Menggunakan kebijakan dan aturan firewall jaringan global

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Dalam daftar pemilih project, pilih project Anda dalam organisasi Anda.

3. Klik Create firewall policy.

4. Di kolom Policy name, masukkan nama untuk kebijakan.

5. Untuk Cakupan deployment, pilih Global.

6. Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan.

7. Di bagian Tambahkan aturan, klik Buat aturan firewall. Untuk mengetahui informasi selengkapnya tentang cara membuat aturan firewall, lihat artikel berikut:

   • Membuat aturan ingress untuk target VM
   • Membuat aturan keluar untuk target VM

8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan.

9. Di bagian Kaitkan kebijakan dengan jaringan, klik Kaitkan.

   Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

10. Klik Create.

gcloud

gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --global

Ganti kode berikut:

• NETWORK_FIREWALL_POLICY_NAME: nama kebijakan
• DESCRIPTION: deskripsi kebijakan

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

3. Klik kebijakan Anda.

4. Klik tab Pengaitan.

5. Klik Tambahkan pengaitan.

6. Pilih jaringan dalam project.

7. Klik Kaitkan.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ganti kode berikut:

• POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan.
• NETWORK_NAME: nama jaringan Anda.
• ASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project atau folder yang berisi kebijakan.

3. Klik kebijakan Anda.

4. Klik tab Pengaitan.

5. Pilih pengaitan yang ingin Anda hapus.

6. Klik Hapus atribusi.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

3. Klik kebijakan Anda.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

3. Klik kebijakan Anda.

4. Klik Edit.

5. Di kolom Deskripsi, ubah teks.

6. Klik Simpan.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

   Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia di project Anda.

gcloud

gcloud compute network-firewall-policies list --global

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

3. Klik kebijakan yang ingin Anda hapus.

4. Klik tab Pengaitan.

5. Pilih semua pengaitan.

6. Klik Hapus atribusi.

7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Dalam daftar pemilih project, pilih project yang berisi kebijakan firewall jaringan global.

3. Di bagian Network firewall policies, klik nama kebijakan firewall jaringan global tempat Anda ingin membuat aturan.

4. Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:

   1. Prioritas: urutan evaluasi numerik aturan.

      Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.

   2. Deskripsi: berikan deskripsi opsional.

   3. Direction of traffic: pilih Ingress.

   4. Action on match: pilih salah satu opsi berikut:

      • Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
      • Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
      • Lanjutkan: untuk melanjutkan proses evaluasi aturan firewall.
      • Terapkan grup profil keamanan: mengirimkan paket ke endpoint firewall atau grup endpoint pencegatan berdasarkan Tujuan yang Anda pilih.
        • Untuk mengirim paket ke endpoint firewall Cloud NGFW, pilih Cloud NGFW Enterprise, lalu pilih Grup profil keamanan. Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
        • Untuk mengirim paket ke grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band, pilih NSI In-Band, lalu pilih Security profile group.

   5. Logs: pilih On untuk mengaktifkan logging aturan firewall atau Off untuk menonaktifkan logging aturan firewall untuk aturan ini.

   6. Target: pilih salah satu opsi berikut:

      • Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
      • Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan:
        • Di bagian Cakupan akun layanan, pilih Di project ini > Akun layanan target. Tujuannya adalah untuk menentukan akun layanan dalam project yang sama dengan kebijakan firewall jaringan global.
        • Di bagian Service account scope, pilih In another project > Target service account. Tindakan ini dilakukan untuk menentukan akun layanan di project layanan VPC Bersama.
      • Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. Klik Pilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan nilai tag lainnya, klik Tambahkan tag.

   7. Jenis jaringan sumber: tentukan jenis jaringan:

      • Untuk melewati pemfilteran traffic masuk menurut jenis jaringan, pilih Semua jenis jaringan.
      • Untuk memfilter traffic masuk ke jenis jaringan tertentu, pilih Jenis jaringan tertentu, lalu pilih jenis jaringan:
        • Internet: traffic masuk harus cocok dengan Internet network type for ingress packets.
        • Non-internet: traffic masuk harus cocok dengan jenis jaringan Non-internet untuk paket masuk.
        • Intra VPC: traffic masuk harus cocok dengan Kriteria untuk jenis jaringan intra-VPC.
        • Jaringan VPC: traffic masuk harus cocok dengan Kriteria untuk jenis jaringan VPC. Anda harus memilih minimal satu jaringan VPC:
          • Pilih project saat ini: memungkinkan Anda menambahkan satu atau beberapa jaringan VPC dari project yang berisi kebijakan firewall.
          • Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan VPC secara manual.
          • Pilih project: memungkinkan Anda memilih project yang akan digunakan untuk memilih jaringan VPC.

   8. Filter sumber: tentukan parameter sumber tambahan. Beberapa parameter sumber tidak dapat digunakan bersama, dan pilihan jenis jaringan sumber membatasi parameter sumber yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan ingress dan Kombinasi sumber aturan ingress.

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.
      • Untuk memfilter traffic masuk menurut nilai tag aman sumber, pilih Pilih cakupan untuk tag di bagian Tag aman. Kemudian, berikan kunci tag dan nilai tag. Untuk menambahkan nilai tag lainnya, klik Tambahkan tag.
      • Untuk memfilter traffic masuk menurut FQDN sumber, masukkan FQDN di kolom FQDNs. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
      • Untuk memfilter traffic masuk menurut geolokasi sumber, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
      • Untuk memfilter traffic masuk menurut grup alamat sumber, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
      • Untuk memfilter traffic masuk menurut daftar Google Threat Intelligence sumber, pilih satu atau beberapa daftar Google Threat Intelligence dari kolom Google Cloud Threat Intelligence. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

   9. Tujuan: tentukan parameter tujuan opsional. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan masuk.

      • Untuk melewati pemfilteran traffic masuk menurut alamat IP tujuan, pilih Tidak ada.
      • Untuk memfilter traffic masuk berdasarkan alamat IP tujuan, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 sumber atau rentang IPv6 sumber.

   10. Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

   11. Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:

       • Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
       • Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.

5. Klik Create.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ganti kode berikut:

• PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
• POLICY_NAME: nama kebijakan firewall jaringan global tempat Anda ingin membuat aturan.
• PROJECT_ID: project ID yang berisi kebijakan firewall jaringan global.
• DESCRIPTION: deskripsi opsional untuk aturan baru.
• ACTION: tentukan salah satu tindakan berikut:
  • allow: mengizinkan koneksi yang cocok dengan aturan.
  • deny: menolak koneksi yang cocok dengan aturan.
  • goto_next: melanjutkan proses evaluasi aturan firewall.
  • apply_security_profile_group: mengirim paket ke endpoint firewall atau grup endpoint intersepsi.
    • Jika tindakan adalah apply_security_profile_group, Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan.
    • Profil keamanan grup profil keamanan dapat mereferensikan endpoint firewall Cloud NGFW atau grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band.
    • Jika profil keamanan grup profil keamanan mereferensikan endpoint firewall Cloud NGFW, sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
• Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Firewall Rules Logging.
• Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
• Tentukan target:
  • Jika Anda tidak menyertakan flag --target-secure-tags dan --target-service-accounts, Cloud NGFW akan menggunakan target instance terluas.
  • TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.
  • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
• LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut ini:
  • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
  • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
  • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
• Tentukan sumber untuk aturan ingress. Untuk mengetahui informasi selengkapnya, lihat Kombinasi sumber aturan ingress:
  • SRC_NETWORK_TYPE: menentukan jenis jaringan sumber yang akan digunakan bersama dengan parameter sumber lain yang didukung untuk menghasilkan kombinasi sumber. Nilai yang valid saat --target-type=INSTANCES adalah: INTERNET, NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.
  • SRC_VPC_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh ID URL-nya. Tentukan flag ini hanya jika --src-network-type adalah VPC_NETWORKS.
  • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL unik. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
  • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
  • SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan flag --src-secure-tags jika --src-network-type adalah INTERNET.
  • SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan flag --src-region-codes jika --src-network-type adalah NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan flag --src-threat-intelligence jika --src-network-type adalah NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC.
• Secara opsional, tentukan tujuan untuk aturan ingress:
  • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Dalam daftar pemilih project, pilih project yang berisi kebijakan firewall jaringan global.

3. Di bagian Network firewall policies, klik nama kebijakan firewall jaringan global tempat Anda ingin membuat aturan.

4. Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:

   1. Prioritas: urutan evaluasi numerik aturan.

      Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.

   2. Deskripsi: berikan deskripsi opsional.

   3. Direction of traffic: pilih Egress.

   4. Action on match: pilih salah satu opsi berikut:

      • Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
      • Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
      • Lanjutkan: untuk melanjutkan proses evaluasi aturan firewall.
      • Terapkan grup profil keamanan: mengirimkan paket ke endpoint firewall atau grup endpoint pencegatan berdasarkan Tujuan yang Anda pilih.
        • Untuk mengirim paket ke endpoint firewall Cloud NGFW, pilih Cloud NGFW Enterprise, lalu pilih Grup profil keamanan. Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
        • Untuk mengirim paket ke grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band, pilih NSI In-Band, lalu pilih Security profile group.

   5. Logs: pilih On untuk mengaktifkan logging aturan firewall atau Off untuk menonaktifkan logging aturan firewall untuk aturan ini.

   6. Target: pilih salah satu opsi berikut:

      • Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
      • Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan:
        • Di bagian Cakupan akun layanan, pilih Di project ini > Akun layanan target. Tujuannya adalah untuk menentukan akun layanan dalam project yang sama dengan kebijakan firewall jaringan global.
        • Di bagian Service account scope, pilih In another project > Target service account. Tindakan ini dilakukan untuk menentukan akun layanan di project layanan VPC Bersama.
      • Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. Klik Pilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan nilai tag lainnya, klik Tambahkan tag.

   7. Jenis jaringan tujuan: tentukan jenis jaringan:

      • Untuk melewati pemfilteran traffic keluar menurut jenis jaringan, pilih Semua jenis jaringan.
      • Untuk memfilter traffic keluar ke jenis jaringan tertentu, pilih Jenis jaringan tertentu, lalu pilih jenis jaringan:
        • Internet: traffic keluar harus cocok dengan jenis jaringan Internet untuk paket keluar.
        • Non-internet: traffic keluar harus cocok dengan Jenis jaringan non-internet untuk paket keluar.

   8. Filter tujuan: tentukan parameter tujuan tambahan. Beberapa parameter tujuan tidak dapat digunakan bersama, dan pilihan jenis jaringan tujuan membatasi filter tujuan yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan egress dan Kombinasi tujuan aturan egress.

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.
      • Untuk memfilter traffic keluar menurut FQDN tujuan, masukkan FQDN di kolom FQDN. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
      • Untuk memfilter traffic keluar menurut geolokasi tujuan, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
      • Untuk memfilter traffic keluar menurut grup alamat tujuan, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
      • Untuk memfilter traffic keluar menurut daftar Google Threat Intelligence tujuan, pilih satu atau beberapa daftar Google Threat Intelligence dari kolom Google Cloud Threat Intelligence. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

   9. Sumber: tentukan parameter sumber opsional. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.

      • Untuk melewati pemfilteran traffic keluar menurut alamat IP sumber, pilih Tidak ada.
      • Untuk memfilter traffic keluar berdasarkan alamat IP sumber, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 tujuan atau rentang IPv6 tujuan.

   10. Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

   11. Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:

       • Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
       • Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.

5. Klik Create.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --global-firewall-policy \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ganti kode berikut:

• PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
• POLICY_NAME: nama kebijakan firewall jaringan global tempat Anda ingin membuat aturan.
• PROJECT_ID: project ID yang berisi kebijakan firewall jaringan global.
• DESCRIPTION: deskripsi opsional untuk aturan baru.
• ACTION: tentukan salah satu tindakan berikut:
  • allow: mengizinkan koneksi yang cocok dengan aturan.
  • deny: menolak koneksi yang cocok dengan aturan.
  • goto_next: melanjutkan proses evaluasi aturan firewall.
  • apply_security_profile_group: mengirim paket ke endpoint firewall atau grup endpoint intersepsi.
    • Jika tindakan adalah apply_security_profile_group, Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan.
    • Profil keamanan grup profil keamanan dapat mereferensikan endpoint firewall Cloud NGFW atau grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band.
    • Jika profil keamanan grup profil keamanan mereferensikan endpoint firewall Cloud NGFW, sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
• Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Firewall Rules Logging.
• Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
• Tentukan target:
  • Jika Anda tidak menyertakan flag --target-secure-tags dan --target-service-accounts, Cloud NGFW akan menggunakan target instance terluas.
  • TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.
  • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
• LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut ini:
  • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
  • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
  • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
• Tentukan tujuan untuk aturan keluar. Untuk mengetahui informasi selengkapnya, lihat Kombinasi tujuan aturan egress:
  • DEST_NETWORK_TYPE: menentukan jenis jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk informasi selengkapnya, lihat Jenis jaringan.
  • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL unik.
  • DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
  • DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
  • DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
• Secara opsional, tentukan sumber untuk aturan keluar:
  • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

3. Klik nama kebijakan firewall jaringan global yang berisi aturan yang akan diperbarui.

4. Klik prioritas aturan.

5. Klik Edit.

6. Ubah kolom aturan firewall yang ingin Anda ubah. Untuk deskripsi setiap kolom, lihat salah satu hal berikut:

   • Membuat aturan ingress untuk target VM
   • Membuat aturan keluar untuk target VM

7. Klik Simpan.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

Ganti kode berikut:

• PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
• POLICY_NAME: nama kebijakan yang berisi aturan.

Berikan tanda yang ingin Anda ubah. Untuk deskripsi tanda, lihat salah satu hal berikut:

• Membuat aturan masuk untuk target VM
• Membuat aturan keluar untuk target VM

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

3. Klik kebijakan Anda.

4. Klik prioritas aturan.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Ganti kode berikut:

• PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
• POLICY_NAME: nama kebijakan yang berisi aturan.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

3. Klik kebijakan Anda.

4. Pilih aturan yang ingin Anda hapus.

5. Klik Hapus.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

Ganti kode berikut:

• PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
• POLICY_NAME: nama kebijakan yang berisi aturan.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

3. Klik kebijakan yang aturannya ingin Anda salin.

4. Klik Clone di bagian atas layar.

5. Berikan nama kebijakan target.

6. Jika Anda ingin mengaitkan kebijakan baru segera, klik Lanjutkan > Kaitkan.

7. Di halaman Associate policy with VPC networks, pilih jaringan, lalu klik Associate.

8. Klik Lanjutkan.

9. Klik Clone.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

• TARGET_POLICY: nama kebijakan target.
• SOURCE_POLICY: URL kebijakan sumber.

Konsol

1. Di konsol Google Cloud , buka halaman VPC networks.

   Buka VPC networks

2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

3. Di halaman VPC network details, klik tab Firewalls.

4. Untuk melihat aturan yang berlaku untuk jaringan ini, klik tab Tampilan aturan firewall.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti NETWORK_NAME dengan jaringan yang ingin Anda lihat aturan efektifnya.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.

   Buka Firewall policies

2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Konsol

1. Di konsol Google Cloud , buka halaman VM instances.

   Buka instance VM

2. Di menu pemilih project, pilih project yang berisi VM.

3. Klik VM.

4. Untuk Network interfaces, klik nama antarmuka.

5. Di bagian Analisis konfigurasi jaringan, klik tab Firewall.

6. Untuk melihat aturan firewall yang berlaku, klik tab Tampilan aturan firewall.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

• INSTANCE_NAME: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
• INTERFACE: antarmuka VM yang ingin Anda lihat aturan efektifnya; nilai defaultnya adalah nic0.
• ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.