Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan kebijakan dan aturan firewall jaringan regional

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Kebijakan firewall jaringan regional.

Tugas kebijakan firewall

Bagian ini menjelaskan cara membuat, mengaitkan, dan mengelola kebijakan firewall jaringan regional.

Membuat kebijakan firewall jaringan regional

Saat membuat kebijakan firewall jaringan regional menggunakan konsol Google Cloud , Anda dapat mengaitkan kebijakan dengan region dan jaringan Virtual Private Cloud (VPC) selama pembuatan. Jika membuat kebijakan menggunakan Google Cloud CLI, Anda harus mengaitkan kebijakan dengan region dan jaringan setelah membuat kebijakan.

Jaringan VPC yang terkait dengan kebijakan firewall jaringan regional harus berada dalam project yang sama dengan kebijakan firewall jaringan regional.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.create

Peran

Compute Security Admin (roles/compute.securityAdmin) di project tempat Anda ingin membuat kebijakan

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda dalam organisasi Anda.
Klik Create firewall policy.
Di kolom Policy name, masukkan nama kebijakan.
Untuk Cakupan deployment, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.
Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan.
Di bagian Tambahkan aturan, klik Buat aturan firewall.

Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.
Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan.
Di bagian Kaitkan kebijakan dengan jaringan, klik Kaitkan.

Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
Klik Create.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Ganti kode berikut:

NETWORK_FIREWALL_POLICY_NAME: nama kebijakan
DESCRIPTION: deskripsi kebijakan
REGION_NAME: region untuk kebijakan

Mengaitkan kebijakan dengan jaringan

Anda dapat mengaitkan kebijakan firewall jaringan regional dengan region jaringan VPC dan menerapkan aturan dalam kebijakan ke region jaringan tersebut.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.use
compute.networks.setFirewallPolicy

Peran

Compute Network Admin (roles/compute.networkAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall atau
Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.
Klik kebijakan Anda.
Klik tab Pengaitan.
Klik Tambahkan pengaitan.
Pilih jaringan dalam project.
Klik Kaitkan.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan.
NETWORK_NAME: nama jaringan terkait.
ASSOCIATION_NAME: nama opsional untuk asosiasi. Jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.
REGION_NAME: region untuk kebijakan.

Menghapus kaitan

Untuk menghentikan penerapan kebijakan firewall pada jaringan, hapus pengaitan.

Namun, jika Anda ingin menukar satu kebijakan firewall dengan kebijakan firewall lain, Anda tidak perlu menghapus asosiasi yang ada terlebih dahulu. Menghapus pengaitan tersebut akan menyebabkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Untuk menghapus asosiasi antara kebijakan firewall jaringan regional dan region jaringan VPC, ikuti langkah-langkah yang disebutkan di bagian ini. Aturan dalam kebijakan firewall jaringan regional tidak berlaku untuk koneksi baru setelah pengaitannya dihapus.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.use

Peran

Compute Security Admin (roles/compute.securityAdmin) di project yang berisi jaringan

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Pilih pengaitan yang ingin Anda hapus.
Klik Hapus atribusi.

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Menjelaskan kebijakan firewall jaringan regional

Anda dapat melihat detail tentang kebijakan firewall jaringan regional, termasuk aturan kebijakan dan atribut aturan terkait. Semua atribut aturan ini dihitung sebagai bagian dari kuota atribut aturan. Untuk mengetahui informasi selengkapnya, lihat "Atribut aturan per kebijakan firewall jaringan regional" dalam tabel Per kebijakan firewall. Selain itu, Anda dapat melihat prioritas asosiasi jaringan VPC yang ada.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.get

Peran

Compute Network Admin (roles/compute.networkAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall atau
Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan regional.
Klik kebijakan Anda.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Memperbarui deskripsi kebijakan firewall jaringan regional

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.update

Peran

Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan regional.
Klik kebijakan Anda.
Klik Edit.
Di kolom Deskripsi, ubah deskripsi.
Klik Simpan.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Mencantumkan kebijakan firewall jaringan regional

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.list

Peran

Compute Network Admin (roles/compute.networkAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall atau
Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan.

Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia di project Anda.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Menghapus kebijakan firewall jaringan regional

Sebelum dapat menghapus kebijakan firewall jaringan regional, Anda harus menghapus semua asosiasinya.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.delete

Peran

Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan.
Klik kebijakan yang ingin Anda hapus.
Klik tab Pengaitan.
Pilih semua pengaitan.
Klik Hapus atribusi.
Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Tugas aturan kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola aturan kebijakan firewall jaringan regional.

Buat aturan

Setiap aturan dalam kebijakan firewall jaringan regional adalah aturan traffic masuk atau aturan traffic keluar dengan prioritas unik. Untuk mengetahui detail tentang parameter lain dari suatu aturan, termasuk kombinasi sumber dan kombinasi tujuan yang valid, lihat Aturan kebijakan firewall.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.update

Peran

Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.
Klik nama kebijakan regional Anda.
Untuk Firewall Rules, klik Create firewall rule.
Isi kolom aturan:
1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
2. Setel pengumpulan Logs ke On atau Off.
3. Untuk Direction of traffic, pilih Ingress atau Egress.
4. Untuk Tindakan saat kecocokan, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Izinkan), ditolak (Tolak), atau apakah evaluasi koneksi diteruskan ke aturan firewall berikutnya yang lebih rendah dalam hierarki (Lanjutkan ke berikutnya).
5. Tentukan Target aturan.
  - Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih Terapkan ke semua.
  - Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau project lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.
  - Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan tag aman, pilih Tag aman.
    - Klik Pilih cakupan untuk tag, lalu pilih organisasi atau project tempat Anda ingin membuat pasangan nilai kunci tag yang aman. Masukkan pasangan nilai kunci yang akan menerapkan aturan.
    - Untuk menambahkan lebih banyak pasangan nilai kunci, klik Tambahkan tag.
6. Untuk aturan ingress, tentukan jenis jaringan sumber (Pratinjau):
  - Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
  - Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
    - Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
    - Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet.
    - Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan intra VPC (INTRA_VPC), pilih Intra VPC.
    - Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan VPC (VPC_NETWORKS), pilih Jaringan VPC, lalu tentukan satu atau beberapa jaringan menggunakan tombol berikut:
      - Select current project: memungkinkan Anda menambahkan satu atau beberapa jaringan dari project saat ini.
      - Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan secara manual.
      - Pilih project: memungkinkan Anda memilih project yang dapat digunakan untuk memilih jaringan. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.
7. Untuk aturan keluar, tentukan jenis jaringan tujuan:
  - Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
  - Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
    - Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
    - Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.
8. Untuk aturan Ingress, tentukan Source filter:
  - Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
  - Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.
  - Untuk membatasi sumber menurut tag aman, klik Pilih cakupan untuk tag di bagian Tag aman.
    - Pilih organisasi atau project tempat Anda ingin membuat tag. Masukkan pasangan nilai kunci yang akan diterapkan aturan.
    - Untuk menambahkan lebih banyak pasangan nilai kunci, klik Tambahkan tag.
9. Untuk aturan Egress, tentukan Filter tujuan:
  - Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
  - Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.
10. Opsional: Jika Anda membuat aturan Ingress, tentukan FQDN sumber yang akan diterapkan aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek FQDN.
11. Opsional: Jika Anda membuat aturan Ingress, pilih Geolokasi sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
12. Opsional: Jika Anda membuat aturan Ingress, pilih grup Alamat sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan Egress, pilih Grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
13. Opsional: Jika Anda membuat aturan Ingress, pilih daftar sumber Google Cloud Threat Intelligence yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang berlaku untuk aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
14. Opsional: Untuk aturan Ingress, tentukan filter Tujuan:
  - Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
  - Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke dalam kolom Destination IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
15. Opsional: Untuk aturan Egress, tentukan filter Source:
  - Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
  - Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR di kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.
16. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang berlaku.
17. Klik Create.
Klik Create firewall rule untuk menambahkan aturan lain.

gcloud

Untuk membuat aturan ingress, gunakan perintah berikut:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Ganti kode berikut:

PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari satu perbedaan (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
POLICY_NAME: nama kebijakan firewall jaringan regional yang berisi aturan baru.
POLICY_REGION: region kebijakan yang berisi aturan baru.
DESCRIPTION: deskripsi opsional untuk aturan baru
ACTION: tentukan salah satu tindakan berikut:
- allow: mengizinkan koneksi yang cocok dengan aturan.
- deny: menolak koneksi yang cocok dengan aturan.
- goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Firewall Rules Logging.
Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
Tentukan target:
- TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma.
- TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
- Jika Anda menghapus tanda --target-secure-tags dan --target-service-accounts, aturan akan berlaku untuk target terluas.
LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut ini:
- Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
- Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
- Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
Tentukan sumber untuk aturan ingress:
- SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
- SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
- SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
- SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan flag --src-secure-tags jika --src-network-type adalahINTERNET.
- SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan flag --src-region-codes jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
- SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan flag --src-threat-intelligence jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
- SRC_NETWORK_TYPE: menentukan jenis jaringan sumber yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET, NON_INTERNET, VPC_NETWORK, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.
- SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh ID URL-nya. Tentukan flag ini hanya jika --src-network-type adalah VPC_NETWORKS.
Secara opsional, tentukan tujuan untuk aturan masuk:
- DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Untuk membuat aturan keluar, gunakan perintah berikut:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Ganti kode berikut:

PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari satu perbedaan (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
POLICY_NAME: nama kebijakan firewall jaringan regional yang berisi aturan baru.
POLICY_REGION: region kebijakan yang berisi aturan baru.
DESCRIPTION: deskripsi opsional untuk aturan baru
ACTION: tentukan salah satu tindakan berikut:
- allow: mengizinkan koneksi yang cocok dengan aturan.
- deny: menolak koneksi yang cocok dengan aturan.
- goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Firewall Rules Logging.
Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
Tentukan target:
- TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma.
- TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
- Jika Anda menghapus tanda --target-secure-tags dan --target-service-accounts, aturan akan berlaku untuk target terluas.
LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut ini:
- Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
- Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
- Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
Secara opsional, tentukan sumber untuk aturan keluar (egress):
- SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
Tentukan tujuan untuk aturan keluar:
- DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
- DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya.
- DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
- DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
- DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
- DEST_NETWORK_TYPE: menentukan jenis jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Membuat aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

Anda dapat membuat aturan ingress dalam kebijakan firewall jaringan regional yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Proxy ini berada di subnet khusus proxy di region jaringan VPC.

Saat Anda membuat aturan yang berlaku untuk load balancer, pertimbangkan hal berikut:

Target: pada satu waktu, aturan firewall dapat diterapkan ke load balancer atau instance virtual machine (VM), tetapi tidak keduanya. Saat Anda menyetel flag --target-type ke INTERNAL_MANAGED_LB dan mengonfigurasi aturan firewall yang berlaku untuk load balancer, Anda hanya dapat menggunakan flag --target-forwarding-rules. Flag target lainnya tidak didukung.
Arah: saat Anda menyetel --target-type ke INTERNAL_MANAGED_LB, setel arah ke INGRESS. Traffic keluar diizinkan secara default. Anda tidak dapat membuat aturan firewall keluar jika tanda --target-type disetel ke INTERNAL_MANAGED_LB.
- Semua tujuan untuk aturan masuk (ingress) didukung.
- Semua sumber untuk aturan ingress didukung kecuali untuk berikut ini:
  - Sumber nilai tag aman (--src-secure-tags)
  - Geolokasi sumber (--src-region-codes)
  - Daftar Google Threat Intelligence sumber (--src-threat-intelligence)
Saat Anda menyetel flag --target-type ke INTERNAL_MANAGED_LB, proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal mengizinkan semua traffic ingress secara default. Untuk membatasi akses ke satu atau beberapa aturan penerusan load balancer, buat minimal dua aturan dengan tanda --target-type yang ditetapkan ke INTERNAL_MANAGED_LB:
- Aturan firewall penolakan ingress dengan prioritas lebih rendah dengan --src-ip-ranges=0.0.0.0/0.
- Aturan firewall izinkan masuk dengan prioritas yang lebih tinggi dengan --src-ip-ranges ditetapkan ke rentang alamat IP sumber yang disetujui.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --target-type INTERNAL_MANAGED_LB \
    --direction INGRESS \
    [--target-forwarding-rules FORWARDING_RULE_NAME] \
    --firewall-policy-region=REGION_NAME
    [...other fields you want to add...]

Ganti kode berikut:

PRIORITY: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
ACTION: salah satu tindakan berikut: * allow: mengizinkan koneksi yang cocok dengan aturan * deny: menolak koneksi yang cocok dengan aturan * goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
POLICY_NAME: nama kebijakan firewall jaringan regional
FORWARDING_RULE_NAME: nama satu aturan penerusan Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal. Anda harus menentukan nama menggunakan format yang didukung.

Jika Anda menyetel --target-type ke INTERNAL_MANAGED_LB dan menghilangkan flag --target-forwarding-rules, aturan firewall akan berlaku untuk semua aturan penerusan Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal di region dan jaringan VPC.
REGION_NAME: region kebijakan.

Untuk menerapkan aturan firewall ke proxy Envoy terkelola, tetapkan --target-type ke INTERNAL_MANAGED_LB. Jika Anda tidak menyertakan --target-type, aturan firewall diterapkan ke instance VM.

Untuk deskripsi tanda lain yang dapat Anda gunakan, lihat Membuat aturan. Untuk mengetahui langkah-langkahnya, lihat Menggunakan kebijakan firewall jaringan regional untuk melindungi Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal.

Membuat aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

Saat Anda membuat aturan yang berlaku untuk load balancer, pertimbangkan hal berikut:

Target: pada satu waktu, aturan firewall dapat berlaku untuk load balancer atau instance VM, tetapi tidak keduanya. Saat Anda menyetel flag --target-type ke INTERNAL_MANAGED_LB dan mengonfigurasi aturan firewall yang berlaku untuk load balancer, Anda hanya dapat menggunakan flag --target-forwarding-rules. Bendera target lainnya tidak didukung.
Arah: jika Anda menyetel --target-type ke INTERNAL_MANAGED_LB, setel arah ke INGRESS. Traffic keluar diizinkan secara default. Anda tidak dapat membuat aturan firewall keluar saat tanda --target-type disetel ke INTERNAL_MANAGED_LB.

Buat setidaknya dua aturan dengan --target-type yang ditetapkan ke INTERNAL_MANAGED_LB:
- Semua tujuan untuk aturan masuk (ingress) didukung.
- Semua sumber untuk aturan ingress didukung kecuali untuk yang berikut:
  - Sumber nilai tag aman (--src-secure-tags)
  - Geolokasi sumber (--src-region-codes)
  - Daftar Google Threat Intelligence sumber (--src-threat-intelligence)
Saat Anda menyetel flag --target-type ke INTERNAL_MANAGED_LB, proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal mengizinkan semua traffic ingress secara default. Untuk membatasi akses ke satu atau beberapa aturan penerusan load balancer,
- Aturan firewall penolakan ingress dengan prioritas lebih rendah dengan --src-ip-ranges=0.0.0.0/0.
- Aturan firewall izinkan masuk dengan prioritas yang lebih tinggi dengan --src-ip-ranges ditetapkan ke rentang alamat IP sumber yang disetujui.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --target-type INTERNAL_MANAGED_LB \
    --direction INGRESS \
    [--target-forwarding-rules FORWARDING_RULE_NAME] \
    --firewall-policy-region=REGION_NAME
    [...other fields you want to add...]

Ganti kode berikut:

PRIORITY: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
ACTION: salah satu tindakan berikut: * allow: mengizinkan koneksi yang cocok dengan aturan * deny: menolak koneksi yang cocok dengan aturan * goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
POLICY_NAME: nama kebijakan firewall jaringan regional
FORWARDING_RULE_NAME: nama satu aturan penerusan Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal. Anda harus menentukan nama menggunakan format yang didukung.

Jika Anda menyetel --target-type ke INTERNAL_MANAGED_LB dan menghilangkan flag --target-forwarding-rules, aturan firewall akan berlaku untuk semua aturan penerusan Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal di region dan jaringan VPC.
REGION_NAME: region kebijakan.

Untuk menerapkan aturan firewall ke proxy Envoy terkelola, tetapkan --target-type ke INTERNAL_MANAGED_LB. Jika Anda tidak menyertakan --target-type, aturan firewall diterapkan ke instance VM.

Memperbarui aturan

Untuk mengetahui deskripsi tanda, lihat Membuat aturan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.get
compute.regionFirewallPolicies.update

Peran

Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.
Klik Edit.
Ubah tanda yang ingin Anda ubah.
Klik Simpan.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

Memperbarui aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

Anda dapat memperbarui aturan ingress dalam kebijakan firewall jaringan regional yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Proxy Envoy terkelola ini berada di subnet khusus proxy di region jaringan VPC. Untuk mengetahui informasi tentang kombinasi tanda yang didukung, lihat Membuat aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal.

gcloud

gcloud beta compute network-firewall-policies rules update PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    --target-type INTERNAL_MANAGED_LB \
    --direction INGRESS \
    [--target-forwarding-rules FORWARDING_RULE_NAME] \
    --firewall-policy-region=REGION_NAME
    [...fields you want to modify...]

Ganti kode berikut:

PRIORITY: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
ACTION: salah satu tindakan berikut: * allow: mengizinkan koneksi yang cocok dengan aturan * deny: menolak koneksi yang cocok dengan aturan * goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
POLICY_NAME: nama kebijakan firewall jaringan regional.
FORWARDING_RULE_NAME: nama aturan penerusan load balancer dalam salah satu format yang didukung jika Anda menentukan --target-type sebagai INTERNAL_MANAGED_LB. Anda hanya dapat menentukan satu aturan penerusan.
REGION_NAME: region tempat Anda ingin menerapkan kebijakan.

Untuk menerapkan aturan firewall ke proxy Envoy terkelola, tetapkan --target-type ke INTERNAL_MANAGED_LB. Jika Anda tidak menyertakan --target-type, aturan firewall diterapkan ke instance VM.

Untuk deskripsi tanda lain yang dapat Anda gunakan, lihat Membuat aturan firewall jaringan. Untuk mengetahui langkah-langkahnya, lihat Menggunakan kebijakan firewall jaringan regional untuk melindungi Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal.

Mendeskripsikan aturan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.get

Peran

Compute Network Admin (roles/compute.networkAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall atau
Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik
POLICY_NAME: nama kebijakan yang berisi aturan
REGION_NAME: region kebijakan yang berisi aturan

Menghapus aturan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.update

Peran

Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan.
Klik kebijakan Anda.
Pilih aturan yang ingin Anda hapus.
Klik Hapus.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik
POLICY_NAME: kebijakan yang berisi aturan
REGION_NAME: region kebijakan yang berisi aturan

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Meng-clone akan menyalin aturan dari kebijakan sumber ke kebijakan target, menggantikan semua aturan yang ada dalam kebijakan target.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.regionFirewallPolicies.cloneRules

Peran

Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

Di konsol Google Cloud , buka halaman Firewall policies.

Buka Firewall policies
Di menu pemilih project, pilih project Anda yang berisi kebijakan.
Klik kebijakan yang ingin Anda salin aturannya.
Klik Clone di bagian atas layar.
Berikan nama kebijakan target.
Jika Anda ingin mengaitkan kebijakan baru segera, klik Lanjutkan > Kaitkan.
Di halaman Associate policy with VPC networks, pilih jaringan, lalu klik Associate.
Klik Lanjutkan.
Klik Clone.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

TARGET_POLICY: nama kebijakan target
TARGET_POLICY_REGION: region kebijakan target
SOURCE_POLICY: URL kebijakan sumber

Mendapatkan aturan firewall efektif untuk region jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, aturan kebijakan firewall jaringan global, dan aturan kebijakan firewall jaringan regional yang berlaku untuk region tertentu dari jaringan VPC.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Peran

Compute Network User (roles/compute.networkUser) di project yang berisi jaringan atau
Compute Network Viewer (roles/compute.networkViewer) di project yang berisi jaringan atau
Compute Security Admin (roles/compute.securityAdmin) di project yang berisi jaringan atau
Compute Viewer (roles/compute.viewer) di project yang berisi jaringan

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ganti kode berikut:

REGION_NAME: region yang ingin Anda lihat aturan efektifnya.
NETWORK_NAME: jaringan yang ingin Anda lihat aturan efektifnya.

Menggunakan kebijakan dan aturan firewall jaringan regional Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Tugas kebijakan firewall

Membuat kebijakan firewall jaringan regional

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Mengaitkan kebijakan dengan jaringan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Menghapus kaitan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Menjelaskan kebijakan firewall jaringan regional

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Memperbarui deskripsi kebijakan firewall jaringan regional

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Mencantumkan kebijakan firewall jaringan regional

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Menghapus kebijakan firewall jaringan regional

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Tugas aturan kebijakan firewall

Buat aturan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Membuat aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

gcloud

Membuat aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

gcloud

Memperbarui aturan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Memperbarui aturan firewall untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

gcloud

Mendeskripsikan aturan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Menghapus aturan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

Mendapatkan aturan firewall efektif untuk region jaringan

Izin yang diperlukan untuk langkah ini

gcloud

Menggunakan kebijakan dan aturan firewall jaringan regional