Membuat dan mengelola aturan firewall

Untuk memeriksa traffic jaringan konsumen, Anda menggunakan firewall kebijakan untuk mengalihkan traffic ke grup endpoint pencegat VPC. Traffic kemudian akan melalui grup deployment pencegat produsen ke resource komputasi mereka.

Halaman ini menjelaskan cara mengonfigurasi dan mengelola kebijakan dan aturan firewall jaringan global. Jika Anda ingin membuat kebijakan dan aturan firewall hierarkis, lihat Menggunakan kebijakan dan aturan firewall hierarkis dan aturan.

Sebelum memulai

Peran

Untuk membuat, melihat, atau menghapus aturan firewall, minta administrator Anda untuk memberi Anda peran Identity and Access Management (IAM) yang diperlukan di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Untuk memeriksa progres operasi yang tercantum di halaman ini, pastikan peran pengguna Anda memiliki peran Compute Security Admin (roles/compute.securityAdmin), Compute Network Admin (roles/compute.networkAdmin), dan Compute Viewer (roles/compute.viewer) tingkat project berikut:

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Membuat kebijakan dan aturan firewall

Anda membuat kebijakan firewall dan aturan dengan tindakan APPLY_SECURITY_PROFILE_GROUP.

Konsol

Untuk membuat kebijakan firewall jaringan, ikuti langkah-langkah berikut:

  1. Di Google Cloud konsol, buka halaman Firewall policies.

    Buka Firewall policies

  2. Di daftar pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Name, masukkan nama untuk kebijakan.

  5. Untuk Deployment scope, pilih Global.

  6. Untuk membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule.

    1. Di kolom Priority, tetapkan nomor urutan untuk aturan, dengan 0 sebagai prioritas tertinggi.
    2. Untuk Direction of traffic, pilih Ingress.
    3. Untuk Action on match, pilih Proceed to L7 inspection.
    4. Untuk Purpose, pilih NSI in-band.
    5. Untuk Security profile group, pilih grup profil keamanan pencegat kustom.
    6. Untuk Target type, tentukan target aturan.
    7. Untuk Source filters, tentukan filter sumber.
    8. Untuk Destinations, tentukan filter tujuan.
    9. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku untuk aturan tersebut.
    10. Klik Create.

  7. Klik Add rule untuk menambahkan aturan lain.

  8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Continue, lalu klik Associate policy with VPC networks.

  9. Klik Create.

Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall jaringan global.

gcloud

Untuk membuat kebijakan firewall jaringan, gunakan gcloud compute firewall-policies create perintah:

gcloud compute network-firewall-policies create FIREWALL_POLICY

Untuk membuat aturan firewall, gunakan gcloud compute network-firewall-policies rules create perintah:

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan ditambahkan.

  • FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk membuat aturan.

  • ORGANIZATION_ID: ID organisasi tempat grup profil keamanan dibuat.

  • SECURITY_PROFILE_GROUP_ID: ID grup profil keamanan yang memiliki tindakan custom-intercept-profile.

  • DIRECTION: menunjukkan apakah aturan adalah aturan ingress atau egress. Jika arah tidak ditentukan, aturan akan diterapkan pada traffic masuk secara default. Untuk traffic masuk, Anda tidak dapat menentukan rentang tujuan. Untuk traffic keluar, Anda tidak dapat menentukan rentang sumber atau tag sumber.

  • LAYER4_CONFIG: daftar protokol dan port tujuan yang akan menerapkan aturan firewall.

  • SRC_IP_RANGE: rentang IP sumber. Ini hanya ditentukan jika DIRECTION adalah ingress.

  • DEST_IP_RANGE: rentang IP tujuan. Ini hanya ditentukan jika DIRECTION adalah egress.

Terraform

Untuk membuat kebijakan firewall, Anda dapat menggunakan google_compute_firewall_policy resource.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Untuk membuat aturan kebijakan firewall, Anda dapat menggunakan resource google_compute_network_firewall_policy_rule.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Menjelaskan kebijakan dan aturan firewall

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewallnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dari pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

  4. Untuk melihat detail aturan, klik prioritas aturan.

gcloud

Untuk menjelaskan kebijakan firewall, gunakan gcloud compute network-firewall-policies describe perintah:

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Untuk menjelaskan aturan firewall, gunakan gcloud compute network-firewall-policies rules describe perintah:

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Ganti FIREWALL_POLICY dengan ID kebijakan firewall tempat aturan ditentukan.

Menghapus kebijakan dan aturan firewall

Anda dapat menghapus kebijakan dan aturan firewallnya. Anda harus menghapus semua asosiasi pada kebijakan firewall organisasi sebelum dapat menghapusnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dari pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Delete.

  6. Klik tab Associations.

  7. Pilih asosiasi yang ingin Anda hapus.

  8. Klik Remove Associations.

  9. Setelah semua asosiasi dihapus, klik Delete.

gcloud

Untuk menghapus aturan firewall, gunakan gcloud compute network-firewall-policies rules delete perintah:

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Ganti FIREWALL_POLICY dengan ID kebijakan firewall tempat aturan ditentukan.

Untuk menghapus kebijakan firewall, gunakan perintah gcloud compute network-firewall-policies delete:

gcloud compute network-firewall-policies delete FIREWALL_POLICY