配置防火墙规则

本页面介绍如何配置 Google Cloud 防火墙规则和您的对等网络防火墙规则。

将 Cloud VPN 隧道配置为连接到对等网络时,应检查并修改 Google Cloud 和对等网络中的防火墙规则,确保它们满足您的需求。如果您的对等网络也是一个 Virtual Private Cloud (VPC) 网络,则网络连接的两端都需要配置 Google Cloud 防火墙规则。

Google Cloud 防火墙规则

Google Cloud 防火墙规则适用于通过 Cloud VPN 隧道传入和传出 VPC 网络中的虚拟机实例的数据包

隐含的允许出站规则允许虚拟机实例和 Google Cloud 网络中的其他资源发出传出请求并接收已建立的响应,但隐含的拒绝入站规则会屏蔽 Google Cloud 资源的所有传入流量。

您至少需要创建防火墙规则,以允许从对等网络到 Google Cloud 的入站流量。如果您为了拒绝特定类型的流量而创建了其他出站规则,则可能还需要创建出站规则

包含 UDP 500、UDP 4500 和 ESP(IPSec、IP 协议 50)协议的流量始终允许在 Cloud VPN 网关上的一个或多个外部 IP 地址传入和传出。但是,Google Cloud 防火墙规则不适用于从 Cloud VPN 网关发送到对等 VPN 网关的封装后的 IPSec 数据包

如需详细了解 Google Cloud 防火墙规则,请参阅防火墙规则概览

配置示例

如需查看限制入站流量或出站流量的多个示例,请参阅 VPC 文档中的防火墙配置示例

以下示例将创建一条“入站允许”防火墙规则。此规则允许从对等网络的 CIDR 到 VPC 网络中的虚拟机的所有 TCP、UDP 和 ICMP 流量。

控制台

  1. 转到 Google Cloud Console 中的“VPN 隧道”页面。
    转到“VPN 隧道”页面
  2. 点击要使用的 VPN 隧道。
  3. 在 VPN 网关部分中,点击 VPC 网络的名称。这会将您定向到包含该隧道的 VPC 网络详细信息页面。
  4. 选择防火墙规则标签页。
  5. 点击添加防火墙规则。添加针对 TCP、UDP 和 ICMP 的规则:
    • 名称:allow-tcp-udp-icmp
    • 来源过滤条件:IP 地址范围。
    • 源 IP 地址范围:创建隧道时的远程网络 IP 地址范围值。如果您有多个对等网络范围,请输入每个范围。按 Tab 键可在各条目之间移动。
    • 允许的协议或端口:tcp; udp; icmp
    • 目标标记:任何一个或多个有效的标记。
  6. 点击创建
  7. 根据需要,创建其他防火墙规则。

或者,您也可以通过 Google Cloud Console 中的“防火墙规则”页面创建规则。

  1. 转到防火墙规则页面。
  2. 点击创建防火墙规则
  3. 填充以下字段:
    • 名称vpnrule1
    • VPC 网络my-network
    • 来源过滤条件IP ranges
    • 来源 IP 地址范围:要从对等 VPN 网关接受的对等网络的 IP 地址范围。
    • 允许的协议和端口tcp;udp;icmp
  4. 点击创建

gcloud

  gcloud  compute --project PROJECT_ID firewall-rules create vpnrule1 \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges PEER_SOURCE_RANGE

如果您有多个对等网络范围,请在 source-ranges 字段中提供英文逗号分隔列表 (--source-ranges 192.168.1.0/24,192.168.2.0/24)。

如需详细了解 firewall-rules 命令,请参阅 gcloud 防火墙规则

对等防火墙规则

在配置对等防火墙规则时,请注意以下几点:

  • 应配置相应规则,以允许在 VPC 网络中子网所使用的 IP 地址范围传入和传出的出站流量和入站流量。
  • 您可以选择允许所有协议和端口,也可以将流量限制为仅允许满足您需求的一组必要的协议和端口。
  • 如果您需要能够使用 ping 在对等系统以及 Google Cloud 中的实例或资源之间进行通信,则必须允许 ICMP 流量。
  • 请记住,本地防火墙规则可以由您的网络设备(例如安全设备、防火墙设备、交换机、路由器和网关)以及在系统上运行的软件(例如操作系统附带的防火墙软件)实施。您的 VPC 网络路径中的所有防火墙都必须适当配置以允许流量。
  • 如果您的 VPN 隧道使用动态 (BGP) 路由,请确保允许链路本地 IP 地址的 BGP 流量。请参阅下一部分了解详情。

对等网关的 BGP 注意事项

动态 (BGP) 路由使用 TCP 端口 179 交换路由信息。选择动态路由时,某些 VPN 网关(包括 Cloud VPN 网关)会自动允许此流量。如果您的对等 VPN 网关不允许此流量,则必须将其配置为允许在 TCP 端口 179 上传入和传出的流量。所有 BGP IP 地址都使用链路本地 169.254.0.0/16 CIDR 块。

如果您的对等 VPN 网关未直接连接到互联网,请确保将该网关和对等路由器、防火墙及安全设备配置为至少允许将 BGP 流量(TCP 端口 179)和 ICMP 流量传递到 VPN 网关。ICMP 不是必需的,但可用于测试 Cloud Router 路由器和 VPN 网关之间的连接。要应用对等防火墙规则的 IP 地址范围必须包括 Cloud Router 路由器的 BGP IP 地址和您网关的 BGP IP 地址。

后续步骤