Ringkasan kebijakan dan aturan firewall

Kebijakan firewall memungkinkan Anda mengelompokkan beberapa aturan firewall dan mirroring sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif oleh peran Identity and Access Management (IAM). Untuk mengetahui informasi selengkapnya tentang kebijakan firewall, lihat Ringkasan kebijakan firewall.

Aturan kebijakan firewall memungkinkan Anda menolak atau mengizinkan koneksi secara eksplisit, sementara aturan duplikasi memungkinkan Anda memfilter traffic yang ingin diduplikasi.

Dokumen ini menjelaskan kebijakan firewall yang memiliki aturan pencerminan dan komponennya.

Membuat kebijakan firewall

Anda dapat membuat aturan pencerminan dalam kebijakan firewall jaringan global. Kebijakan firewall jaringan global berisi aturan duplikasi yang dapat secara eksplisit menduplikasikan atau tidak menduplikasikan traffic yang ditentukan. Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan ini dan mengaitkannya dengan jaringan, lihat Menggunakan kebijakan dan aturan firewall jaringan global.

Kebijakan firewall dapat mencakup aturan firewall dan aturan duplikasi paket. Namun, aturan ini bersifat independen dan dievaluasi secara terpisah. Artinya, aturan firewall dan aturan pencerminan paket dapat memiliki prioritas yang sama. Untuk mengetahui informasi selengkapnya, lihat Urutan evaluasi kebijakan dan aturan untuk aturan pencerminan.

Aturan pencerminan

Duplikasi Paket, layanan Integrasi Keamanan Jaringan di luar band, menggunakan aturan duplikasi paket untuk menentukan traffic mana yang diduplikasi di jaringan konsumen. Traffic yang diduplikasi ini kemudian dikirim ke grup deployment di jaringan produsen. Untuk menduplikasikan traffic, Anda harus membuat aturan duplikasi paket terlebih dahulu dalam kebijakan firewall jaringan global.

Komponen aturan pencerminan

Aturan pencerminan umumnya berfungsi sama seperti kebijakan firewall, tetapi ada beberapa perbedaan seperti yang dijelaskan di bagian berikut.

Prioritas

Prioritas aturan pencerminan adalah bilangan bulat dari 0 hingga 2.147.483.547, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan pencerminan mirip dengan prioritas aturan firewall.

Tindakan jika ada kecocokan

Aturan duplikasi menentukan apakah paket data ingress atau egress diduplikasi. Aturan pencerminan dapat memiliki salah satu tindakan berikut:

Untuk aturan duplikasi paket, tindakan berikut didukung:
- MIRROR: traffic yang cocok diduplikasikan dan dirutekan ke grup deployment.
- DO_NOT_MIRROR: traffic yang cocok tidak diduplikasikan dan evaluasi aturan firewall duplikasi paket selanjutnya dilewati. Aturan DO_NOT_MIRROR digunakan untuk memfilter alur yang tidak perlu dicerminkan secara terperinci.
- GOTO_NEXT: tindakan yang dapat Anda gunakan untuk mendelegasikan evaluasi koneksi ke tingkat yang lebih rendah. Aturan pencerminan memungkinkan pemrosesan aturan berikutnya jika salah satu kondisi berikut terpenuhi:
  - Jika tindakan tersebut goto_next, evaluasi akan dilanjutkan ke aturan berikutnya. Oleh karena itu, beberapa aturan goto_next tidak memengaruhi perilaku satu sama lain.
  - Jika traffic masuk tidak cocok dengan aturan yang ada, sistem akan menggunakan tindakan goto_next secara default. Artinya, tingkat kebijakan saat ini tidak menemukan tindakan yang relevan, sehingga evaluasi dilanjutkan ke tingkat yang lebih rendah berikutnya.
  Catatan: Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tempat yang lebih tinggi dalam hierarki resource. Hal ini memungkinkan administrator di seluruh organisasi mengelola aturan penting di satu tempat.
Aturan pencerminan dengan tindakan mirror harus mereferensikan grup profil keamanan yang berisi profil keamanan CUSTOM_MIRRORING.

Aturan keluar dengan tindakan izinkan memungkinkan instance mengirim traffic ke tujuan yang ditentukan dalam aturan. Egress dapat ditolak oleh aturan firewall penolakan dengan prioritas yang lebih tinggi. Google Cloud Selain itu, memblokir atau membatasi jenis traffic tertentu.

Setelah menambahkan aturan duplikasi ke kebijakan, Anda kemudian mengaitkan aturan duplikasi dengan jaringan untuk menerapkan aturan yang dibuat. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengaitkan aturan pencerminan, lihat Membuat dan mengelola aturan pencerminan.

Protocols and ports

Mirip dengan aturan firewall, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan duplikasi. Saat menentukan TCP atau UDP dalam aturan pencerminan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan pencerminan: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA. Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol satu (1). Untuk ICMP IPv6, gunakan nomor protokol 58.

Aturan pencerminan tidak mendukung penentuan jenis dan kode ICMP, hanya protokol. Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan duplikasi. Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Arah

Arah penerapan aturan pencerminan. Saluran biru tersebut bisa jadi INGRESS atau EGRESS.

INGRESS: arah masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke target Google Cloud . Aturan ingress berlaku untuk paket masuk, dengan tujuan paket adalah target.

Aturan ingress dengan tindakan tolak melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan dengan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis mencakup beberapa aturan firewall Virtual Private Cloud (VPC) yang sudah terisi otomatis, yang mengizinkan traffic masuk untuk jenis traffic tertentu.
EGRESS: arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan keluar berlaku untuk paket untuk koneksi baru yang sumber paketnya adalah target.