Komponen aturan kebijakan firewall

Halaman ini menjelaskan komponen aturan firewall yang Anda buat di salah satu kebijakan firewall berikut yang berlaku untuk jaringan Virtual Private Cloud (VPC) reguler:

Untuk mengetahui detail tentang aturan firewall dan profil jaringan Remote Direct Memory Access (RDMA), lihat Cloud NGFW untuk jaringan VPC RoCE.

Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya. Saat membuat aturan kebijakan firewall, Anda menentukan komponen yang menentukan tindakan yang dilakukan aturan. Selain arah, Anda dapat menentukan karakteristik sumber, tujuan, dan Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.547, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan dalam kebijakan firewall mirip dengan prioritas aturan firewall VPC, dengan perbedaan berikut:

  • Setiap aturan dalam kebijakan firewall harus memiliki prioritas yang unik.
  • Prioritas aturan dalam kebijakan firewall berfungsi sebagai ID unik aturan. Aturan dalam kebijakan firewall tidak menggunakan nama untuk identifikasi.
  • Prioritas aturan dalam kebijakan firewall menentukan urutan evaluasi dalam kebijakan firewall itu sendiri. Aturan firewall VPC dan aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional dievaluasi seperti yang dijelaskan dalam Menerapkan kebijakan dan aturan firewall ke jaringan.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:

Parameter tindakan Deskripsi
allow

Mengizinkan paket untuk koneksi baru. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya.

Terlepas dari arah aturan, jika protokol paket dan jenis kebijakan firewall mendukung pelacakan koneksi, aturan izinkan akan membuat entri tabel pelacakan koneksi firewall yang mengizinkan paket masuk dan keluar.
deny

Tidak mengizinkan paket untuk koneksi baru. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya.

Cloud NGFW selalu memeriksa entri tabel pelacakan koneksi firewall sebelum mengevaluasi aturan firewall. Oleh karena itu, jika aturan izinkan membuat entri tabel pelacakan koneksi, entri tabel pelacakan koneksi tersebut akan diprioritaskan.
apply_security_profile_group

Menyadap paket untuk koneksi baru, mengirimkannya ke endpoint firewall atau grup endpoint penyadapan. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya.

Terlepas dari arah aturan, jika protokol paket dan jenis kebijakan firewall mendukung pelacakan koneksi, aturan dengan tindakan apply_security_profile_group akan membuat entri tabel pelacakan koneksi firewall sehingga paket masuk dan keluar dicegat oleh endpoint firewall atau grup endpoint pencegat.

Anda tidak dapat membuat aturan dengan tindakan apply_security_profile_group dalam kebijakan firewall jaringan regional. Kebijakan firewall sistem regional tidak mendukung aturan dengan tindakan ini.
goto_next

Berhenti mengevaluasi aturan lain dalam kebijakan firewall, dan mengevaluasi aturan pada langkah berikutnya dalam urutan evaluasi aturan dan kebijakan firewall.

Langkah berikutnya dalam urutan evaluasi kebijakan dan aturan firewall mungkin berupa evaluasi aturan dalam kebijakan firewall lain atau aturan firewall implisit.

Penegakan

Anda dapat memilih apakah aturan kebijakan firewall diterapkan dengan menyetel statusnya ke aktif atau nonaktif. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.

Protocols and ports

Mirip dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58.

Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokolnya.

Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Logging

Logging untuk aturan kebijakan firewall berfungsi sama seperti logging aturan firewall VPC VPC, kecuali untuk hal berikut:

  • Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan tingkat resource tempat kebijakan dilampirkan. Misalnya, 0 berarti kebijakan diterapkan ke organisasi, dan 1 berarti kebijakan diterapkan ke folder tingkat teratas dalam organisasi.

  • Log untuk aturan kebijakan firewall mencakup kolom target_resource yang mengidentifikasi jaringan VPC tempat aturan berlaku.

  • Logging hanya dapat diaktifkan untuk aturan allow,deny, dan apply_security_profile_group; logging tidak dapat diaktifkan untuk aturan goto_next.

  • Saat Anda mengaktifkan logging untuk aturan yang menggunakan tindakan apply_security_profile_group, Cloud NGFW akan membuat satu entri log saat mencegat sesi traffic dan mengalihkan traffic ke endpoint firewall untuk pemeriksaan paket mendalam. Entri log ini mengonfirmasi bahwa aturan firewall cocok dengan traffic dan berhasil mengalihkannya ke endpoint firewall. Untuk mengetahui informasi selengkapnya, lihat Ringkasan logging aturan kebijakan firewall.

  • Endpoint firewall melakukan pemeriksaan paket mendalam, seperti layanan deteksi dan pencegahan penyusupan serta layanan pemfilteran URL, dan membuat kumpulan lognya sendiri. Log ini memberikan informasi mendetail tentang koneksi dalam sesi yang dicegat, yang mencantumkan ancaman atau tindakan pemfilteran URL yang terdeteksi. Log deep packet inspection ini dapat menghasilkan beberapa entri log per sesi.

Target, sumber, tujuan

Parameter target, sumber, dan tujuan bekerja sama untuk menentukan cakupan aturan firewall.

  • Parameter target: mengidentifikasi resource yang menerapkan aturan firewall.

  • Parameter sumber dan tujuan: menentukan kriteria traffic. Anda dapat menentukan keduanya untuk aturan ingress dan egress. Opsi yang valid untuk parameter sumber dan tujuan bergantung pada parameter target dan arah aturan firewall.

Target

Parameter target type dan satu atau beberapa parameter target menentukan target aturan firewall. Target aturan firewall ini adalah resource yang dilindungi oleh aturan firewall.

  • Jika jenis target tidak disertakan atau disetel ke INSTANCES, aturan firewall berlaku untuk antarmuka jaringan instance Compute Engine, termasuk node Google Kubernetes Engine dan instance lingkungan fleksibel App Engine. Aturan ingress dan egress didukung.

    Untuk menentukan antarmuka jaringan VM yang menerapkan aturan firewall, gunakan parameter target:

  • Jika jenis target ditetapkan ke INTERNAL_MANAGED_LB (Pratinjau), aturan firewall berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Hanya aturan masuk yang didukung.

    • Jika Anda menghapus parameter target aturan penerusan, aturan firewall berlaku untuk target load balancer terluas.

    • Untuk membatasi aturan firewall ke satu load balancer, gunakan parameter aturan penerusan target. Untuk mengetahui informasi selengkapnya, lihat Target tertentu.

Target instance terluas

Target instance terluas bergantung pada jenis kebijakan firewall:

  • Target instance terluas untuk aturan dalam kebijakan firewall hierarkis: semua antarmuka jaringan VM dalam subnet di region mana pun dari jaringan VPC mana pun yang berada dalam project di bawah node Resource Manager (folder atau organisasi) yang terkait dengan kebijakan firewall hierarkis.

  • Target instance terluas untuk aturan dalam kebijakan firewall jaringan global: semua antarmuka jaringan VM dalam subnet di region mana pun dari jaringan VPC yang terkait dengan kebijakan firewall jaringan global.

  • Target instance terluas untuk aturan dalam kebijakan firewall jaringan regional: semua antarmuka jaringan VM dalam subnet di dalam region dan jaringan VPC yang terkait dengan kebijakan firewall jaringan regional.

Target load balancer terluas

Kebijakan firewall jaringan regional adalah satu-satunya kebijakan yang aturannya mendukung target load balancer. Target load balancer terluas adalah aturan penerusan untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal di region kebijakan dan jaringan VPC terkait.

Target spesifik

Tabel berikut mencantumkan parameter target, kebijakan firewall yang mendukung aturan dengan setiap parameter, dan jenis target aturan yang didukung. Jika Anda tidak menentukan parameter target, aturan akan menggunakan target instance terluas atau target load balancer terluas, berdasarkan jenis target aturan. Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Parameter target Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Menargetkan resource jaringan VPC

Daftar satu atau beberapa jaringan VPC yang ditentukan dengan menggunakan parameter target-resources. Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang berada di setidaknya salah satu jaringan VPC yang ditentukan.
Akun layanan target

Daftar satu atau beberapa akun layanan yang ditentukan menggunakan parameter target-service-accounts. Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang termasuk dalam instance VM yang terkait dengan setidaknya salah satu akun layanan yang ditentukan.
Menargetkan nilai tag aman dari kunci tag dengan tujuan jaringan data

Aturan yang menggunakan parameter target-secure-tags yang berisi daftar satu atau beberapa nilai tag dari kunci tag yang purpose-data menentukan satu jaringan VPC.

Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di jaringan VPC yang cocok dengan purpose-data kunci tag.
  • Antarmuka ini termasuk dalam VM yang terikat dengan nilai tag.

Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall.
Menargetkan nilai tag aman dari kunci tag dengan data tujuan organisasi

Aturan yang menggunakan parameter target-secure-tags yang berisi daftar satu atau beberapa nilai tag dari kunci tag yang purpose-data-nya adalah organization=auto.

Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di jaringan VPC mana pun dalam organisasi.
  • Antarmuka ini termasuk dalam VM yang terikat dengan nilai tag.

Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall.
Targetkan aturan penerusan Pratinjau

Satu aturan penerusan untuk Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal yang ditentukan dalam format aturan penerusan target. Parameter ini mempersempit target load balancer terluas ke Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal tertentu.

Kombinasi target tertentu

Aturan yang mendukung parameter target-resources dapat menggabungkannya dengan parameter target lain untuk membuat kombinasi parameter target. Tabel berikut mencantumkan kombinasi parameter target yang didukung, kebijakan firewall yang mendukung aturan dengan setiap parameter, dan jenis target aturan yang didukung. Jika Anda tidak menentukan parameter target, aturan akan menggunakan target instance terluas atau target load balancer terluas, berdasarkan jenis target aturan.

Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Kombinasi parameter target Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Kombinasi resource jaringan VPC target dan akun layanan target

Aturan yang menggunakan parameter target-resources dan target-service-accounts.

Kombinasi ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di setidaknya salah satu jaringan VPC yang ditentukan dalam target-resources.
  • Antarmuka ini termasuk dalam instance VM yang terkait dengan setidaknya salah satu akun layanan yang ditentukan.
Kombinasi resource jaringan VPC target dan nilai tag aman target

Aturan yang menggunakan parameter target-resources dan target-secure-tags. Nilai tag harus berasal dari kunci tag yang purpose-data-nya adalah organization=auto.

Kombinasi ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di setidaknya salah satu jaringan VPC yang ditentukan dalam target-resources.
  • Antarmuka ini termasuk dalam VM yang terikat dengan nilai tag.

Format aturan penerusan target

Jika jenis target aturan firewall ditetapkan ke INTERNAL_MANAGED_LB (Pratinjau), parameter aturan penerusan target menerima nilai dalam format berikut:

  • Untuk Load Balancer Aplikasi internal regional dan Load Balancer Jaringan proxy internal regional:

    • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
    • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

  • Untuk Load Balancer Aplikasi internal lintas region dan Load Balancer Jaringan proxy internal lintas region:

    • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
    • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Target dan alamat IP untuk aturan ingress

Jika jenis target aturan firewall tidak ada atau ditetapkan ke INSTANCES, aturan akan berlaku untuk paket yang dirutekan ke antarmuka jaringan VM target.

  • Jika aturan firewall traffic masuk mencakup rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.

  • Jika aturan firewall masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut dari setiap VM target:

    • Alamat IPv4 internal utama yang ditetapkan ke NIC instance.

    • Rentang alamat IP alias yang dikonfigurasi pada NIC instance.

    • Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, tempat instance direferensikan oleh instance target.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (next-hop-instance atau next-hop-address) sebagai VM next hop.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (next-hop-ilb) sebagai next hop jika VM adalah backend untuk load balancer tersebut.

Jika jenis target aturan firewall ditetapkan ke INTERNAL_MANAGED_LB (Pratinjau), aturan tersebut akan memfilter paket yang dirutekan ke proxy Envoy terkelola yang terkait dengan Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Saat menggunakan rentang IP tujuan dalam aturan ingress, pastikan rentang tersebut mencakup alamat IP aturan penerusan load balancer yang relevan.

Target dan alamat IP untuk aturan egress

Jika jenis target aturan firewall tidak disertakan atau ditetapkan ke INSTANCES, aturan akan berlaku untuk paket yang dikeluarkan oleh antarmuka jaringan VM target.

  • Jika VM target menonaktifkan penerusan IP (default), VM hanya dapat mengeluarkan paket dengan sumber berikut:

    • Alamat IPv4 internal utama NIC instance.

    • Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol. Ini valid jika instance adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.

    Jika aturan firewall keluar mencakup rentang alamat IP sumber, VM target masih dibatasi ke alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring sumber. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak pernah memperluas kumpulan kemungkinan alamat sumber paket.

    Jika aturan firewall keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.

  • Jika penerusan IP diaktifkan di VM target, VM dapat memancarkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan secara lebih tepat kumpulan sumber paket yang diizinkan.

Sumber

Nilai parameter sumber bergantung pada arah aturan firewall.

Sumber untuk aturan ingress

Tabel ini mencantumkan parameter sumber untuk aturan ingress, kebijakan firewall yang mendukung setiap parameter, dan jenis target aturan yang kompatibel dengan setiap parameter. Anda harus menentukan setidaknya satu parameter sumber. Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Parameter sumber aturan ingress Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Rentang alamat IP sumber

Daftar yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat sumber

Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber

Daftar satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Mendapatkan nilai tag aman dari kunci tag dengan data tujuan jaringan

Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya menentukan satu jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall dan Cara tag aman sumber menyiratkan sumber paket.
Mendapatkan nilai tag aman dari kunci tag dengan data tujuan organisasi

Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya adalah organization=auto. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall dan Cara tag aman sumber menyiratkan sumber paket.
Geolokasi sumber

Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi
Daftar Google Threat Intelligence sumber

Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Konteks jaringan sumber

Batasan yang menentukan batas keamanan. Nilai yang valid bergantung pada jenis target aturan. Untuk mengetahui informasi selengkapnya, lihat Konteks jaringan.
Kombinasi sumber aturan ingress

Dalam satu aturan ingress, Anda dapat menggunakan dua atau lebih parameter sumber untuk menghasilkan kombinasi sumber. Cloud NGFW menerapkan batasan berikut pada kombinasi sumber setiap aturan ingress:

  • Rentang alamat IP sumber harus berisi CIDR IPv4 atau IPv6, bukan keduanya.
  • Grup alamat sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
  • Rentang alamat IP sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
  • Rentang alamat IP sumber yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv4.
  • Konteks jaringan internet tidak dapat digunakan dengan tag aman sumber.
  • Konteks non-internet, konteks jaringan VPC, dan konteks antar-VPC tidak dapat digunakan dengan daftar Google Threat Intelligence sumber atau geolokasi sumber.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan masuk yang menggunakan kombinasi sumber:

  • Jika kombinasi sumber tidak menyertakan konteks jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan setidaknya satu parameter sumber dalam kombinasi sumber.

  • Jika kombinasi sumber mencakup konteks jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan konteks jaringan sumber dan setidaknya salah satu parameter sumber lainnya dalam kombinasi sumber.

Cara tag aman sumber menyiratkan sumber paket

Aturan firewall masuk dapat menggunakan nilai tag aman sumber jika jenis targetnya dihilangkan atau ditetapkan ke INSTANCES. Nilai tag aman mengidentifikasi antarmuka jaringan, bukan karakteristik paket seperti alamat IP.

Paket yang dikirim dari antarmuka jaringan instance VM cocok dengan aturan traffic masuk yang menggunakan nilai tag aman sumber sesuai dengan aturan berikut:

  • Jika aturan ingress berada dalam kebijakan jaringan regional, instance VM harus berada di zona dengan region yang sama dengan kebijakan firewall jaringan regional. Jika tidak, instance VM dapat berada di zona mana pun.

  • Instance VM harus dikaitkan dengan nilai tag aman yang sama yang digunakan sebagai tag aman sumber dalam aturan firewall traffic masuk.

  • Nilai tag aman yang terkait dengan instance VM dan digunakan oleh aturan firewall masuk harus berasal dari kunci tag yang atribut purpose-data-nya mengidentifikasi setidaknya satu jaringan VPC yang berisi antarmuka jaringan instance VM:

    • Jika data tujuan kunci tag menentukan satu jaringan VPC, aturan firewall masuk yang menggunakan nilai tag aman sumber berlaku untuk antarmuka jaringan instance VM yang berada di jaringan VPC tersebut.

    • Jika data tujuan kunci tag menentukan organisasi, aturan firewall masuk yang menggunakan nilai tag aman sumber berlaku untuk antarmuka jaringan instance VM yang berada di jaringan VPC mana pun dalam organisasi.

  • Antarmuka jaringan VM yang diidentifikasi harus memenuhi salah satu kriteria berikut:

    • Antarmuka jaringan VM berada di jaringan VPC yang sama dengan jaringan VPC tempat kebijakan firewall diterapkan.

    • Antarmuka jaringan VM berada di jaringan VPC yang terhubung, menggunakan Peering Jaringan VPC, ke jaringan VPC tempat kebijakan firewall berlaku.

    • Jaringan VPC yang digunakan oleh antarmuka jaringan VM dan jaringan VPC tempat kebijakan firewall diterapkan adalah spoke VPC di hub NCC yang sama.

Untuk mengetahui informasi selengkapnya tentang tag aman untuk firewall, lihat Spesifikasi.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan keluar dalam kebijakan firewall hierarkis dan kebijakan firewall jaringan:

  • Default—tersirat oleh target: jika Anda menghilangkan parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.

  • Rentang alamat IPv4 sumber: daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 sumber: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:

  • Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

  • Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan keluar, maka parameter tujuan di-resolve ke versi IP yang sama dengan versi IP sumber.

    Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 dalam parameter sumber dan objek FQDN dalam parameter tujuan. Jika FQDN di-resolve menjadi alamat IPv4 dan IPv6, hanya alamat IPv4 yang di-resolve yang digunakan selama penegakan aturan.

Tujuan

Nilai parameter tujuan bergantung pada arah aturan firewall.

Tujuan untuk aturan ingress

Anda dapat menggunakan tujuan berikut untuk aturan firewall ingress dalam kebijakan firewall hierarkis dan jaringan:

  • Default—tersirat oleh target: jika Anda menghilangkan parameter tujuan dari aturan ingress, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan ingress.

  • Rentang alamat IPv4 tujuan: daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 tujuan: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:

  • Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

  • Jika Anda telah menentukan parameter sumber dan tujuan dalam aturan ingress, parameter sumber akan di-resolve ke versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan ingress, lihat Sumber untuk aturan ingress dalam kebijakan firewall hierarkis dan Sumber untuk aturan ingress dalam kebijakan firewall jaringan.

    Misalnya, dalam aturan ingress, Anda memiliki rentang alamat IPv6 di parameter tujuan dan kode negara geolokasi di parameter sumber. Selama penerapan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.

Tujuan untuk aturan traffic keluar

Tabel ini mencantumkan parameter tujuan untuk aturan keluar, kebijakan firewall yang mendukung setiap parameter, dan jenis target aturan yang kompatibel dengan setiap parameter. Anda harus menentukan setidaknya satu parameter tujuan. Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Parameter tujuan aturan keluar Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Rentang alamat IP tujuan

Daftar yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat tujuan

Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan kebijakan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain tujuan

Daftar yang berisi satu atau beberapa nama domain tujuan. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Geolokasi tujuan

Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence tujuan

Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Konteks jaringan tujuan

Batasan yang menentukan batas keamanan.
Kombinasi tujuan aturan keluar

Dalam satu aturan keluar, Anda dapat menggunakan dua atau lebih parameter tujuan untuk menghasilkan kombinasi tujuan. Cloud NGFW menerapkan batasan berikut pada kombinasi tujuan setiap aturan keluar:

  • Rentang alamat IP tujuan harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
  • Anda tidak dapat menggunakan grup alamat tujuan yang berisi CIDR IPv4 dengan grup alamat tujuan yang berisi CIDR IPv6.
  • Anda tidak dapat menggunakan rentang alamat IP tujuan yang berisi CIDR IPv4 dengan grup alamat tujuan yang berisi CIDR IPv6.
  • Anda tidak dapat menggunakan rentang alamat IP tujuan yang berisi CIDR IPv6 dengan grup alamat tujuan yang berisi CIDR IPv4.
  • Anda tidak dapat menggunakan daftar Google Threat Intelligence tujuan atau geolokasi tujuan dengan konteks jaringan non-internet tujuan.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan keluar yang menggunakan kombinasi tujuan:

  • Jika kombinasi tujuan tidak menyertakan konteks jaringan tujuan, paket cocok dengan aturan keluar jika cocok dengan setidaknya satu parameter tujuan dalam kombinasi tujuan.

  • Jika kombinasi tujuan mencakup konteks jaringan tujuan, paket cocok dengan aturan keluar jika cocok dengan konteks jaringan tujuan dan setidaknya salah satu parameter tujuan lainnya dalam kombinasi tujuan.

Langkah berikutnya