Firewallregeln konfigurieren

Auf dieser Seite finden Sie eine Anleitung zum Konfigurieren der Firewallregeln von Google Cloud und der Firewallregeln Ihres Peer-Netzwerks.

Wenn Sie Cloud VPN-Tunnel für die Verbindung mit Ihrem Peer-Netzwerk konfigurieren, müssen Sie die Firewallregeln in Ihren Google Cloud- und Peer-Netzwerken prüfen und ändern, um sicherzustellen, dass sie Ihren Anforderungen entsprechen. Wenn Ihr Peer-Netzwerk ein anderes VPC-Netzwerk (Virtual Private Cloud) ist, konfigurieren Sie die Google Cloud-Firewallregeln für beide Seiten der Netzwerkverbindung.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Google Cloud-Firewallregeln

Google Cloud-Firewallregeln gelten für Pakete, die an und von VM-Instanzen innerhalb Ihres VPC-Netzwerks und über Cloud VPN-Tunnel gesendet werden.

Mit der implizierten Regel zum Zulassen von ausgehendem Traffic können VM-Instanzen und andere Ressourcen in Ihrem Google Cloud-Netzwerk ausgehende Anfragen senden und Antworten erhalten. Mit der implizierten Regel zum Ablehnen von eingehendem Traffic hingegen wird der gesamte eingehende Traffic zu Ihren Google Cloud-Ressourcen blockiert.

Erstellen Sie mindestens Firewallregeln, um eingehenden Traffic von Ihrem Peer-Netzwerk zu Google Cloud zuzulassen. Wenn Sie Regeln für ausgehenden Traffic erstellt haben, um bestimmte Arten von Traffic abzulehnen, müssen Sie möglicherweise auch andere Regeln für ausgehenden Traffic erstellen.

Traffic mit den Protokollen UDP 500, UDP 4500 und ESP (IPSec, IP-Protokoll 50) ist immer von einer oder mehreren externen IP-Adressen in einem Cloud VPN-Gateway erlaubt. Allerdings gelten die Google Cloud-Firewallregeln nicht für die post-gekapselten IPSec-Pakete, die von einem Cloud-VPN-Gateway an ein Peer-VPN-Gateway gesendet werden.

Weitere Informationen zu Google Cloud-Firewallregeln finden Sie in der Übersicht zu VPC-Firewallregeln.

Beispielkonfigurationen

Weitere Beispiele zur Einschränkung des eingehenden oder ausgehenden Traffics finden Sie in den Konfigurationsbeispielen in der VPC-Dokumentation.

Im folgenden Beispiel wird eine Firewallregel zum Zulassen von eingehendem Traffic erstellt. Diese Regel lässt den gesamten TCP-, UDP- und ICMP-Traffic vom CIDR Ihres Peer-Netzwerks zu den VMs in Ihrem VPC-Netzwerk zu.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Rollen

roles/compute.securityAdmin

Console

Rufen Sie in der Google Cloud Console die Seite VPN-Tunnel auf.

Zu VPN-Tunneln
Klicken Sie auf den zu verwendenden VPN-Tunnel.
Klicken Sie im Abschnitt VPN-Gateways auf den Namen des VPC-Netzwerks. Dadurch werden Sie zur Seite mit den VPC-Netzwerkdetails geleitet, die den Tunnel enthält.
Klicken Sie auf den Tab Firewallregeln.
Klicken Sie auf Firewallregel hinzufügen. Fügen Sie eine Regel für TCP, UDP und ICMP hinzu:
- Name: Geben Sie allow-tcp-udp-icmp ein.
- Quellfilter: Wählen Sie IPv4-Bereiche aus.
- Quell-IP-Bereiche: Geben Sie den Wert für IP-Bereich des Remote-Netzwerks ein, den Sie beim Erstellen des Tunnels festgelegt haben. Wenn Sie mehrere Peer-Netzwerkbereiche haben, geben Sie alle ein. Drücken Sie zwischen den Eingaben die Tabulatortaste. Geben Sie 0.0.0.0/0 an, um Traffic von allen Quell-IPv4-Adressen in Ihrem Peer-Netzwerk zuzulassen.
- Angegebene Protokolle oder Ports: Wählen Sie tcp und udp aus.
- Weitere Protokolle: Geben Sie icmp ein.
- Ziel-Tags: Ein oder mehrere gültige Tags.
Klicken Sie auf Erstellen.

Wenn Sie den Zugriff auf IPv6-Adressen in Ihrem VPC-Netzwerk von Ihrem Peer-Netzwerk aus zulassen müssen, fügen Sie eine allow-ipv6-tcp-udp-icmpv6-Firewallregel hinzu.

Klicken Sie auf Firewallregel hinzufügen. Fügen Sie eine Regel für TCP, UDP und ICMP hinzu:
- Name: Geben Sie allow-ipv6-tcp-udp-icmpv6 ein.
- Quellfilter: Wählen Sie IPv6-Bereiche aus.
- Quell-IP-Bereiche: Geben Sie den Wert für IP-Bereich des Remote-Netzwerks ein, den Sie beim Erstellen des Tunnels festgelegt haben. Wenn Sie mehrere Peer-Netzwerkbereiche haben, geben Sie alle ein. Drücken Sie zwischen den Eingaben die Tabulatortaste. Geben Sie ::/0 an, um Traffic von allen IPv6-Quelladressen in Ihrem Peer-Netzwerk zuzulassen.
- Angegebene Protokolle oder Ports: Wählen Sie tcp und udp aus.
- Weitere Protokolle: Geben Sie 58 ein. 58 ist die Protokollnummer für ICMPv6.
- Ziel-Tags: Ein oder mehrere gültige Tags.
Klicken Sie auf Erstellen.

Erstellen Sie bei Bedarf weitere Firewallregeln.

Alternativ können Sie auf der Seite Firewall der Google Cloud Console Regeln erstellen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Ersetzen Sie IPV4_PEER_SOURCE_RANGE durch IPv4-Quellbereiche aus Ihrem Peer-Netzwerk.

Wenn Sie mehrere Peer-Netzwerkbereiche haben, geben Sie im Feld für die Quellbereiche eine durch Kommas getrennte Liste an (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Geben Sie 0.0.0.0/0 an, um Traffic von allen Quell-IPv4-Adressen in Ihrem Peer-Netzwerk zuzulassen.

IPv6-Firewallregeln

Wenn Sie den Zugriff auf IPv6-Adressen in Ihrem VPC-Netzwerk von Ihrem Peer-Netzwerk aus zulassen müssen, fügen Sie eine allow-ipv6-tcp-udp-icmpv6-Firewallregel hinzu.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 ist die Protokollnummer für ICMPv6.

Ersetzen Sie PEER_SOURCE_RANGE durch IPv6-Quellbereiche aus Ihrem Peer-Netzwerk. Wenn Sie mehrere Peer-Netzwerkbereiche haben, geben Sie im Feld für die Quellbereiche eine durch Kommas getrennte Liste an (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Geben Sie ::/0 an, um Traffic von allen IPv6-Quelladressen in Ihrem Peer-Netzwerk zuzulassen.

Andere Firewallregeln

Erstellen Sie bei Bedarf weitere Firewallregeln.

Weitere Informationen zum Befehl firewall-rules finden Sie in der Dokumentation zu den gcloud-Firewallregeln.

Peer-Firewallregeln

Berücksichtigen Sie bei der Konfiguration Ihrer Peer-Firewallregeln Folgendes:

Konfigurieren Sie Regeln, um aus- und eingehenden Traffic zu und von den IP-Bereichen der Subnetze in Ihrem VPC-Netzwerk zuzulassen.
Sie können alle Protokolle und Ports zulassen oder den Traffic auf die erforderlichen Protokolle und Ports beschränken.
Lassen Sie ICMP-Traffic zu, wenn Sie ping verwenden müssen, um zwischen Peer-Systemen und Instanzen oder Ressourcen in Google Cloud kommunizieren zu können.
Wenn Sie mit ping auf Ihre IPv6-Adressen in Ihrem Peer-Netzwerk zugreifen müssen, lassen Sie ICMPv6 (IP-Protokoll 58) in Ihrer Peer-Firewall zu.
Sowohl Ihre Netzwerkgeräte (Sicherheitsgeräte, Firewallgeräte, Switches, Router und Gateways) als auch auf Ihren Systemen ausgeführte Software (z. B. Firewallsoftware, die im Betriebssystem enthalten ist) können lokale Firewallregeln implementieren. Konfigurieren Sie alle Firewallregeln im Pfad zu Ihrem VPC-Netzwerk entsprechend, um Traffic zuzulassen.
Wenn der VPN-Tunnel dynamisches Routing (mit BGP) verwendet, muss BGP-Traffic für die Link-Local-IP-Adressen zulässig sein. Weitere Informationen finden Sie im nächsten Abschnitt.

Überlegungen zu BGP für Peer-Gateways

Beim dynamischen Routing (mit BGP) werden Routeninformationen über den TCP-Port 179 ausgetauscht. Einige VPN-Gateways, einschließlich Cloud VPN-Gateways, lassen diesen Traffic automatisch zu, wenn Sie dynamisches Routing auswählen. Wenn Ihr Peer-VPN-Gateway dies nicht tut, müssen Sie es so konfigurieren, dass eingehender und ausgehender Traffic über TCP-Port 179 zugelassen wird. Alle BGP-IP-Adressen verwenden den Link-Local-CIDR-Block 169.254.0.0/16.

Wenn Ihr Peer-VPN-Gateway nicht direkt mit dem Internet verbunden ist, sollten Sie dafür sorgen, dass das Gateway und Peer-Router, Firewalls und Sicherheitsanwendungen zumindest BGP-Traffic (TCP-Port 179) und ICMP-Traffic an Ihr VPN-Gateway übertragen. ICMP ist nicht erforderlich, aber zum Testen der Konnektivität zwischen einem Cloud Router und Ihrem VPN-Gateway nützlich. Der Bereich der IP-Adressen, auf den die Peer-Firewallregel angewendet werden soll, muss die BGP-IP-Adressen des Cloud Routers und Ihres Gateways enthalten.

Nächste Schritte

Wie Sie prüfen, ob die Komponenten korrekt mit Cloud VPN kommunizieren, erfahren Sie unter VPN-Status prüfen.
Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.