Configura le regole firewall

Questa pagina fornisce indicazioni per la configurazione delle regole firewall Cloud de Confiance by S3NS e delle regole firewall della rete peer.

Quando configuri i tunnel Cloud VPN per connetterti alla rete peer, esamina e modifica le regole firewall nelle tue reti Cloud de Confiance e nelle reti peer per assicurarti che soddisfino le tue esigenze. Se la rete peer è un'altra rete Virtual Private Cloud (VPC), configura Cloud de Confiance regole firewall per entrambi i lati della connessione di rete.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

  • Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice.

  • Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.

  • Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Cloud de Confiance Regole firewall

Cloud de Confiance Le regole firewall si applicano ai pacchetti inviati e ricevuti dalle istanze di macchine virtuali (VM) all'interno della rete VPC e tramite i tunnel Cloud VPN.

Le regole di uscita consentono alle istanze VM e ad altre risorse nella tua Cloud de Confiance rete di effettuare richieste in uscita e ricevere risposte stabilite. Tuttavia, la regola di ingresso implicita nega blocca tutto il traffico in entrata alle tue Cloud de Confiance risorse.

Come minimo, crea regole firewall per consentire il traffico in entrata da rete peer a Cloud de Confiance. Se hai creato regole di uscita per negare determinati tipi di traffico, potresti dover creare anche altre regole di uscita.

Il traffico contenente i protocolli UDP 500, UDP 4500 ed ESP (IPsec, protocollo IP 50) è sempre consentito da e verso uno o più indirizzi IP esterni su un gateway Cloud VPN. Tuttavia, Cloud de Confiance le regole firewall nonsi applicano ai pacchetti IPsec post-incapsulati inviati da un gateway Cloud VPN a un gateway VPN peer.

Per ulteriori informazioni sulle regole firewall Cloud de Confiance , consulta la panoramica delle regole firewall VPC.

Esempi di configurazione

Per più esempi di limitazione del traffico in entrata o in uscita, consulta gli esempi di configurazione nella documentazione VPC.

L'esempio seguente crea una regola firewall di ingresso consentito. Questa regola consente tutto il traffico TCP, UDP e ICMP dal CIDR della rete peer alle VM nella rete VPC.

Console

  1. Nella Cloud de Confiance console, vai alla pagina Tunnel VPN.

    Vai a Tunnel VPN

  2. Fai clic sul tunnel VPN che vuoi utilizzare.

  3. Nella sezione Gateway VPN, fai clic sul nome della rete VPC. Questa azione ti indirizza alla pagina Dettagli rete VPC contenente il tunnel.

  4. Fai clic sulla scheda Regole firewall.

  5. Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMP:

    • Nome: inserisci allow-tcp-udp-icmp.
    • Filtro di origine: seleziona Intervalli IPv4.
    • Intervalli IP di origine: inserisci un valore Intervallo IP della rete remota quando hai creato il tunnel. Se hai più di un intervallo di rete peer, inseriscili tutti. Premi il tasto Tab tra le voci. Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica 0.0.0.0/0.
    • Protocolli o porte specificati: seleziona tcp e udp.
    • Altri protocolli: inserisci icmp.
    • Tag di destinazione: aggiungi uno o più tag validi.

  6. Fai clic su Crea.

Se devi consentire l'accesso agli indirizzi IPv6 sulla rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6.

  1. Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMPv6:
    • Nome: inserisci allow-ipv6-tcp-udp-icmpv6.
    • Filtro di origine: seleziona Intervalli IPv6.
    • Intervalli IP di origine: inserisci un valore Intervallo IP della rete remota quando hai creato il tunnel. Se hai più di un intervallo di rete peer, inseriscili tutti. Premi il tasto Tab tra le voci. Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella rete peer, specifica ::/0.
    • Protocolli o porte specificati: seleziona tcp e udp.
    • Altri protocolli: inserisci 58. 58 è il numero di protocollo per ICMPv6.
    • Tag di destinazione: aggiungi uno o più tag validi.
  2. Fai clic su Crea.

Crea altre regole firewall, se necessario.

In alternativa, puoi creare regole dalla Cloud de Confiance console Firewall pagina.

gcloud

Esegui questo comando:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Sostituisci IPV4_PEER_SOURCE_RANGE con gli intervalli IPv4 di origine della rete peer.

Se hai più di un intervallo di rete peer, fornisci un elenco separato da virgole nel campo source-ranges (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica 0.0.0.0/0.

Regole firewall IPv6

Se devi consentire l'accesso agli indirizzi IPv6 sulla rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 è il numero di protocollo per ICMPv6.

Sostituisci PEER_SOURCE_RANGE con gli intervalli IPv6 di origine della rete peer. Se hai più di un intervallo di rete peer, fornisci un elenco separato da virgole nel campo source-ranges (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella rete peer, specifica ::/0.

Altre regole firewall

Crea altre regole firewall, se necessario.

Per ulteriori informazioni sul comando firewall-rules, consulta la gcloud documentazione delle regole firewall.

Regole firewall peer

Quando configuri le regole firewall peer, tieni presente quanto segue:

  • Configura le regole per consentire il traffico in uscita e in entrata da e verso gli intervalli IP utilizzati dalle subnet nella rete VPC.
  • Puoi scegliere di consentire tutti i protocolli e le porte oppure limitare il traffico solo all'insieme necessario di protocolli e porte per soddisfare le tue esigenze.
  • Consenti il traffico ICMP se devi utilizzare ping per poter comunicare tra sistemi peer e istanze o risorse in Cloud de Confiance.
  • Se devi accedere agli indirizzi IPv6 sulla rete peer con ping, consenti ICMPv6 (protocollo IP 58) nel firewall peer.
  • Sia i dispositivi di rete (appliance di sicurezza, dispositivi firewall, switch, router e gateway) sia il software in esecuzione sui sistemi (ad esempio il software firewall incluso in un sistema operativo) possono implementare regole firewall on-premise. Per consentire il traffico, configura correttamente tutte le regole firewall nel percorso della rete VPC.
  • Se il tunnel VPN utilizza il routing dinamico (BGP), assicurati di consentire il traffico BGP per gli indirizzi IP link-local. Per maggiori dettagli, consulta la sezione successiva.

Considerazioni su BGP per i gateway peer

Il routing dinamico (BGP) scambia le informazioni di routing utilizzando la porta TCP 179. Alcuni gateway VPN, inclusi i gateway Cloud VPN, consentono automaticamente questo traffico quando scegli il routing dinamico. Se il gateway VPN peer non lo fa, configurarlo per consentire il traffico in entrata e in uscita sulla porta TCP 179. Tutti gli indirizzi IP BGP utilizzano il blocco CIDR link-local 169.254.0.0/16.

Se il gateway VPN peer non è connesso direttamente a internet, assicurati che i router peer, le regole firewall e le appliance di sicurezza siano configurati per trasmettere almeno il traffico BGP (porta TCP 179) e il traffico ICMP al gateway VPN. ICMP non è obbligatorio, ma è utile per testare la connettività tra un router Cloud e il gateway VPN. L'intervallo di indirizzi IP a cui deve essere applicata la regola firewall peer deve includere gli indirizzi IP BGP del router Cloud e del gateway.

Passaggi successivi