Membuat dan mengelola aturan pencerminan

Halaman ini menjelaskan cara membuat dan mengelola aturan pencerminan menggunakan Google Cloud CLI. Sebelum membuat aturan duplikasi paket, Anda harus membuat grup endpoint dan asosiasi grup endpoint. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan layanan konsumen.

Membuat dan mengelola aturan pencerminan untuk kebijakan firewall jaringan

Di bagian ini, pelajari cara membuat dan mengelola aturan pencerminan untuk kebijakan firewall jaringan global.

Membuat kebijakan firewall dengan aturan duplikasi

Buat aturan duplikasi paket dalam kebijakan firewall jaringan.

Konsol

Untuk membuat kebijakan firewall jaringan, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dalam daftar pemilih project, pilih Google Cloud project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Policy name, masukkan nama untuk kebijakan.

  5. Untuk Cakupan deployment, pilih Global.

  6. Untuk membuat aturan duplikasi untuk kebijakan Anda, klik Lanjutkan > Lanjutkan.

  7. Di bagian Tambahkan aturan pencerminan, klik Buat aturan pencerminan.

    1. Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan 0 adalah prioritas tertinggi.
    2. Untuk Direction of traffic, pilih Ingress.
    3. Untuk Action on match, pilih Mirror.
    4. Untuk Grup profil keamanan, pilih grup profil keamanan pencerminan kustom.
    5. Untuk Target, tentukan target aturan.
    6. Untuk Sumber, tentukan filter sumber.
    7. Untuk Tujuan, tentukan filter tujuan.
    8. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau protokol dan port tujuan mana yang menerapkan aturan.
    9. Klik Create.

  8. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Kaitkan kebijakan dengan jaringan. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

  9. Klik Create.

gcloud

Untuk membuat aturan duplikasi dalam kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies mirroring-rules create:

 gcloud compute network-firewall-policies mirroring-rules create PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan ditambahkan.

  • ACTION: tindakan yang akan diambil jika permintaan cocok dengan kondisi kecocokan. ACTION harus berupa mirror atau do_not_mirror.

  • FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk membuat aturan.

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang memiliki profil keamanan CUSTOM_MIRRORING dan digunakan dengan tindakan mirror.

  • DESCRIPTION: deskripsi opsional untuk aturan pencerminan.

  • DIRECTION: menunjukkan apakah aturan adalah aturan ingress atau egress. Jika arah tidak ditentukan, nilai defaultnya adalah menerapkan aturan pada traffic masuk. Untuk traffic masuk, Anda tidak dapat menentukan rentang tujuan. Untuk traffic keluar, Anda tidak dapat menentukan rentang sumber atau tag sumber.

  • LAYER4_CONFIG: daftar protokol dan port tujuan yang akan menerapkan aturan firewall.

  • SRC_IP_RANGE: rentang IP sumber. Ini hanya ditentukan jika DIRECTION adalah ingress.

  • DEST_IP_RANGE: rentang IP tujuan. Ini hanya ditentukan jika DIRECTION adalah egress.

Terraform

Untuk membuat aturan duplikasi, Anda dapat menggunakan resource google_compute_network_firewall_policy_packet_mirroring_rule.

resource "google_compute_network_firewall_policy_packet_mirroring_rule" "default" {
  provider               = google-beta
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "mirror"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Menjelaskan aturan pencerminan

Menjelaskan aturan duplikasi kebijakan firewall jaringan pada prioritas yang ditentukan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dari pemilih project, pilih project Google Cloud yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

  4. Untuk melihat detail aturan, klik prioritas aturan.

gcloud

Untuk mendeskripsikan aturan duplikasi dalam kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies mirroring-rules describe:

 gcloud compute network-firewall-policies mirroring-rules describe PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan dideskripsikan

  • FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk mendeskripsikan aturan

Memperbarui aturan pencerminan

Perbarui aturan duplikasi dalam kebijakan firewall jaringan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dari pemilih project, pilih project Google Cloud Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Di bagian Aturan pencerminan, klik prioritas aturan yang ingin Anda perbarui.

  5. Klik Edit.

  6. Setelah Anda mengedit aturan, klik Simpan.

gcloud

Untuk memperbarui aturan duplikasi dalam kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies mirroring-rules update:

 gcloud compute network-firewall-policies mirroring-rules update PRIORITY \
     --action ACTION \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy \
     --security-profile-group SECURITY_PROFILE_GROUP \
     --description DESCRIPTION \
     --direction DIRECTION \
     --layer4-configs LAYER4_CONIFG \
     --src-ip-ranges SRC_IP_RANGE \
     --dest-ip-ranges DEST_IP_RANGE

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan diperbarui.

  • ACTION: tindakan yang akan diambil jika permintaan cocok dengan kondisi kecocokan. ACTION harus berupa mirror atau do_not_mirror.

  • FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk memperbarui aturan.

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang memiliki profil keamanan CUSTOM_MIRRORING atau apakah ACTION adalah mirror.

  • DESCRIPTION: deskripsi opsional untuk aturan pencerminan.

  • DIRECTION: menunjukkan apakah aturan adalah aturan ingress atau egress. Jika arah tidak ditentukan, nilai defaultnya adalah menerapkan aturan pada traffic masuk. Untuk traffic masuk, Anda tidak dapat menentukan rentang tujuan. Untuk traffic keluar, Anda tidak dapat menentukan rentang sumber atau tag sumber.

  • LAYER4_CONFIG: daftar protokol dan port tujuan yang akan menerapkan aturan firewall.

  • SRC_IP_RANGE: rentang IP sumber. Ini hanya ditentukan jika DIRECTION adalah ingress.

  • DEST_IP_RANGE: rentang IP tujuan. Ini hanya ditentukan jika DIRECTION adalah egress.

Menghapus aturan pencerminan

Menghapus aturan pencerminan paket pada prioritas yang ditentukan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dari pemilih project, pilih project Google Cloud Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan pencerminan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud

Untuk menghapus aturan duplikasi dari kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies mirroring-rules delete:

 gcloud compute network-firewall-policies mirroring-rules delete PRIORITY \
     --firewall-policy FIREWALL_POLICY \
     --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan dihapus

  • FIREWALL_POLICY: ID kebijakan firewall yang akan digunakan untuk menghapus aturan

Langkah berikutnya