Halaman ini diterjemahkan oleh Cloud Translation API.

Kebijakan firewall

Kebijakan firewall memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbaruinya sekaligus, yang dikontrol secara efektif oleh peran Identity and Access Management (IAM). Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti aturan firewall Virtual Private Cloud (VPC).

Kebijakan firewall hierarkis

Dengan kebijakan firewall hierarkis, Anda dapat mengelompokkan aturan ke dalam objek kebijakan yang dapat diterapkan ke banyak jaringan VPC dalam satu atau beberapa project. Anda dapat mengaitkan kebijakan firewall hierarkis dengan seluruh organisasi atau folder individual.

Untuk spesifikasi dan detail kebijakan firewall hierarkis, lihat Kebijakan firewall hierarkis.

Kebijakan firewall jaringan global

Kebijakan firewall jaringan global memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk semua region (global). Kebijakan firewall tidak akan berlaku hingga dikaitkan dengan jaringan VPC. Untuk mengaitkan kebijakan firewall jaringan global dengan jaringan, lihat Mengaitkan kebijakan dengan jaringan. Setelah Anda mengaitkan kebijakan firewall jaringan global dengan jaringan VPC, aturan dalam kebijakan tersebut dapat berlaku untuk resource di jaringan VPC. Anda hanya dapat mengaitkan kebijakan firewall jaringan dengan jaringan VPC.

Untuk spesifikasi dan detail kebijakan firewall jaringan global, lihat Kebijakan firewall jaringan global.

Kebijakan firewall jaringan regional

Kebijakan firewall jaringan regional memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk region tertentu. Kebijakan firewall jaringan regional tidak akan berlaku hingga dikaitkan dengan jaringan VPC di region yang sama. Untuk mengaitkan kebijakan firewall jaringan regional dengan jaringan, lihat Mengaitkan kebijakan dengan jaringan. Setelah Anda mengaitkan kebijakan firewall jaringan regional dengan jaringan VPC, aturan dalam kebijakan dapat berlaku untuk resource dalam region jaringan VPC tersebut.

Untuk spesifikasi dan detail kebijakan firewall regional, lihat Kebijakan firewall jaringan regional.

Urutan evaluasi kebijakan dan aturan

Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, kebijakan firewall jaringan regional, dan aturan firewall VPC diterapkan sebagai bagian dari pemrosesan paket VM pada stack virtualisasi jaringan Andromeda. Aturan dievaluasi untuk setiap antarmuka jaringan (NIC) VM.

Penerapan aturan tidak bergantung pada spesifisitas konfigurasi protokol dan port-nya. Misalnya, aturan izinkan dengan prioritas lebih tinggi untuk semua protokol lebih diutamakan daripada aturan tolak dengan prioritas lebih rendah yang khusus untuk TCP port 22.

Selain itu, penerapan aturan tidak bergantung pada spesifisitas parameter target. Misalnya, aturan izinkan dengan prioritas yang lebih tinggi untuk semua VM (semua target) akan lebih diutamakan meskipun ada aturan tolak dengan prioritas yang lebih rendah dengan parameter target yang lebih spesifik; misalnya—akun layanan atau tag tertentu.

Menentukan urutan evaluasi kebijakan dan aturan

Urutan evaluasi aturan kebijakan firewall dan aturan firewall VPC ditentukan oleh tanda networkFirewallPolicyEnforcementOrder jaringan VPC yang terhubung ke NIC VM.

Tanda networkFirewallPolicyEnforcementOrder dapat memiliki dua nilai berikut:

BEFORE_CLASSIC_FIREWALL: Jika Anda menetapkan flag ke BEFORE_CLASSIC_FIREWALL, kebijakan firewall jaringan global dan kebijakan firewall jaringan regional dievaluasi sebelum aturan firewall VPC dalam urutan evaluasi aturan.
AFTER_CLASSIC_FIREWALL : Jika Anda menetapkan flag ke AFTER_CLASSIC_FIREWALL, kebijakan firewall jaringan global dan kebijakan firewall jaringan regional dievaluasi setelah aturan firewall VPC dalam urutan evaluasi aturan. AFTER_CLASSIC_FIREWALL adalah nilai default flag networkFirewallPolicyEnforcementOrder.

Untuk mengubah urutan evaluasi aturan, lihat Mengubah urutan evaluasi kebijakan dan aturan.

Urutan evaluasi aturan dan kebijakan default

Secara default, dan saat networkFirewallPolicyEnforcementOrder dari jaringan VPC yang terpasang ke NIC VM adalah AFTER_CLASSIC_FIREWALL, Google Cloud mengevaluasi aturan yang berlaku untuk NIC VM dalam urutan berikut:

Jika kebijakan firewall hierarkis dikaitkan dengan organisasi yang berisi project VM, Google Cloud mengevaluasi semua aturan yang berlaku dalam kebijakan firewall hierarkis. Karena aturan dalam kebijakan firewall hierarkis harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Layer 4 menentukan cara pemrosesan traffic:
- Aturan dapat mengizinkan traffic. Proses evaluasi berhenti.
- Aturan dapat menolak traffic. Proses evaluasi berhenti.
- Aturan ini dapat mengirim traffic untuk pemeriksaan Lapisan 7 (apply_security_profile_group) ke endpoint firewall. Keputusan untuk mengizinkan atau membuang paket kemudian bergantung pada endpoint firewall dan profil keamanan yang dikonfigurasi. Dalam kedua kasus tersebut, proses evaluasi aturan akan berhenti.
- Aturan dapat mengizinkan pemrosesan aturan yang ditentukan seperti yang dijelaskan dalam langkah-langkah berikutnya jika salah satu hal berikut terpenuhi:
  - Aturan dengan tindakan goto_next cocok dengan traffic.
  - Tidak ada aturan yang cocok dengan traffic. Dalam hal ini, aturan goto_next tersirat berlaku.
Jika kebijakan firewall hierarkis dikaitkan dengan folder induk terjauh (paling atas) project VM, Google Cloud mengevaluasi semua aturan yang berlaku dalam kebijakan firewall hierarkis untuk folder tersebut. Karena aturan dalam kebijakan firewall hierarkis harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Layer 4 menentukan cara pemrosesan traffic—allow, deny,, apply_security_profile_group, , atau goto_next—seperti yang dijelaskan pada langkah pertama.
Google Cloud mengulangi tindakan langkah sebelumnya untuk kebijakan firewall hierarkis yang terkait dengan folder berikutnya yang lebih dekat dengan project VM dalam hierarki resource. Google Cloud pertama-tama mengevaluasi aturan dalam kebijakan firewall hierarkis yang terkait dengan ancestor folder terjauh (paling dekat dengan organisasi), lalu mengevaluasi aturan dalam kebijakan firewall hierarkis yang terkait dengan folder berikutnya (turunan) yang lebih dekat dengan project VM.
Jika aturan firewall VPC ada di jaringan VPC yang digunakan oleh NIC VM, Google Cloud mengevaluasi semua aturan firewall VPC yang berlaku.

Tidak seperti aturan dalam kebijakan firewall:
- Aturan firewall VPC tidak memiliki tindakan eksplisit goto_next atau apply_security_profile_group . Aturan firewall VPC hanya dapat dikonfigurasi untuk mengizinkan atau menolak traffic.
- Dua aturan firewall VPC atau lebih dalam jaringan VPC dapat berbagi nomor prioritas yang sama. Dalam situasi tersebut, aturan penolakan lebih diutamakan daripada aturan izin. Untuk mengetahui detail tambahan tentang prioritas aturan firewall VPC, lihat Prioritas dalam dokumentasi aturan firewall VPC.
Jika tidak ada aturan firewall VPC yang berlaku untuk traffic, Google Cloud lanjutkan ke langkah berikutnya—goto_next tersirat.
Jika kebijakan firewall jaringan global dikaitkan dengan jaringan VPC NIC VM, Google Cloud semua aturan yang berlaku dalam kebijakan firewall akan dievaluasi. Karena aturan dalam kebijakan firewall harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Layer 4 menentukan cara traffic diproses—allow, deny, apply_security_profile_group, , atau goto_next—seperti yang dijelaskan pada langkah pertama.
Jika kebijakan firewall jaringan regional dikaitkan dengan jaringan VPC NIC VM dan region VM, Google Cloud mengevaluasi semua aturan yang berlaku dalam kebijakan firewall. Karena aturan dalam kebijakan firewall harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Layer 4 menentukan cara traffic diproses—allow, deny, atau goto_next—seperti yang dijelaskan pada langkah pertama.
Sebagai langkah terakhir dalam evaluasi, Google Cloud menerapkan aturan firewall VPC izinkan keluar dan tolak masuk implisit.

Diagram berikut menunjukkan alur penyelesaian untuk aturan firewall.

Alur penyelesaian aturan firewall. — **Gambar 1.** Alur penyelesaian aturan firewall (klik untuk memperbesar).

Mengubah urutan evaluasi kebijakan dan aturan

Google Cloud memberi Anda opsi untuk mengubah proses evaluasi aturan default dengan menukar urutan aturan firewall VPC dan kebijakan firewall jaringan (baik global maupun regional). Saat Anda melakukan pertukaran ini, kebijakan firewall jaringan global (langkah 5) dan kebijakan firewall jaringan regional (langkah 6) dievaluasi sebelum aturan firewall VPC (langkah 4) dalam urutan evaluasi aturan.

Untuk mengubah urutan evaluasi aturan, jalankan perintah berikut untuk menetapkan atribut networkFirewallPolicyEnforcementOrder jaringan VPC ke BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Untuk mengetahui informasi selengkapnya, lihat metode networks.patch.

Aturan firewall yang efektif

Aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global dan regional mengontrol koneksi. Anda mungkin akan terbantu dengan melihat semua aturan firewall yang memengaruhi jaringan atau antarmuka VM tertentu.

Aturan firewall efektif jaringan

Anda dapat melihat semua aturan firewall yang diterapkan ke jaringan VPC. Daftar ini mencakup semua jenis aturan berikut:

Aturan yang diwarisi dari kebijakan firewall hierarkis
Aturan firewall VPC
Aturan yang diterapkan dari kebijakan firewall jaringan global dan regional

Aturan firewall efektif instance

Anda dapat melihat semua aturan firewall yang diterapkan ke antarmuka jaringan VM. Daftar ini mencakup semua jenis aturan berikut:

Aturan yang diwarisi dari kebijakan firewall hierarkis
Aturan yang diterapkan dari firewall VPC antarmuka
Aturan yang diterapkan dari kebijakan firewall jaringan global dan regional

Aturan diurutkan dari tingkat organisasi hingga jaringan VPC. Hanya aturan yang berlaku untuk antarmuka VM yang ditampilkan. Aturan dalam kebijakan lain tidak ditampilkan.

Untuk melihat aturan kebijakan firewall yang efektif dalam suatu region, lihat Mendapatkan kebijakan firewall yang efektif untuk jaringan.

Aturan yang telah ditentukan sebelumnya

Saat Anda membuat kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional, Cloud NGFW akan menambahkan aturan standar ke kebijakan tersebut. Aturan standar yang ditambahkan Cloud NGFW ke kebijakan bergantung pada cara Anda membuat kebijakan.

Jika Anda membuat kebijakan firewall menggunakan Google Cloud konsol, Cloud NGFW akan menambahkan aturan berikut ke kebijakan baru:

Aturan goto-next untuk rentang IPv4 pribadi
Aturan penolakan Google Threat Intelligence bawaan
Aturan penolakan geolokasi yang telah ditentukan sebelumnya
Aturan goto-next dengan prioritas serendah mungkin

Jika Anda membuat kebijakan firewall menggunakan Google Cloud CLI atau API, Cloud NGFW hanya menambahkan aturan goto-next dengan prioritas terendah yang mungkin ke kebijakan.

Semua aturan bawaan dalam kebijakan firewall baru sengaja menggunakan prioritas rendah (angka prioritas besar) sehingga Anda dapat menggantinya dengan membuat aturan dengan prioritas yang lebih tinggi. Kecuali untuk aturan goto-next dengan prioritas terendah, Anda juga dapat menyesuaikan aturan standar.

Aturan goto-next untuk rentang IPv4 pribadi

Aturan keluar dengan rentang IPv4 tujuan 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioritas 1000, dan tindakan goto_next.
Aturan masuk dengan rentang IPv4 sumber 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioritas 1001, dan tindakan goto_next.

Aturan penolakan Google Threat Intelligence yang telah ditentukan sebelumnya

Aturan ingress dengan daftar Google Threat Intelligence sumber iplist-tor-exit-nodes, prioritas 1002, dan tindakan deny.
Aturan ingress dengan daftar Google Threat Intelligence sumber iplist-known-malicious-ips, prioritas 1003, dan tindakan deny.
Aturan keluar dengan tujuan daftar Google Threat Intelligence iplist-known-malicious-ips, prioritas 1004, dan tindakan deny.

Untuk mempelajari Google Threat Intelligence lebih lanjut, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

Aturan penolakan geolokasi yang telah ditentukan sebelumnya

Aturan ingress dengan geolokasi pencocokan sumber CU,IR, KP, SY, XC, dan XD, prioritas 1005, dan tindakan deny.

Untuk mempelajari lebih lanjut geolokasi, lihat Objek geolokasi.

Aturan goto-next dengan prioritas terendah

Anda tidak dapat mengubah atau menghapus aturan berikut:

Aturan keluar dengan rentang IPv6 tujuan ::/0, prioritas 2147483644, dan tindakan goto_next.
Aturan masuk dengan rentang IPv6 sumber ::/0, prioritas 2147483645, dan tindakan goto_next.
Aturan keluar dengan rentang IPv4 tujuan 0.0.0.0/0, prioritas 2147483646, dan tindakan goto_next.
Aturan masuk dengan rentang IPv4 sumber 0.0.0.0/0, prioritas 2147483647, dan tindakan goto_next.

Langkah berikutnya

Untuk membuat dan mengubah kebijakan dan aturan firewall hierarkis, lihat Menggunakan kebijakan firewall hierarkis.
Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Untuk membuat dan mengubah kebijakan serta aturan firewall jaringan global, lihat Menggunakan kebijakan firewall jaringan global.
Untuk membuat dan mengubah kebijakan serta aturan firewall jaringan regional, lihat Menggunakan kebijakan firewall jaringan regional.