Firewallregeln werden auf Netzwerkebene definiert und gelten nur für das Netzwerk, in dem sie erstellt werden. Um eingehende Firewallregeln für ein VPC-Netzwerk zu erstellen, führen Sie die Schritte in diesem Verfahren aus.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen.
  • Vergewissern Sie sich, dass Sie die VPC-Netzwerke erstellt haben.
  • Überprüfen Sie die Firewallregelkomponenten und machen Sie sich unbedingt mit den Komponenten der in Google Cloud eingesetzten Firewallkonfiguration vertraut.

Prozedur

  1. Melden Sie sich bei der GCP Console an.
  2. Klicken Sie auf VPC-Netzwerke (VPC Networks).
    Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.
  3. Klicken Sie auf das VPC-Netzwerk, für das Sie Firewallregeln hinzufügen möchten.
    Die Seite VPC-Netzwerk – Details (VPC network details) für das ausgewählte VPC-Netzwerk wird angezeigt.
  4. Gehen Sie zur Registerkarte Firewallregeln (Firewall rules) und klicken Sie auf Firewallregel hinzufügen (Add firewall rule).
    Die Seite Firewallregel erstellen (Create a firewall rule) wird angezeigt.
  5. Geben Sie im Textfeld Name einen eindeutigen Namen für die Firewallregel ein.
  6. Optional können Sie die Firewallprotokollierung aktivieren, indem Sie unter Protokolle (Logs) auf Ein (On) klicken. Die Firewallprotokollierung ist standardmäßig deaktiviert.
  7. Wählen Sie für Richtung des Datenverkehrs (Direction of traffic) die Option Eingehender Datenverkehr (Ingress) aus.
  8. Wählen Sie für Aktion bei Übereinstimmung (Action on match) die Option Zulassen (Allow) oder Verweigern (Deny) aus.
  9. Wählen Sie im Dropdown-Menü Ziele (Targets) die Ziele für die Regel aus:
    • Wenn Sie möchten, dass die Regel für alle Instanzen im Netzwerk gilt, wählen Sie Alle Instanzen im Netzwerk (All instances in the network) aus.
    • Wenn die Regel auf bestimmte Instanzen nach Netzwerk-Tags (Ziel-Tags) angewendet werden soll, wählen Sie Angegebene Ziel-Tags (Specified target tags) aus und geben Sie dann die Tags, für die die Regel gelten soll, in das Textfeld Ziel-Tags (Target tags) ein.
    • Wenn die Regel auf bestimmte Instanzen nach zugeordnetem Dienstkonto angewendet werden soll, wählen Sie Angegebenes Dienstkonto (Specified service account) aus, geben Sie unter Bereich des Dienstkontos (Service account scope) an, ob sich das Dienstkonto im aktuellen Projekt oder einem anderen befindet, und wählen Sie im Feld Zieldienstkonto (Target service account) den Namen des Dienstkontos aus oder geben Sie ihn ein.
  10. Wählen Sie im Filter-Dropdown-Menü Quelle (Source) die Option IP-Bereiche (IP ranges) aus.
  11. Geben Sie im Textfeld „Quell-IP-Bereich“ (Source IP ranges) die CIDR-Blöcke ein, um die Quelle für den eingehenden Datenverkehr nach IP-Adressbereich zu definieren. Verwenden Sie 0.0.0.0/0 für eine Quelle aus einem beliebigen Netzwerk.
  12. Definieren Sie die Protokolle und Ports (Protocols and ports), auf die die Regel angewendet werden soll:
    • Wählen Sie je nach Aktion Alle zulassen (Allow all) oder Alle verweigern (Deny all) aus, damit die Regel auf alle Protokolle und Ports angewendet wird.
    • Definieren Sie bestimmte Protokolle und Ports:
      • Wählen Sie tcp aus, um das TCP-Protokoll und die Ports einzubeziehen. Geben Sie all oder eine kommagetrennte Liste von Ports ein, wie z. B. 20-22, 80, 8080.
      • Wählen Sie udp aus, um das UDP-Protokoll und die Ports einzubeziehen. Geben Sie all oder eine kommagetrennte Liste von Ports ein, wie z. B. 67-69, 123.
      • Wählen Sie Weitere Protokolle (Other protocols) aus, um Protokolle wie beispielsweise ICMP, VCMP, SNMP nach Bedarf einzubeziehen.
  13. (Optional) Sie können die Firewallregel erstellen, aber nicht durchsetzen, indem Sie den Erzwingungsstatus auf „Deaktiviert (Disabled)“ setzen. Klicken Sie auf Regel deaktivieren (Deactivate rule) und wählen Sie Deaktivieren (Deactivate) aus.
  14. Klicken Sie auf Erstellen (Create).

Ergebnisse

Die Firewallregeln werden für das ausgewählte VPC-Netzwerk erstellt.

Nächste Maßnahme