Urutan evaluasi untuk kebijakan dan aturan firewall

Urutan evaluasi aturan kebijakan firewall menentukan prioritas dan Urutan evaluasi aturan kebijakan firewall menentukan prioritas dan urutan saat Google Cloud mengevaluasi aturan di seluruh kebijakan jaringan Anda. Memahami urutan evaluasi aturan membantu Anda mengonfigurasi batas keamanan yang efektif, mencegah akses yang tidak diinginkan, dan memecahkan masalah alur traffic. Dokumen ini menjelaskan cara Google Cloud mengevaluasi aturan firewall di seluruh jaringan Virtual Private Cloud (VPC) Anda.

Dokumen ini ditujukan untuk administrator jaringan, engineer keamanan, dan arsitek keamanan yang mengonfigurasi dan memecahkan masalah keamanan jaringan dan kebijakan firewall.

Google Cloud mendukung dua urutan penerapan kebijakan firewall jaringan yang mengontrol cara aturan dievaluasi relatif terhadap aturan firewall VPC klasik:

  • AFTER_CLASSIC_FIREWALL (default): Mengevaluasi aturan firewall VPC klasik sebelum mengevaluasi kebijakan firewall jaringan global dan regional.

  • BEFORE_CLASSIC_FIREWALL: Mengevaluasi kebijakan firewall jaringan global dan regional sebelum mengevaluasi aturan firewall VPC klasik.

Sebelum membaca dokumen ini, Anda harus memahami kebijakan firewall hierarkis, kebijakan firewall jaringan regional, kebijakan firewall jaringan global, dan aturan firewall Virtual Private Cloud (VPC).

Urutan penerapan kebijakan firewall jaringan

Jaringan VPC dapat menggunakan salah satu perintah penerapan kebijakan firewall jaringan berikut:

  • AFTER_CLASSIC_FIREWALL (default): Cloud NGFW mengevaluasi kebijakan dan aturan firewall dalam urutan berikut:

    1. Kebijakan firewall hierarkis
    2. Kebijakan firewall sistem regional
    3. Aturan firewall VPC
    4. Kebijakan firewall jaringan global
    5. Kebijakan firewall jaringan regional
    6. Tindakan tersirat
  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW mengevaluasi kebijakan dan aturan firewall dalam urutan berikut:

    1. Kebijakan firewall hierarkis
    2. Kebijakan firewall sistem regional
    3. Kebijakan firewall jaringan global
    4. Kebijakan firewall jaringan regional
    5. Aturan firewall VPC
    6. Tindakan tersirat

Untuk mengubah urutan penerapan kebijakan firewall jaringan, lakukan salah satu hal berikut:

  • Gunakan metode networks.patch dan tetapkan atribut networkFirewallPolicyEnforcementOrder jaringan VPC.

  • Gunakan perintah gcloud compute networks update dengan flag --network-firewall-policy-enforcement-order.

    Contoh:

    gcloud compute networks update VPC_NETWORK_NAME \
        --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER
    

Proses evaluasi aturan firewall

Bagian ini menjelaskan urutan evaluasi aturan oleh Cloud NGFW yang berlaku untuk target resource di jaringan VPC reguler.

Setiap aturan firewall adalah aturan ingress atau aturan egress, berdasarkan arah traffic:

  • Aturan masuk berlaku untuk paket koneksi baru yang diterima oleh resource target. Target resource yang didukung untuk aturan ingress adalah sebagai berikut:

    • Antarmuka jaringan instance virtual machine (VM).

    • Proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal (Pratinjau).

  • Aturan keluar berlaku untuk paket koneksi baru yang dikirim oleh antarmuka jaringan VM target.

Cloud NGFW selalu mengevaluasi aturan dalam kebijakan firewall hierarkis dan kebijakan firewall sistem regional sebelum mengevaluasi aturan firewall lainnya. Anda mengontrol urutan evaluasi aturan firewall lainnya oleh Cloud NGFW dengan memilih urutan penerapan kebijakan firewall jaringan. Urutan penerapan kebijakan firewall jaringan dapat berupa AFTER_CLASSIC_FIREWALL atau BEFORE_CLASSIC_FIREWALL.

Urutan penerapan kebijakan firewall jaringan AFTER_CLASSIC_FIREWALL

Jika urutan penerapan kebijakan firewall jaringan adalah AFTER_CLASSIC_FIREWALL, Cloud NGFW mengevaluasi aturan dalam kebijakan firewall jaringan global dan regional setelah mengevaluasi aturan firewall VPC. Ini adalah urutan evaluasi default.

Dalam jaringan VPC reguler yang menggunakan urutan penerapan AFTER_CLASSIC_FIREWALL, urutan evaluasi aturan firewall lengkap adalah sebagai berikut:

  1. Kebijakan firewall hierarkis.

    Cloud NGFW mengevaluasi kebijakan firewall hierarkis dalam urutan berikut:

    1. Kebijakan firewall hierarkis yang terkait dengan organisasi yang berisi resource target.
    2. Kebijakan firewall hierarkis yang terkait dengan folder induk, dari folder tingkat teratas hingga folder yang berisi project resource target.

    Saat mengevaluasi aturan dalam setiap kebijakan firewall hierarkis, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall hierarkis, paling banyak satu aturan yang dapat cocok dengan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • apply_security_profile_group: aturan meneruskan traffic ke endpoint firewall yang dikonfigurasi, dan semua evaluasi aturan berhenti. Keputusan untuk mengizinkan atau membuang paket bergantung pada profil keamanan yang dikonfigurasi dari grup profil keamanan.
    • goto_next: evaluasi aturan dilanjutkan ke salah satu hal berikut:
      • Kebijakan firewall hierarkis yang dikaitkan dengan ancestor folder yang lebih dekat ke resource target, jika ada.
      • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall hierarkis telah dievaluasi.

    Jika tidak ada aturan dalam kebijakan firewall hierarkis yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_next tersirat. Tindakan ini melanjutkan evaluasi ke salah satu dari berikut:

    • Kebijakan firewall hierarkis yang dikaitkan dengan ancestor folder yang lebih dekat ke resource target, jika ada.
    • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall hierarkis telah dievaluasi.

  2. Kebijakan firewall sistem regional.

    Saat mengevaluasi aturan kebijakan firewall sistem regional, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall sistem regional, paling banyak satu aturan yang dapat mencocokkan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • goto_next: evaluasi aturan berlanjut ke
      • Kebijakan firewall sistem regional dengan prioritas asosiasi tertinggi berikutnya, jika ada.
      • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall sistem regional telah dievaluasi.

    Jika tidak ada aturan dalam kebijakan firewall sistem regional yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_nextimplied. Tindakan ini melanjutkan evaluasi ke salah satu dari berikut:

    • Kebijakan firewall sistem regional dengan prioritas asosiasi tertinggi berikutnya, jika ada.
    • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall sistem regional telah dievaluasi.

  3. VPC firewall rules.

    Saat mengevaluasi aturan firewall VPC, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Jika satu atau dua aturan firewall VPC cocok dengan traffic, tindakan jika cocok aturan firewall dapat berupa salah satu dari berikut ini:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.

    Jika dua aturan cocok, keduanya harus memiliki prioritas yang sama tetapi tindakan yang berbeda. Dalam kasus ini, Cloud NGFW menerapkan aturan firewall VPC deny, dan mengabaikan aturan firewall VPC allow.

    Jika tidak ada aturan firewall VPC yang cocok dengan traffic, Cloud NGFW menggunakan tindakan goto_next tersirat untuk melanjutkan ke langkah berikutnya dalam urutan evaluasi.

  4. Kebijakan firewall jaringan global.

    Saat mengevaluasi aturan dalam kebijakan firewall jaringan global, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall jaringan global, paling banyak satu aturan yang dapat mencocokkan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • apply_security_profile_group: aturan meneruskan traffic ke endpoint firewall yang dikonfigurasi, dan semua evaluasi aturan berhenti. Keputusan untuk mengizinkan atau membuang paket bergantung pada profil keamanan yang dikonfigurasi dari grup profil keamanan.
    • goto_next: evaluasi aturan berlanjut ke langkah kebijakan firewall jaringan regional dalam urutan evaluasi.

    Jika tidak ada aturan dalam kebijakan firewall jaringan global yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_next tersirat. Tindakan ini melanjutkan evaluasi ke langkah kebijakan firewall jaringan regional dalam urutan evaluasi.

  5. Kebijakan firewall jaringan regional.

    Cloud NGFW mengevaluasi aturan dalam kebijakan firewall jaringan regional yang terkait dengan region dan jaringan VPC resource target.

    Saat mengevaluasi aturan dalam kebijakan firewall jaringan regional, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall jaringan regional, paling banyak satu aturan yang dapat mencocokkan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • goto_next: evaluasi aturan berlanjut ke langkah berikutnya dalam urutan evaluasi.

    Jika tidak ada aturan dalam kebijakan firewall jaringan regional yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_next yang tersirat. Tindakan ini melanjutkan evaluasi ke langkah berikutnya dalam urutan evaluasi.

  6. Langkah terakhir—tindakan tersirat.

    Cloud NGFW menerapkan tindakan tersirat jika evaluasi aturan firewall telah dilanjutkan melalui setiap langkah sebelumnya dengan mengikuti tindakan goto_next eksplisit atau implisit. Tindakan yang tersirat bergantung pada arah traffic:

    • Untuk traffic masuk, tindakan yang tersirat juga bergantung pada target resource:

      • Jika resource target adalah antarmuka jaringan instance VM, tindakan masuk yang tersirat adalah deny.

      • Jika resource target adalah aturan penerusan Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal, tindakan ingress yang tersirat adalah allow.

    • Untuk traffic keluar, tindakan yang tersirat adalah allow.

Diagram AFTER_CLASSIC_FIREWALL

Diagram berikut menggambarkan urutan penerapan kebijakan firewall jaringan AFTER_CLASSIC_FIREWALL:

Alur penyelesaian aturan firewall.
Gambar 1. Alur penyelesaian aturan firewall jika urutan penerapan kebijakan firewall jaringan adalah AFTER_CLASSIC_FIREWALL (klik untuk memperbesar).

Urutan penerapan kebijakan firewall jaringan BEFORE_CLASSIC_FIREWALL

Jika urutan penerapan kebijakan firewall jaringan adalah BEFORE_CLASSIC_FIREWALL, Cloud NGFW mengevaluasi aturan dalam kebijakan firewall jaringan global dan regional sebelum mengevaluasi aturan firewall VPC.

Dalam jaringan VPC reguler yang menggunakan urutan penerapan BEFORE_CLASSIC_FIREWALL, urutan evaluasi aturan firewall lengkap adalah sebagai berikut:

  1. Kebijakan firewall hierarkis.

    Cloud NGFW mengevaluasi kebijakan firewall hierarkis dalam urutan berikut:

    1. Kebijakan firewall hierarkis yang terkait dengan organisasi yang berisi resource target.
    2. Kebijakan firewall hierarkis yang terkait dengan folder induk, dari folder tingkat teratas hingga folder yang berisi project resource target.

    Saat mengevaluasi aturan dalam setiap kebijakan firewall hierarkis, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall hierarkis, paling banyak satu aturan yang dapat cocok dengan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • apply_security_profile_group: aturan meneruskan traffic ke endpoint firewall yang dikonfigurasi, dan semua evaluasi aturan berhenti. Keputusan untuk mengizinkan atau membuang paket bergantung pada profil keamanan yang dikonfigurasi dari grup profil keamanan.
    • goto_next: evaluasi aturan dilanjutkan ke salah satu hal berikut:
      • Kebijakan firewall hierarkis yang dikaitkan dengan ancestor folder yang lebih dekat ke resource target, jika ada.
      • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall hierarkis telah dievaluasi.

    Jika tidak ada aturan dalam kebijakan firewall hierarkis yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_next tersirat. Tindakan ini melanjutkan evaluasi ke salah satu dari berikut:

    • Kebijakan firewall hierarkis yang dikaitkan dengan ancestor folder yang lebih dekat ke resource target, jika ada.
    • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall hierarkis telah dievaluasi.

  2. Kebijakan firewall sistem regional.

    Saat mengevaluasi aturan kebijakan firewall sistem regional, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall sistem regional, paling banyak satu aturan yang dapat mencocokkan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • goto_next: evaluasi aturan berlanjut ke
      • Kebijakan firewall sistem regional dengan prioritas asosiasi tertinggi berikutnya, jika ada.
      • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall sistem regional telah dievaluasi.

    Jika tidak ada aturan dalam kebijakan firewall sistem regional yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_nextimplied. Tindakan ini melanjutkan evaluasi ke salah satu dari berikut:

    • Kebijakan firewall sistem regional dengan prioritas asosiasi tertinggi berikutnya, jika ada.
    • Langkah berikutnya dalam urutan evaluasi, jika semua kebijakan firewall sistem regional telah dievaluasi.

  3. Kebijakan firewall jaringan global.

    Saat mengevaluasi aturan dalam kebijakan firewall jaringan global, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall jaringan global, paling banyak satu aturan yang dapat mencocokkan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • apply_security_profile_group: aturan meneruskan traffic ke endpoint firewall yang dikonfigurasi, dan semua evaluasi aturan berhenti. Keputusan untuk mengizinkan atau membuang paket bergantung pada profil keamanan yang dikonfigurasi dari grup profil keamanan.
    • goto_next: evaluasi aturan berlanjut ke langkah kebijakan firewall jaringan regional dalam urutan evaluasi.

    Jika tidak ada aturan dalam kebijakan firewall jaringan global yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_next tersirat. Tindakan ini melanjutkan evaluasi ke langkah kebijakan firewall jaringan regional dalam urutan evaluasi.

  4. Kebijakan firewall jaringan regional.

    Cloud NGFW mengevaluasi aturan dalam kebijakan firewall jaringan regional yang terkait dengan region dan jaringan VPC resource target.

    Saat mengevaluasi aturan dalam kebijakan firewall jaringan regional, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Dalam kebijakan firewall jaringan regional, paling banyak satu aturan yang dapat mencocokkan traffic. Tindakan pada pencocokan aturan firewall dapat berupa salah satu dari berikut:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.
    • goto_next: evaluasi aturan berlanjut ke langkah berikutnya dalam urutan evaluasi.

    Jika tidak ada aturan dalam kebijakan firewall jaringan regional yang cocok dengan traffic, Cloud NGFW akan menggunakan tindakan goto_next yang tersirat. Tindakan ini melanjutkan evaluasi ke langkah berikutnya dalam urutan evaluasi.

  5. VPC firewall rules.

    Saat mengevaluasi aturan firewall VPC, Cloud NGFW melakukan langkah-langkah berikut:

    1. Abaikan semua aturan yang targetnya tidak cocok dengan resource target.
    2. Mengabaikan semua aturan yang tidak cocok dengan arah paket.
    3. Evaluasi aturan yang tersisa dari prioritas tertinggi hingga terendah.

      Evaluasi berhenti jika salah satu kondisi berikut terpenuhi:

      • Aturan yang berlaku untuk resource target cocok dengan traffic.
      • Tidak ada aturan yang berlaku untuk resource target yang cocok dengan traffic.

    Jika satu atau dua aturan firewall VPC cocok dengan traffic, tindakan jika cocok aturan firewall dapat berupa salah satu dari berikut ini:

    • allow: aturan mengizinkan traffic, dan semua evaluasi aturan berhenti.
    • deny: aturan menolak traffic, dan semua evaluasi aturan berhenti.

    Jika dua aturan cocok, keduanya harus memiliki prioritas yang sama tetapi tindakan yang berbeda. Dalam kasus ini, Cloud NGFW menerapkan aturan firewall VPC deny, dan mengabaikan aturan firewall VPC allow.

    Jika tidak ada aturan firewall VPC yang cocok dengan traffic, Cloud NGFW menggunakan tindakan goto_next tersirat untuk melanjutkan ke langkah berikutnya dalam urutan evaluasi.

  6. Langkah terakhir—tindakan tersirat.

    Cloud NGFW menerapkan tindakan tersirat jika evaluasi aturan firewall telah dilanjutkan melalui setiap langkah sebelumnya dengan mengikuti tindakan goto_next eksplisit atau implisit. Tindakan yang tersirat bergantung pada arah traffic:

    • Untuk traffic masuk, tindakan yang tersirat juga bergantung pada target resource:

      • Jika resource target adalah antarmuka jaringan instance VM, tindakan masuk yang tersirat adalah deny.

      • Jika resource target adalah aturan penerusan Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal, tindakan ingress yang tersirat adalah allow.

    • Untuk traffic keluar, tindakan yang tersirat adalah allow.

Diagram BEFORE_CLASSIC_FIREWALL

Diagram berikut menggambarkan urutan penerapan kebijakan firewall jaringan BEFORE_CLASSIC_FIREWALL:

Alur penyelesaian aturan firewall.
Gambar 2. Alur penyelesaian aturan firewall jika urutan penerapan kebijakan firewall jaringan adalah BEFORE_CLASSIC_FIREWALL (klik untuk memperbesar).

Aturan firewall yang efektif

Aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global dan regional mengontrol koneksi. Anda mungkin akan terbantu dengan melihat semua aturan firewall yang memengaruhi jaringan atau antarmuka VM tertentu.

Aturan firewall efektif jaringan

Anda dapat melihat semua aturan firewall yang diterapkan ke jaringan VPC. Daftar ini mencakup semua jenis aturan berikut:

  • Aturan yang diwarisi dari kebijakan firewall hierarkis
  • Aturan firewall VPC
  • Aturan yang diterapkan dari kebijakan firewall jaringan global dan regional

Aturan firewall efektif instance

Anda dapat melihat semua aturan firewall yang diterapkan ke antarmuka jaringan VM. Daftar ini mencakup semua jenis aturan berikut:

  • Aturan yang diwarisi dari kebijakan firewall hierarkis
  • Aturan yang diterapkan dari firewall VPC antarmuka
  • Aturan yang diterapkan dari kebijakan firewall jaringan global dan regional

Aturan diurutkan dari tingkat organisasi hingga jaringan VPC. Hanya aturan yang berlaku untuk antarmuka VM yang ditampilkan. Aturan dalam kebijakan lain tidak ditampilkan.

Untuk melihat aturan kebijakan firewall yang efektif dalam suatu region, lihat Mendapatkan kebijakan firewall regional yang efektif untuk jaringan.

Langkah berikutnya