ressourcen.

Das folgende Diagramm zeigt die allgemeine Architektur der Bereitstellungseinrichtung in dieser Anleitung. Die Firewallrichtlinie fw-policy-ips für die VPC vpc-ips leitet den eingehenden Traffic an den Firewall-Endpunkt in Zone asia-southeast1-a weiter. Der Firewall-Endpunkt endpoint-ips prüft den Traffic auf Bedrohungen. Wenn eine Bedrohung erkannt wird, werden die vorbeugenden Maßnahmen gemäß den Anweisungen im Sicherheitsprofil sec-profile-ips angewendet.

Dienst zur Angriffsprävention in einem benutzerdefinierten VPC-Netzwerk, um Bedrohungen zu identifizieren und zu verhindern. — Dienst zur Angriffsprävention in einem benutzerdefinierten VPC-Netzwerk (zum Vergrößern klicken)

Kosten

Für das Erstellen der Firewall-Endpunkte fallen Kosten an. Weitere Informationen zu den Preisen finden Sie unter Cloud Next Generation Firewall – Preise.

Hinweise

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Aktivieren Sie die Compute Engine API für Ihr Projekt.
Aktivieren Sie die Network Security API für Ihr Projekt.
Aktivieren Sie die Identity-Aware Proxy API für Ihr Projekt.
Sie benötigen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihre Organisation.
Wenn Sie lieber mit der Befehlszeile arbeiten möchten, installieren Sie das Google Cloud CLI. Informationen zum Konzept und zur Installation des Tools finden Sie in der gcloud-CLI-Übersicht.
Hinweis: Wenn Sie die gloud CLI noch nicht ausgeführt haben, führen Sie zuerst gcloud init aus, um Ihr gcloud-CLI-Verzeichnis zu initialisieren.

Benutzerdefiniertes VPC-Netzwerk mit Subnetzen erstellen

In diesem Abschnitt erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit zwei IPv4-Subnetzen.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name vpc-ips ein.
Geben Sie unter Beschreibung VPC network to set up intrusion prevention service ein.
Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:
- Name: subnet-ips-server
- Region: asia-southeast1
- IPv4-Bereich: 10.0.0.0/24
Klicken Sie auf Fertig.
Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:
- Name: subnet-ips-client
- Region: us-central1
- IPv4-Bereich: 192.168.10.0/24
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:

gcloud compute networks create vpc-ips \
  --subnet-mode custom \
  --description "VPC network to set up intrusion prevention service."

Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.

Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:

gcloud compute networks subnets create  subnet-server-ips \
  --network vpc-ips \
  --region asia-southeast1 \
  --range 10.0.0.0/24

Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:

gcloud compute networks subnets create subnet-client-ips \
  --network vpc-ips \
  --region us-central1 \
  --range 192.168.10.0/24

VM-Instanzen erstellen

In diesem Abschnitt erstellen Sie Server- und Client-VM-Instanzen.

Server-VM-Instanz erstellen

In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-server-ips und installieren darauf den Apache-Server.

Console

Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

Zur Seite „Instanz erstellen“
Geben Sie für Name vm-server-ips ein.
Wählen Sie bei Region die Option asia-southeast1 (Singapore) aus.
Wählen Sie bei Zone die Option asia-southeast1-a aus.
Wählen Sie im Abschnitt Bootlaufwerk Ändern und dann für das Betriebssystem Debian aus.
Klicken Sie auf Auswählen.
Maximieren Sie Erweiterte Optionen und dann Netzwerk.
Geben Sie im Bereich Netzwerkschnittstellen folgende Konfigurationsparameter an:
- Netz: vpc-ips
- Subnetzwerk: subnet-server-ips IPv4 (10.0.0.0/24)
Klicken Sie auf Fertig.
Maximieren Sie den Bereich Verwaltung.

Fügen Sie im Abschnitt Automatisierung folgendes Startskript hinzu:

  #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

Klicken Sie auf Erstellen.
Notieren Sie sich die externe IP-Adresse der Server-VM, sobald sie erstellt wurde.

gcloud

Führen Sie den folgenden Befehl aus, um die Server-VM zu erstellen:

gcloud compute instances create vm-server-ips \
    --network vpc-ips \
    --zone asia-southeast1-a \
    --subnet subnet-server-ips \
    --stack-type IPV4_ONLY \
    --image-project debian-cloud \
    --image-family debian-11 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

Notieren Sie sich die externe IP-Adresse der VM im zurückgegebenen Status.

Client-VM-Instanz erstellen

In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-client-ips.

Console

Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

Zur Seite „Instanz erstellen“
Geben Sie für Name vm-client-ips ein.
Wählen Sie bei Region die Option us-central1 aus.
Wählen Sie bei Zone die Option us-central1-a aus.
Maximieren Sie Erweiterte Optionen und dann Netzwerk.
Geben Sie im Bereich Netzwerkschnittstellen folgende Konfigurationsparameter an:
- Netz: vpc-ips
- Subnetzwerk: subnet-client-ips IPv4 (192.168.10.0/24)
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um die Client-VM zu erstellen:

gcloud compute instances create vm-client-ips \
    --network vpc-ips \
    --zone us-central1-a \
    --subnet subnet-client-ips \
    --stack-type IPV4_ONLY

Sicherheitsprofil erstellen

In diesem Abschnitt erstellen Sie ein Sicherheitsprofil vom Typ threat-prevention in Ihrer Organisation. Informationen zu den Berechtigungen, die zum Erstellen eines Sicherheitsprofils erforderlich sind, finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.

Console

Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

Zu „Sicherheitsprofile“
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Wählen Sie den Tab Sicherheitsprofile aus.
Klicken Sie auf Profil erstellen.
Geben Sie für Name sec-profile-ips ein.
Geben Sie unter Beschreibung Security profile to set up intrusion prevention service ein.
Klicken Sie auf Weiter.
Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um ein Sicherheitsprofil zu erstellen:

gcloud network-security security-profiles \
    threat-prevention \
    create sec-profile-ips \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --description "Security profile to set up intrusion prevention service."

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.
PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet wird.

Sicherheitsprofilgruppe erstellen

In diesem Abschnitt erstellen Sie eine Sicherheitsprofilgruppe, die das im vorherigen Abschnitt erstellte Sicherheitsprofil enthält. Informationen zu den Berechtigungen, die zum Erstellen einer Sicherheitsprofilgruppe erforderlich sind, finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.

Console

Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

Zu „Sicherheitsprofile“
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Wählen Sie den Tab Sicherheitsprofilgruppen aus.
Klicken Sie auf Profilgruppe erstellen.
Geben Sie für Name sec-profile-group-ips ein.
Geben Sie unter Beschreibung Security profile group to set up intrusion prevention service ein.
Wählen Sie in der Liste Bedrohungsschutzprofil sec-profile-ips aus.
Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Sicherheitsprofilgruppe zu erstellen:

gcloud network-security security-profile-groups \
    create sec-profile-group-ips \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --threat-prevention-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-ips \
    --description "Security profile group to set up intrusion prevention service."

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.

Firewall-Endpunkt erstellen

In diesem Abschnitt erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone. Informationen zu den Berechtigungen, die zum Erstellen eines Firewall-Endpunkts erforderlich sind, finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.

Hinweis: Wenn Sie einen Firewall-Endpunkt erstellen, wird der Status des Firewall-Endpunkts auf Creating gesetzt. Sobald der Firewall-Endpunkt bereit ist, ändert sich der Status in Active.

Console

Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

Zu „Firewall-Endpunkte“
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Klicken Sie auf Erstellen.
Wählen Sie in der Liste Region asia-southeast1 (Singapore) aus.
Wählen Sie in der Liste Zone asia-southeast1-a aus.
Geben Sie für Name endpoint-ips ein.
Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um eine Firewallr-Endpunkt zu erstellen:

gcloud network-security firewall-endpoints \
    create endpoint-ips \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.
PROJECT_ID: Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Firewall-Endpunktverknüpfung erstellen

In diesem Abschnitt verknüpfen Sie den Firewall-Endpunkt mit dem VPC-Netzwerk, das Sie im vorherigen Schritt erstellt haben.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf das vpc-ips-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.
Wählen Sie den Tab Firewall-Endpunkt aus.
Klicken Sie auf Endpunktverknüpfung hinzufügen.
Wählen Sie in der Liste Region asia-southeast1 aus.
Wählen Sie in der Liste Zone asia-southeast1-a aus.
Wählen Sie in der Liste Firewall-Endpunkt die Option endpoint-ips aus.
Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Firewall-Endpunktverknüpfung zu erstellen:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-ips \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-ips \
    --network vpc-ips \
    --zone asia-southeast1-a \
    --project PROJECT_ID

Ersetzen Sie Folgendes:

ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.
PROJECT_ID: Projekt-ID, in der die Verknüpfung erstellt wird.

Globale Netzwerk-Firewall-richtlinie erstellen

In diesem Abschnitt erstellen Sie eine globale Netzwerkfirewall-Richtlinie mit den folgenden zwei Firewallregeln:

Eine Firewallregel für eingehenden Traffic mit der Priorität 100, die TCP-Traffic an die Ports 3389 und 22 erlaubt. Diese Regel aktiviert den IAP-Zugriff auf die VM-Instanzen im VPC-Netzwerk.
Eine Firewallregel für eingehenden Traffic mit der Priorität 200, um eine Layer-7-Prüfung für den eingehenden Traffic zur Server-VM in einer bestimmten Zone durchzuführen.

Console

Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

Zu den Firewall-Richtlinien
Wählen Sie in der Projektauswahlliste Ihr Projekt in Ihrer Organisation aus.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie für Name fw-policy-ips ein.
Wählen Sie unter Bereitstellungsbereich die Option Global aus.
Klicken Sie auf Weiter und dann auf Regel hinzufügen.
Geben Sie in das Feld für die Priorität den Wert 100 ein.
Wählen Sie für Logs Ein aus.
Wählen Sie für Traffic-Richtung die Option Eingehend aus.
Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
Wählen Sie für den Filter Quelle IPv4 aus und geben Sie dann im Feld IP-Bereich 35.235.240.0/20 ein.
Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
Wählen Sie TCP aus und geben Sie für TCP 22,3389 ein.
Klicken Sie auf Erstellen.
Klicken Sie auf Regel hinzufügen.
Geben Sie in das Feld für die Priorität den Wert 200 ein.
Wählen Sie für Logs Ein aus.
Wählen Sie für Traffic-Richtung die Option Eingehend aus.
Wählen Sie unter Aktion bei Übereinstimmung die Option Weiter zur L7-Prüfung aus.
Wählen Sie in der Liste Sicherheitsprofilgruppe die Option sec-profile-group-ips aus.
Wählen Sie im Filter Ziel die Option IPv4 aus und geben Sie dann im Feld IP-Bereich die externe IP-Adresse der Server-VM ein, die Sie im Abschnitt Server-VM-Instanzen erstellen erstellt haben.
Klicken Sie auf Erstellen.
Klicken Sie auf Weiter.
Klicken Sie auf Richtlinie mit VPC-Netzwerken verknüpfen.
Wählen Sie das vpc-ips-Netzwerk.
Klicken Sie auf Verknüpfen.
Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um eine globale Netzwerkfirewall-Richtlinie zu erstellen:
```
gcloud compute network-firewall-policies \
  create fw-policy-ips \
  --global \
  --project PROJECT_ID
```
Ersetzen Sie Folgendes:
- PROJECT_ID: Projekt-ID, in der die globale Richtlinie für Netzwerkfirewalls erstellt wird.

Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und den IAP-Zugriff zu aktivieren:

gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-ips \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22, tcp:3389 \
  --global-firewall-policy \
  --enable-logging

Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und die Layer-7-Prüfung für Bedrohungsvermeidung und -erkennung zu aktivieren:

gcloud compute network-firewall-policies rules create 200 \
  --direction INGRESS \
  --firewall-policy fw-policy-ips \
  --action apply_security_profile_group \
  --dest-ip-ranges SERVER_VM_IP \
  --layer4-configs tcp:0-65535 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-ips \
  --enable-logging

Ersetzen Sie Folgendes:

SERVER_VM_IP: externe IP-Adresse der Server-VM, die Sie im Abschnitt Server-VM-Instanzen erstellen erstellt haben.
ORGANIZATION_ID: Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem VPC-Netzwerk zu verknüpfen:

gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-ips \
 --network vpc-ips \
 --name fw-pol-association-ips \
 --global-firewall-policy \
 --project PROJECT_ID

Ersetzen Sie Folgendes:

PROJECT_ID: Projekt-ID, in der die VPC-Verknüpfung erstellt wird.

Einrichtung testen

In diesem Abschnitt testen Sie die Konfiguration, indem Sie Traffic generieren, der vom Endpunkt abgefangen wird. Dann wird die globale Netzwerk-Firewallrichtlinie angewendet und die Layer-7-Prüfung durchgeführt.

Console

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Kopieren Sie in der Spalte Externe IP-Adresse der vm-server-ips-VM die externe IP-Adresse der VM.
Klicken Sie in der Spalte Verbinden der vm-client-ips-VM auf SSH.
Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.
Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine Anfrage ohne Bedrohungen blockiert wird:
```
curl EXTERNAL_IP -m 2
```
Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

Die erwartete Antwort lautet:

<!doctype html><html><body><h1>Hello World!</h1></body></html>
Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine schädliche Anfrage blockiert wird. Mit diesem Befehl wird eine Anfrage zum Zugriff auf die Passwortdatei gesendet, was verboten ist.
```
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
```
Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

Es wird eine Connection timed out-Nachricht erwartet, da der Firewall-Endpunkt die Bedrohung in der Anfrage erkennt und das Paket blockiert.
Schließen Sie das Dialogfeld SSH-in-browser.

gcloud

Führen Sie folgenden Befehl aus, um eine Verbindung zur vm-client-ips-VM herzustellen:
```
gcloud compute ssh vm-client-ips \
   --zone=us-central1-a \
   --tunnel-through-iap
```
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Hinweis: Ignorieren Sie alle angezeigten Warnmeldungen, während die SSH-Verbindung mit der vm-client-ips-VM verbunden ist.
Führen Sie den folgenden Befehl aus, um zu prüfen, dass eine Anfrage, die keine Bedrohung darstellt, nicht blockiert wird:
```
curl EXTERNAL_IP -m 2
```
Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

Die erwartete Antwort lautet:

<!doctype html><html><body><h1>Hello World!</h1></body></html>
Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine schädliche Anfrage blockiert wird:
```
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
```
Ersetzen Sie EXTERNAL_IP durch die externe IP-Adresse der vm-server-ips-VM.

Es wird eine Connection timed out-Nachricht erwartet, da der Firewall-Endpunkt die Bedrohung in der Anfrage erkennt und das Paket blockiert.
Geben Sie exit ein, um den SSH-in-Browser zu schließen.

Bedrohungslogs ansehen

Rufen Sie in der Google Cloud Console die Seite Bedrohungen auf.

Zu Bedrohungen
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt aus.
Im Bereich Bedrohung sehen Sie den Logeintrag für die Bedrohung, die in Ihrem vpc-ips-Netzwerk erkannt wurde.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

In diesem Abschnitt löschen Sie die in dieser Anleitung erstellten Ressourcen.

Firewall-Endpunktverknüpfung löschen

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf das vpc-ips-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.
Wählen Sie den Tab Firewall-Endpunkt aus. Der Tab enthält eine Liste der konfigurierten Firewall-Endpunktverknüpfungen.
Markieren Sie das Kästchen neben endpoint-ips und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie folgenden Befehl aus, um die Firewall-Endpunktverknüpfung zu löschen: Ja,

gcloud network-security firewall-endpoint-association 

    delete endpoint-ips 

    --zone asia-southeast1-a

Firewall-Endpunkt löschen

Console

Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

Zu „Firewall-Endpunkte“
Wählen Sie endpoint-ips und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie die folgenden Befehle aus, um den Firewall-Endpunkt zu löschen:

gcloud network-security firewall-endpoints delete endpoint-ips \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

Ersetzen Sie Folgendes:

ORGANIZATION_ID: Organisation, in der der Endpunkt erstellt wurde.

Globale Netzwerkfirewall-Endpunktrichtlinie löschen

Console

Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

Zu den Firewall-Richtlinien
Wählen Sie im Projektauswahlmenü das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf fw-policy-ips.
Klicken Sie auf den Tab Verknüpfungen.
Wählen Sie alle Verknüpfungen aus.
Klicken Sie auf Verknüpfungen entfernen.
Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

Führen Sie folgenden Befehl aus, um die Verknüpfung zwischen Firewallrichtlinie und VPC-Netzwerk aufzuheben:
```
gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-ips \
  --firewall-policy fw-policy-ips \
  --global-firewall-policy
```
Hinweis: Wenn Sie die Verknüpfung zwischen der Firewallrichtlinie und dem VPC-Netzwerk über die Google Cloud Console einrichten, verwenden Sie den gcloud CLI-Befehl nicht, um die Verknüpfung zu entfernen. Wenn Sie sich nicht sicher sind, wie Sie die Verknüpfung erstellt haben oder bei Ausführung des Befehls den The network firewall policy does not have an association with pol-association-fw-rules-Fehler erhalten, verwenden Sie die Google Cloud Console, um die Verknüpfung zu entfernen.
Löschen Sie die Firewallrichtlinie.
```
gcloud compute network-firewall-policies delete fw-policy-ips --global
```
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Sicherheitsprofilgruppe löschen

Console

Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

Zu „Sicherheitsprofile“
Wählen Sie den Tab Sicherheitsprofilgruppen aus.
Wählen Sie sec-profile-group-ips und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um die Sicherheitsprofilgruppe zu löschen:

gcloud network-security security-profile-groups \
    delete sec-profile-group-ips \
    --organization ORGANIZATION_ID \
    --location global

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

Sicherheitsprofil löschen

Console

Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

Zu „Sicherheitsprofile“
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie sec-profile-ips und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um das Sicherheitsprofil zu löschen:

gcloud network-security security-profiles threat-prevention \
    delete sec-profile-ips \
    --organization ORGANIZATION_ID \
    --location global

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.

VMs löschen

Console

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zu "VM-Instanzen"
Markieren Sie die Kästchen für die VMs vm-client-ips und vm-server-ips.
Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld Möchten Sie 2 Instanzen löschen? auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um die vm-client-ips-VM zu löschen:
```
gcloud compute instances delete vm-client-ips \
  --zone us-central1-a
```
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie den folgenden Befehl aus, um die vm-server-ips-VM zu löschen:
```
gcloud compute instances delete vm-server-ips \
  --zone asia-southeast1-a
```
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

VPC-Netzwerk und dessen Subnetze löschen

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zu "VM-Instanzen"
Klicken Sie in der Spalte Name auf vpc-ips.
Klicken Sie auf VPC-Netzwerk löschen.
Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.

gcloud

Führen Sie folgenden Befehl aus, um das Subnetz subnet-ips-client des VPC-Netzwerks vpc-ips zu löschen:
```
gcloud compute networks subnets delete subnet-ips-client \
    --region us-central1
```
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie folgenden Befehl aus, um das Subnetz subnet-ips-server des VPC-Netzwerks vpc-ips zu löschen:
```
gcloud compute networks subnets delete subnet-ips-server \
    --region=asia-southeast1
```
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie folgenden Befehl aus, um das VPC-Netzwerk vpc-ips zu löschen:
```
gcloud compute networks delete vpc-ips
```

Nächste Schritte

Konzeptionelle Informationen zum Dienst zur Angriffsprävention finden Sie unter Dienst zur Angriffsprävention.
Konzeptionelle Informationen zu Firewallrichtlinien finden Sie unter Firewallrichtlinien.
Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.