Menggunakan kebijakan dan aturan firewall jaringan regional

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan regional.

Tugas kebijakan firewall

Bagian ini menjelaskan cara membuat, mengaitkan, dan mengelola kebijakan firewall jaringan regional.

Membuat kebijakan firewall jaringan regional

Saat membuat kebijakan firewall jaringan regional menggunakan konsol Google Cloud , Anda dapat mengaitkan kebijakan dengan region dan jaringan Virtual Private Cloud (VPC) selama pembuatan. Jika membuat kebijakan menggunakan Google Cloud CLI, Anda harus mengaitkan kebijakan dengan region dan jaringan setelah membuat kebijakan.

Jaringan VPC yang terkait dengan kebijakan firewall jaringan regional harus berada dalam project yang sama dengan kebijakan firewall jaringan regional.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Policy name, masukkan nama kebijakan.

  5. Untuk Cakupan deployment, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.

  6. Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan.

  7. Di bagian Tambahkan aturan, klik Buat aturan firewall.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

  8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan.

  9. Di bagian Kaitkan kebijakan dengan jaringan, klik Kaitkan.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

  10. Klik Create.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama kebijakan
  • DESCRIPTION: deskripsi kebijakan
  • REGION_NAME: region untuk kebijakan

Mengaitkan kebijakan dengan jaringan

Anda dapat mengaitkan kebijakan firewall jaringan regional dengan region jaringan VPC dan menerapkan aturan dalam kebijakan ke region jaringan tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan pengaitan.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan.
  • NETWORK_NAME: nama jaringan terkait.
  • ASSOCIATION_NAME: nama opsional untuk asosiasi. Jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.
  • REGION_NAME: region untuk kebijakan.

Menghapus kaitan

Untuk menghentikan penerapan kebijakan firewall pada jaringan, hapus pengaitan.

Namun, jika Anda ingin menukar satu kebijakan firewall dengan kebijakan firewall lain, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan menyebabkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Untuk menghapus asosiasi antara kebijakan firewall jaringan regional dan region jaringan VPC, ikuti langkah-langkah yang disebutkan di bagian ini. Aturan dalam kebijakan firewall jaringan regional tidak berlaku untuk koneksi baru setelah pengaitannya dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus atribusi.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Menjelaskan kebijakan firewall jaringan regional

Anda dapat melihat detail tentang kebijakan firewall jaringan regional, termasuk aturan kebijakan dan atribut aturan terkait. Semua atribut aturan ini dihitung sebagai bagian dari kuota atribut aturan. Untuk mengetahui informasi selengkapnya, lihat "Atribut aturan per kebijakan firewall jaringan regional" dalam tabel Per kebijakan firewall. Selain itu, Anda dapat melihat prioritas asosiasi jaringan VPC yang ada.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Memperbarui deskripsi kebijakan firewall jaringan regional

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Di kolom Deskripsi, ubah deskripsi.

  6. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Mencantumkan kebijakan firewall jaringan regional

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

    Bagian Network firewall policies menampilkan kebijakan yang tersedia di project Anda.

gcloud 

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Menghapus kebijakan firewall jaringan regional

Sebelum dapat menghapus kebijakan firewall jaringan regional, Anda harus menghapus semua asosiasinya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus atribusi.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Tugas aturan kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola aturan kebijakan firewall jaringan regional.

Buat aturan

Setiap aturan dalam kebijakan firewall jaringan regional adalah aturan traffic masuk atau aturan traffic keluar dengan prioritas unik. Untuk mengetahui detail tentang parameter lain dari aturan, termasuk kombinasi sumber dan kombinasi tujuan yang valid, lihat Aturan kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.

  3. Klik nama kebijakan regional Anda.

  4. Untuk Firewall Rules, klik Create firewall rule.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
    2. Setel pengumpulan Logs ke On atau Off.
    3. Untuk Direction of traffic, pilih ingress atau egress.
    4. Untuk Tindakan saat kecocokan, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Izinkan), ditolak (Tolak), atau apakah evaluasi koneksi diteruskan ke aturan firewall berikutnya yang lebih rendah dalam hierarki (Lanjutkan ke berikutnya).

    5. Tentukan Target aturan.

      • Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih Terapkan ke semua.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau project lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.

      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan tag aman, pilih Tag aman.

        • Klik Pilih cakupan untuk tag, lalu pilih organisasi atau project tempat Anda ingin membuat pasangan nilai kunci tag yang aman. Masukkan pasangan nilai kunci yang akan menerapkan aturan.
        • Untuk menambahkan lebih banyak pasangan nilai kunci, klik Tambahkan tag.

    6. Untuk aturan ingress, tentukan jenis jaringan sumber:

      • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
      • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan intra VPC (INTRA_VPC), pilih Intra VPC.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan VPC (VPC_NETWORKS), pilih Jaringan VPC, lalu tentukan satu atau beberapa jaringan menggunakan tombol berikut:
          • Select current project: memungkinkan Anda menambahkan satu atau beberapa jaringan dari project saat ini.
          • Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan secara manual.
          • Pilih project: memungkinkan Anda memilih project yang dapat digunakan untuk memilih jaringan. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

    7. Untuk aturan keluar, tentukan jenis jaringan tujuan:

      • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
      • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
        • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
        • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

    8. Untuk aturan Ingress, tentukan Source filter:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.

      • Untuk membatasi sumber menurut tag aman, klik Pilih cakupan untuk tag di bagian Tag aman.

        • Pilih organisasi atau project tempat Anda ingin membuat tag. Masukkan pasangan nilai kunci yang akan diterapkan aturan.
        • Untuk menambahkan lebih banyak pasangan nilai kunci, klik Tambahkan tag.

    9. Untuk aturan Egress, tentukan Filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    10. Opsional: Jika Anda membuat aturan Ingress, tentukan FQDN sumber yang akan diterapkan aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.

    11. Opsional: Jika Anda membuat Aturan ingress, pilih Geolokasi sumber yang menjadi cakupan aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    12. Opsional: Jika Anda membuat aturan Ingress, pilih grup Alamat sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan Egress, pilih Grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    13. Opsional: Jika Anda membuat aturan Ingress, pilih daftar sumber Google Cloud Threat Intelligence yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang berlaku untuk aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    14. Opsional: Untuk aturan Ingress, tentukan filter Tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke dalam kolom Destination IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    15. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR di kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.

    16. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang berlaku.

    17. Klik Create.

  6. Klik Create firewall rule untuk menambahkan aturan lain.

gcloud

Untuk membuat aturan ingress, gunakan perintah berikut:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall jaringan regional yang berisi aturan baru.
  • POLICY_REGION: region kebijakan yang berisi aturan baru.
  • DESCRIPTION: deskripsi opsional untuk aturan baru
  • ACTION: tentukan salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
  • Parameter --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Pencatatan Log Aturan Firewall.
  • Parameter --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:
    • TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
    • Jika Anda menghilangkan parameter --target-secure-tags dan --target-service-accounts, aturan akan berlaku untuk target terluas.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Tentukan sumber untuk aturan ingress:
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
    • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan parameter --src-secure-tags jika --src-network-type adalahINTERNET.
    • SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan parameter --src-region-codes jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan parameter --src-threat-intelligence jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • SRC_NETWORK_TYPE: menentukan jenis jaringan sumber yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET, NON_INTERNET, VPC_NETWORK, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.
    • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma dan ditentukan oleh ID URL-nya. Tentukan parameter ini hanya jika --src-network-type adalah VPC_NETWORKS.
  • Secara opsional, tentukan tujuan untuk aturan masuk:
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Untuk membuat aturan keluar, gunakan perintah berikut:

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall jaringan regional yang berisi aturan baru.
  • POLICY_REGION: region kebijakan yang berisi aturan baru.
  • DESCRIPTION: deskripsi opsional untuk aturan baru
  • ACTION: tentukan salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
  • Parameter --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Pencatatan Log Aturan Firewall.
  • Parameter --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:
    • TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
    • Jika Anda menghilangkan parameter --target-secure-tags dan --target-service-accounts, aturan akan berlaku untuk target terluas.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Secara opsional, tentukan sumber untuk aturan keluar:
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • Tentukan tujuan untuk aturan keluar:
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya.
    • DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
    • DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
    • DEST_NETWORK_TYPE: menentukan jenis jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Memperbarui aturan

Untuk mengetahui deskripsi tanda, lihat Membuat aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah tanda yang ingin Anda ubah.

  7. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik
  • POLICY_NAME: nama kebijakan yang berisi aturan
  • REGION_NAME: region kebijakan yang berisi aturan

Menghapus aturan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik
  • POLICY_NAME: kebijakan yang berisi aturan
  • REGION_NAME: region kebijakan yang berisi aturan

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Meng-clone akan menyalin aturan dari kebijakan sumber ke kebijakan target, menggantikan semua aturan yang ada dalam kebijakan target.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Jika Anda ingin mengaitkan kebijakan baru segera, klik Lanjutkan > Kaitkan.

  7. Di halaman Associate policy with VPC networks, pilih jaringan, lalu klik Associate.

  8. Klik Lanjutkan.

  9. Klik Clone.

gcloud 

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

  • TARGET_POLICY: nama kebijakan target
  • TARGET_POLICY_REGION: region kebijakan target
  • SOURCE_POLICY: URL kebijakan sumber

Mendapatkan aturan firewall efektif untuk region jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, aturan kebijakan firewall jaringan global, dan aturan kebijakan firewall jaringan regional yang berlaku untuk region tertentu dari jaringan VPC.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ganti kode berikut:

  • REGION_NAME: region yang ingin Anda lihat aturan efektifnya.
  • NETWORK_NAME: jaringan yang ingin Anda lihat aturan efektifnya.