Menggunakan kebijakan dan aturan firewall hierarkis

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Batasan

  • Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Anda harus menggunakan jaringan Virtual Private Cloud (VPC) target atau akun layanan target.
  • Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
  • Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
  • Logging Aturan Firewall didukung untuk aturan allow dan deny, tetapi tidak untuk aturan goto_next.
  • Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tugas kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola kebijakan firewall hierarkis.

Untuk memeriksa progres operasi yang dihasilkan dari tugas yang tercantum di bagian ini, pastikan pokok IAM Anda memiliki izin atau peran berikut selain izin atau peran yang diperlukan untuk setiap tugas.

Buat kebijakan firewall

Saat membuat kebijakan firewall hierarkis, Anda dapat menetapkan induknya ke organisasi atau folder dalam organisasi. Setelah membuat kebijakan, Anda dapat mengaitkan kebijakan dengan organisasi atau folder dalam organisasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi Anda atau folder dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Policy name, masukkan nama untuk kebijakan.

  5. Opsional: Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan.

  6. Di bagian Tambahkan aturan, klik Buat aturan firewall. Untuk mengetahui informasi selengkapnya tentang cara membuat aturan firewall, lihat artikel berikut:

  7. Opsional: Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan.

  8. Di bagian Associate policy with resources, klik Add.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.

  9. Klik Create.

gcloud

Jalankan perintah ini untuk membuat kebijakan firewall hierarkis yang induknya adalah organisasi:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Jalankan perintah ini untuk membuat kebijakan firewall hierarkis yang induknya adalah folder dalam organisasi:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Ganti kode berikut:

  • ORG_ID: ID organisasi Anda

    Tentukan ID organisasi untuk membuat kebijakan yang induknya adalah organisasi. Kebijakan ini dapat dikaitkan dengan organisasi atau folder dalam organisasi.

  • SHORT_NAME: nama kebijakan

    Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama pendek yang Anda berikan. Saat menggunakan gcloud CLI untuk mengupdate kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

  • FOLDER_ID: ID folder

    Tentukan ID folder untuk membuat kebijakan yang induknya adalah folder. Kebijakan dapat dikaitkan dengan organisasi yang berisi folder atau folder apa pun dalam organisasi tersebut.

Mengaitkan kebijakan dengan organisasi atau folder

Saat Anda mengaitkan kebijakan firewall hierarkis dengan organisasi atau folder dalam organisasi, aturan kebijakan firewall—kecuali aturan yang dinonaktifkan dan tunduk pada target setiap aturan—berlaku untuk resource di jaringan VPC dalam project organisasi atau folder terkait.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Pengaitan.

  6. Pilih root organisasi atau pilih folder dalam organisasi.

  7. Klik Tambahkan.

gcloud

Secara default, jika Anda mencoba menyisipkan objek atribusi ke organisasi atau folder yang sudah memiliki objek atribusi, metode akan gagal. Jika Anda menentukan tanda --replace-association-on-target, pengaitan yang ada akan dihapus pada saat yang sama dengan pembuatan pengaitan baru. Hal ini mencegah resource tidak memiliki kebijakan selama transisi.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan
  • ORG_ID: ID organisasi Anda
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hilangkan jika Anda mengaitkan kebijakan ke tingkat organisasi
  • ASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama ditetapkan ke "organisasi ORG_ID" atau "folder FOLDER_ID"

Memindahkan kebijakan dari satu resource ke resource lain

Memindahkan kebijakan hanya mengubah induk kebijakan. Mengubah induk kebijakan dapat mengubah akun utama IAM yang dapat membuat dan memperbarui aturan dalam kebijakan serta akun utama IAM yang dapat membuat asosiasi di masa mendatang.

Memindahkan kebijakan tidak akan mengubah asosiasi kebijakan yang ada atau evaluasi aturan dalam kebijakan.

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud

Jalankan perintah ini untuk memindahkan kebijakan firewall hierarkis ke organisasi:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Jalankan perintah ini untuk memindahkan kebijakan firewall hierarkis ke folder dalam organisasi:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan yang Anda pindahkan
  • ORG_ID: ID organisasi tempat kebijakan dipindahkan
  • FOLDER_ID: ID folder tempat kebijakan dipindahkan

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah deskripsi.

  6. Klik Simpan.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mencantumkan kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

    Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.

    Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menjelaskan kebijakan

Anda dapat melihat detail tentang kebijakan firewall hierarkis, termasuk aturan kebijakan dan atribut aturan terkait. Semua atribut aturan ini dihitung sebagai bagian dari kuota atribut aturan. Untuk mengetahui informasi selengkapnya, lihat "Atribut aturan per kebijakan firewall hierarkis" dalam tabel Per kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Sebelum dapat menghapus kebijakan firewall hierarkis, Anda harus menghapus semua asosiasinya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus atribusi.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mencantumkan pengaitan untuk resource

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan diwariskan akan muncul.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menghapus kaitan

Jika Anda perlu mengubah kebijakan firewall hierarkis yang terkait dengan organisasi atau folder, sebaiknya kaitkan kebijakan baru, bukan menghapus kebijakan terkait yang ada. Anda dapat mengaitkan kebijakan baru dalam satu langkah, yang membantu memastikan bahwa kebijakan firewall hierarkis selalu dikaitkan dengan organisasi atau folder.

Untuk menghapus pengaitan antara kebijakan firewall hierarkis dan organisasi atau folder, ikuti langkah-langkah yang disebutkan di bagian ini. Aturan dalam kebijakan firewall hierarkis tidak berlaku untuk koneksi baru setelah asosiasinya dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus atribusi.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Bagian ini menjelaskan cara membuat dan mengelola aturan kebijakan firewall hierarkis.

Membuat aturan ingress untuk target VM

Bagian ini menjelaskan cara membuat aturan ingress yang berlaku untuk antarmuka jaringan instance Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dalam daftar pemilih project, pilih organisasi atau folder yang berisi kebijakan firewall hierarkis.

  3. Jika perlu, di bagian Indeks hierarki, pilih folder turunan.

  4. Di bagian Firewall policies, klik nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.

  5. Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:

    1. Prioritas: urutan evaluasi numerik aturan.

      Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.

    2. Deskripsi: berikan deskripsi opsional.

    3. Direction of traffic: pilih Ingress.

    4. Action on match: pilih salah satu opsi berikut:

      • Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
      • Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
      • Lanjutkan: untuk melanjutkan proses evaluasi aturan firewall.
      • Terapkan grup profil keamanan: mengirimkan paket ke endpoint firewall atau grup endpoint pencegatan berdasarkan Tujuan yang Anda pilih.
        • Untuk mengirim paket ke endpoint firewall Cloud NGFW, pilih Cloud NGFW Enterprise, lalu pilih Grup profil keamanan. Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
        • Untuk mengirim paket ke grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band, pilih NSI In-Band, lalu pilih Security profile group.

    5. Logs: pilih On untuk mengaktifkan logging aturan firewall atau Off untuk menonaktifkan logging aturan firewall untuk aturan ini.

    6. Jaringan target: secara opsional, agar kebijakan firewall berlaku untuk target di jaringan VPC tertentu, klik Tambahkan jaringan, lalu pilih Project dan Jaringan.

    7. Target: pilih salah satu opsi berikut:

      • Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
      • Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan di Target akun layanan.
      • Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. Klik Pilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan nilai tag lainnya, klik Tambahkan tag.

    8. Jenis jaringan sumber: tentukan jenis jaringan:

      • Untuk melewati pemfilteran traffic masuk menurut jenis jaringan, pilih Semua jenis jaringan.
      • Untuk memfilter traffic masuk ke jenis jaringan tertentu, pilih Jenis jaringan tertentu, lalu pilih jenis jaringan:

    9. Filter sumber: tentukan parameter sumber tambahan. Beberapa parameter sumber tidak dapat digunakan bersama, dan pilihan jenis jaringan sumber membatasi parameter sumber yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan ingress dan Kombinasi sumber aturan ingress.

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk sumber IPv6 apa pun.
      • Untuk memfilter traffic masuk menurut nilai tag aman sumber, pilih Pilih cakupan untuk tag di bagian Tag aman. Kemudian, berikan kunci tag dan nilai tag. Untuk menambahkan nilai tag lainnya, klik Tambahkan tag.
      • Untuk memfilter traffic masuk menurut FQDN sumber, masukkan FQDN di kolom FQDNs. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
      • Untuk memfilter traffic masuk menurut geolokasi sumber, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
      • Untuk memfilter traffic masuk menurut grup alamat sumber, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
      • Untuk memfilter traffic masuk menurut daftar Google Threat Intelligence sumber, pilih satu atau beberapa daftar Google Threat Intelligence dari kolom Google Cloud Threat Intelligence. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    10. Tujuan: tentukan parameter tujuan opsional. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan masuk.

      • Untuk melewati pemfilteran traffic masuk menurut alamat IP tujuan, pilih Tidak ada.
      • Untuk memfilter traffic masuk berdasarkan alamat IP tujuan, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 sumber atau rentang IPv6 sumber.

    11. Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

    12. Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:

      • Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
      • Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.

  6. Klik Create.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis, jika induknya adalah organisasi.
  • FOLDER_ID: ID folder yang berisi kebijakan firewall hierarkis, jika induknya adalah folder.
  • DESCRIPTION: deskripsi opsional untuk aturan baru.
  • ACTION: tentukan salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • goto_next: melanjutkan proses evaluasi aturan firewall.
    • apply_security_profile_group: mengirim paket ke endpoint firewall atau grup endpoint intersepsi.
      • Jika tindakan adalah apply_security_profile_group, Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan.
      • Profil keamanan grup profil keamanan dapat mereferensikan endpoint firewall Cloud NGFW atau grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band.
      • Jika profil keamanan grup profil keamanan mereferensikan endpoint firewall Cloud NGFW, sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
  • Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Firewall Rules Logging.
  • Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:

    • Jika Anda menghilangkan flag --target-resources, --target-secure-tags, dan --target-service-accounts, Cloud NGFW akan menggunakan target instance terluas.
    • TARGET_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh URL resource jaringannya dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. Flag --target-resources dapat digunakan sendiri atau bersama dengan satu flag target lainnya. Untuk mengetahui informasi selengkapnya, lihat Kombinasi target tertentu.
    • TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut ini:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Tentukan sumber untuk aturan ingress. Untuk mengetahui informasi selengkapnya, lihat Kombinasi sumber aturan ingress:

    • SRC_NETWORK_TYPE: menentukan jenis jaringan sumber yang akan digunakan bersama dengan parameter sumber lain yang didukung untuk menghasilkan kombinasi sumber. Nilai yang valid saat --target-type=INSTANCES adalah: INTERNET, NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.
    • SRC_VPC_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh ID URL-nya. Tentukan flag ini hanya jika --src-network-type adalah VPC_NETWORKS.
    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL unik. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
    • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan flag --src-secure-tags jika --src-network-type adalah INTERNET.
    • SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan flag --src-region-codes jika --src-network-type adalah NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC.
    • SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan flag --src-threat-intelligence jika --src-network-type adalah NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC.
  • Secara opsional, tentukan tujuan untuk aturan ingress:

    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Membuat aturan keluar untuk target VM

Petunjuk berikut menunjukkan cara membuat aturan egress. Aturan keluar hanya berlaku untuk target yang merupakan antarmuka jaringan instance Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Dalam daftar pemilih project, pilih organisasi atau folder yang berisi kebijakan firewall hierarkis.

  3. Jika perlu, di bagian Indeks hierarki, pilih folder turunan.

  4. Di bagian Firewall policies, klik nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.

  5. Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:

    1. Prioritas: urutan evaluasi numerik aturan.

      Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.

    2. Deskripsi: berikan deskripsi opsional.

    3. Direction of traffic: pilih Egress.

    4. Action on match: pilih salah satu opsi berikut:

      • Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
      • Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
      • Lanjutkan: untuk melanjutkan proses evaluasi aturan firewall.
      • Terapkan grup profil keamanan: mengirimkan paket ke endpoint firewall atau grup endpoint pencegatan berdasarkan Tujuan yang Anda pilih.
        • Untuk mengirim paket ke endpoint firewall Cloud NGFW, pilih Cloud NGFW Enterprise, lalu pilih Grup profil keamanan. Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
        • Untuk mengirim paket ke grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band, pilih NSI In-Band, lalu pilih Security profile group.

    5. Logs: pilih On untuk mengaktifkan logging aturan firewall atau Off untuk menonaktifkan logging aturan firewall untuk aturan ini.

    6. Jaringan target: secara opsional, agar kebijakan firewall berlaku untuk target di jaringan VPC tertentu, klik Tambahkan jaringan, lalu pilih Project dan Jaringan.

    7. Target: pilih salah satu opsi berikut:

      • Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
      • Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan di Target akun layanan.
      • Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. Klik Pilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan nilai tag lainnya, klik Tambahkan tag.

    8. Jenis jaringan tujuan: tentukan jenis jaringan:

    9. Filter tujuan: tentukan parameter tujuan tambahan. Beberapa parameter tujuan tidak dapat digunakan bersama, dan pilihan jenis jaringan tujuan membatasi filter tujuan yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan egress dan Kombinasi tujuan aturan egress.

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.
      • Untuk memfilter traffic keluar menurut FQDN tujuan, masukkan FQDN di kolom FQDN. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
      • Untuk memfilter traffic keluar menurut geolokasi tujuan, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
      • Untuk memfilter traffic keluar menurut grup alamat tujuan, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
      • Untuk memfilter traffic keluar menurut daftar Google Threat Intelligence tujuan, pilih satu atau beberapa daftar Google Threat Intelligence dari kolom Google Cloud Threat Intelligence. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    10. Sumber: tentukan parameter sumber opsional. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.

      • Untuk melewati pemfilteran traffic keluar menurut alamat IP sumber, pilih Tidak ada.
      • Untuk memfilter traffic keluar berdasarkan alamat IP sumber, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 tujuan atau rentang IPv6 tujuan.

    11. Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

    12. Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:

      • Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
      • Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.

  6. Klik Create.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya Anda memisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
  • POLICY_NAME: nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis, jika induknya adalah organisasi.
  • FOLDER_ID: ID folder yang berisi kebijakan firewall hierarkis, jika induknya adalah folder.
  • DESCRIPTION: deskripsi opsional untuk aturan baru.
  • ACTION: tentukan salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan.
    • deny: menolak koneksi yang cocok dengan aturan.
    • goto_next: melanjutkan proses evaluasi aturan firewall.
    • apply_security_profile_group: mengirim paket ke endpoint firewall atau grup endpoint intersepsi.
      • Jika tindakan adalah apply_security_profile_group, Anda harus menyertakan --security-profile-group SECURITY_PROFILE_GROUP, dengan SECURITY_PROFILE_GROUP adalah nama grup profil keamanan.
      • Profil keamanan grup profil keamanan dapat mereferensikan endpoint firewall Cloud NGFW atau grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band.
      • Jika profil keamanan grup profil keamanan mereferensikan endpoint firewall Cloud NGFW, sertakan --tls-inspect atau --no-tls-inspect untuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
  • Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan Firewall Rules Logging.
  • Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
  • Tentukan target:

    • Jika Anda menghilangkan flag --target-resources, --target-secure-tags, dan --target-service-accounts, Cloud NGFW akan menggunakan target instance terluas.
    • TARGET_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh URL resource jaringannya dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. Flag --target-resources dapat digunakan sendiri atau bersama dengan satu flag target lainnya. Untuk mengetahui informasi selengkapnya, lihat Kombinasi target tertentu.
    • TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.
    • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
  • LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu dari berikut ini:
    • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
    • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
    • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
  • Tentukan tujuan untuk aturan keluar. Untuk mengetahui informasi selengkapnya, lihat Kombinasi tujuan aturan egress:

    • DEST_NETWORK_TYPE: menentukan jenis jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk informasi selengkapnya, lihat Jenis jaringan.
    • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
    • DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL unik.
    • DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
    • DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
    • DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
  • Secara opsional, tentukan sumber untuk aturan keluar:

    • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Mencantumkan semua aturan dalam kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda. Aturan dicantumkan di tab Aturan firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan firewall hierarkis yang berisi aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan firewall hierarkis yang berisi aturan baru.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Memperbarui aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih organisasi atau folder yang berisi kebijakan firewall hierarkis.

  3. Klik nama kebijakan firewall hierarkis yang berisi aturan yang akan diperbarui.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom aturan firewall yang ingin Anda ubah. Untuk deskripsi setiap kolom, lihat salah satu hal berikut:

  7. Klik Simpan.

gcloud 

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Ganti kode berikut:

  • PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
  • POLICY_NAME: nama kebijakan yang berisi aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Berikan tanda yang ingin Anda ubah. Untuk deskripsi tanda, lihat salah satu hal berikut:

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Berikan nama kebijakan target.

  6. Jika Anda ingin mengaitkan kebijakan baru secara langsung, klik Lanjutkan untuk membuka bagian Kaitkan kebijakan dengan resource.

  7. Klik Clone.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • SOURCE_POLICY: kebijakan untuk menyalin aturan; harus berupa URL resource
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Menghapus aturan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan.
  • POLICY_NAME: nama kebijakan firewall hierarkis yang berisi aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Mendapatkan aturan firewall efektif untuk jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang berlaku untuk semua region jaringan VPC.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

  3. Klik Firewalls.

  4. Perluas setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti NETWORK_NAME dengan jaringan yang ingin Anda lihat aturan efektifnya.

Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall efektif untuk antarmuka VM

Anda dapat melihat semua aturan firewall—dari semua kebijakan firewall dan aturan firewall VPC yang berlaku—yang berlaku untuk antarmuka jaringan VM Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Di menu pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Aturan firewall yang efektif muncul di tab Firewall yang tersedia di bagian Analisis konfigurasi jaringan.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
  • INTERFACE: antarmuka VM yang ingin Anda lihat aturan efektifnya; nilai defaultnya adalah nic0.
  • ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda temui.

  • FirewallPolicy may not specify a name. One will be provided.

    Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dibuat oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah diingat yang berfungsi sebagai alias dalam banyak konteks.

  • FirewallPolicy may not specify associations on creation.

    Asosiasi hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.

  • Can't move firewall policy to a different organization.

    Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi untuk mengganti asosiasi yang ada ditetapkan ke benar (true).

  • Can't have rules with the same priorities.

    Prioritas aturan harus unik dalam kebijakan firewall hierarkis.

  • Direction must be specified for a firewall policy rule.

    Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, defaultnya adalah INGRESS.

  • Can't specify enable_logging on a goto_next rule.

    Pencatatan Log Firewall tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk merepresentasikan urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.

  • Must specify at least one destination on Firewall policy rule.

    Flag layer4Configs dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.

    Untuk mengetahui informasi selengkapnya tentang pemecahan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.

Langkah berikutnya