Ringkasan kebijakan dan aturan firewall

Kebijakan firewall adalah kumpulan aturan firewall yang memungkinkan Anda mengontrol aliran traffic masuk dan keluar di jaringan VPC. Aturan kebijakan firewall memungkinkan Anda untuk secara eksplisit menolak atau mengizinkan koneksi.

Dalam Integrasi Keamanan Jaringan dalam band, Anda menggunakan kebijakan dan aturan firewall hierarkis dan jaringan global (direkomendasikan) untuk mengalihkan traffic jaringan. Traffic mengalir melalui grup endpoint pencegat jaringan VPC, grup deployment pencegat produsen, lalu ke resource komputasi produsen untuk pemeriksaan traffic.

Halaman ini menjelaskan kebijakan dan aturan firewall yang digunakan untuk inspeksi paket.

Kebijakan dan aturan firewall

Untuk mengalihkan traffic ke grup endpoint pencegat, Anda dapat membuat kebijakan dan aturan firewall hierarkis atau jaringan.

Saat membuat kebijakan firewall, Anda harus membuat aturan firewall dengan tindakan APPLY_SECURITY_PROFILE_GROUP. Aturan harus mereferensikan grup profil keamanan yang berisi tindakan custom-intercept-profile.

Prioritas

Prioritas aturan firewall harus berupa bilangan bulat dari 0 hingga 2.147.483.547, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Untuk mengetahui informasi selengkapnya, lihat Prioritas aturan firewall.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:

  • Tindakan allow mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.
  • Tindakan deny menolak traffic dan menghentikan evaluasi aturan lebih lanjut.
  • Tindakan apply_security_profile_group secara transparan mencegat traffic dan mengirimkannya ke firewall endpoint yang dikonfigurasi atau ke intercept endpoint group untuk diperiksa. Keputusan untuk mengizinkan atau menolak paket kemudian bergantung pada endpoint firewall (atau pada grup endpoint pencegat) dan profil keamanan yang dikonfigurasi. Dalam kedua kasus tersebut, proses evaluasi aturan akan berhenti.

Untuk mengetahui informasi selengkapnya, lihat Urutan evaluasi kebijakan dan aturan.

Egress dan ingress

Aturan ingress dengan tindakan deny melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan dengan prioritas yang lebih tinggi mungkin mengizinkan akses masuk.

Aturan keluar dengan tindakan allow memungkinkan instance mengirim traffic ke tujuan yang ditentukan dalam aturan. Egress dapat ditolak oleh aturan firewall penolakan dengan prioritas yang lebih tinggi. Google Cloud juga memblokir atau membatasi jenis traffic tertentu.

Setelah menambahkan aturan firewall ke kebijakan, Anda kemudian mengaitkan kebijakan firewall dengan jaringan Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola aturan.

Protocols and ports

Mirip dengan aturan firewall, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan firewall. Saat menentukan TCP atau UDP dalam aturan firewall, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall:

  • tcp
  • udp
  • icmp (untuk ICMP IPv4)
  • esp
  • ah
  • sctp
  • ipip

Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Untuk mengetahui informasi selengkapnya, lihat Protokol dan port aturan firewall.

Arah

Arah penerapan aturan firewall. Nilainya dapat berupa INGRESS atau EGRESS.

  • INGRESS: arah masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke target Google Cloud . Aturan ingress berlaku untuk paket masuk, dengan tujuan paket adalah target.

    Aturan ingress dengan tindakan tolak melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan dengan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis mencakup beberapa aturan firewall Virtual Private Cloud yang sudah terisi otomatis, yang mengizinkan traffic masuk untuk jenis traffic tertentu.

  • EGRESS: arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan keluar berlaku untuk paket untuk koneksi baru yang sumber paketnya adalah target.

Langkah berikutnya