Menggunakan kebijakan dan aturan firewall jaringan global

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan global.

Tugas kebijakan firewall

Membuat kebijakan firewall jaringan global

Anda dapat membuat kebijakan untuk jaringan Virtual Private Cloud (VPC) apa pun dalam project Anda. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC apa pun dalam project Anda. Setelah kebijakan dikaitkan dengan jaringan VPC, aturan kebijakan akan aktif untuk instance virtual machine (VM) di jaringan terkait.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dalam daftar pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Policy name, masukkan nama untuk kebijakan.

  5. Untuk Cakupan deployment, pilih Global.

  6. Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan.

  7. Di bagian Tambahkan aturan, klik Buat aturan firewall.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall jaringan global.

  8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan.

  9. Di bagian Kaitkan kebijakan dengan jaringan, klik Kaitkan.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

  10. Klik Create.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama kebijakan
  • DESCRIPTION: deskripsi kebijakan

Mengaitkan kebijakan dengan jaringan

Kaitkan kebijakan dengan jaringan untuk mengaktifkan aturan kebijakan bagi VM apa pun dalam jaringan tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan pengaitan.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan.
  • NETWORK_NAME: nama jaringan Anda.
  • ASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.

Menjelaskan kebijakan firewall jaringan global

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut dalam semua aturan di kebijakan. Atribut ini dihitung dalam batas per organisasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Memperbarui deskripsi kebijakan firewall jaringan global

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Di kolom Deskripsi, ubah teks.

  6. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Mencantumkan kebijakan firewall jaringan global

Anda dapat melihat daftar kebijakan yang tersedia di project Anda.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

    Bagian Network firewall policies menampilkan kebijakan yang tersedia di project Anda.

gcloud 

gcloud compute network-firewall-policies list --global

Menghapus kebijakan firewall jaringan global

Anda harus menghapus semua asosiasi pada kebijakan firewall jaringan global sebelum Anda dapat menghapusnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus atribusi.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

  1. Mencantumkan semua jaringan yang terkait dengan kebijakan firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

  2. Menghapus asosiasi individu. Untuk menghapus asosiasi, Anda harus memiliki peran compute.SecurityAdmin pada kebijakan firewall jaringan global dan peran compute.networkAdmin pada jaringan VPC terkait.

    gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

  3. Hapus kebijakan:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Menghapus kaitan

Untuk menghentikan penerapan kebijakan firewall pada jaringan, hapus pengaitan.

Namun, jika Anda ingin menukar satu kebijakan firewall dengan kebijakan firewall lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan menyebabkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus atribusi.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tugas aturan kebijakan firewall

Membuat aturan firewall jaringan global

Aturan kebijakan firewall jaringan global harus dibuat dalam kebijakan firewall jaringan global. Aturan tidak aktif hingga Anda mengaitkan kebijakan yang berisi aturan tersebut dengan jaringan VPC.

Setiap aturan kebijakan firewall jaringan global dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

  3. Klik nama kebijakan global Anda.

  4. Di tab Firewall rules, klik Create firewall rule.

  5. Isi kolom aturan:

    1. Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
    2. Untuk Direction of traffic, pilih ingress atau egress.
    3. Untuk Action on match, pilih salah satu opsi berikut:
      1. Izinkan: mengizinkan koneksi yang cocok dengan aturan.
      2. Tolak: menolak koneksi yang cocok dengan aturan.
      3. Go to next: meneruskan evaluasi koneksi ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Terapkan grup profil keamanan: mengirimkan paket ke endpoint firewall yang dikonfigurasi untuk inspeksi dan pencegahan Lapisan 7.
        • Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
    4. Setel pengumpulan Logs ke On atau Off.

    5. Tentukan target aturan. Pilih salah satu opsi berikut untuk kolom Target:

      • Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih Terapkan ke semua.
      • Jika Anda ingin aturan diterapkan ke instance tertentu menurut akun layanan terkait, pilih Akun layanan terlebih dahulu, lalu di Cakupan akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau di project lain, dan di kolom Akun layanan target, pilih atau ketik nama akun layanan.

      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan tag aman, pilih Tag aman.

        • Klik Pilih cakupan untuk tag, lalu pilih organisasi atau project tempat Anda ingin membuat tag yang aman. Masukkan pasangan nilai kunci yang akan menerapkan aturan.
        • Untuk menambahkan pasangan nilai kunci lainnya, klik Tambahkan tag.

    6. Untuk aturan ingress, tentukan filter sumber:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.

      • Untuk membatasi sumber menurut tag aman, di bagian Tag aman, klik Pilih cakupan untuk tag.

        • Pilih organisasi atau project yang ingin Anda buat tag-nya. Masukkan pasangan nilai kunci yang akan diterapkan aturan.
        • Untuk menambahkan pasangan nilai kunci lainnya, klik Tambahkan tag.

    7. Untuk aturan keluar, tentukan filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IPv6. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    8. Opsional: Jika Anda membuat aturan masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan egress, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek FQDN.

    9. Opsional: Jika Anda membuat aturan masuk, pilih geolokasi sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan keluar, pilih geolokasi tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    10. Opsional: Jika Anda membuat aturan ingress, pilih grup alamat sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan keluar, pilih grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    11. Opsional: Jika Anda membuat aturan ingress, pilih daftar sumber Google Cloud Threat Intelligence yang berlaku untuk aturan ini. Jika Anda membuat aturan keluar, pilih daftar tujuan Google Cloud Threat Intelligence yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    12. Opsional: Untuk aturan ingress, tentukan filter tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke dalam kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke dalam kolom Destination IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    13. Opsional: Untuk aturan keluar, tentukan filter sumber:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom Rentang IPv6. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.

    14. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang menjadi target aturan.

    15. Klik Create.

  6. Klik Create firewall rule untuk menambahkan aturan lain.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan di kemudian hari (seperti 100, 200, 300).

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • apply_security_profile_group: mengirimkan paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan

  • POLICY_NAME: nama kebijakan firewall jaringan global

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang digunakan untuk inspeksi Layer 7; tentukan argumen ini hanya jika tindakan apply_security_profile_group dipilih

  • --tls-inspect: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakan apply_security_profile_group dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan --no-tls-inspect

  • TARGET_SECURE_TAG: daftar tag aman yang dipisahkan koma untuk menentukan target

  • SERVICE_ACCOUNT: daftar akun layanan yang dipisahkan koma untuk menentukan target

  • DIRECTION: menunjukkan apakah aturan adalah aturan INGRESS atau EGRESS; defaultnya adalah INGRESS

    • Sertakan --src-ip-ranges untuk menentukan rentang alamat IP untuk sumber traffic.
    • Sertakan --dest-ip-ranges untuk menentukan rentang alamat IP untuk tujuan traffic.

    Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.

  • SRC_NETWORK_TYPE: menunjukkan jenis traffic jaringan sumber yang aturan masuknya diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua jenis jaringan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

  • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma

    Anda dapat menggunakan --src-networks hanya jika --src-network-type ditetapkan ke VPC_NETWORKS.

  • DEST_NETWORK_TYPE: menunjukkan jenis traffic jaringan tujuan yang akan menerapkan aturan keluar. Anda dapat menyetel argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua jenis jaringan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

  • IP_RANGES: daftar rentang alamat IP berformat CIDR yang dipisahkan koma, baik semua rentang alamat IPv4 atau semua rentang alamat IPv6—misalnya:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: daftar Tag yang dipisahkan koma.

    Anda tidak dapat menggunakan tag aman sumber jika jenis jaringan disetel ke INTERNET.

  • COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma

    • Untuk arah masuk, tentukan kode negara dalam tanda --src-region-code. Anda tidak dapat menggunakan flag --src-region-code untuk arah keluar, atau saat --src-network-type ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, kode negara ditentukan dalam tanda --dest-region-code; Anda tidak dapat menggunakan tanda --dest-region-code untuk arah masuk

  • LIST_NAMES: daftar nama yang dipisahkan koma dari daftar Google Threat Intelligence

    • Untuk arah ingress, tentukan daftar Google Threat Intelligence sumber di tanda --src-threat-intelligence. Anda tidak dapat menggunakan flag --src-threat-intelligence untuk arah keluar, atau saat --src-network-type ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah traffic keluar, tentukan daftar Google Threat Intelligence tujuan dalam flag --dest-threat-intelligence; Anda tidak dapat menggunakan flag --dest-threat-intelligence untuk arah traffic masuk

  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah ingress, tentukan grup alamat sumber dalam flag --src-address-groups; Anda tidak dapat menggunakan flag --src-address-groups untuk arah egress
    • Untuk arah traffic keluar, tentukan grup alamat tujuan dalam flag --dest-address-groups; Anda tidak dapat menggunakan flag --dest-address-groups untuk arah traffic masuk

  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain

    • Untuk arah ingress, tentukan nama domain sumber dalam flag --src-fqdns; Anda tidak dapat menggunakan flag --src-fqdns untuk arah egress
    • Untuk arah traffic keluar, tentukan grup alamat tujuan dalam flag --dest-fqdns; Anda tidak dapat menggunakan flag --dest-fqdns untuk arah traffic masuk

  • PROTOCOL_PORT: daftar nama atau angka protokol yang dipisahkan koma (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Firewall Rules Logging untuk aturan tertentu

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak dipertimbangkan saat memproses koneksi; menghilangkan tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall jaringan global.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini secara unik mengidentifikasi suatu aturan
  • POLICY_NAME: nama kebijakan yang berisi aturan

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • POLICY_NAME: kebijakan yang berisi aturan

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang aturannya ingin Anda salin.

  4. Klik Clone di bagian atas layar.

  5. Berikan nama kebijakan target.

  6. Jika Anda ingin mengaitkan kebijakan baru segera, klik Lanjutkan > Kaitkan.

  7. Di halaman Associate policy with VPC networks, pilih jaringan, lalu klik Associate.

  8. Klik Lanjutkan.

  9. Klik Clone.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Ganti kode berikut:

  • POLICY_NAME: kebijakan target yang ingin Anda ganti aturannya dengan aturan yang di-clone.
  • SOURCE_POLICY: URL resource untuk kebijakan sumber tempat Anda ingin meng-clone aturan.

Mendapatkan aturan firewall efektif untuk jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

  3. Di halaman VPC network details, klik tab Firewalls.

  4. Untuk melihat aturan yang berlaku untuk jaringan ini, klik tab Tampilan aturan firewall.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

  • NETWORK_NAME: jaringan yang ingin Anda lihat aturan efektifnya.

Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall efektif untuk antarmuka VM

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Di menu pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik nama antarmuka.

  5. Di bagian Analisis konfigurasi jaringan, klik tab Firewall.

  6. Untuk melihat aturan firewall yang berlaku, klik tab Tampilan aturan firewall.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM yang ingin Anda lihat aturan efektifnya; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
  • INTERFACE: antarmuka VM yang ingin Anda lihat aturan efektifnya; nilai defaultnya adalah nic0.
  • ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.