設定防火牆規則

本頁面提供設定 Google Cloud 防火牆規則和對等網路防火牆規則的指南。

設定 Cloud VPN 通道以連線至對等網路時,請檢查並修改 Google Cloud 和對等網路中的防火牆規則,確保符合您的需求。如果對等互連網路是另一個虛擬私有雲 (VPC) 網路,請為網路連線的兩端設定 Google Cloud 防火牆規則。

如要進一步瞭解 Cloud VPN,請參閱下列資源:

  • 如要瞭解設定 Cloud VPN 前應考慮的最佳做法,請參閱「最佳做法」。

  • 如要進一步瞭解 Cloud VPN,請參閱 Cloud VPN 總覽

  • 如需本頁所用詞彙的定義,請參閱「重要術語」。

Google Cloud 防火牆規則

Google Cloud 防火牆規則會套用至虛擬私有雲網路中,透過 Cloud VPN 通道傳送至虛擬機器 (VM) 執行個體,以及從虛擬機器 (VM) 執行個體傳送的封包。

默示允許輸出規則可讓 Google Cloud 網路中的 VM 執行個體和其他資源發出外送要求並接收已建立的回應。不過,默示拒絕輸入規則會封鎖所有傳入 Google Cloud 資源的流量。

至少建立防火牆規則,允許來自對等網路的流量進入 Google Cloud。如果您建立輸出規則來拒絕特定類型的流量,可能還需要建立其他輸出規則。

包含 UDP 500、UDP 4500 和 ESP (IPsec、IP 通訊協定 50) 通訊協定的流量,一律允許傳送至/從 Cloud VPN 閘道的一或多個外部 IP 位址。不過, Google Cloud 防火牆規則適用於從 Cloud VPN 閘道傳送至對等 VPN 閘道的後封裝 IPsec 封包

如要進一步瞭解 Google Cloud 防火牆規則,請參閱虛擬私有雲防火牆規則總覽

設定範例

如需限制進出流量的範例,請參閱 VPC 說明文件中的設定範例

以下範例會建立輸入允許防火牆規則。這個規則允許從對等網路 CIDR 傳送至虛擬私有雲網路中 VM 的所有 TCP、UDP 和 ICMP 流量。

主控台

  1. 前往 Google Cloud 控制台的「VPN 通道」頁面。

    前往 VPN 通道

  2. 按一下您要使用的 VPN 通道。

  3. 在「VPN gateway」部分,按一下虛擬私有雲網路的名稱。這項操作會將您導向包含通道的「虛擬私有雲網路詳細資料」頁面。

  4. 按一下「防火牆規則」分頁標籤。

  5. 按一下 [新增防火牆規則]。新增 TCP、UDP 和 ICMP 規則:

    • 名稱:輸入 allow-tcp-udp-icmp
    • 來源篩選器:選取「IPv4 範圍」
    • 來源 IP 範圍:輸入建立通道時的「遠端網路 IP 範圍」值。如果您有多個對等網路範圍,請輸入每個範圍。在項目之間按下 Tab 鍵。如要允許來自對等互連網路中所有來源 IPv4 位址的流量,請指定 0.0.0.0/0
    • 指定的通訊協定或通訊埠:選取 tcpudp
    • 其他通訊協定:輸入 icmp
    • 目標標記:新增任何有效的標記。

  6. 按一下 [建立]。

如果您需要允許對等互連網路存取虛擬私有雲網路中的 IPv6 位址,請新增 allow-ipv6-tcp-udp-icmpv6 防火牆規則。

  1. 按一下 [新增防火牆規則]。新增 TCP、UDP 和 ICMPv6 的規則:
    • 名稱:輸入 allow-ipv6-tcp-udp-icmpv6
    • 來源篩選器:選取「IPv6 範圍」
    • 來源 IP 範圍:輸入建立通道時的「遠端網路 IP 範圍」值。如果您有多個對等網路範圍,請輸入每個範圍。在項目之間按下 Tab 鍵。如要允許來自對等互連網路中所有來源 IPv6 位址的流量,請指定 ::/0
    • 指定的通訊協定或通訊埠:選取 tcpudp
    • 其他通訊協定:輸入 58。58 是 ICMPv6 的通訊協定號碼。
    • 目標標記:新增任何有效的標記。
  2. 按一下 [建立]。

必要時建立其他防火牆規則。

您也可以在 Google Cloud 控制台的「防火牆」頁面中建立規則。

gcloud

執行下列指令:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

IPV4_PEER_SOURCE_RANGE 替換為對等網路的來源 IPv4 範圍。

如果您有多個對等網路範圍,請在來源範圍欄位 (--source-ranges 192.168.1.0/24,192.168.2.0/24) 中提供逗號分隔的清單。

如要允許來自對等互連網路中所有來源 IPv4 位址的流量,請指定 0.0.0.0/0

IPv6 防火牆規則

如果您需要允許對等互連網路存取虛擬私有雲網路中的 IPv6 位址,請新增 allow-ipv6-tcp-udp-icmpv6 防火牆規則。

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 是 ICMPv6 的通訊協定號碼。

PEER_SOURCE_RANGE 替換為對等互連網路的來源 IPv6 範圍。如果您有多個對等網路範圍,請在來源範圍欄位 (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64) 中提供逗號分隔的清單。

如要允許來自對等互連網路中所有來源 IPv6 位址的流量,請指定 ::/0

其他防火牆規則

必要時建立其他防火牆規則。

如要進一步瞭解 firewall-rules 指令,請參閱 gcloud 防火牆規則說明文件。

對等防火牆規則

設定對等防火牆規則時,請考量下列事項:

  • 設定規則,允許從虛擬私有雲網路子網路使用的 IP 範圍,輸出和輸入流量。
  • 您可以選擇允許所有通訊協定和通訊埠,也可以限制流量,只允許必要的通訊協定和通訊埠,以符合您的需求。
  • 如果您需要使用 ping 在 Google Cloud中的同級系統和執行個體或資源之間進行通訊,請允許 ICMP 流量。
  • 如果您需要透過 ping 存取對等網路上的 IPv6 位址,請在對等防火牆中允許 ICMPv6 (IP 通訊協定 58)。
  • 網路裝置 (安全設備、防火牆裝置、交換器、路由器和閘道) 和系統上執行的軟體 (例如作業系統內附的防火牆軟體) 都可以實作內部防火牆規則。如要允許流量,請適當設定虛擬私有雲網路路徑中的所有防火牆規則。
  • 如果 VPN 通道使用動態 (BGP) 轉送,請確保針對連結本機 IP 位址允許 BGP 流量。詳情請參閱下一節。

對等閘道適用的 BGP 考量事項

動態 (BGP) 轉送會使用 TCP 通訊埠 179 交換路徑資訊。部分 VPN 閘道 (包括 Cloud VPN 閘道) 會在您選擇動態轉送時自動允許這類流量。如果對等 VPN 閘道未開放,請將其設定為允許 TCP 通訊埠 179 的進出流量。所有 BGP IP 位址都使用連結本機 169.254.0.0/16 CIDR 區塊。

如果對等 VPN 閘道未直接連線至網際網路,請確認對等 VPN 閘道、對等路由器、防火牆規則和安全設備已設定為至少將 BGP 流量 (TCP 通訊埠 179) 和 ICMP 流量傳送至 VPN 閘道。ICMP 並非必要,但在測試 Cloud Router 與 VPN 閘道之間的連線時很有用。應套用對等點防火牆規則的 IP 位址範圍,必須包含 Cloud Router 和閘道的 BGP IP 位址。

後續步驟

  • 如要確保元件能正確與 Cloud VPN 通訊,請參閱「檢查 VPN 狀態」。
  • 如要使用高可用性和高總處理量情境或多個子網路情境,請參閱「進階設定」。
  • 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱疑難排解