Kebijakan firewall memungkinkan Anda mengelompokkan beberapa aturan firewall sehingga Anda dapat memperbarui semuanya sekaligus, yang dikontrol secara efektif oleh peran Identity and Access Management (IAM). Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, seperti aturan firewall Virtual Private Cloud (VPC).
Kebijakan firewall hierarkis
Kebijakan firewall hierarkis memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang dapat diterapkan ke banyak jaringan VPC dalam satu atau beberapa project. Anda dapat mengaitkan kebijakan firewall hierarkis dengan seluruh organisasi atau folder individual.
Untuk mengetahui spesifikasi dan detail kebijakan firewall hierarkis, lihat Kebijakan firewall hierarkis.
Kebijakan firewall jaringan global
Kebijakan firewall jaringan global memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk semua region (global). Setelah Anda mengaitkan kebijakan firewall jaringan global dengan jaringan VPC, aturan dalam kebijakan tersebut dapat berlaku untuk resource di jaringan VPC.
Untuk mengetahui spesifikasi dan detail kebijakan firewall jaringan global, lihat Kebijakan firewall jaringan global.
Kebijakan firewall jaringan regional
Kebijakan firewall jaringan regional memungkinkan Anda mengelompokkan aturan ke dalam objek kebijakan yang berlaku untuk region tertentu. Setelah Anda mengaitkan kebijakan firewall jaringan regional dengan jaringan VPC, aturan dalam kebijakan tersebut dapat diterapkan ke resource dalam region jaringan VPC tersebut.
Untuk mengetahui spesifikasi dan detail kebijakan firewall regional, lihat Kebijakan firewall jaringan regional.
Urutan evaluasi kebijakan dan aturan
Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, kebijakan firewall jaringan regional, dan aturan firewall VPC diimplementasikan sebagai bagian dari pemrosesan paket VM stack virtualisasi jaringan Andromeda. Aturan dievaluasi untuk setiap antarmuka jaringan (NIC) VM.
Penerapan aturan tidak bergantung pada kekhususan konfigurasi protokol
dan port-nya. Misalnya, aturan izin prioritas lebih tinggi untuk semua
protokol lebih diutamakan daripada aturan tolak prioritas lebih rendah yang khusus untuk TCP
port 22.
Selain itu, penerapan aturan tidak bergantung pada kekhususan parameter target. Misalnya, aturan izin prioritas yang lebih tinggi untuk semua VM (semua target) lebih diutamakan meskipun ada aturan tolak prioritas yang lebih rendah dengan parameter target yang lebih spesifik; misalnya—akun layanan atau tag tertentu.
Menentukan urutan evaluasi kebijakan dan aturan
Urutan evaluasi aturan kebijakan firewall dan aturan
firewall VPC ditentukan oleh flag
networkFirewallPolicyEnforcementOrder
jaringan VPC yang dilampirkan ke NIC VM.
Flag networkFirewallPolicyEnforcementOrder
dapat memiliki dua nilai
berikut:
BEFORE_CLASSIC_FIREWALL
: Jika Anda menetapkan tanda keBEFORE_CLASSIC_FIREWALL
, kebijakan firewall jaringan global dan kebijakan firewall jaringan regional dievaluasi sebelum aturan firewall VPC dalam urutan evaluasi aturan.AFTER_CLASSIC_FIREWALL
: Jika Anda menetapkan tanda keAFTER_CLASSIC_FIREWALL
, kebijakan firewall jaringan global dan kebijakan firewall jaringan regional akan dievaluasi setelah aturan firewall VPC dalam urutan evaluasi aturan.AFTER_CLASSIC_FIREWALL
adalah nilai default flagnetworkFirewallPolicyEnforcementOrder
.
Untuk mengubah urutan evaluasi aturan, lihat Mengubah urutan evaluasi kebijakan dan aturan.
Kebijakan default dan urutan evaluasi aturan
Secara default, dan jika networkFirewallPolicyEnforcementOrder
jaringan VPC yang dilampirkan ke NIC VM adalah AFTER_CLASSIC_FIREWALL
, Google Cloud akan mengevaluasi aturan yang berlaku untuk NIC VM dalam urutan berikut:
Jika kebijakan firewall hierarkis dikaitkan dengan organisasi yang berisi project VM, Google Cloud akan mengevaluasi semua aturan yang berlaku dalam kebijakan firewall hierarkis. Karena aturan dalam kebijakan firewall hierarkis harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Lapisan 4 menentukan cara traffic diproses:
Aturan dapat mengizinkan traffic. Proses evaluasi berhenti.
Aturan dapat menolak traffic. Proses evaluasi berhenti.
Aturan ini dapat mengirim traffic untuk pemeriksaan Lapisan 7 (
apply_security_profile_group
) ke endpoint firewall. Keputusan untuk mengizinkan atau menghapus paket kemudian bergantung pada endpoint firewall dan profil keamanan yang dikonfigurasi. Dalam kedua kasus tersebut, proses evaluasi aturan akan berhenti.Aturan ini dapat mengizinkan pemrosesan aturan yang ditentukan seperti yang dijelaskan dalam langkah berikut jika salah satu hal berikut terpenuhi:
- Aturan dengan tindakan
goto_next
cocok dengan traffic. - Tidak ada aturan yang cocok dengan traffic. Dalam hal ini, aturan
goto_next
implisit akan berlaku.
- Aturan dengan tindakan
Jika kebijakan firewall hierarkis dikaitkan dengan ancestor folder paling jauh (atas) dari project VM, Google Cloud akan mengevaluasi semua aturan yang berlaku dalam kebijakan firewall hierarkis untuk folder tersebut. Karena aturan dalam kebijakan firewall hierarkis harus unik, aturan dengan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Lapisan 4 menentukan cara traffic diproses—
allow
,deny
,apply_security_profile_group
, , ataugoto_next
—seperti yang dijelaskan pada langkah pertama.Google Cloud mengulangi tindakan langkah sebelumnya untuk kebijakan firewall hierarkis yang terkait dengan folder berikutnya yang lebih dekat ke project VM dalam hierarki resource. Google Cloud pertama-tama mengevaluasi aturan dalam kebijakan firewall hierarkis yang terkait dengan ancestor folder terjauh (paling dekat dengan organisasi), lalu mengevaluasi aturan dalam kebijakan firewall hierarkis yang terkait dengan folder (turunan) berikutnya yang lebih dekat dengan project VM.
Jika aturan firewall VPC ada di jaringan VPC yang digunakan oleh NIC VM, Google Cloud akan mengevaluasi semua aturan firewall VPC yang berlaku.
Tidak seperti aturan dalam kebijakan firewall:
Aturan firewall VPC tidak memiliki tindakan
goto_next
atauapply_security_profile_group
eksplisit. Aturan firewall VPC hanya dapat dikonfigurasi untuk mengizinkan atau menolak traffic.Dua atau beberapa aturan firewall VPC di jaringan VPC dapat memiliki nomor prioritas yang sama. Dalam situasi tersebut, aturan tolak akan lebih diutamakan daripada aturan izinkan. Untuk detail tambahan tentang prioritas aturan firewall VPC, lihat Prioritas dalam dokumentasi aturan firewall VPC.
Jika tidak ada aturan firewall VPC yang berlaku untuk traffic, Google Cloud akan melanjutkan ke langkah berikutnya—
goto_next
implisit.Jika kebijakan firewall jaringan global dikaitkan dengan jaringan VPC NIC VM, Google Cloud akan mengevaluasi semua aturan yang berlaku dalam kebijakan firewall. Karena aturan dalam kebijakan firewall harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Lapisan 4 menentukan cara traffic diproses—
allow
,deny
,apply_security_profile_group
, , ataugoto_next
—seperti yang dijelaskan pada langkah pertama.Jika kebijakan firewall jaringan regional dikaitkan dengan jaringan VPC NIC VM dan region VM, Google Cloud akan mengevaluasi semua aturan yang berlaku dalam kebijakan firewall. Karena aturan dalam kebijakan firewall harus unik, aturan prioritas tertinggi yang cocok dengan arah traffic dan karakteristik Lapisan 4 menentukan cara traffic diproses—
allow
,deny
, ataugoto_next
—seperti yang dijelaskan pada langkah pertama.Sebagai langkah terakhir dalam evaluasi, Google Cloud menerapkan aturan firewall VPC yang secara implisit mengizinkan egress dan secara implisit menolak ingress.
Diagram berikut menunjukkan alur resolusi untuk aturan firewall.
Mengubah kebijakan dan urutan evaluasi aturan
Google Cloud memberi Anda opsi untuk mengubah proses evaluasi aturan default dengan menukar urutan aturan firewall VPC dan kebijakan firewall jaringan (baik global maupun regional). Saat Anda melakukan pertukaran ini, kebijakan firewall jaringan global (langkah 5) dan kebijakan firewall jaringan regional (langkah 6) dievaluasi sebelum aturan firewall VPC (langkah 4) dalam urutan evaluasi aturan.
Untuk mengubah urutan evaluasi aturan, jalankan perintah berikut untuk menetapkan atribut networkFirewallPolicyEnforcementOrder
jaringan VPC ke BEFORE_CLASSIC_FIREWALL
:
gcloud compute networks update VPC-NETWORK-NAME \ --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL
Untuk mengetahui informasi selengkapnya, lihat metode networks.patch
.
Aturan firewall yang efektif
Aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global dan regional mengontrol koneksi. Anda mungkin merasa lebih mudah dengan melihat semua aturan firewall yang memengaruhi setiap antarmuka VM atau jaringan.
Aturan firewall yang efektif untuk jaringan
Anda dapat melihat semua aturan firewall yang diterapkan ke jaringan VPC. Daftar ini mencakup semua jenis aturan berikut:
- Aturan yang diwarisi dari kebijakan firewall hierarkis
- Aturan firewall VPC
- Aturan yang diterapkan dari kebijakan firewall jaringan global dan regional
Aturan firewall yang berlaku untuk instance
Anda dapat melihat semua aturan firewall yang diterapkan ke antarmuka jaringan VM. Daftar ini mencakup semua jenis aturan berikut:
- Aturan yang diwarisi dari kebijakan firewall hierarkis
- Aturan yang diterapkan dari firewall VPC antarmuka
- Aturan yang diterapkan dari kebijakan firewall jaringan global dan regional
Aturan diurutkan dari tingkat organisasi hingga jaringan VPC. Hanya aturan yang berlaku untuk antarmuka VM yang ditampilkan. Aturan dalam kebijakan lain tidak ditampilkan.
Untuk melihat aturan kebijakan firewall yang efektif dalam suatu region, lihat Mendapatkan kebijakan firewall yang efektif untuk jaringan.
Aturan standar
Saat Anda membuat kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional, Cloud NGFW akan menambahkan aturan standar ke kebijakan. Aturan standar yang ditambahkan Cloud NGFW ke kebijakan bergantung pada cara Anda membuat kebijakan.
Jika Anda membuat kebijakan firewall menggunakan konsol Google Cloud, Cloud NGFW akan menambahkan aturan berikut ke kebijakan baru:
- Aturan lanjutkan ke berikutnya untuk rentang IPv4 pribadi
- Aturan tolak Google Threat Intelligence bawaan
- Aturan tolak geolokasi standar
- Aturan goto-next prioritas terendah
Jika Anda membuat kebijakan firewall menggunakan Google Cloud CLI atau API, Cloud NGFW hanya akan menambahkan aturan goto-next dengan prioritas serendah mungkin ke kebijakan.
Semua aturan standar dalam kebijakan firewall baru sengaja menggunakan prioritas rendah (angka prioritas besar) sehingga Anda dapat menggantinya dengan membuat aturan dengan prioritas yang lebih tinggi. Kecuali untuk aturan goto-next prioritas terendah, Anda juga dapat menyesuaikan aturan standar.
Aturan lanjutkan ke berikutnya untuk rentang IPv4 pribadi
Aturan keluar dengan rentang IPv4 tujuan
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, prioritas1000
, dan tindakangoto_next
.Aturan masuk dengan rentang IPv4 sumber
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, prioritas1001
, dan tindakangoto_next
.
Aturan tolak Google Threat Intelligence yang telah ditetapkan
Aturan masuk dengan daftar sumber Google Threat Intelligence
iplist-tor-exit-nodes
, prioritas1002
, dan tindakandeny
.Aturan masuk dengan daftar sumber Google Threat Intelligence
iplist-known-malicious-ips
, prioritas1003
, dan tindakandeny
.Aturan egress dengan daftar Google Threat Intelligence tujuan
iplist-known-malicious-ips
, prioritas1004
, dan tindakandeny
.
Untuk mempelajari Google Threat Intelligence lebih lanjut, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Aturan penolakan geolokasi standar
- Aturan masuk dengan sumber yang cocok dengan geolokasi
CU
,IR
,KP
,SY
,XC
, danXD
, prioritas1005
, dan tindakandeny
.
Untuk mempelajari geolokasi lebih lanjut, lihat Objek geolokasi.
Aturan goto-next prioritas terendah
Anda tidak dapat mengubah atau menghapus aturan berikut:
Aturan keluar dengan rentang IPv6 tujuan
::/0
, prioritas2147483644
, dan tindakangoto_next
.Aturan masuk dengan rentang IPv6 sumber
::/0
, prioritas2147483645
, dan tindakangoto_next
.Aturan keluar dengan rentang IPv4 tujuan
0.0.0.0/0
, prioritas2147483646
, dan tindakangoto_next
.Aturan masuk dengan rentang IPv4 sumber
0.0.0.0/0
, prioritas2147483647
, dan tindakangoto_next
.
Langkah selanjutnya
- Untuk membuat dan mengubah kebijakan dan aturan firewall hierarkis, lihat Menggunakan kebijakan firewall hierarkis.
- Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
- Untuk membuat dan mengubah kebijakan dan aturan firewall jaringan global, lihat Menggunakan kebijakan firewall jaringan global.
- Untuk membuat dan mengubah kebijakan dan aturan firewall jaringan regional, lihat Menggunakan kebijakan firewall jaringan regional.