設定防火牆規則

設定 Cloud VPN 通道以將 Google Cloud Platform 網路連線至內部部署網路時,您應查看及修改這兩個網路中的防火牆規則,確保其符合您的需求。本頁面提供設定 GCP 防火牆規則與內部部署網路防火牆規則的指南。

如果您的 Cloud VPN 通道使用動態 (BGP) 轉送,請確保您允許 BGP 流量以交換路徑資訊。

GCP 規則

默示允許輸出規則可讓 GCP 網路中的執行個體和其他資源發出外送要求並接收已建立的回應,不過默示拒絕輸入規則會封鎖所有連至 GCP 資源的連入流量。

您至少需要建立防火牆規則才能讓輸入流量從內部部署網路傳送到 GCP。如果您建立了其他輸出規則以「拒絕」特定類型的流量,可能還需要建立輸出規則。

如果您不熟悉防火牆規則在 GCP 中的運作方式,請先參閱防火牆規則總覽一文。

必要權限

擔任安全管理員角色的專案擁有者、編輯者和身分與存取權管理成員有權建立及管理 GCP 防火牆規則。

範例設定

下列範例可建立防火牆規則,允許「所有連入的 TCP、UDP 與 ICMP」流量從內部部署網路傳送到 GCP 網路。

主控台

  1. 前往 Google Cloud Platform 主控台的 VPN 通道頁面。
    前往 VPN 通道頁面
  2. 按一下您要使用的 VPN 通道。
  3. 在 VPN 閘道區段中,按一下虛擬私人雲端網路的名稱。這樣可將您導向至包含通道的虛擬私人雲端網路詳細資料頁面。
  4. 選取 [防火牆規則] 分頁標籤。
  5. 按一下 [新增防火牆規則]。為 TCP、UDP 與 ICMP 新增規則:
    • 名稱:allow-tcp-udp-icmp
    • 來源篩選器:IP 範圍。
    • 來源 IP 範圍:建立通道時的遠端網路 IP 範圍值。如果您有多個內部部署網路範圍,請分別輸入每一個。在項目之間按 Tab 鍵。
    • 允許的通訊協定或通訊埠:tcp; udp; icmp
    • 目標標記:任何一或多個有效標記。
  6. 按一下 [建立]
  7. 必要時建立其他防火牆規則。

您也可以從 GCP 主控台的「防火牆規則」頁面建立規則。

  1. 前往防火牆規則頁面。
  2. 按一下 [建立防火牆規則]
  3. 填入下列欄位:
    • 「Name」(名稱):vpnrule1
    • 「VPC network」(VPC 網路):my-network
    • 「Source filter」(來源篩選器):IP ranges
    • 來源 IP 範圍:要從內部部署 VPN 閘道接受的內部部署範圍。
    • 「Allowed protocols and ports」(允許的通訊協定和通訊埠):tcp;udp;icmp
  4. 按一下 [建立]

gcloud

    gcloud  compute --project [PROJECT_ID] firewall-rules create vpnrule1 
--network [NETWORK]
--allow tcp,udp,icmp
--source-ranges [PEER_SOURCE_RANGE]

如果您有多個內部部署網路範圍,請在來源範圍欄位 (--source-ranges 10.10.4.0/24,10.10.6.0/24) 中提供逗號分隔的清單。

如要進一步瞭解 firewall-rules 指令,請參閱 gcloud 防火牆規則說明文件。

內部部署規則

設定內部部署防火牆規則時,請考慮下列事項:

  • 您應設定規則,允許輸出及輸入流量在 GCP 網路的子網路使用的 IP 範圍之間傳送。
  • 您可選擇允許所有通訊協定與通訊埠,也可將流量限制為僅使用必要的一組通訊協定與通訊埠,以符合您的需求。
  • 如果您需要能夠使用 ping,在內部部署系統與 GCP 的執行個體或資源之間通訊,則必須允許 ICMP 流量。
  • 請記住,內部部署防火牆規則可透過網路裝置 (例如安全性設備、防火牆裝置、交換機、路由器與閘道),以及在系統中執行的軟體 (例如作業系統隨附的防火牆軟體) 實作。負責「保護」GCP 的所有防火牆都必須正確設定才能允許流量流過。
  • 如果 VPN 通道使用動態 (BGP) 轉送,請確保針對連結本機 IP 位址允許 BGP 流量。詳情請參閱下一節。

動態轉送的注意事項

動態 (BGP) 轉送可使用 TCP 通訊埠 179 交換路徑資訊。若您選擇動態轉送,一些 VPN 閘道會自動允許這類流量。如果閘道不允許,您必須設定閘道,允許 TCP 179 傳送連入與外送流量。所有 BGP IP 位址都使用連結本機 169.254.0.0/16 CIDR 區塊。

如果內部部署 VPN 閘道未直接連線至網際網路,請確認這個閘道以及內部部署路由器、防火牆與安全性設備都設定為至少將 BGP 流量 (TCP 通訊埠 179) 和 ICMP 流量傳送至 VPN 閘道。ICMP 並非必要,但在測試 Cloud Router 與 VPN 閘道之間的連線時很有用。應套用內部部署防火牆規則的 IP 位址範圍,必須包含 Cloud Router 的 BGP IP 位址和閘道的 BGP IP 位址。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN