Menggunakan kebijakan dan aturan firewall hierarkis

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Batasan

  • Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Anda harus menggunakan jaringan Virtual Private Cloud (VPC) target atau akun layanan target.
  • Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
  • Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
  • Logging Aturan Firewall didukung untuk aturan allow dan deny, tetapi tidak untuk aturan goto_next.
  • Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tugas kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola kebijakan firewall hierarkis.

Untuk memeriksa progres operasi yang dihasilkan dari tugas yang tercantum di bagian ini, pastikan pokok IAM Anda memiliki izin atau peran berikut selain izin atau peran yang diperlukan untuk setiap tugas.

Buat kebijakan firewall

Saat membuat kebijakan firewall hierarkis, Anda dapat menetapkan induknya ke organisasi atau folder dalam organisasi. Setelah membuat kebijakan, Anda dapat mengaitkan kebijakan dengan organisasi atau folder dalam organisasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi Anda atau folder dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Policy name, masukkan nama untuk kebijakan.

  5. Opsional: Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan.

  6. Di bagian Tambahkan aturan, klik Buat aturan firewall.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan.

  7. Opsional: Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan.

  8. Di bagian Associate policy with resources, klik Add.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.

  9. Klik Create.

gcloud

Jalankan perintah ini untuk membuat kebijakan firewall hierarkis yang induknya adalah organisasi:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Jalankan perintah ini untuk membuat kebijakan firewall hierarkis yang induknya adalah folder dalam organisasi:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Ganti kode berikut:

  • ORG_ID: ID organisasi Anda

    Tentukan ID organisasi untuk membuat kebijakan yang induknya adalah organisasi. Kebijakan ini dapat dikaitkan dengan organisasi atau folder dalam organisasi.

  • SHORT_NAME: nama kebijakan

    Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang Anda berikan. Saat menggunakan gcloud CLI untuk mengupdate kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

  • FOLDER_ID: ID folder

    Tentukan ID folder untuk membuat kebijakan yang induknya adalah folder. Kebijakan dapat dikaitkan dengan organisasi yang berisi folder atau folder apa pun dalam organisasi tersebut.

Mengaitkan kebijakan dengan organisasi atau folder

Saat Anda mengaitkan kebijakan firewall hierarkis dengan organisasi atau folder dalam organisasi, aturan kebijakan firewall—kecuali aturan yang dinonaktifkan dan tunduk pada target setiap aturan—berlaku untuk resource di jaringan VPC dalam project organisasi atau folder terkait.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Pengaitan.

  6. Pilih root organisasi atau pilih folder dalam organisasi.

  7. Klik Tambahkan.

gcloud

Secara default, jika Anda mencoba menyisipkan objek atribusi ke organisasi atau folder yang sudah memiliki objek atribusi, metode akan gagal. Jika Anda menentukan tanda --replace-association-on-target, pengaitan yang ada akan dihapus pada saat yang sama dengan pembuatan pengaitan baru. Hal ini mencegah resource tidak memiliki kebijakan selama transisi.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ganti kode berikut:

  • POLICY_NAME: nama pendek atau nama yang dibuat sistem untuk kebijakan
  • ORG_ID: ID organisasi Anda
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hilangkan jika Anda mengaitkan kebijakan ke tingkat organisasi
  • ASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama ditetapkan ke "organisasi ORG_ID" atau "folder FOLDER_ID"

Memindahkan kebijakan dari satu resource ke resource lain

Memindahkan kebijakan hanya akan mengubah induk kebijakan. Mengubah induk kebijakan dapat mengubah akun utama IAM yang dapat membuat dan memperbarui aturan dalam kebijakan serta akun utama IAM yang dapat membuat asosiasi di masa mendatang.

Memindahkan kebijakan tidak akan mengubah asosiasi kebijakan yang ada atau evaluasi aturan dalam kebijakan.

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud

Jalankan perintah ini untuk memindahkan kebijakan firewall hierarkis ke organisasi:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Jalankan perintah ini untuk memindahkan kebijakan firewall hierarkis ke folder dalam organisasi:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan yang Anda pindahkan
  • ORG_ID: ID organisasi tempat kebijakan dipindahkan
  • FOLDER_ID: ID folder tempat kebijakan dipindahkan

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah deskripsi.

  6. Klik Simpan.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mencantumkan kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

    Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.

    Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menjelaskan kebijakan

Anda dapat melihat detail tentang kebijakan firewall hierarkis, termasuk aturan kebijakan dan atribut aturan terkait. Semua atribut aturan ini dihitung sebagai bagian dari kuota atribut aturan. Untuk mengetahui informasi selengkapnya, lihat "Atribut aturan per kebijakan firewall hierarkis" dalam tabel Per kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Sebelum dapat menghapus kebijakan firewall hierarkis, Anda harus menghapus semua asosiasinya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus atribusi.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mencantumkan pengaitan untuk resource

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan diwariskan akan muncul.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menghapus kaitan

Jika Anda perlu mengubah kebijakan firewall hierarkis yang terkait dengan organisasi atau folder, sebaiknya kaitkan kebijakan baru, bukan menghapus kebijakan terkait yang ada. Anda dapat mengaitkan kebijakan baru dalam satu langkah, yang membantu memastikan bahwa kebijakan firewall hierarkis selalu dikaitkan dengan organisasi atau folder.

Untuk menghapus pengaitan antara kebijakan firewall hierarkis dan organisasi atau folder, ikuti langkah-langkah yang disebutkan di bagian ini. Aturan dalam kebijakan firewall hierarkis tidak berlaku untuk koneksi baru setelah asosiasinya dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus atribusi.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola aturan kebijakan firewall hierarkis.

Buat aturan

Aturan kebijakan firewall hierarkis harus dibuat dalam kebijakan firewall hierarkis. Aturan tidak aktif hingga Anda mengaitkan kebijakan yang memuatnya ke resource.

Setiap aturan kebijakan firewall hierarkis dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda.

  4. Klik Create firewall rule.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
    2. Setel pengumpulan Logs ke On atau Off.
    3. Untuk Direction of traffic, tentukan apakah aturan ini adalah aturan Ingress atau Egress.
    4. Untuk Action on match, pilih salah satu opsi berikut:
      1. Izinkan: mengizinkan koneksi yang cocok dengan aturan.
      2. Tolak: menolak koneksi yang cocok dengan aturan.
      3. Go to next: meneruskan evaluasi koneksi ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Menerapkan grup profil keamanan: mengirimkan paket ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.
        • Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS. Untuk mengetahui informasi selengkapnya tentang cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.
    5. Opsional: Anda dapat membatasi aturan ke jaringan tertentu dengan menentukannya di kolom Jaringan target. Klik Tambahkan jaringan, lalu pilih Project dan Network. Anda dapat menambahkan beberapa jaringan target ke suatu aturan.
    6. Opsional: Anda dapat membatasi aturan ke VM yang berjalan dengan akses ke akun layanan tertentu dengan menentukan akun di kolom Akun layanan target.

    7. Opsional: Anda dapat memilih Tag aman untuk menentukan sumber bagi aturan ingress dan target untuk aturan ingress atau egress dalam kebijakan. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola tag aman.

    8. Untuk aturan ingress, tentukan jenis jaringan sumber:

      • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
      • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan intra VPC (INTRA_VPC), pilih Intra VPC.
        • Untuk memfilter traffic masuk yang termasuk dalam jenis jaringan VPC (VPC_NETWORKS), pilih Jaringan VPC, lalu tentukan satu atau beberapa jaringan menggunakan tombol berikut:
          • Select current project: memungkinkan Anda menambahkan satu atau beberapa jaringan dari project saat ini.
          • Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan secara manual.
          • Pilih project: memungkinkan Anda memilih project yang dapat digunakan untuk memilih jaringan. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

    9. Untuk aturan keluar, tentukan jenis jaringan tujuan:

      • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan apa pun, pilih Semua jenis jaringan.
      • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan tertentu, pilih Jenis jaringan tertentu.
        • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan internet (INTERNET), pilih Internet.
        • Untuk memfilter traffic keluar yang termasuk dalam jenis jaringan non-internet (NON-INTERNET), pilih Non-internet. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

    10. Untuk aturan Ingress, tentukan filter Source:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.

    11. Untuk aturan Egress, tentukan Filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP ranges. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    12. Opsional: Jika Anda membuat aturan masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan egress, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek FQDN.

    13. Opsional: Jika Anda membuat aturan masuk, pilih geolokasi sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan keluar, pilih geolokasi tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    14. Opsional: Jika Anda membuat aturan ingress, pilih grup alamat sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan keluar, pilih grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    15. Opsional: Jika Anda membuat aturan ingress, pilih daftar Google Cloud Threat Intelligence sumber yang akan diterapkan aturan ini. Jika Anda membuat aturan keluar, pilih daftar tujuan Google Cloud Threat Intelligence yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    16. Opsional: Untuk aturan Ingress, tentukan filter Tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke dalam kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke dalam kolom Destination IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    17. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.

    18. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang menerapkan aturan.

      Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya tentang protokol, lihat Protokol dan port.

    19. Klik Create.

  6. Klik Create firewall rule untuk menambahkan aturan lain.

gcloud

Untuk membuat aturan ingress, gunakan perintah berikut:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall jaringan hierarkis yang berisi aturan baru.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.
  • DESCRIPTION: deskripsi opsional untuk aturan baru
  • ACTION: tentukan salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7. Jika tindakan ditetapkan ke apply_security_profile_group:
      • Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7.
      • Sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
    • goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
  • Parameter --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Pencatatan Log Aturan Firewall.
  • Parameter --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:
    • TARGET_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh URL resource jaringan dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
    • TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma. Nilai tag target yang aman harus berasal dari kunci tag aman dengan data tujuan organisasi.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
    • Jika Anda menghapus parameter target-resources, --target-secure-tags, dan --target-service-accounts, aturan akan berlaku untuk target terluas.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Tentukan sumber untuk aturan ingress:
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
    • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan parameter --src-secure-tags jika --src-network-type adalahINTERNET.
    • SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan parameter --src-region-codes jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan parameter --src-threat-intelligence jika --src-network-type adalah NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • SRC_NETWORK_TYPE: menentukan jenis jaringan sumber yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET, NON_INTERNET, VPC_NETWORK, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.
    • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma dan ditentukan oleh ID URL-nya. Tentukan parameter ini hanya jika --src-network-type adalah VPC_NETWORKS.
  • Secara opsional, tentukan tujuan untuk aturan masuk:
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Untuk membuat aturan keluar, gunakan perintah berikut:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar perbedaan satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall jaringan hierarkis yang berisi aturan baru.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.
  • DESCRIPTION: deskripsi opsional untuk aturan baru
  • ACTION: tentukan salah satu tindakan berikut:
    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7. Jika tindakan ditetapkan ke apply_security_profile_group:
      • Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7.
      • Sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
    • goto_next: melanjutkan ke langkah berikutnya dalam proses Evaluasi aturan firewall.
  • Parameter --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Pencatatan Log Aturan Firewall.
  • Parameter --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:
    • TARGET_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh URL resource jaringan dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
    • TARGET_SECURE_TAGS: daftar tag aman yang dipisahkan koma. Nilai tag target yang aman harus berasal dari kunci tag aman dengan data tujuan organisasi.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma.
    • Jika Anda menghapus parameter target-resources, --target-secure-tags, dan --target-service-accounts, aturan akan berlaku untuk target terluas.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Secara opsional, tentukan sumber untuk aturan keluar:
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • Tentukan tujuan untuk aturan keluar:
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya.
    • DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
    • DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
    • DEST_NETWORK_TYPE: menentukan jenis jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan tertentu. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Mencantumkan semua aturan dalam kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda. Aturan dicantumkan di tab Aturan firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini secara unik mengidentifikasi aturan
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: nama singkat atau nama yang dibuat sistem dari kebijakan yang berisi aturan

Memperbarui aturan

Untuk mengetahui deskripsi kolom, lihat Membuat aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud 

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Jika Anda ingin mengaitkan kebijakan baru secara langsung, klik Lanjutkan untuk membuka bagian Kaitkan kebijakan dengan resource.

  7. Klik Clone.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • ORG_ID: ID organisasi Anda
  • SOURCE_POLICY: kebijakan untuk menyalin aturan; harus berupa URL resource

Menghapus aturan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: kebijakan yang berisi aturan

Mendapatkan aturan firewall efektif untuk jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang berlaku untuk semua region jaringan VPC.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

  3. Klik Firewalls.

  4. Perluas setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti NETWORK_NAME dengan jaringan yang ingin Anda lihat aturan efektifnya.

Anda juga dapat melihat aturan firewall yang berlaku untuk jaringan dari halaman Firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall efektif untuk antarmuka VM

Anda dapat melihat semua aturan firewall—dari semua kebijakan firewall dan aturan firewall VPC yang berlaku—yang berlaku untuk antarmuka jaringan VM Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Di menu pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Aturan firewall yang efektif muncul di tab Firewall yang tersedia di bagian Analisis konfigurasi jaringan.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
  • INTERFACE: antarmuka VM yang ingin Anda lihat aturan efektifnya; nilai defaultnya adalah nic0.
  • ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda temui.

  • FirewallPolicy may not specify a name. One will be provided.

    Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dibuat oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah diingat yang berfungsi sebagai alias dalam banyak konteks.

  • FirewallPolicy may not specify associations on creation.

    Asosiasi hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.

  • Can not move firewall policy to a different organization.

    Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi untuk mengganti asosiasi yang ada disetel ke benar (true).

  • Cannot have rules with the same priorities.

    Prioritas aturan harus unik dalam kebijakan firewall hierarkis.

  • Direction must be specified on firewall policy rule.

    Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, defaultnya adalah INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    Pencatatan Log Firewall tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk merepresentasikan urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.

  • Must specify at least one destination on Firewall policy rule.

    Flag layer4Configs dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.

    Untuk mengetahui informasi selengkapnya tentang pemecahan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.

Langkah berikutnya