Menggunakan kebijakan dan aturan firewall jaringan global

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan global.

Tugas kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola kebijakan firewall jaringan global.

Membuat kebijakan firewall jaringan global

Saat membuat kebijakan firewall jaringan global menggunakan Google Cloud konsol, Anda dapat mengaitkan kebijakan dengan jaringan Virtual Private Cloud (VPC) selama pembuatan. Jika Anda membuat kebijakan menggunakan Google Cloud CLI, Anda harus mengaitkan kebijakan dengan jaringan setelah membuat kebijakan.

Jaringan VPC yang terkait dengan kebijakan firewall jaringan global harus berada dalam project yang sama dengan kebijakan firewall jaringan global.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dalam daftar pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Policy name, masukkan nama untuk kebijakan.

  5. Untuk Cakupan deployment, pilih Global.

  6. Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan.

  7. Di bagian Tambahkan aturan, klik Buat aturan firewall.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

  8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan.

  9. Di bagian Kaitkan kebijakan dengan jaringan, klik Kaitkan.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

  10. Klik Create.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama kebijakan
  • DESCRIPTION: deskripsi kebijakan

Mengaitkan kebijakan dengan jaringan

Saat Anda mengaitkan kebijakan firewall dengan jaringan VPC, semua aturan dalam kebijakan firewall, kecuali aturan yang dinonaktifkan, berlaku untuk jaringan VPC.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan pengaitan.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan.
  • NETWORK_NAME: nama jaringan Anda.
  • ASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.

Menghapus kaitan

Jika Anda perlu mengubah kebijakan firewall jaringan global yang terkait dengan jaringan VPC, sebaiknya kaitkan kebijakan baru terlebih dahulu, bukan menghapus kebijakan terkait yang ada. Anda dapat mengaitkan kebijakan baru dalam satu langkah, yang membantu memastikan bahwa kebijakan firewall jaringan global selalu dikaitkan dengan jaringan VPC.

Untuk menghapus hubungan antara kebijakan firewall jaringan global dan jaringan VPC, ikuti langkah-langkah yang disebutkan di bagian ini. Aturan dalam kebijakan firewall jaringan global tidak berlaku untuk koneksi baru setelah kaitannya dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus atribusi.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Menjelaskan kebijakan firewall jaringan global

Anda dapat melihat detail tentang kebijakan firewall jaringan global, termasuk aturan kebijakan dan atribut aturan terkait. Semua atribut aturan ini dihitung sebagai bagian dari kuota atribut aturan. Untuk mengetahui informasi selengkapnya, lihat "Atribut aturan per kebijakan firewall jaringan global" dalam tabel Per kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Memperbarui deskripsi kebijakan firewall jaringan global

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Di kolom Deskripsi, ubah teks.

  6. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Mencantumkan kebijakan firewall jaringan global

Anda dapat melihat daftar kebijakan yang tersedia di project Anda.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

    Bagian Network firewall policies menampilkan kebijakan yang tersedia di project Anda.

gcloud 

gcloud compute network-firewall-policies list --global

Menghapus kebijakan firewall jaringan global

Sebelum dapat menghapus kebijakan firewall jaringan global, Anda harus menghapus semua asosiasinya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus atribusi.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

Tugas aturan kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola aturan kebijakan firewall jaringan global.

Buat aturan

Setiap aturan dalam kebijakan firewall jaringan global adalah aturan traffic masuk atau aturan traffic keluar dengan prioritas unik. Untuk mengetahui detail tentang parameter lain dari aturan, termasuk kombinasi sumber dan kombinasi tujuan yang valid, lihat Aturan kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

  3. Klik nama kebijakan global Anda.

  4. Di tab Firewall rules, klik Create firewall rule.

  5. Isi kolom aturan:

    1. Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
    2. Untuk Direction of traffic, pilih ingress atau egress.
    3. Untuk Action on match, pilih salah satu opsi berikut:
      1. Izinkan: mengizinkan koneksi yang cocok dengan aturan.
      2. Tolak: menolak koneksi yang cocok dengan aturan.
      3. Go to next: meneruskan evaluasi koneksi ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Terapkan grup profil keamanan: mengirimkan paket ke endpoint firewall yang dikonfigurasi untuk inspeksi dan pencegahan Lapisan 7.
        • Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
    4. Setel pengumpulan Logs ke On atau Off.

    5. Tentukan target aturan. Pilih salah satu opsi berikut untuk kolom Target:

      • Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih Terapkan ke semua.
      • Jika Anda ingin aturan diterapkan ke instance tertentu menurut akun layanan terkait, pilih Akun layanan terlebih dahulu, lalu di Cakupan akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau di project lain, dan di kolom Akun layanan target, pilih atau ketik nama akun layanan.

      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan tag aman, pilih Tag aman.

        • Klik Pilih cakupan untuk tag, lalu pilih organisasi atau project tempat Anda ingin membuat tag yang aman. Masukkan pasangan nilai kunci yang akan menerapkan aturan.
        • Untuk menambahkan lebih banyak pasangan nilai kunci, klik Tambahkan tag.

    6. Untuk aturan ingress, tentukan jenis jaringan sumber:

      • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
      • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan intra VPC (INTRA_VPC), pilih Intra VPC.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan VPC (VPC_NETWORKS), pilih Jaringan VPC, lalu tentukan satu atau beberapa jaringan menggunakan tombol berikut:
          • Select current project: memungkinkan Anda menambahkan satu atau beberapa jaringan dari project saat ini.
          • Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan secara manual.
          • Pilih project: memungkinkan Anda memilih project yang dapat digunakan untuk memilih jaringan. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

    7. Untuk aturan keluar, tentukan jenis jaringan tujuan:

      • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
      • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
        • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
        • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

    8. Untuk aturan masuk, tentukan filter sumber:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.

      • Untuk membatasi sumber menurut tag aman, di bagian Tag aman, klik Pilih cakupan untuk tag.

        • Pilih organisasi atau project yang ingin Anda buat tag-nya. Masukkan pasangan nilai kunci yang akan diterapkan aturan.
        • Untuk menambahkan lebih banyak pasangan nilai kunci, klik Tambahkan tag.

    9. Untuk aturan keluar, tentukan filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    10. Opsional: Jika Anda membuat aturan masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan egress, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek FQDN.

    11. Opsional: Jika Anda membuat aturan masuk, pilih geolokasi sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan keluar, pilih geolokasi tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    12. Opsional: Jika Anda membuat aturan ingress, pilih grup alamat sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan keluar, pilih grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    13. Opsional: Jika Anda membuat aturan ingress, pilih daftar Google Cloud Threat Intelligence sumber yang akan diterapkan aturan ini. Jika Anda membuat aturan keluar, pilih daftar tujuan Google Cloud Threat Intelligence yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    14. Opsional: Untuk aturan ingress, tentukan filter tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke dalam kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke dalam kolom Destination IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    15. Opsional: Untuk aturan keluar, tentukan filter sumber:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.

    16. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang menerapkan aturan.

    17. Klik Create.

  6. Klik Create firewall rule untuk menambahkan aturan lain.

gcloud

Untuk membuat aturan ingress, gunakan perintah berikut:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall jaringan global yang berisi aturan baru.
  • DESCRIPTION: deskripsi opsional untuk aturan baru
  • ACTION: tentukan salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7. Jika tindakan ditetapkan ke apply_security_profile_group:
      • Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7.
      • Sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
    • goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
  • Parameter --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Pencatatan Log Aturan Firewall.
  • Parameter --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:
    • TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
    • Jika Anda menghilangkan parameter --target-secure-tags dan --target-service-accounts, aturan akan berlaku untuk target terluas.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Tentukan sumber untuk aturan ingress:
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
    • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan parameter --src-secure-tags jika --src-network-type adalahINTERNET.
    • SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan parameter --src-region-codes jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan parameter --src-threat-intelligence jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • SRC_NETWORK_TYPE: menentukan jenis jaringan sumber yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET, NON_INTERNET, VPC_NETWORK, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.
    • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma dan ditentukan oleh ID URL-nya. Tentukan parameter ini hanya jika --src-network-type adalah VPC_NETWORKS.
  • Secara opsional, tentukan tujuan untuk aturan masuk:
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Untuk membuat aturan keluar, gunakan perintah berikut:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall jaringan global yang berisi aturan baru.
  • DESCRIPTION: deskripsi opsional untuk aturan baru
  • ACTION: tentukan salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7. Jika tindakan ditetapkan ke apply_security_profile_group:
      • Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7.
      • Sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
    • goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
  • Parameter --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Pencatatan Log Aturan Firewall.
  • Parameter --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:
    • TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
    • Jika Anda menghilangkan parameter --target-secure-tags dan --target-service-accounts, aturan akan berlaku untuk target terluas.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Secara opsional, tentukan sumber untuk aturan keluar:
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • Tentukan tujuan untuk aturan keluar:
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya.
    • DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
    • DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
    • DEST_NETWORK_TYPE: menentukan jenis jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Memperbarui aturan

Untuk mengetahui deskripsi tanda, lihat Membuat aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah tanda yang ingin Anda ubah.

  7. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...flags you want to modify...]

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
  • POLICY_NAME: nama kebijakan yang berisi aturan

Menghapus aturan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
  • POLICY_NAME: kebijakan yang berisi aturan

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Meng-clone akan menyalin aturan dari kebijakan sumber ke kebijakan target, menggantikan semua aturan yang ada dalam kebijakan target.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang aturannya ingin Anda salin.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Jika Anda ingin mengaitkan kebijakan baru segera, klik Lanjutkan > Kaitkan.

  7. Di halaman Associate policy with VPC networks, pilih jaringan, lalu klik Associate.

  8. Klik Lanjutkan.

  9. Klik Clone.

gcloud 

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

  • TARGET_POLICY: nama kebijakan target
  • SOURCE_POLICY: URL kebijakan sumber

Mendapatkan aturan firewall efektif untuk jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang berlaku untuk semua region jaringan VPC.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

  3. Di halaman VPC network details, klik tab Firewalls.

  4. Untuk melihat aturan yang berlaku untuk jaringan ini, klik tab Tampilan aturan firewall.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

  • NETWORK_NAME: jaringan yang ingin Anda lihat aturan efektifnya.

Anda juga dapat melihat aturan firewall yang berlaku untuk jaringan dari halaman Firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall efektif untuk antarmuka VM

Anda dapat melihat semua aturan firewall—dari semua kebijakan firewall dan aturan firewall VPC yang berlaku—yang berlaku untuk antarmuka jaringan VM Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Di menu pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik nama antarmuka.

  5. Di bagian Analisis konfigurasi jaringan, klik tab Firewall.

  6. Untuk melihat aturan firewall yang berlaku, klik tab Tampilan aturan firewall.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
  • INTERFACE: antarmuka VM yang ingin Anda lihat aturan efektifnya; nilai defaultnya adalah nic0.
  • ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.