Firewallregeln konfigurieren

Auf dieser Seite finden Sie eine Anleitung zum Konfigurieren der Firewallregeln von Google Cloud und der Firewallregeln Ihres Peer-Netzwerks.

Wenn Sie Cloud VPN-Tunnel für die Verbindung mit Ihrem Peer-Netzwerk konfigurieren, sollten Sie Firewallregeln in Ihren Google Cloud- und Peer-Netzwerken prüfen und ändern, um sicherzustellen, dass sie Ihren Anforderungen entsprechen. Wenn Ihr Peer-Netzwerk ein anderes VPC-Netzwerk (Virtual Private Cloud) ist, konfigurieren Sie die Google Cloud-Firewallregeln für beide Seiten der Netzwerkverbindung.

Google Cloud-Firewallregeln

Google Cloud-Firewallregeln gelten für Pakete, die an und von VM-Instanzen innerhalb Ihres VPC-Netzwerks und über Cloud VPN-Tunnel gesendet werden.

Mit der implizierten Regel zum Zulassen von ausgehendem Traffic können VM-Instanzen und andere Ressourcen in Ihrem Google Cloud-Netzwerk ausgehende Anfragen senden und Antworten erhalten. Mit der implizierten Regel zum Ablehnen von eingehendem Traffic hingegen wird der gesamte eingehende Traffic zu Ihren Google Cloud-Ressourcen blockiert.

Sie müssen zumindest solche Firewallregeln erstellen, die eingehenden Traffic von Ihrem Peer-Netzwerk zu Google Cloud zulassen. Eventuell müssen Sie auch Ausgangsregeln erstellen, wenn Sie andere Ausgangsregeln zum Ablehnen bestimmter Arten von Traffic erstellt haben.

Traffic mit den Protokollen UDP 500, UDP 4500 und ESP (IPSec, IP-Protokoll 50) ist immer für und von einer oder mehreren externen IP-Adressen auf einem Cloud VPN-Gateway zulässig. Allerdings gelten die Google Cloud-Firewallregeln nicht für die post-gekapselten IPSec-Pakete, die von einem Cloud-VPN-Gateway an ein Peer-VPN-Gateway gesendet werden.

Weitere Informationen zu Google Cloud-Firewallregeln finden Sie in der Übersicht zu Firewallregeln.

Beispielkonfigurationen

Weitere Beispiele zur Einschränkung des eingehenden oder ausgehenden Traffics finden Sie in den Beispielen für die Firewallkonfiguration in der VPC-Dokumentation.

Im folgenden Beispiel wird eine Firewallregel zum Zulassen von eingehendem Traffic erstellt. Diese Regel lässt den gesamten TCP-, UDP- und ICMP-Traffic vom CIDR Ihres Peer-Netzwerks zu den VMs in Ihrem VPC-Netzwerk zu.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "VPN-Tunnel" auf.
    Weiter zur Seite "VPN-Tunnel"
  2. Klicken Sie auf den zu verwendenden VPN-Tunnel.
  3. Klicken Sie im Abschnitt "VPN-Gateways" auf den Namen des VPC-Netzwerks. Dadurch werden Sie zur Seite mit den VPC-Netzwerkdetails geleitet, die den Tunnel enthält.
  4. Wählen Sie den Tab Firewallregeln aus.
  5. Klicken Sie auf Firewallregel hinzufügen. Fügen Sie eine Regel für TCP, UDP und ICMP hinzu:
    • Name: allow-tcp-udp-icmp
    • Quellfilter: IP-Bereiche
    • Quell-IP-Bereiche: Der beim Erstellen des Tunnels für IP-Bereich des Remote-Netzwerks angegebene Wert. Wenn Sie mehrere Peer-Netzwerkbereiche haben, geben Sie alle ein. Drücken Sie zwischen den Eingaben die Tabulatortaste.
    • Zugelassene Protokolle oder Ports: tcp; udp; icmp
    • Ziel-Tags: Ein oder mehrere gültige Tags
  6. Klicken Sie auf Erstellen.
  7. Erstellen Sie bei Bedarf weitere Firewallregeln.

Alternativ können Sie auf der Seite "Firewallregeln" in der Google Cloud Console Regeln erstellen.

  1. Rufen Sie die Seite "Firewallregeln" auf.
  2. Klicken Sie auf Firewallregel erstellen.
  3. Füllen Sie die folgenden Felder aus:
    • Name: vpnrule1
    • VPC-Netzwerk: my-network
    • Quellfilter: IP ranges.
    • Quell-IP-Bereiche: Die IP-Adressbereiche des Peer-Netzwerks, die vom Peer-VPN-Gateway akzeptiert werden müssen.
    • Zulässige Protokolle und Ports: tcp;udp;icmp
  4. Klicken Sie auf Erstellen.

gcloud

      gcloud  compute --project project-id firewall-rules create vpnrule1 \
        --network network \
        --allow tcp,udp,icmp \
        --source-ranges peer-source-range
    

Wenn Sie mehrere Peer-Netzwerkbereiche haben, geben Sie im Feld für die Quellbereiche eine durch Kommas getrennte Liste an (--source-ranges 192.168.1.0/24,192.168.2.0/24).

In der Dokumentation zu den gcloud-Firewallregeln finden Sie weitere Informationen zum Befehl firewall-rules.

Peer-Firewallregeln

Berücksichtigen Sie bei der Konfiguration Ihrer Peer-Firewallregeln Folgendes:

  • Sie sollten Regeln so konfigurieren, dass ausgehenden und eingehenden Traffic zu und von den IP-Bereichen zugelassen wird, die von den Subnetzen in Ihrem VPC-Netzwerk verwendet werden.
  • Sie können alle Protokolle und Ports zulassen oder den Traffic auf die erforderlichen Protokolle und Ports beschränken.
  • Lassen Sie ICMP-Traffic zu, wenn Sie in der Lage sein möchten, mit ping zwischen Peer-Systemen und Instanzen oder Ressourcen in Google Cloud zu kommunizieren.
  • Lokale Firewallregeln können von Ihren Netzwerkgeräten, z. B. von Sicherheitsanwendungen, Firewallgeräten, Switches, Routern und Gateways, und in der auf Ihren Systemen ausgeführten Software implementiert werden. Hierzu zählt beispielsweise die Firewallsoftware eines Betriebssystems. Alle Firewalls im Pfad zu Ihrem VPC-Netzwerk müssen entsprechend konfiguriert sein, um Traffic zuzulassen.
  • Wenn der VPN-Tunnel dynamisches Routing (mit BGP) verwendet, muss BGP-Traffic für die Link-Local-IP-Adressen zulässig sein. Weitere Informationen finden Sie im nächsten Abschnitt.

Überlegungen zu BGP für Peer-Gateways

Beim dynamischen Routing (mit BGP) werden Routeninformationen über den TCP-Port 179 ausgetauscht. Einige VPN-Gateways, einschließlich Cloud VPN-Gateways, lassen diesen Traffic automatisch zu, wenn Sie dynamisches Routing auswählen. Wenn Ihr Peer-VPN-Gateway dies nicht tut, müssen Sie es so konfigurieren, dass eingehender und ausgehender Traffic über TCP-Port 179 zugelassen wird. Alle BGP-IP-Adressen verwenden den Link-Local-CIDR-Block 169.254.0.0/16.

Wenn Ihr Peer-VPN-Gateway nicht direkt mit dem Internet verbunden ist, sollten Sie dafür sorgen, dass das Gateway und Peer-Router, Firewalls und Sicherheitsanwendungen zumindest BGP-Traffic (TCP-Port 179) und ICMP-Traffic an Ihr VPN-Gateway übertragen. ICMP ist nicht erforderlich, aber zum Testen der Konnektivität zwischen einem Cloud Router und Ihrem VPN-Gateway nützlich. Der IP-Adressbereich, auf den Ihre Peer-Firewallregel angewendet werden soll, muss die BGP-IP-Adresse des Cloud Routers und die BGP-IP-Adresse Ihres Gateways enthalten.

Weitere Informationen