Aturan firewall Virtual Private Cloud (VPC) berlaku untuk project dan jaringan tertentu. Jika Anda ingin menerapkan aturan firewall ke beberapa jaringan VPC di organisasi, lihat Kebijakan firewall. Bagian lain dari halaman ini hanya membahas aturan firewall VPC.
Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance virtual machine (VM) di jaringan VPC Anda. Aturan firewall VPC yang diaktifkan selalu diterapkan, sehingga melindungi instance Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun belum dimulai.
Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Meskipun aturan firewall ditentukan di tingkat jaringan, koneksi akan diizinkan atau ditolak per instance. Anda dapat menganggap bahwa aturan firewall VPC sudah ada tidak hanya antara instance Anda dan jaringan lainnya, tetapi juga antara instance individual dalam jaringan yang sama.
Untuk informasi selengkapnya tentang firewall, lihat Firewall (komputasi).
Praktik terbaik untuk aturan firewall
Saat mendesain dan mengevaluasi aturan firewall, perhatikan praktik terbaik berikut:
- Terapkan prinsip hak istimewa terendah. Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda butuhkan.
- Gunakan aturan kebijakan firewall hierarkis untuk memblokir traffic yang tidak boleh diizinkan di tingkat organisasi atau folder.
- Untuk aturan "izinkan", batasi aturan tersebut ke VM tertentu dengan menentukan akun layanan VM.
- Jika Anda perlu membuat aturan berdasarkan alamat IP, coba minimalkan jumlah aturan. Melacak satu aturan yang mengizinkan traffic ke rentang 16 VM lebih mudah daripada melacak 16 aturan terpisah.
- Aktifkan Logging Aturan Firewall dan gunakan Analisis Firewall untuk memverifikasi bahwa aturan firewall digunakan dengan cara yang diinginkan. Logging Aturan Firewall dapat menimbulkan biaya, jadi sebaiknya gunakan secara selektif.
Aturan firewall di Google Cloud
Saat membuat aturan firewall VPC, Anda menentukan jaringan VPC dan serangkaian komponen yang menentukan fungsi aturan. Komponen ini memungkinkan Anda menargetkan jenis traffic tertentu, berdasarkan protokol, port tujuan, sumber, dan tujuan traffic. Untuk mengetahui informasi selengkapnya, lihat komponen aturan firewall.
Anda membuat atau mengubah aturan firewall VPC menggunakan konsol Google Cloud, Google Cloud CLI, dan REST API. Saat membuat atau mengubah aturan firewall, Anda dapat menentukan instance yang akan diterapkan oleh aturan tersebut menggunakan parameter target aturan. Untuk contoh aturan firewall, lihat Contoh konfigurasi lainnya.
Selain aturan firewall yang Anda buat, Google Cloud memiliki aturan lain yang dapat memengaruhi koneksi masuk (ingress) atau keluar (egress):
Google Cloud memblokir atau membatasi traffic tertentu. Untuk informasi selengkapnya, lihat Traffic yang diblokir dan terbatas.
Google Cloud selalu mengizinkan komunikasi antara instance VM dan server metadatanya yang sesuai di
169.254.169.254
. Untuk informasi selengkapnya, lihat traffic yang selalu diizinkan.Setiap jaringan memiliki dua aturan firewall tersirat yang mengizinkan koneksi keluar dan memblokir koneksi masuk. Aturan firewall yang Anda buat dapat mengganti aturan tersirat ini.
Jaringan default sudah terisi otomatis dengan aturan firewall yang dapat Anda hapus atau ubah.
Spesifikasi
Aturan firewall VPC memiliki karakteristik berikut:
Setiap aturan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya. Untuk informasi selengkapnya, lihat arah koneksi.
Aturan firewall mendukung koneksi IPv4. Koneksi IPv6 juga didukung di jaringan VPC yang telah mengaktifkan IPv6. Saat menentukan sumber atau tujuan untuk aturan masuk atau keluar berdasarkan alamat, Anda dapat menentukan alamat atau blok IPv4 atau IPv6 dalam notasi CIDR.
Setiap aturan firewall dapat berisi rentang IPv4 atau IPv6, tetapi tidak keduanya.
Setiap tindakan aturan firewall adalah
allow
ataudeny
. Aturan ini berlaku untuk koneksi selama diterapkan. Misalnya, Anda dapat menonaktifkan aturan untuk tujuan pemecahan masalah.Saat membuat aturan firewall, Anda harus memilih jaringan VPC. Meskipun aturan diterapkan di tingkat instance, konfigurasinya dikaitkan dengan jaringan VPC. Artinya, Anda tidak dapat berbagi aturan firewall antarjaringan VPC, termasuk jaringan yang terhubung melalui Peering Jaringan VPC atau menggunakan tunnel Cloud VPN.
Aturan firewall VPC bersifat stateful:
- Jika koneksi diizinkan melalui firewall dalam kedua arah, traffic kembali yang cocok dengan koneksi ini juga diizinkan. Anda tidak dapat mengonfigurasi aturan firewall untuk menolak traffic respons terkait.
- Traffic yang ditampilkan harus cocok dengan 5-tuple (IP sumber, IP tujuan, port sumber, port tujuan, protokol) dari traffic permintaan yang diterima, tetapi dengan alamat dan port sumber dan tujuan yang dibalik.
- Google Cloud mengaitkan paket masuk dengan paket keluar yang sesuai menggunakan tabel pelacakan koneksi. Koneksi IPv4 mendukung protokol TCP, UDP, SCTP, dan ICMP. Koneksi IPv6 mendukung protokol TCP, UDP, SCTP, dan ICMPv6.
- Google Cloud menerapkan pelacakan koneksi, terlepas dari apakah protokol mendukung koneksi atau tidak. Jika koneksi diizinkan antara sumber dan target (untuk aturan masuk) atau antara target dan tujuan (untuk aturan keluar), semua traffic respons diizinkan selama status pelacakan koneksi firewall aktif. Status pelacakan aturan firewall dianggap aktif jika setidaknya satu paket dikirim setiap 10 menit.
- Jika koneksi yang terfragmentasi diizinkan melalui firewall, Google Cloud menggunakan pelacakan koneksi untuk hanya mengizinkan fragmen pertama traffic return. Untuk mengizinkan fragmen pengembalian berikutnya, Anda harus menambahkan aturan firewall.
- Traffic respons ICMP, seperti "ICMP TYPE 3, DESTINATION UNREACHABLE", yang dihasilkan sebagai respons terhadap koneksi TCP/UDP yang diizinkan diizinkan melalui firewall. Perilaku ini konsisten dengan RFC 792.
Aturan firewall VPC tidak menyusun ulang paket TCP yang terfragmentasi. Oleh karena itu, aturan firewall yang berlaku untuk protokol TCP hanya dapat diterapkan ke fragmen pertama karena berisi header TCP. Aturan firewall yang berlaku untuk protokol TCP tidak berlaku untuk fragmen TCP berikutnya.
Jumlah maksimum koneksi yang dilacak dalam tabel aturan firewall bergantung pada jumlah koneksi stateful yang didukung oleh jenis mesin instance. Jika jumlah maksimum koneksi yang dilacak terlampaui, pelacakan akan dihentikan untuk koneksi yang memiliki interval tidak ada aktivitas terpanjang agar koneksi baru dapat dilacak.
Jenis mesin instance Jumlah maksimum koneksi stateful Jenis mesin dengan inti bersama 130.000 Instance dengan 1–8 vCPU 130.000 koneksi per vCPU Instance dengan lebih dari 8 vCPU Total koneksi 1.040.000 (130.000×8)
Aturan tersirat
Setiap jaringan VPC memiliki dua aturan firewall IPv4 tersirat. Jika IPv6 diaktifkan di jaringan VPC, jaringan tersebut juga memiliki dua aturan firewall IPv6 tersirat. Aturan ini tidak ditampilkan di konsol Google Cloud.
Aturan firewall IPv4 tersirat ada di semua jaringan VPC, terlepas dari cara jaringan dibuat, dan apakah jaringan tersebut adalah jaringan VPC mode otomatis atau mode kustom. Jaringan default memiliki aturan tersirat yang sama.
Aturan izin keluar IPv4 implisit. Aturan keluar yang tindakannya adalah
allow
, tujuannya adalah0.0.0.0/0
, dan prioritasnya adalah serendah mungkin (65535
) memungkinkan instance apa pun mengirim traffic ke tujuan mana pun, kecuali untuk traffic yang diblokir oleh Google Cloud. Aturan firewall dengan prioritas yang lebih tinggi dapat membatasi akses keluar. Akses internet diizinkan jika tidak ada aturan firewall lain yang menolak traffic keluar dan jika instance memiliki alamat IP eksternal atau menggunakan instance Cloud NAT. Untuk informasi selengkapnya, lihat Persyaratan akses internet.Untuk informasi tentang persyaratan pemilihan rute, lihat Persyaratan akses internet.
Aturan masuk IPv4 yang ditolak secara implisit. Aturan traffic masuk yang tindakannya adalah
deny
, sumbernya adalah0.0.0.0/0
, dan prioritasnya adalah serendah mungkin (65535
) melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default menyertakan beberapa aturan tambahan yang mengganti aturan ini, sehingga mengizinkan jenis koneksi masuk tertentu.
Jika IPv6 diaktifkan, jaringan VPC juga memiliki dua aturan implisit ini:
Aturan izin keluar IPv6 tersirat. Aturan keluar yang tindakannya adalah
allow
, tujuannya adalah::/0
, dan prioritasnya adalah serendah mungkin (65535
) memungkinkan instance apa pun mengirim traffic ke tujuan mana pun, kecuali untuk traffic yang diblokir oleh Google Cloud. Aturan firewall dengan prioritas yang lebih tinggi dapat membatasi akses keluar. Untuk informasi tentang persyaratan rute, lihat Persyaratan akses internet.Aturan ingress tolak IPv6 yang tersirat. Aturan traffic masuk yang tindakannya adalah
deny
, sumbernya adalah::/0
, dan prioritasnya adalah serendah mungkin (65535
) melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk.
Aturan implisit tidak dapat dihapus, tetapi memiliki prioritas
terendah. Anda dapat membuat aturan yang menggantikannya selama aturan Anda memiliki
prioritas yang lebih tinggi (angka prioritas kurang dari 65535
). Karena aturan deny
didahulukan daripada aturan allow
dengan prioritas yang sama, aturan allow
masuk
dengan prioritas 65535
tidak pernah diterapkan.
Aturan yang sudah terisi otomatis di jaringan default
Jaringan default sudah diisi otomatis dengan aturan firewall yang mengizinkan koneksi masuk ke instance. Aturan ini dapat dihapus atau diubah sesuai kebutuhan:
Nama aturan | Arah | Prioritas | Rentang sumber | Tindakan | Protocols and ports | Deskripsi |
---|---|---|---|---|---|---|
default-allow-internal
|
ingress
|
65534
|
10.128.0.0/9
|
allow
|
tcp:0-65535
|
Mengizinkan koneksi masuk ke instance VM dari instance lain dalam jaringan VPC yang sama. |
default-allow-ssh
|
ingress
|
65534
|
0.0.0.0/0
|
allow
|
tcp:22
|
Memungkinkan Anda terhubung ke instance dengan alat seperti ssh ,
scp , atau sftp .
|
default-allow-rdp
|
ingress
|
65534
|
0.0.0.0/0
|
allow
|
tcp:3389
|
Memungkinkan Anda terhubung ke instance menggunakan Remote Desktop Protocol (RDP) Microsoft. |
default-allow-icmp
|
ingress
|
65534
|
0.0.0.0/0
|
allow
|
icmp
|
Memungkinkan Anda menggunakan alat seperti ping .
|
Anda dapat membuat aturan firewall serupa untuk jaringan selain jaringan default. Lihat Mengonfigurasi aturan firewall untuk kasus penggunaan umum untuk mengetahui informasi selengkapnya.
Traffic yang diblokir dan dibatasi
Terpisah dari aturan firewall VPC dan kebijakan firewall hierarkis, Google Cloud memblokir atau membatasi traffic tertentu seperti yang dijelaskan dalam tabel berikut.
Jenis traffic | Detail |
---|---|
Rasio paket dan bandwidth
Berlaku untuk:
|
Google Cloud memperhitungkan bandwidth per instance VM, untuk setiap antarmuka jaringan (NIC) atau alamat IP. Jenis mesin VM menentukan rasio traffic keluar maksimum yang memungkinkan; tetapi, Anda hanya dapat mencapai tingkat traffic keluar maksimum yang dimungkinkan dalam situasi tertentu. Untuk mengetahui detailnya, lihat Bandwidth jaringan dalam dokumentasi Compute Engine. |
Penawaran dan konfirmasi DHCP
Berlaku untuk:
|
Google Cloud memblokir penawaran dan konfirmasi DHCP yang masuk dari semua sumber kecuali paket DHCP yang berasal dari server metadata. |
Protokol yang didukung oleh alamat IP eksternal Google Cloud
Berlaku untuk:
|
Alamat IPv4 dan IPv6 eksternal hanya menerima paket TCP, UDP, ICMP, IPIP, AH, ESP, SCTP, dan GRE. Resource yang menggunakan alamat IP eksternal akan menerapkan pembatasan protokol tambahan:
|
Traffic SMTP (port 25)
Berlaku untuk:
|
Secara default, Google Cloud memblokir paket traffic keluar yang dikirim ke port tujuan TCP 25 dari alamat IP eksternal (termasuk alamat IP eksternal dari resource Google Cloud lainnya). Namun, traffic ini tidak diblokir di project yang dimiliki oleh pelanggan Google Cloud tertentu. Di konsol Google Cloud, halaman Jaringan VPC dan halaman Kebijakan firewall akan menampilkan pesan yang menunjukkan apakah port SMTP 25 diizinkan atau tidak diizinkan di project Anda. Pemblokiran ini tidak berlaku untuk paket keluar yang dikirim ke port tujuan TCP 25 dari alamat IP internal, termasuk alamat IP publik yang digunakan secara pribadi di jaringan VPC atau jaringan lokal. Jika traffic keluar SMTP eksternal di port 25 diizinkan di project Anda, dan Anda ingin mengirim jenis traffic ini, kondisi tambahan berikut harus dipenuhi:
Anda dapat mencegah traffic keluar SMTP eksternal dengan membuat aturan firewall VPC tolak traffic keluar atau kebijakan firewall hierarkis. |
Traffic yang selalu diizinkan
Untuk instance VM, aturan firewall VPC dan kebijakan firewall hierarkis tidak berlaku untuk hal berikut:
- Paket yang dikirim ke dan diterima dari server metadata Google Cloud
Paket yang dikirim ke alamat IP yang ditetapkan ke salah satu antarmuka jaringan (NIC) instance sendiri tempat paket tetap berada dalam VM itu sendiri. Alamat IP yang ditetapkan ke NIC instance mencakup:
- Alamat IPv4 internal utama dari NIC
- Alamat IPv4 internal apa pun dari rentang IP alias NIC
- Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC
- Alamat IPv4 internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing atau penerusan protokol, jika instance tersebut adalah backend untuk load balancer atau merupakan instance target untuk penerusan protokol
- Alamat loopback
- Alamat yang dikonfigurasi sebagai bagian dari software overlay jaringan yang Anda jalankan dalam instance itu sendiri
Server metadata Google Cloud
Google Cloud menjalankan server metadata lokal bersama setiap instance di
169.254.169.254
. Server ini penting untuk pengoperasian instance, sehingga
instance dapat mengaksesnya terlepas dari aturan firewall yang Anda konfigurasikan. Server metadata menyediakan layanan dasar berikut ke instance:
- DHCP
- Resolusi DNS, mengikuti urutan resolusi nama DNS untuk jaringan VPC.
- Metadata instance
- Network Time Protocol (NTP)
Interaksi produk
Bagian berikut menjelaskan cara aturan firewall dan kebijakan firewall hierarkis berinteraksi dengan produk Google Cloud lainnya.
Aturan firewall dan load balancer passthrough
Aturan firewall VPC dan kebijakan firewall hierarkis mengontrol protokol dan port yang didukung oleh aturan penerusan yang diizinkan untuk mengakses backend load balancer passthrough. Untuk mengetahui detailnya, baca artikel berikut:
- Aturan firewall dalam dokumentasi Load Balancer Jaringan passthrough eksternal
- Aturan firewall dalam dokumentasi Load Balancer Jaringan passthrough internal
Aturan firewall dan load balancer proxy
Untuk Load Balancer Aplikasi eksternal, Load Balancer Aplikasi internal, Load Balancer Jaringan proxy internal, dan Load Balancer Jaringan proxy eksternal, aturan firewall VPC dan kebijakan firewall hierarkis tidak mengontrol protokol dan port mana yang diterima oleh alamat IP aturan penerusan load balancer proxy. Aturan penerusan saja menentukan protokol dan port yang diterima oleh load balancer proxy.
Aturan firewall VPC dan kebijakan firewall hierarkis mengontrol cara load balancer proxy ini berkomunikasi dengan backend-nya. Untuk mengetahui detailnya, lihat:
- Aturan firewall dalam dokumentasi Load Balancer Aplikasi eksternal
- Aturan firewall dalam dokumentasi Load Balancer Aplikasi internal
- Aturan firewall dalam dokumentasi Load Balancer Jaringan proxy internal
- Aturan firewall dalam dokumentasi Load Balancer Jaringan proxy eksternal
Aturan firewall dan Cloud VPN
Aturan firewall dan kebijakan firewall hierarkis tidak mengontrol protokol dan port mana yang diterima oleh gateway Cloud VPN.
Gateway Cloud VPN hanya menerima paket untuk protokol dan port yang dijelaskan dalam spesifikasi Cloud VPN.
Aturan firewall dan GKE
Google Kubernetes Engine membuat dan mengelola aturan firewall secara otomatis saat Anda membuat cluster atau resource dalam cluster (termasuk Layanan dan Ingress). Untuk informasi selengkapnya, lihat Aturan firewall yang dibuat otomatis dalam dokumentasi Google Kubernetes Engine.
Komponen aturan firewall
Setiap aturan firewall terdiri dari komponen konfigurasi berikut:
Arah dari perspektif target. Arah dapat berupa masuk atau keluar.
Prioritas numerik, yang menentukan apakah aturan diterapkan. Hanya aturan prioritas tertinggi (angka prioritas terendah) yang komponen lainnya cocok dengan traffic yang diterapkan; aturan yang bertentangan dengan prioritas yang lebih rendah akan diabaikan.
Tindakan saat kecocokan, baik
allow
maupundeny
, yang menentukan apakah aturan mengizinkan atau memblokir koneksi.Status penerapan aturan firewall: Anda dapat mengaktifkan dan menonaktifkan aturan firewall tanpa menghapusnya.
Target, yang menentukan instance (termasuk cluster GKE dan instance lingkungan fleksibel App Engine) tempat aturan diterapkan.
Filter sumber atau tujuan untuk karakteristik paket.
Protokol (seperti TCP, UDP, atau ICMP) dan port tujuan.
Opsi logs boolean yang mencatat log koneksi yang cocok dengan aturan ke Cloud Logging.
Ringkasan komponen
Aturan traffic masuk (inbound) | ||||||
---|---|---|---|---|---|---|
Prioritas | Tindakan | Penegakan | Parameter target | Filter sumber dan tujuan | Protocols and ports | |
Bilangan bulat dari 0 hingga 65535 , inklusif; default
1000 |
allow atau deny |
enabled (default) atau disabled |
Menentukan instance yang menerima paket. | Tentukan protokol atau protokol dan port tujuan. Jika tidak ditetapkan, aturan akan berlaku untuk semua protokol dan port tujuan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port. |
||
Aturan traffic keluar | ||||||
Prioritas | Tindakan | Penegakan | Parameter target | Filter sumber dan tujuan | Protocols and ports | |
Bilangan bulat dari 0 hingga 65535 , inklusif; default
1000 |
allow atau deny |
enabled (default) atau disabled |
Menentukan instance yang mengirim paket. | Tentukan protokol atau protokol dan port tujuan. Jika tidak ditetapkan, aturan akan berlaku untuk semua protokol dan port tujuan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port. |
Direction of traffic
Anda dapat membuat aturan firewall yang berlaku untuk traffic masuk atau keluar. Satu aturan tidak dapat diterapkan untuk traffic masuk dan keluar. Namun, Anda dapat membuat beberapa aturan untuk menentukan traffic masuk dan keluar yang Anda izinkan atau tolak melalui firewall.
Ingress (masuk) menjelaskan paket yang masuk ke antarmuka jaringan target.
Keluar (outbound) menjelaskan paket yang keluar dari antarmuka jaringan target.
Jika Anda tidak menentukan arah, Google Cloud akan menggunakan ingress.
Prioritas
Prioritas aturan firewall adalah bilangan bulat dari 0
hingga 65535
, inklusif. Bilangan bulat
yang lebih rendah menunjukkan prioritas yang lebih tinggi. Jika Anda tidak menentukan prioritas saat
membuat aturan, aturan tersebut akan diberi prioritas 1000
.
Prioritas relatif aturan firewall menentukan apakah aturan tersebut berlaku saat dievaluasi terhadap aturan lainnya. Logika evaluasi berfungsi sebagai berikut:
Aturan prioritas tertinggi yang berlaku untuk target untuk jenis traffic tertentu akan diutamakan. Spesifisitas target tidak penting. Misalnya, aturan masuk dengan prioritas lebih tinggi untuk port dan protokol tujuan tertentu yang ditujukan untuk semua target akan menggantikan aturan yang ditentukan dengan cara yang sama dengan prioritas lebih rendah untuk port dan protokol tujuan yang sama yang ditujukan untuk target tertentu.
Aturan prioritas tertinggi yang berlaku untuk protokol dan definisi port tujuan tertentu lebih diutamakan, meskipun definisi port tujuan dan protokol lebih umum. Misalnya, aturan masuk dengan prioritas lebih tinggi yang mengizinkan traffic untuk semua protokol dan port tujuan yang ditujukan untuk target tertentu akan menggantikan aturan masuk dengan prioritas lebih rendah yang menolak TCP 22 untuk target yang sama.
Aturan dengan tindakan
deny
akan menggantikan aturan lain dengan tindakanallow
hanya jika kedua aturan memiliki prioritas yang sama. Dengan menggunakan prioritas relatif, Anda dapat membuat aturanallow
yang mengganti aturandeny
, dan aturandeny
yang mengganti aturanallow
.Aturan dengan prioritas yang sama dan tindakan yang sama akan memiliki hasil yang sama. Namun, aturan yang digunakan selama evaluasi tidak dapat ditentukan. Biasanya, tidak masalah aturan mana yang digunakan kecuali saat Anda mengaktifkan Firewall Rules Logging. Jika Anda ingin log menampilkan aturan firewall yang dievaluasi dalam urutan yang konsisten dan ditentukan dengan baik, tetapkan prioritas unik.
Pertimbangkan contoh berikut yang memiliki dua aturan firewall:
Aturan masuk dari sumber
0.0.0.0/0
(alamat IPv4 apa pun) yang berlaku untuk semua target, semua protokol, dan semua port tujuan, yang memiliki tindakandeny
dan prioritas1000
.Aturan masuk dari sumber
0.0.0.0/0
(alamat IPv4 apa pun) yang berlaku untuk target tertentu dengan tag jaringanwebserver
, untuk traffic di TCP 80, dengan tindakanallow
.
Prioritas aturan kedua menentukan apakah traffic TCP ke port 80
diizinkan untuk target webserver
:
Jika prioritas aturan kedua ditetapkan ke angka yang lebih besar dari
1000
, prioritasnya lebih rendah, sehingga aturan pertama yang menolak semua traffic akan diterapkan.Jika prioritas aturan kedua ditetapkan ke
1000
, kedua aturan tersebut memiliki prioritas yang sama, sehingga aturan pertama yang menolak semua traffic akan diterapkan.Jika prioritas aturan kedua ditetapkan ke angka yang kurang dari
1000
, prioritasnya akan lebih tinggi, sehingga mengizinkan traffic di TCP 80 untuk targetwebserver
. Tanpa aturan lain, aturan pertama akan tetap menolak jenis traffic lain ke targetwebserver
, dan juga akan menolak semua traffic, termasuk TCP 80, ke instance tanpa tag jaringanwebserver
.
Contoh sebelumnya menunjukkan cara menggunakan prioritas untuk membuat aturan allow
selektif dan aturan deny
global untuk menerapkan praktik terbaik keamanan
hak istimewa terendah.
Tindakan jika ada kecocokan
Komponen tindakan aturan firewall menentukan apakah aturan mengizinkan atau memblokir traffic, bergantung pada komponen aturan lainnya:
Tindakan
allow
mengizinkan koneksi yang cocok dengan komponen lain yang ditentukan.Tindakan
deny
memblokir koneksi yang cocok dengan komponen lain yang ditentukan.
Penegakan
Anda dapat memilih apakah aturan firewall diterapkan dengan menetapkan statusnya
ke enabled
atau disabled
. Anda menetapkan status penerapan saat
membuat aturan atau saat
memperbarui aturan.
Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis menjadi enabled
.
Kasus penggunaan
Menonaktifkan dan mengaktifkan berguna untuk memecahkan masalah dan melakukan pemeliharaan. Pertimbangkan untuk mengubah penerapan aturan firewall dalam situasi berikut:
Untuk pemecahan masalah: Bersama dengan Logging Aturan Firewall, Anda dapat menonaktifkan sementara aturan firewall untuk menentukan apakah aturan tersebut bertanggung jawab untuk memblokir atau mengizinkan traffic. Hal ini berguna untuk situasi saat beberapa aturan firewall berlaku untuk traffic yang sama. Menonaktifkan dan mengaktifkan aturan lebih berguna daripada menghapus dan membuat ulang aturan karena tidak ada komponen lain dari aturan yang hilang.
Untuk pemeliharaan: Menonaktifkan aturan firewall dapat menyederhanakan pemeliharaan berkala. Misalnya, Anda dapat memilih untuk mengaktifkan aturan firewall masuk yang mengizinkan akses SSH hanya saat Anda perlu melakukan pemeliharaan menggunakan SSH. Saat tidak melakukan pemeliharaan, Anda dapat menonaktifkan aturan.
Pengaruh terhadap traffic yang ada
Saat Anda mengubah status penerapan aturan firewall, atau saat Anda membuat
aturan baru yang merupakan enforced
, perubahan tersebut hanya berlaku untuk koneksi baru.
Koneksi yang ada tidak akan terpengaruh oleh perubahan ini.
Protocols and ports
Anda dapat mempersempit cakupan aturan firewall dengan menentukan protokol atau protokol dan port tujuan. Anda dapat menentukan protokol atau kombinasi protokol dan port tujuannya. Jika Anda menghilangkan protokol dan port, aturan firewall berlaku untuk semua traffic di protokol dan port tujuan apa pun. Aturan berdasarkan port sumber tidak didukung.
Tidak semua protokol mendukung port. Misalnya, port ada untuk TCP dan UDP, tetapi tidak untuk ICMP. ICMP memang memiliki jenis ICMP yang berbeda, tetapi bukan port dan tidak dapat ditentukan dalam aturan firewall.
Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp
, udp
, icmp
(untuk ICMP IPv4), esp
, ah
, sctp
, dan ipip
. Untuk semua protokol lainnya, Anda harus
menggunakan
nomor protokol IANA.
Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak.
Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.
Tabel berikut meringkas kombinasi spesifikasi protokol dan port tujuan yang valid untuk aturan firewall Google Cloud.
Spesifikasi | Contoh | Penjelasan |
---|---|---|
Tidak ada protokol dan port | — | Jika Anda tidak menentukan protokol, aturan firewall akan berlaku untuk semua protokol dan port tujuan yang berlaku. |
Protokol | tcp |
Jika Anda menentukan protokol tanpa informasi port apa pun, aturan firewall akan berlaku untuk protokol tersebut dan semua port yang berlaku. |
Protokol dan port tunggal | tcp:80 |
Jika Anda menentukan protokol dan satu port tujuan, aturan firewall akan berlaku untuk port tujuan protokol tersebut. |
Rentang protokol dan port | tcp:20-22 |
Jika Anda menentukan protokol dan rentang port, aturan firewall akan berlaku untuk rentang port tujuan tersebut untuk protokol. |
Kombinasi | icmp,tcp:80 tcp:443 udp:67-69 |
Anda dapat menentukan berbagai kombinasi protokol dan port tujuan yang akan diterapkan aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall. |
Target, sumber, tujuan
Target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.
Anda dapat menentukan parameter sumber dan tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.
Parameter target
Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node GKE dan instance lingkungan fleksibel App Engine.
Anda dapat menentukan target berikut untuk aturan masuk atau keluar. Parameter target, sumber, dan tujuan bekerja sama seperti yang dijelaskan dalam Sumber, tujuan, target.
Target default—semua instance dalam jaringan VPC. Jika Anda menghapus spesifikasi target, aturan firewall akan berlaku untuk semua instance di jaringan VPC.
Instance berdasarkan tag jaringan target. Aturan firewall hanya berlaku untuk instance dengan antarmuka jaringan di jaringan VPC aturan firewall jika instance memiliki tag jaringan yang cocok dengan setidaknya salah satu tag jaringan target aturan firewall. Untuk mengetahui jumlah maksimum tag jaringan target yang dapat Anda tentukan per aturan firewall, lihat batas per aturan firewall.
Instance berdasarkan akun layanan target. Aturan firewall hanya berlaku untuk instance dengan antarmuka jaringan di jaringan VPC aturan firewall jika instance menggunakan akun layanan yang cocok dengan setidaknya salah satu akun layanan target aturan firewall. Untuk mengetahui jumlah maksimum akun layanan target yang dapat Anda tentukan per aturan firewall, lihat batas per aturan firewall.
Untuk mengetahui informasi tentang manfaat dan batasan tag jaringan target dan akun layanan target, lihat memfilter berdasarkan akun layanan versus tag jaringan.
Target dan alamat IP untuk aturan masuk
Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:
Jika aturan firewall traffic masuk menyertakan rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.
Jika aturan firewall traffic masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:
Alamat IPv4 internal utama yang ditetapkan ke NIC instance.
Rentang IP alias apa pun yang dikonfigurasi pada NIC instance.
Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.
Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, dengan instance direferensikan oleh instance target.
Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance sebagai VM next hop (
next-hop-instance
ataunext-hop-address
).Alamat IP dalam rentang tujuan rute statis kustom menggunakan next hop Load Balancer Jaringan passthrough internal (
next-hop-ilb
), jika VM adalah backend untuk load balancer tersebut.
Target dan alamat IP untuk aturan keluar
Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP di VM target. Penerusan IP dinonaktifkan secara default.
Jika penerusan IP dinonaktifkan di VM target, VM dapat mengeluarkan paket dengan sumber berikut:
Alamat IPv4 internal utama dari NIC instance.
Rentang IP alias apa pun yang dikonfigurasi pada NIC instance.
Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol, jika instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.
Jika aturan firewall keluar menyertakan rentang alamat IP sumber, VM target masih terbatas pada alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring kumpulan tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak memperluas kumpulan kemungkinan alamat sumber paket.
Jika aturan firewall keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya akan diizinkan.
Jika VM target mengaktifkan penerusan IP, VM dapat memunculkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan dengan lebih tepat.
Parameter sumber
Nilai parameter sumber bergantung pada arah aturan firewall.
Sumber untuk aturan masuk
Anda dapat menggunakan sumber berikut untuk aturan firewall masuk:
Rentang sumber default: Jika Anda menghapus spesifikasi sumber dalam aturan masuk, Google Cloud akan menggunakan rentang alamat IPv4 sumber default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai default tidak menyertakan sumber IPv6.Rentang IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.
Tag jaringan sumber: Satu atau beberapa tag jaringan yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama dengan aturan firewall. Untuk mengetahui jumlah maksimum tag jaringan sumber per aturan firewall, lihat batas per aturan firewall. Untuk mengetahui detail tentang cara alamat sumber paket dicocokkan saat menggunakan spesifikasi sumber implisit ini, lihat Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket.
Akun layanan sumber: Satu atau beberapa akun layanan yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama dengan aturan firewall. Untuk mengetahui jumlah maksimum akun layanan sumber per aturan firewall, lihat batas per aturan firewall. Untuk mengetahui detail tentang cara alamat sumber paket cocok saat menggunakan spesifikasi sumber implisit ini, lihat Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket.
Kombinasi sumber yang valid: Untuk semua kombinasi berikut, set sumber yang efektif adalah gabungan alamat IPv4 atau IPv6 yang ditentukan secara eksplisit dan rentang alamat IP yang tersirat oleh tag jaringan sumber atau akun layanan sumber:
- Kombinasi rentang IPv4 sumber dan tag jaringan sumber.
- Kombinasi rentang IPv6 sumber dan tag jaringan sumber.
- Kombinasi rentang IPv4 sumber dan akun layanan sumber.
- Kombinasi rentang IPv6 sumber dan akun layanan sumber.
Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket
Saat aturan firewall masuk menggunakan tag jaringan sumber, paket harus dipancarkan dari antarmuka jaringan yang memenuhi kriteria berikut:
- Antarmuka jaringan harus berada di jaringan VPC tempat aturan firewall ditentukan, dan
- Antarmuka jaringan harus dikaitkan dengan VM yang memiliki tag jaringan yang cocok dengan setidaknya salah satu tag jaringan sumber aturan firewall.
Saat aturan firewall masuk menggunakan akun layanan sumber, paket harus dipancarkan dari antarmuka jaringan yang memenuhi kriteria berikut:
- Antarmuka jaringan harus berada di jaringan VPC tempat aturan firewall ditentukan, dan
- Antarmuka jaringan harus dikaitkan dengan VM yang memiliki akun layanan yang cocok dengan salah satu akun layanan sumber aturan firewall.
Selain menentukan antarmuka jaringan, saat aturan firewall masuk menggunakan tag jaringan sumber atau akun layanan sumber, paket yang dikeluarkan dari antarmuka jaringan VM harus menggunakan salah satu alamat IP sumber yang valid berikut:
- Alamat IPv4 internal utama dari antarmuka jaringan tersebut.
- Setiap alamat IPv6 yang ditetapkan ke antarmuka jaringan tersebut.
Jika aturan firewall masuk juga berisi rentang alamat IP tujuan, antarmuka jaringan yang terikat ke tag jaringan akan di-resolve ke versi IP yang sama dengan rentang IP tujuan.
Tidak ada alamat IP sumber paket lain yang tersirat saat menggunakan tag jaringan sumber atau akun layanan sumber. Misalnya, rentang IP alias dan alamat IPv4 eksternal yang terkait dengan antarmuka jaringan dikecualikan. Jika Anda perlu membuat aturan firewall traffic masuk yang sumbernya mencakup rentang alamat IP alias atau alamat IPv4 eksternal, gunakan rentang IPv4 sumber.
Sumber untuk aturan keluar
Anda dapat menggunakan sumber berikut untuk aturan firewall keluar:
Default—dikaitkan dengan target. Jika Anda menghilangkan parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.
Rentang IPv4 sumber. Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 sumber. Daftar alamat IPv6 dalam format CIDR.
Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:
Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda menentukan parameter sumber dan tujuan dalam aturan keluar, gunakan versi IP yang sama untuk kedua parameter tersebut. Anda dapat menggunakan rentang alamat IPv4 atau rentang alamat IPv6, tetapi tidak keduanya. Untuk mengetahui detailnya, lihat Tujuan untuk aturan traffic keluar.
Parameter tujuan
Tujuan dapat ditentukan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar. Perilaku tujuan default bergantung pada arah aturan.
Tujuan untuk aturan traffic masuk
Anda dapat menggunakan tujuan berikut untuk aturan firewall masuk:
Default—disederhanakan oleh target. Jika Anda menghilangkan parameter tujuan dari aturan masuk, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan masuk.
Rentang IPv4 tujuan. Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 tujuan. Daftar alamat IPv6 dalam format CIDR.
Ikuti panduan ini untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:
Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda menentukan parameter sumber dan tujuan dalam aturan masuk, parameter sumber akan di-resolve ke versi IP yang sama dengan rentang alamat IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan traffic masuk, lihat Sumber untuk aturan traffic masuk.
Tujuan untuk aturan traffic keluar
Anda dapat menggunakan tujuan berikut untuk aturan firewall keluar:
Rentang tujuan default. Jika Anda menghapus spesifikasi tujuan dalam aturan keluar, Google Cloud akan menggunakan rentang alamat IPv4 tujuan default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai default tidak menyertakan tujuan IPv6.Rentang IPv4 tujuan. Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 tujuan. Daftar alamat IPv6 dalam format CIDR.
Pemfilteran sumber dan target berdasarkan akun layanan
Anda dapat menggunakan akun layanan untuk membuat aturan firewall yang sifatnya lebih spesifik:
Untuk aturan masuk dan keluar, Anda dapat menggunakan akun layanan untuk menentukan target.
Untuk aturan masuk, Anda dapat menentukan sumber untuk paket masuk sebagai alamat IP internal utama VM mana pun di jaringan tempat VM menggunakan akun layanan tertentu.
Akun layanan harus dibuat dalam project yang sama dengan aturan firewall sebelum Anda membuat aturan firewall yang mengandalkannya. Meskipun sistem tidak mencegah Anda membuat aturan yang menggunakan akun layanan dari project yang berbeda, aturan tersebut tidak diterapkan jika akun layanan tidak ada dalam project aturan firewall.
Aturan firewall yang menggunakan akun layanan untuk mengidentifikasi instance berlaku untuk instance baru yang dibuat dan dikaitkan dengan akun layanan dan instance yang ada jika Anda mengubah akun layanannya. Untuk mengubah akun layanan yang terkait dengan instance, Anda harus menghentikan dan memulai ulang instance tersebut. Anda dapat mengaitkan akun layanan dengan setiap instance dan dengan template instance yang digunakan oleh grup instance terkelola.
Memfilter berdasarkan akun layanan versus tag jaringan
Bagian ini menyoroti poin-poin penting yang perlu dipertimbangkan saat memutuskan apakah Anda harus menggunakan akun layanan atau tag jaringan untuk menentukan target dan sumber (untuk aturan masuk).
Jika Anda memerlukan kontrol ketat atas cara aturan firewall diterapkan ke VM, gunakan akun layanan target dan akun layanan sumber, bukan tag jaringan target dan tag jaringan sumber:
Tag jaringan adalah atribut arbitrer. Satu atau beberapa tag jaringan dapat dikaitkan dengan instance oleh akun utama Identity and Access Management (IAM) yang memiliki izin untuk mengeditnya. Akun utama IAM dengan peran Compute Engine Instance Admin untuk project memiliki izin ini. Akun utama IAM yang dapat mengedit instance dapat mengubah tag jaringannya, yang dapat mengubah kumpulan aturan firewall yang berlaku untuk instance tersebut.
Akun layanan mewakili identitas yang terkait dengan instance. Hanya satu akun layanan yang dapat dikaitkan dengan instance. Anda mengontrol akses ke akun layanan dengan mengontrol pemberian peran Service Account User untuk akun utama IAM lainnya. Agar akun utama IAM dapat memulai instance menggunakan akun layanan, akun utama tersebut harus memiliki peran Service Account User setidaknya untuk menggunakan akun layanan tersebut dan izin yang sesuai untuk membuat instance (misalnya, memiliki peran Compute Engine Instance Admin untuk project).
Anda tidak dapat mencampur dan mencocokkan akun layanan dan tag jaringan dalam aturan firewall apa pun:
Anda tidak dapat menggunakan akun layanan target dan tag jaringan target secara bersamaan dalam aturan firewall apa pun (masuk atau keluar).
Jika Anda menentukan target berdasarkan tag jaringan target atau akun layanan target, hal berikut adalah sumber yang tidak valid untuk aturan firewall masuk.
Target Sumber tidak valid Tag jaringan target Akun layanan sumber
Kombinasi rentang IP sumber dan akun layanan sumberAkun layanan target Tag jaringan sumber
Kombinasi rentang IP sumber dan tag jaringan sumber
Berikut adalah pertimbangan operasional untuk akun layanan dan tag jaringan:
Untuk mengubah akun layanan instance, Anda harus menghentikan dan memulai ulang instance. Menambahkan atau menghapus tag jaringan dapat dilakukan saat instance berjalan.
Ada jumlah maksimum akun layanan target, akun layanan sumber, tag jaringan target, dan tag jaringan sumber yang dapat ditentukan untuk aturan firewall. Untuk mengetahui informasi selengkapnya, lihat batas per aturan firewall.
Jika Anda mengidentifikasi instance berdasarkan tag jaringan, aturan firewall akan berlaku untuk alamat IP internal utama instance.
Aturan firewall akun layanan berlaku untuk node GKE, bukan Pod GKE.
Peran dan izin
Tabel berikut menjelaskan izin Identity and Access Management (IAM) yang Anda perlukan untuk menggunakan aturan firewall VPC.
Tugas | Izin yang diperlukan | Contoh peran |
---|---|---|
Membuat aturan firewall |
compute.firewalls.create
|
Compute Security Admin ( roles/compute.securityAdmin )
|
Menghapus aturan firewall |
compute.firewalls.delete
|
Compute Security Admin ( roles/compute.securityAdmin )
|
Membuat perubahan pada aturan firewall |
compute.firewalls.update
|
Compute Security Admin ( roles/compute.securityAdmin )
|
Melihat detail tentang aturan firewall |
compute.firewalls.get
|
Compute Network Viewer ( roles/compute.networkViewer )
|
Melihat daftar aturan firewall |
compute.firewalls.list
|
Compute Network Viewer ( roles/compute.networkViewer )
|
Kasus penggunaan
Kasus penggunaan berikut menunjukkan cara kerja aturan firewall. Dalam contoh ini, semua aturan firewall diaktifkan.
Kasus ingress
Aturan firewall masuk mengontrol koneksi masuk dari sumber ke instance target di jaringan VPC Anda. Sumber untuk aturan masuk dapat ditentukan sebagai salah satu dari hal berikut:
- Rentang alamat IPv4 atau IPv6; default-nya adalah alamat IPv4 apa pun
(
0.0.0.0/0
) - Instance lain di jaringan VPC Anda yang diidentifikasi dengan tag jaringan
- Instance lain di jaringan VPC Anda yang diidentifikasi oleh akun layanan
- Instance lain di jaringan VPC Anda yang diidentifikasi berdasarkan rentang alamat IPv4 atau IPv6 dan berdasarkan tag jaringan
- Instance lain di jaringan VPC Anda yang diidentifikasi berdasarkan rentang alamat IPv4 atau IPv6 dan berdasarkan akun layanan
Sumber default adalah alamat IPv4 apa pun (0.0.0.0/0
). Jika Anda ingin mengontrol koneksi masuk untuk sumber di luar jaringan VPC, termasuk sumber lain di internet, gunakan rentang alamat IP dalam format CIDR.
Aturan masuk dengan tindakan allow
mengizinkan traffic masuk berdasarkan
komponen aturan lainnya. Selain menentukan sumber dan target untuk aturan, Anda dapat membatasi aturan agar berlaku untuk protokol dan port tujuan tertentu. Demikian pula, aturan masuk dengan tindakan deny
dapat digunakan untuk melindungi instance dengan memblokir traffic masuk berdasarkan
komponen aturan firewall.
Contoh ingress
Gambar 1 mengilustrasikan beberapa contoh tempat aturan firewall dapat mengontrol koneksi masuk. Contoh ini menggunakan parameter target dalam penetapan aturan untuk menerapkan aturan ke instance tertentu.
Aturan masuk dengan prioritas
1000
berlaku untuk VM 1. Aturan ini mengizinkan traffic TCP masuk dari sumber IPv4 mana pun (0.0.0.0/0
). Traffic TCP dari instance lain di jaringan VPC diizinkan, tunduk pada aturan keluar yang berlaku untuk instance lain tersebut. VM 4 dapat berkomunikasi dengan VM 1 melalui TCP karena VM 4 tidak memiliki aturan keluar yang memblokir komunikasi tersebut (hanya aturan izin keluar implisit yang berlaku). Karena VM 1 memiliki IP eksternal, aturan ini juga mengizinkan traffic TCP masuk dari host eksternal di internet dan dari VM 2 melalui alamat IP eksternal.VM 2 tidak memiliki aturan firewall masuk yang ditentukan, sehingga aturan tolak masuk yang tersirat akan memblokir semua traffic masuk. Koneksi dari instance lain di jaringan akan diblokir, terlepas dari aturan traffic keluar untuk instance lain. Karena VM 2 memiliki IP eksternal, ada jalur ke VM tersebut dari host eksternal di internet, tetapi aturan deny ingress implisit juga memblokir traffic masuk eksternal.
Aturan traffic masuk dengan prioritas
1000
berlaku untuk VM 3. Aturan ini mengizinkan traffic TCP dari instance di jaringan dengan tag jaringanclient
, seperti VM 4. Traffic TCP dari VM 4 ke VM 3 diizinkan karena VM 4 tidak memiliki aturan egress yang memblokir komunikasi tersebut (hanya aturan izin keluar implisit yang berlaku). Karena VM 3 tidak memiliki IP eksternal, tidak ada jalur ke VM tersebut dari host eksternal di internet.
Kasus traffic keluar
Aturan firewall keluar mengontrol koneksi keluar dari instance target di jaringan VPC Anda. Aturan keluar dengan tindakan allow
mengizinkan traffic
dari instance berdasarkan komponen
aturan lainnya. Misalnya, Anda dapat mengizinkan traffic keluar ke tujuan tertentu, seperti rentang alamat IPv4, pada protokol dan port tujuan yang Anda tentukan. Demikian pula, aturan traffic keluar dengan tindakan deny
akan memblokir traffic berdasarkan komponen aturan lainnya.
Setiap aturan keluar memerlukan tujuan. Tujuan default adalah alamat IPv4
apa pun (0.0.0.0/0
), tetapi Anda dapat membuat tujuan yang lebih spesifik menggunakan
rentang alamat IPv4 atau IPv6 dalam format CIDR. Saat menentukan rentang alamat IP, Anda dapat mengontrol traffic ke instance di jaringan dan ke tujuan di luar jaringan, termasuk tujuan di internet.
Contoh traffic keluar
Gambar 2 mengilustrasikan beberapa contoh tempat aturan firewall dapat mengontrol koneksi keluar. Contoh ini menggunakan parameter target dalam penetapan aturan untuk menerapkan aturan ke instance tertentu.
VM 1 tidak memiliki aturan firewall traffic keluar yang ditentukan, sehingga aturan izinkan traffic keluar tersirat memungkinkannya mengirim traffic ke tujuan mana pun. Koneksi ke instance lain di jaringan VPC diizinkan, tunduk pada aturan masuk yang berlaku untuk instance lain tersebut. VM 1 dapat mengirim traffic ke VM 4 karena VM 4 memiliki aturan masuk yang mengizinkan traffic masuk dari rentang alamat IP mana pun. Karena memiliki alamat IP eksternal, VM 1 dapat mengirim traffic ke host eksternal di internet. Respons masuk untuk traffic yang dikirim oleh VM 1 diizinkan karena aturan firewall bersifat stateful.
Aturan keluar dengan prioritas
1000
berlaku untuk VM 2. Aturan ini menolak semua traffic keluar ke semua tujuan IPv4 (0.0.0.0/0
). Traffic keluar ke instance lain di jaringan VPC diblokir, terlepas dari aturan ingress yang diterapkan ke instance lain. Meskipun VM 2 memiliki alamat IP eksternal, aturan firewall ini memblokir traffic keluarnya ke host eksternal di internet.Aturan keluar dengan prioritas
1000
berlaku untuk VM 3. Aturan ini memblokir traffic TCP keluarnya ke tujuan mana pun dalam rentang IP192.168.1.0/24
. Meskipun aturan masuk untuk VM 4 mengizinkan semua traffic masuk, VM 3 tidak dapat mengirim traffic TCP ke VM 4. Namun, VM 3 bebas mengirim traffic UDP ke VM 4 karena aturan keluar hanya berlaku untuk protokol TCP.Selain itu, VM 3 dapat mengirim traffic apa pun ke instance lain di jaringan VPC di luar rentang IP
192.168.1.0/24
, selama instance lain tersebut memiliki aturan masuk untuk mengizinkan traffic tersebut. Karena tidak memiliki alamat IP eksternal, instance ini tidak memiliki jalur untuk mengirim traffic di luar jaringan VPC.
Langkah selanjutnya
- Untuk membuat dan menggunakan aturan firewall, lihat Menggunakan aturan firewall VPC.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa Cloud NGFW dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Coba Cloud NGFW gratis