Membuat dan mengelola aturan firewall

Untuk memeriksa traffic jaringan konsumen, Anda menggunakan kebijakan firewall untuk mengalihkan traffic ke grup endpoint pencegat VPC. Traffic kemudian melewati grup deployment pencegat produsen ke resource komputasinya.

Halaman ini menjelaskan cara mengonfigurasi dan mengelola kebijakan dan aturan firewall jaringan global. Jika Anda ingin membuat kebijakan dan aturan firewall hierarkis, lihat artikel Menggunakan kebijakan dan aturan firewall hierarkis.

Sebelum memulai

Peran

Untuk membuat, melihat, atau menghapus aturan firewall, minta administrator untuk memberi Anda peran Identity and Access Management (IAM) yang diperlukan di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Untuk memeriksa progres operasi yang tercantum di halaman ini, pastikan peran pengguna Anda memiliki peran Compute Security Admin (roles/compute.securityAdmin), Compute Network Admin (roles/compute.networkAdmin), dan Compute Viewer (roles/compute.viewer) tingkat project berikut:

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Membuat kebijakan dan aturan firewall

Anda membuat kebijakan firewall dan aturan dengan tindakan APPLY_SECURITY_PROFILE_GROUP.

Konsol

Untuk membuat kebijakan firewall jaringan, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dalam daftar pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Name, masukkan nama untuk kebijakan.

  5. Untuk Cakupan deployment, pilih Global.

  6. Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan, lalu klik Tambahkan aturan.

    1. Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan 0 adalah prioritas tertinggi.
    2. Untuk Direction of traffic, pilih Ingress.
    3. Untuk Action on match, pilih Proceed to L7 inspection.
    4. Untuk Purpose, pilih NSI in-band.
    5. Untuk Grup profil keamanan, pilih grup profil keamanan pencegatan kustom.
    6. Untuk Target type, tentukan target aturan.
    7. Untuk Source filters, tentukan filter sumber.
    8. Untuk Tujuan, tentukan filter tujuan.
    9. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang menerapkan aturan.
    10. Klik Create.

  7. Klik Tambahkan aturan untuk menambahkan aturan lain.

  8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Kaitkan kebijakan dengan jaringan VPC.

  9. Klik Create.

Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall jaringan global.

gcloud

Untuk membuat kebijakan firewall jaringan, gunakan perintah gcloud compute firewall-policies create:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Untuk membuat aturan firewall, gunakan perintah gcloud compute network-firewall-policies rules create:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan ditambahkan.

  • FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk membuat aturan.

  • ORGANIZATION_ID: ID organisasi tempat grup profil keamanan dibuat.

  • SECURITY_PROFILE_GROUP_ID: ID grup profil keamanan yang memiliki tindakan custom-intercept-profile.

  • DIRECTION: menunjukkan apakah aturan adalah aturan ingress atau egress. Jika arah tidak ditentukan, nilai defaultnya adalah menerapkan aturan pada traffic masuk. Untuk traffic masuk, Anda tidak dapat menentukan rentang tujuan. Untuk traffic keluar, Anda tidak dapat menentukan rentang sumber atau tag sumber.

  • LAYER4_CONFIG: daftar protokol dan port tujuan yang akan menerapkan aturan firewall.

  • SRC_IP_RANGE: rentang IP sumber. Ini hanya ditentukan jika DIRECTION adalah ingress.

  • DEST_IP_RANGE: rentang IP tujuan. Ini hanya ditentukan jika DIRECTION adalah egress.

Terraform

Untuk membuat kebijakan firewall, Anda dapat menggunakan resource google_compute_firewall_policy.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Untuk membuat aturan kebijakan firewall, Anda dapat menggunakan resource google_compute_network_firewall_policy_rule.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Menjelaskan kebijakan dan aturan firewall

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dari pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

  4. Untuk melihat detail aturan, klik prioritas aturan.

gcloud

Untuk mendeskripsikan kebijakan firewall, gunakan perintah gcloud compute network-firewall-policies describe:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Untuk mendeskripsikan aturan firewall, gunakan perintah gcloud compute network-firewall-policies rules describe:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Ganti FIREWALL_POLICY dengan ID kebijakan firewall tempat aturan ditentukan.

Menghapus kebijakan dan aturan firewall

Anda dapat menghapus kebijakan dan aturan firewallnya. Anda harus menghapus semua asosiasi pada kebijakan firewall organisasi sebelum dapat menghapusnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dari pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

  6. Klik tab Pengaitan.

  7. Pilih pengaitan yang ingin Anda hapus.

  8. Klik Hapus Asosiasi.

  9. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Untuk menghapus aturan firewall, gunakan perintah gcloud compute network-firewall-policies rules delete:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Ganti FIREWALL_POLICY dengan ID kebijakan firewall tempat aturan ditentukan.

Untuk menghapus kebijakan firewall, gunakan perintah gcloud compute network-firewall-policies delete:

gcloud compute network-firewall-policies delete FIREWALL_POLICY