Untuk memeriksa traffic jaringan konsumen, Anda menggunakan kebijakan firewall untuk mengalihkan traffic ke grup endpoint pencegat VPC. Traffic kemudian melewati grup deployment pencegat produsen ke resource komputasinya.
Halaman ini menjelaskan cara mengonfigurasi dan mengelola kebijakan dan aturan firewall jaringan global. Jika Anda ingin membuat kebijakan dan aturan firewall hierarkis, lihat artikel Menggunakan kebijakan dan aturan firewall hierarkis.
Sebelum memulai
Aktifkan Compute Engine API di Google Cloud project Anda.
Aktifkan Network Security API di project Google Cloud Anda.
Instal gcloud CLI.
Buat grup profil keamanan.
Peran
Untuk membuat, melihat, atau menghapus aturan firewall, minta administrator untuk memberi Anda peran Identity and Access Management (IAM) yang diperlukan di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Untuk memeriksa progres operasi yang tercantum di halaman ini, pastikan peran pengguna Anda memiliki peran Compute Security Admin (roles/compute.securityAdmin), Compute Network Admin (roles/compute.networkAdmin), dan Compute Viewer (roles/compute.viewer) tingkat project berikut:
compute.networks.getcompute.networks.listcompute.firewallPolicies.createcompute.firewallPolicies.updatecompute.firewallPolicies.removeAssociation
Membuat kebijakan dan aturan firewall
Anda membuat kebijakan firewall dan aturan dengan tindakan APPLY_SECURITY_PROFILE_GROUP.
Konsol
Untuk membuat kebijakan firewall jaringan, ikuti langkah-langkah berikut:
Di konsol Google Cloud , buka halaman Firewall policies.
Dalam daftar pemilih project, pilih project Anda dalam organisasi Anda.
Klik Create firewall policy.
Di kolom Name, masukkan nama untuk kebijakan.
Untuk Cakupan deployment, pilih Global.
Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan, lalu klik Tambahkan aturan.
- Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan
0adalah prioritas tertinggi. - Untuk Direction of traffic, pilih Ingress.
- Untuk Action on match, pilih Proceed to L7 inspection.
- Untuk Purpose, pilih NSI in-band.
- Untuk Grup profil keamanan, pilih grup profil keamanan pencegatan kustom.
- Untuk Target type, tentukan target aturan.
- Untuk Source filters, tentukan filter sumber.
- Untuk Tujuan, tentukan filter tujuan.
- Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang menerapkan aturan.
- Klik Create.
- Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan
Klik Tambahkan aturan untuk menambahkan aturan lain.
Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Kaitkan kebijakan dengan jaringan VPC.
Klik Create.
Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall jaringan global.
gcloud
Untuk membuat kebijakan firewall jaringan, gunakan perintah
gcloud compute firewall-policies create:
gcloud compute network-firewall-policies create FIREWALL_POLICY
Untuk membuat aturan firewall, gunakan perintah
gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--action APPLY_SECURITY_PROFILE_GROUP \
--firewall-policy FIREWALL_POLICY \
--security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
--direction DIRECTION \
--layer4-configs LAYER4_CONIFG \
--src-ip-ranges SRC_IP_RANGE \
[--dest-ip-ranges DEST_IP_RANGE] \
--global-firewall-policy
Ganti kode berikut:
PRIORITY: prioritas aturan yang akan ditambahkan.FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk membuat aturan.ORGANIZATION_ID: ID organisasi tempat grup profil keamanan dibuat.SECURITY_PROFILE_GROUP_ID: ID grup profil keamanan yang memiliki tindakancustom-intercept-profile.DIRECTION: menunjukkan apakah aturan adalah aturaningressatauegress. Jika arah tidak ditentukan, nilai defaultnya adalah menerapkan aturan pada traffic masuk. Untuk traffic masuk, Anda tidak dapat menentukan rentang tujuan. Untuk traffic keluar, Anda tidak dapat menentukan rentang sumber atau tag sumber.LAYER4_CONFIG: daftar protokol dan port tujuan yang akan menerapkan aturan firewall.SRC_IP_RANGE: rentang IP sumber. Ini hanya ditentukan jikaDIRECTIONadalahingress.DEST_IP_RANGE: rentang IP tujuan. Ini hanya ditentukan jikaDIRECTIONadalahegress.
Terraform
Untuk membuat kebijakan firewall, Anda dapat menggunakan resource google_compute_firewall_policy.
Untuk membuat aturan kebijakan firewall, Anda dapat menggunakan resource google_compute_network_firewall_policy_rule.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Menjelaskan kebijakan dan aturan firewall
Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya.
Konsol
Di konsol Google Cloud , buka halaman Firewall policies.
Dari pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan global.
Klik kebijakan Anda.
Untuk melihat detail aturan, klik prioritas aturan.
gcloud
Untuk mendeskripsikan kebijakan firewall, gunakan
perintah gcloud compute network-firewall-policies describe:
gcloud compute network-firewall-policies describe FIREWALL_POLICY
Untuk mendeskripsikan aturan firewall, gunakan
perintah gcloud compute network-firewall-policies rules describe:
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy FIREWALL_POLICY
Ganti FIREWALL_POLICY dengan ID kebijakan firewall tempat aturan ditentukan.
Menghapus kebijakan dan aturan firewall
Anda dapat menghapus kebijakan dan aturan firewallnya. Anda harus menghapus semua asosiasi pada kebijakan firewall organisasi sebelum dapat menghapusnya.
Konsol
Di konsol Google Cloud , buka halaman Firewall policies.
Dari pemilih project, pilih project Anda yang berisi kebijakan.
Klik kebijakan Anda.
Pilih aturan yang ingin Anda hapus.
Klik Hapus.
Klik tab Pengaitan.
Pilih pengaitan yang ingin Anda hapus.
Klik Hapus Asosiasi.
Setelah semua asosiasi dihapus, klik Hapus.
gcloud
Untuk menghapus aturan firewall, gunakan perintah
gcloud compute network-firewall-policies rules delete:
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy FIREWALL_POLICY
Ganti FIREWALL_POLICY dengan ID kebijakan firewall tempat aturan ditentukan.
Untuk menghapus kebijakan firewall, gunakan perintah
gcloud compute network-firewall-policies delete:
gcloud compute network-firewall-policies delete FIREWALL_POLICY