Contoh logging aturan firewall VPC

Aturan firewall Virtual Private Cloud (VPC) membuat entri log saat diterapkan ke traffic. Meskipun aliran paket dapat menghasilkan beberapa entri log, aturan firewall VPC menghasilkan paling banyak satu entri log per koneksi dari instance virtual machine (VM). Contoh berikut menunjukkan cara kerja logging aturan firewall VPC dalam berbagai skenario.

Contoh penolakan traffic keluar

Contoh ini menunjukkan logging untuk aturan firewall VPC keluar-tolak yang memblokir traffic antara dua instance VM dalam jaringan VPC yang sama.

Dalam contoh ini, traffic mengalir antara instance VM di jaringan VPC example-net dalam project example-proj.

  • Kedua instance VM tersebut adalah:

    • VM1 di zona us-west1-a dengan alamat IP 10.10.0.99 di west-subnet (region us-west1).
    • VM2 di zona us-east1-b dengan alamat IP 10.20.0.99 di east-subnet (region us-east1).

  • Aturan A: Aturan firewall tolak traffic keluar memiliki target semua instance dalam jaringan, tujuan 10.20.0.99 (VM2), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.

  • Aturan B: Aturan firewall izinkan masuk memiliki target semua instance di jaringan, sumber 10.10.0.99 (VM1), dan berlaku untuk port TCP 80. Logging juga diaktifkan untuk aturan ini.

Untuk membuat aturan firewall VPC, gunakan perintah gcloud berikut:

  • Aturan A: aturan penolakan egress untuk port TCP 80, berlaku untuk semua instance, tujuan 10.20.0.99:

    gcloud compute firewall-rules create rule-a \
    --network example-net \
    --action deny \
    --direction EGRESS \
    --rules tcp:80 \
    --destination-ranges 10.20.0.99/32 \
    --priority 10 \
    --enable-logging

  • Aturan B: aturan izinkan ingress untuk port TCP 80, berlaku untuk semua instance, sumber 10.10.0.99:

    gcloud compute firewall-rules create rule-b \
    --network example-net \
    --action allow \
    --direction INGRESS \
    --rules tcp:80 \
    --source-ranges 10.10.0.99/32 \
    --priority 10 \
    --enable-logging
Aturan penolakan traffic keluar memblokir koneksi dari VM1 ke VM2.
Aturan penolakan egress memblokir koneksi dari VM1 ke VM2 (klik untuk memperbesar).

Dalam skenario saat VM1 mencoba terhubung ke VM2 di port TCP 80, hal berikut akan terjadi:

  • Entri log untuk aturan A dari perspektif VM1 dibuat saat VM1 mencoba terhubung ke 10.20.0.99 (VM2).
  • Karena aturan A memblokir traffic, aturan B tidak dipertimbangkan, sehingga tidak ada entri log untuk aturan B dari perspektif VM2.

VM1 melaporkan catatan log aturan firewall VPC berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DITOLAK
rule_details reference = "network:example-net/firewall:rule-a"
priority = 10
action = DENY
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a
vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=west-subnet
remote_instance project_id="example-proj"
instance_name=VM2
region=us-east1
zone=us-east1-b
remote_vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=east-subnet
remote_location Tidak ada informasi. Kolom ini hanya digunakan jika tujuannya berada di luar jaringan VPC Anda.

Contoh izinkan traffic keluar, izinkan traffic masuk

Contoh ini menunjukkan logging untuk aturan firewall VPC izinkan traffic keluar dan aturan firewall VPC izinkan traffic masuk yang bersama-sama mengizinkan traffic antara dua instance VM dalam jaringan VPC yang sama.

Dalam contoh ini, traffic mengalir antara instance VM di jaringan VPC example-net dalam project example-proj.

  • Kedua instance VM tersebut adalah:

    • VM1 di zona us-west1-a dengan alamat IP 10.10.0.99 di west-subnet (region us-west1).
    • VM2 di zona us-east1-b dengan alamat IP 10.20.0.99 di east-subnet (region us-east1).

  • Aturan A: Aturan firewall izinkan traffic keluar memiliki target semua instance dalam jaringan, tujuan 10.20.0.99 (VM2), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.

  • Aturan B: Aturan firewall izinkan masuk memiliki target semua instance di jaringan, sumber 10.10.0.99 (VM1), dan berlaku untuk port TCP 80. Logging juga diaktifkan untuk aturan ini.

Untuk membuat aturan firewall VPC, gunakan perintah gcloud berikut:

  • Aturan A: aturan izinkan keluar untuk port TCP 80, berlaku untuk semua instance, tujuan 10.20.0.99 (VM2):

    gcloud compute firewall-rules create rule-a \
    --network example-net \
    --action allow \
    --direction EGRESS \
    --rules tcp:80 \
    --destination-ranges 10.20.0.99/32 \
    --priority 10 \
    --enable-logging

  • Aturan B: aturan izinkan ingress untuk port TCP 80, yang berlaku untuk semua instance, sumber 10.10.0.99 (VM1):

    gcloud compute firewall-rules create rule-b \
    --network example-net \
    --action allow \
    --direction INGRESS \
    --rules tcp:80 \
    --source-ranges 10.10.0.99/32 \
    --priority 10 \
    --enable-logging
Aturan izinkan keluar dan izinkan masuk mengizinkan koneksi dari VM1 ke VM2.
Aturan izinkan traffic keluar dan izinkan traffic masuk mengizinkan koneksi dari VM1 ke VM2 (klik untuk memperbesar).

Dalam skenario saat VM1 mencoba terhubung ke VM2 di port TCP 80, hal berikut akan terjadi:

  • Entri log untuk aturan A dari perspektif VM1 dibuat saat VM1 terhubung ke 10.20.0.99 (VM2).
  • Entri log untuk aturan B dari perspektif VM2 dibuat saat VM2 mengizinkan koneksi masuk dari 10.10.0.99 (VM1).

VM1 melaporkan catatan log aturan firewall VPC berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DIIZINKAN
rule_details reference = "network:example-net/firewall:rule-a"
priority = 10
action = ALLOW
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a
vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=west-subnet
remote_instance project_id="example-proj"
instance_name=VM2
region=us-east1
zone=us-east1-b
remote_vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=east-subnet
remote_location Tidak ada informasi. Kolom ini hanya digunakan jika tujuannya berada di luar jaringan VPC Anda.

VM2 melaporkan catatan log aturan firewall VPC berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DIIZINKAN
rule_details reference = "network:example-net/firewall:rule-b"
priority = 10
action = ALLOW
source_range = 10.10.0.99/32
ip_port_info = tcp:80
direction = ingress
instance project_id="example-proj"
instance_name=VM2
region=us-east1
zone=us-east1-b
vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=east-subnet
remote_instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a
remote_vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=west-subnet
remote_location Tidak ada informasi. Kolom ini hanya digunakan jika tujuannya berada di luar jaringan VPC Anda.

Contoh traffic masuk internet

Contoh ini menunjukkan logging untuk aturan firewall ingress-allow yang mengizinkan traffic dari internet ke instance VM. Bagian ini juga menunjukkan bagaimana perilaku firewall stateful memengaruhi aturan penolakan keluar.

Dalam contoh ini, traffic mengalir dari resource eksternal ke instance VM dalam jaringan VPC example-net. Jaringan berada di project example-proj.

  • Sistem di internet memiliki alamat IP 203.0.113.114.
  • VM1 di zona us-west1-a memiliki alamat IP 10.10.0.99 di west-subnet (region us-west1).
  • Aturan C: Aturan firewall izinkan masuk memiliki target semua instance dalam jaringan, sumber alamat IP apa pun (0.0.0.0/0), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.
  • Aturan D: Aturan firewall tolak keluar memiliki target semua instance di jaringan, tujuan alamat IP apa pun (0.0.0.0/0), dan berlaku untuk semua protokol. Logging diaktifkan untuk aturan ini.

Untuk membuat aturan firewall VPC, gunakan perintah gcloud berikut:

  • Aturan C: aturan izinkan ingress untuk port TCP 80, berlaku untuk semua instance, sumber apa pun:

    gcloud compute firewall-rules create rule-c \
    --network example-net \
    --action allow \
    --direction INGRESS \
    --rules tcp:80 \
    --source-ranges 0.0.0.0/0 \
    --priority 10 \
    --enable-logging

  • Aturan D: aturan penolakan egress untuk semua protokol, berlaku untuk semua instance, tujuan apa pun:

    gcloud compute firewall-rules create rule-d \
    --network example-net \
    --action deny \
    --direction EGRESS \
    --rules all \
    --destination-ranges 0.0.0.0/0 \
    --priority 10 \
    --enable-logging
Aturan izin masuk mengizinkan koneksi dari internet ke VM1.
Koneksi internet ke VM (klik untuk memperbesar).

Dalam skenario saat sistem dengan alamat IP 203.0.113.114 mencoba terhubung ke VM1 di port TCP 80, hal berikut akan terjadi:

  • VM1 membuat entri log untuk aturan C saat menerima traffic dari 203.0.113.114.
  • Meskipun ada aturan D, VM1 dapat membalas permintaan masuk karena Google Cloud aturan firewall bersifat stateful. Jika permintaan masuk diizinkan, tidak ada aturan traffic keluar yang dapat memblokir respons yang telah ditetapkan.
  • Karena aturan D tidak berlaku, sistem tidak mempertimbangkannya, sehingga tidak ada entri log untuk aturan D.

VM1 melaporkan catatan log aturan firewall VPC berikut:

Kolom Nilai
connection src_ip=203.0.113.114
src_port=[EPHEMERAL_PORT]
dest_ip=10.10.0.99
dest_port=80
protocol=6
disposition DIIZINKAN
rule_details reference = "network:my-vpc/firewall:rule-c"
priority = 10
action = ALLOW
source_range = 0.0.0.0/0
ip_port_info = tcp:80
direction = ingress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a
vpc project_id="example-proj"
vpc_name=example-net
subnetwork_name=west-subnet
remote_location benua
negara
wilayah
kota

Langkah berikutnya