Last updated
Τα VPCs περιέχουν κανόνες Firewall για να επιτρέπουν την εισερχόμενη κίνηση στο VPC. Τα VPC περιέχουν επίσης υποδίκτυα όπου οι εικονικές μηχανές θα συνδεθούν. Συγκρίνοντας με το AWS, το Firewall θα ήταν το πλησιέστερο πράγμα στα Security Groups και NACLs του AWS, αλλά σε αυτήν την περίπτωση αυτά ορίζονται στο VPC και όχι σε κάθε παρουσία.
Οι Υπολογιστικές Ενότητες συνδέονται με υποδίκτυα που ανήκουν σε VPCs (). Στο GCP δεν υπάρχουν ομάδες ασφαλείας, υπάρχουν με κανόνες που ορίζονται σε αυτό το επίπεδο δικτύου αλλά εφαρμόζονται σε κάθε εικονική μηχανή.
Ένα VPC μπορεί να έχει πολλαπλά υποδίκτυα. Κάθε υποδίκτυο βρίσκεται σε 1 περιοχή.
Από προεπιλογή, κάθε δίκτυο έχει δύο : επιτρέπει εξερχόμενη και απαγορεύει εισερχόμενη κίνηση.
Όταν δημιουργείται ένα έργο GCP, δημιουργείται επίσης ένα VPC με το όνομα default, με τους ακόλουθους κανόνες firewall:
default-allow-internal: επιτρέπει όλη την κίνηση από άλλες εικονικές μηχανές στο δίκτυο default
default-allow-ssh: επιτρέπει την πόρτα 22 από οπουδήποτε
default-allow-rdp: επιτρέπει την πόρτα 3389 από οπουδήποτε
default-allow-icmp: επιτρέπει το ping από οπουδήποτε
Όπως μπορείτε να δείτε, οι κανόνες firewall τείνουν να είναι πιο επιεικείς για τις εσωτερικές διευθύνσεις IP. Το προεπιλεγμένο VPC επιτρέπει όλη την κίνηση μεταξύ των Υπολογιστικών Ενοτήτων.
Όλες οι εικονικές μηχανές εντός ενός VPC
Δυστυχώς, δεν υπάρχει μια απλή εντολή gcloud για να εμφανίσει όλες τις Εικονικές Μηχανές με ανοιχτές πόρτες στο διαδίκτυο. Πρέπει να συνδέσετε τα σημεία μεταξύ κανόνων firewall, ετικετών δικτύου, λογαριασμών υπηρεσιών και εικονικών μηχανών.
Αρχείο CSV που δείχνει την εικονική μηχανή, τη δημόσια IP, τις επιτρεπόμενες TCP, τις επιτρεπόμενες UDP
σάρωση nmap για να στοχεύσει όλες τις εικονικές μηχανές σε πόρτες εισόδου που επιτρέπονται από το δημόσιο διαδίκτυο (0.0.0.0/0)
masscan για να στοχεύσει την πλήρη εύρος TCP αυτών των εικονικών μηχανών που επιτρέπουν ΟΛΕΣ τις πόρτες TCP από το δημόσιο διαδίκτυο (0.0.0.0/0)
Οι ιεραρχικές πολιτικές firewall σάς επιτρέπουν να δημιουργήσετε και να επιβάλετε μια συνεπή πολιτική firewall σε ολόκληρο τον οργανισμό σας. Μπορείτε να αναθέσετε ιεραρχικές πολιτικές firewall στον οργανισμό συνολικά ή σε μεμονωμένες φακέλους. Αυτές οι πολιτικές περιέχουν κανόνες που μπορούν ρητά να απορρίψουν ή να επιτρέψουν συνδέσεις.
Οργ: Κανόνες πολιτικής firewall που ανατίθενται στον Οργανισμό
Φάκ: Κανόνες πολιτικής firewall που ανατίθενται στον Φάκελο
VPC: Κανόνες firewall που ανατίθ
Μπορούν να δημιουργηθούν περισσότεροι κανόνες Firewall για το προεπιλεγμένο VPC ή για νέα VPC. Οι μπορούν να εφαρμοστούν σε εικονικές μηχανές μέσω των ακόλουθων μεθόδων:
Αυτή η διαδικασία αυτοματοποιήθηκε χρησιμοποιώντας το οποίο θα εξάγει τα ακόλουθα:
Δημιουργείτε και εφαρμόζετε πολιτικές firewall ως ξεχωριστά βήματα. Μπορείτε να δημιουργήσετε και να εφαρμόσετε πολιτικές firewall στους κόμβους οργανισμού ή φακέλων της . Ένας κανόνας πολιτικής firewall μπορεί να αποκλείσει συνδέσεις, να επιτρέψει συνδέσεις ή να αναβάλει την αξιολόγηση κανόνων firewall σε χαμηλότερα επίπεδα φακέλων ή κανόνες firewall VPC που έχουν οριστεί σε δίκτυα VPC.
Από προεπιλογή, όλοι οι κανόνες πολιτικής firewall ιεραρχίας ισχύουν για όλες τις Εικονικές Μηχανές σε όλα τα έργα υπό τον οργανισμό ή το φάκελο όπου συσχετίζεται η πολιτική. Ωστόσο, μπορείτε να περιορίσετε ποιες Εικονικές Μηχανές λαμβάνουν έναν συγκεκριμένο κανόνα με την καθορισμένη .
Μπορείτε να διαβάσετε εδώ πώς να .
