Halaman ini diterjemahkan oleh Cloud Translation API.

Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menentukan serangkaian komponen yang menentukan tindakan yang dilakukan aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).

Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya.

Aturan traffic masuk

Arah masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke Google Cloud target. Aturan ingress berlaku untuk paket masuk, dengan tujuan paket adalah target.

Aturan ingress dengan tindakan deny melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis mencakup beberapa aturan firewall VPC yang sudah terisi otomatis, yang mengizinkan traffic masuk untuk jenis traffic tertentu.

Aturan keluar

Arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan traffic keluar berlaku untuk paket untuk koneksi baru yang sumber paketnya adalah target.

Aturan keluar dengan tindakan allow memungkinkan instance mengirim traffic ke tujuan yang ditentukan dalam aturan. Traffic keluar dapat ditolak oleh aturan firewall deny dengan prioritas yang lebih tinggi. Google Cloud juga memblokir atau membatasi jenis traffic tertentu.

Komponen aturan kebijakan firewall

Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional menggunakan komponen yang dijelaskan di bagian ini. Istilah kebijakan firewall mengacu pada salah satu dari tiga jenis kebijakan ini. Untuk mengetahui informasi selengkapnya tentang jenis kebijakan firewall, lihat Kebijakan firewall.

Aturan kebijakan firewall umumnya berfungsi sama seperti aturan firewall VPC, tetapi ada beberapa perbedaan seperti yang dijelaskan di bagian berikut.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan dalam kebijakan firewall mirip dengan prioritas aturan firewall VPC, dengan perbedaan berikut:

Setiap aturan dalam kebijakan firewall harus memiliki prioritas yang unik.
Prioritas aturan dalam kebijakan firewall berfungsi sebagai ID unik aturan. Aturan dalam kebijakan firewall tidak menggunakan nama untuk identifikasi.
Prioritas aturan dalam kebijakan firewall menentukan urutan evaluasi dalam kebijakan firewall itu sendiri. Aturan firewall VPC dan aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional dievaluasi seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:

Parameter tindakan	Deskripsi
`allow`	Mengizinkan paket untuk koneksi baru. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya. Terlepas dari arah aturan, jika protokol paket dan jenis kebijakan firewall mendukung pelacakan koneksi, aturan izinkan akan membuat entri tabel pelacakan koneksi firewall yang mengizinkan paket masuk dan keluar.
`deny`	Tidak mengizinkan paket untuk koneksi baru. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya. Cloud NGFW selalu memeriksa entri tabel pelacakan koneksi firewall sebelum mengevaluasi aturan firewall. Oleh karena itu, jika aturan izinkan membuat entri tabel pelacakan koneksi, entri tabel pelacakan koneksi tersebut akan diprioritaskan.
`apply_security_profile_group`	Menyadap paket untuk koneksi baru, mengirimkannya ke endpoint firewall atau grup endpoint penyadapan. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya. Terlepas dari arah aturan, jika protokol paket dan jenis kebijakan firewall mendukung pelacakan koneksi, aturan dengan tindakan `apply_security_profile_group` akan membuat entri tabel pelacakan koneksi firewall sehingga paket masuk dan keluar dicegat oleh endpoint firewall atau grup endpoint pencegat. Anda tidak dapat membuat aturan dengan tindakan `apply_security_profile_group` dalam kebijakan firewall jaringan regional.
`goto_next`	Berhenti mengevaluasi aturan lain dalam kebijakan firewall, dan mengevaluasi aturan pada langkah berikutnya dalam urutan evaluasi aturan dan kebijakan firewall. Langkah berikutnya dalam urutan evaluasi kebijakan dan aturan firewall mungkin berupa evaluasi aturan dalam kebijakan firewall lain atau aturan firewall implisit.

Penegakan

Anda dapat memilih apakah aturan kebijakan firewall diterapkan dengan menyetel statusnya ke aktif atau nonaktif. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.

Protocols and ports

Mirip dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58.

Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokolnya.

Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Logging

Logging untuk aturan kebijakan firewall berfungsi sama seperti Logging Aturan Firewall VPC, kecuali untuk hal berikut:

Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan tingkat resource tempat kebijakan dilampirkan. Misalnya, 0 berarti kebijakan diterapkan ke organisasi, dan 1 berarti kebijakan diterapkan ke folder tingkat teratas dalam organisasi.
Log untuk aturan kebijakan firewall mencakup kolom target_resource yang mengidentifikasi jaringan VPC tempat aturan berlaku.

Logging hanya dapat diaktifkan untuk aturan allow,deny, dan apply_security_profile_group; logging tidak dapat diaktifkan untuk aturan goto_next.

Target, sumber, tujuan

Parameter target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.

Anda dapat menentukan parameter sumber dan parameter tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.

Parameter target, sumber, dan tujuan bekerja bersama.

Target

Semua aturan firewall masuk dan keluar memiliki target. Target mengidentifikasi antarmuka jaringan instance Compute Engine—termasuk node Google Kubernetes Engine dan instance lingkungan fleksibel App Engine—yang menjadi tujuan penerapan aturan firewall.

Setiap aturan firewall memiliki target terluas, yang dapat Anda persempit jika Anda menentukan parameter target atau kombinasi parameter target. Jika Anda tidak menentukan parameter target maupun kombinasi parameter target, aturan firewall akan berlaku untuk target terluas.

Target terluas untuk aturan dalam kebijakan firewall hierarkis: semua antarmuka jaringan VM dalam subnet di region mana pun dari jaringan VPC mana pun yang berada dalam project di bawah node Resource Manager (folder atau organisasi) yang terkait dengan kebijakan firewall hierarkis.
Target terluas untuk aturan dalam kebijakan firewall jaringan global: semua antarmuka jaringan VM dalam subnet di region mana pun dari jaringan VPC yang terkait dengan kebijakan firewall jaringan global.
Target terluas untuk aturan dalam kebijakan firewall jaringan regional: semua antarmuka jaringan VM dalam subnet di region dan jaringan VPC yang terkait dengan kebijakan firewall jaringan regional.

Tabel berikut mencantumkan parameter target dan kombinasi yang valid yang dapat Anda gunakan untuk mempersempit target aturan firewall:

Parameter target	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Resource jaringan VPC target Daftar satu atau beberapa jaringan VPC yang ditentukan dengan menggunakan parameter `target-resources`. Daftar ini mempersempit target terluas aturan firewall ke antarmuka jaringan VM yang berada di setidaknya salah satu jaringan VPC yang ditentukan.
Akun layanan target Daftar satu atau beberapa akun layanan yang ditentukan menggunakan parameter `target-service-accounts`. Daftar ini mempersempit target terluas aturan firewall ke antarmuka jaringan VM yang termasuk dalam instance VM yang terkait dengan setidaknya salah satu akun layanan yang ditentukan.
Kombinasi akun layanan target dan resource jaringan VPC target Kombinasi yang menggunakan parameter `target-service-accounts` dan `target-resources` dalam aturan yang sama. Kombinasi ini mempersempit target terluas aturan firewall ke antarmuka jaringan VM yang memenuhi kedua kriteria berikut: Antarmuka yang berada di setidaknya salah satu jaringan VPC yang ditentukan Antarmuka yang termasuk dalam instance VM yang terkait dengan setidaknya salah satu akun layanan yang ditentukan
Menargetkan nilai tag aman dari kunci tag dengan data tujuan jaringan Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya menentukan satu jaringan VPC. Daftar ini mempersempit target terluas aturan firewall ke antarmuka jaringan VM yang berada di jaringan VPC yang ditentukan dalam data tujuan. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall.
Menargetkan nilai tag aman dari kunci tag dengan data tujuan organisasi Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya adalah `organization=auto`. Hal ini mempersempit target terluas aturan firewall ke antarmuka jaringan VM yang berada di jaringan VPC mana pun dalam organisasi. Untuk informasi selengkapnya, lihat Tag aman untuk firewall.

Target dan alamat IP untuk aturan masuk

Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:

Jika aturan firewall traffic masuk mencakup rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.
Jika aturan firewall traffic masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:
- Alamat IPv4 internal utama yang ditetapkan ke NIC instance.
- Rentang alamat IP alias yang dikonfigurasi pada NIC instance.
- Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.
- Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.
- Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.
- Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, tempat instance direferensikan oleh instance target.
- Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (next-hop-instance atau next-hop-address) sebagai VM next hop.
- Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (next-hop-ilb) sebagai next hop jika VM adalah backend untuk load balancer tersebut.

Target dan alamat IP untuk aturan keluar

Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP di VM target. Penerusan IP dinonaktifkan secara default.

Jika penerusan IP dinonaktifkan, VM target dapat mengeluarkan paket dengan sumber berikut:
- Alamat IPv4 internal utama NIC instance.
- Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.
- Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.
- Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol. Ini valid jika instance adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.
Jika aturan firewall keluar mencakup rentang alamat IP sumber, VM target masih dibatasi ke alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk mempersempit set tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak memperluas kumpulan kemungkinan alamat sumber paket.

Jika aturan firewall traffic keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.
Jika penerusan IP diaktifkan di VM target, VM dapat mengirimkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan secara lebih tepat.

Sumber

Nilai parameter sumber bergantung pada hal berikut:

Jenis kebijakan firewall yang berisi aturan firewall
Arah aturan firewall

Sumber untuk aturan masuk

Tabel berikut mencantumkan parameter sumber yang dapat digunakan satu per satu atau bersama-sama dalam satu aturan kebijakan firewall ingress. Cloud NGFW mengharuskan Anda menentukan setidaknya satu parameter sumber.

Parameter sumber aturan traffic masuk	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Rentang alamat IP sumber Daftar sederhana yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat sumber Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Mendapatkan nilai tag aman dari kunci tag dengan data tujuan jaringan Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya menentukan satu jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall dan Cara tag aman sumber menyiratkan sumber paket.
Mendapatkan nilai tag aman dari kunci tag dengan data tujuan organisasi Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya adalah `organization=auto`. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall dan Cara tag aman sumber menyiratkan sumber paket.
Geolokasi sumber Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence sumber Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Jenis jaringan sumber Batasan yang menentukan batas keamanan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Dalam satu aturan ingress, Anda dapat menggunakan dua atau lebih parameter sumber untuk menghasilkan kombinasi sumber. Cloud NGFW menerapkan batasan berikut pada kombinasi sumber setiap aturan ingress:

Rentang alamat IP sumber harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
Grup alamat sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
Rentang alamat IP sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
Rentang alamat IP sumber yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv4.
Jenis jaringan internet tidak dapat digunakan dengan tag aman sumber.
Jenis non-internet, jenis jaringan VPC, dan jenis antar-VPC tidak dapat digunakan dengan daftar Google Threat Intelligence sumber atau geolokasi sumber.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan masuk yang menggunakan kombinasi sumber:

Jika kombinasi sumber tidak menyertakan jenis jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan setidaknya satu parameter sumber dalam kombinasi sumber.
Jika kombinasi sumber mencakup jenis jaringan sumber, paket akan cocok dengan aturan ingress jika cocok dengan jenis jaringan sumber dan setidaknya salah satu parameter sumber lainnya dalam kombinasi sumber.

Cara tag aman sumber menyiratkan sumber paket

Aturan ingress dalam kebijakan firewall dapat menentukan sumber menggunakan tag aman sumber (nilai tag). Nilai tag aman mengidentifikasi antarmuka jaringan, bukan karakteristik paket seperti alamat IP.

Paket yang dikirim dari antarmuka jaringan instance VM cocok dengan aturan traffic masuk yang menggunakan nilai tag aman sumber sesuai dengan aturan berikut:

Jika aturan ingress berada dalam kebijakan jaringan regional, instance VM harus berada di zona dengan region yang sama dengan kebijakan firewall jaringan regional. Jika tidak, instance VM dapat berada di zona mana pun.
Instance VM harus dikaitkan dengan nilai tag aman yang sama yang digunakan sebagai tag aman sumber dalam aturan firewall traffic masuk.
Nilai tag aman yang terkait dengan instance VM dan digunakan oleh aturan firewall masuk harus berasal dari kunci tag yang atribut purpose-data-nya mengidentifikasi setidaknya satu jaringan VPC yang berisi antarmuka jaringan instance VM:
- Jika data tujuan kunci tag menentukan satu jaringan VPC, aturan firewall masuk yang menggunakan nilai tag aman sumber berlaku untuk antarmuka jaringan instance VM yang berada di jaringan VPC tersebut.
- Jika data tujuan kunci tag menentukan organisasi, aturan firewall masuk yang menggunakan nilai tag aman sumber berlaku untuk antarmuka jaringan instance VM yang berada di jaringan VPC mana pun dalam organisasi.
Antarmuka jaringan VM yang diidentifikasi harus memenuhi salah satu kriteria berikut:
- Antarmuka jaringan VM berada di jaringan VPC yang sama dengan jaringan VPC tempat kebijakan firewall diterapkan.
- Antarmuka jaringan VM berada di jaringan VPC yang terhubung, menggunakan Peering Jaringan VPC, ke jaringan VPC tempat kebijakan firewall berlaku.

Untuk mengetahui informasi selengkapnya tentang tag aman untuk firewall, lihat Spesifikasi.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan keluar dalam kebijakan firewall hierarkis dan kebijakan firewall jaringan:

Default—tersirat oleh target: jika Anda menghilangkan parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.
Rentang alamat IPv4 sumber: daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 sumber: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:

Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan keluar, parameter tujuan akan diselesaikan ke versi IP yang sama dengan versi IP sumber.

Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 dalam parameter sumber dan objek FQDN dalam parameter tujuan. Jika FQDN di-resolve menjadi alamat IPv4 dan IPv6, hanya alamat IPv4 yang di-resolve yang digunakan selama penegakan aturan.

Tujuan

Tujuan dapat ditentukan dengan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar dalam kebijakan firewall hierarkis dan jaringan. Perilaku tujuan default bergantung pada arah aturan.

Tujuan untuk aturan traffic masuk

Anda dapat menggunakan tujuan berikut untuk aturan firewall ingress dalam kebijakan firewall hierarkis dan jaringan:

Default—tersirat oleh target: jika Anda menghilangkan parameter tujuan dari aturan ingress, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan ingress.
Rentang alamat IPv4 tujuan: daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 tujuan: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:

Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda telah menentukan parameter sumber dan tujuan dalam aturan ingress, parameter sumber akan diselesaikan ke versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan ingress, lihat Sumber untuk aturan ingress dalam kebijakan firewall hierarkis dan Sumber untuk aturan ingress dalam kebijakan firewall jaringan.

Misalnya, dalam aturan ingress, Anda memiliki rentang alamat IPv6 dalam parameter tujuan dan kode negara geolokasi dalam parameter sumber. Selama penegakan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.

Tujuan untuk aturan traffic keluar

Tabel berikut mencantumkan parameter tujuan yang dapat digunakan secara terpisah atau bersama-sama dalam satu aturan kebijakan firewall keluar. Cloud NGFW mengharuskan Anda menentukan setidaknya satu parameter tujuan.

Parameter tujuan aturan keluar	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Rentang alamat IP tujuan Daftar sederhana yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat tujuan Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan kebijakan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain tujuan Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Geolokasi tujuan Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence tujuan Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Jenis jaringan tujuan Batasan yang menentukan batas keamanan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Dalam satu aturan keluar, Anda dapat menggunakan dua atau lebih parameter tujuan untuk menghasilkan kombinasi tujuan. Cloud NGFW menerapkan batasan berikut pada kombinasi tujuan setiap aturan keluar:

Rentang alamat IP tujuan harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
Grup alamat tujuan yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv6.
Rentang alamat IP tujuan yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv6.
Rentang alamat IP tujuan yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv4.
Tujuan Daftar Google Threat Intelligence atau tujuan geolokasi tidak dapat digunakan dengan jenis jaringan tujuan non-internet.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan keluar yang menggunakan kombinasi tujuan:

Jika kombinasi tujuan tidak menyertakan jenis jaringan tujuan, paket cocok dengan aturan keluar jika cocok dengan setidaknya satu parameter tujuan dalam kombinasi tujuan.
Jika kombinasi tujuan mencakup jenis jaringan tujuan, paket akan cocok dengan aturan keluar jika cocok dengan jenis jaringan tujuan dan setidaknya salah satu parameter tujuan lainnya dalam kombinasi tujuan.

Jenis jaringan

Jenis jaringan membantu Anda mencapai tujuan keamanan dengan menggunakan lebih sedikit aturan kebijakan firewall secara lebih efisien. Cloud NGFW mendukung empat jenis jaringan yang dapat digunakan untuk membuat kombinasi sumber atau kombinasi tujuan dalam aturan kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Tabel berikut mencantumkan empat jenis jaringan dan apakah jenis jaringan dapat digunakan dalam kombinasi sumber aturan ingress, dalam kombinasi tujuan aturan egress, atau dalam keduanya.

Jenis jaringan	Sumber untuk aturan masuk	Tujuan untuk aturan traffic keluar
Internet (`INTERNET`)
Non-internet (`NON_INTERNET`)
Jaringan VPC (`VPC_NETWORKS`)
Intra-VPC (`INTRA_VPC`)

Jenis jaringan internet dan non-internet bersifat eksklusif. Jaringan VPC dan jenis jaringan intra-VPC adalah subset dari jenis jaringan non-internet.

Jenis jaringan internet

Jenis jaringan internet (INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk atau sebagai bagian dari kombinasi tujuan aturan keluar:

Untuk aturan ingress, tentukan sumber jenis internet dan setidaknya satu parameter sumber lainnya, kecuali untuk sumber tag aman. Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan cocok dengan parameter sumber jenis internet.
Untuk aturan keluar, tentukan tujuan jenis internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lainnya dan cocok dengan parameter tujuan jenis internet.

Bagian selanjutnya dalam bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan internet.

Jenis jaringan internet untuk paket masuk

Paket ingress yang dirutekan ke antarmuka jaringan VM oleh Maglev Google dianggap termasuk dalam jenis jaringan internet. Paket dirutekan oleh Maglev ke antarmuka jaringan VM jika tujuan paket cocok dengan salah satu hal berikut:

Alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal.
Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket tidak dirutekan menggunakan rute subnet yang diimpor oleh Peering Jaringan VPC atau dari spoke VPC di hub Network Connectivity Center.

Untuk mengetahui informasi selengkapnya tentang paket yang dirutekan oleh Maglev ke VM backend untuk Load Balancer Jaringan passthrough eksternal atau penerusan protokol eksternal, lihat Jalur untuk Load Balancer Jaringan passthrough eksternal dan penerusan protokol eksternal.

Jenis jaringan internet untuk paket keluar

Paket keluar yang dikirim oleh antarmuka jaringan VM dan dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default dianggap termasuk dalam jenis jaringan internet. Namun, jika alamat IP tujuan paket keluar ini adalah untuk Google API dan layanan Google, paket ini dianggap termasuk dalam jenis jaringan non-internet. Untuk mengetahui informasi selengkapnya tentang konektivitas ke Google API dan layanan Google, lihat Jenis jaringan non-internet.

Saat paket dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default, setiap paket yang dikirim oleh antarmuka jaringan VM ke tujuan berikut dianggap termasuk dalam jenis internet:

Tujuan alamat IP eksternal di luar jaringan Google.
Tujuan alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
Tujuan alamat IPv4 dan IPv6 eksternal global dari aturan penerusan load balancer eksternal global.

Paket yang dikirim oleh antarmuka jaringan VM ke gateway Cloud VPN dan Cloud NAT dianggap termasuk dalam jenis internet:

Paket keluar yang dikirim dari antarmuka jaringan VM yang menjalankan software VPN ke alamat IPv4 eksternal regional gateway Cloud VPN dianggap termasuk dalam jenis internet.
Paket keluar yang dikirim dari satu gateway Cloud VPN ke gateway Cloud VPN lainnya tidak dianggap termasuk dalam jenis jaringan apa pun karena aturan firewall hanya berlaku untuk VM.
Untuk NAT Publik, paket respons yang dikirim dari antarmuka jaringan VM ke alamat IPv4 eksternal regional gateway Cloud NAT dianggap termasuk dalam jenis internet.

Jika jaringan VPC terhubung menggunakan Peering Jaringan VPC atau jika jaringan VPC berpartisipasi sebagai spoke VPC di hub Network Connectivity Center yang sama, rute subnet IPv6 dapat menyediakan konektivitas ke tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, dan aturan penerusan protokol eksternal. Jika konektivitas ke tujuan alamat IPv6 eksternal regional tersebut disediakan menggunakan rute subnet, tujuan tersebut akan berada di jenis jaringan non-internet.

Jenis jaringan non-internet

Jenis jaringan non-internet (NON-INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress atau sebagai bagian dari kombinasi tujuan aturan egress:

Untuk aturan ingress, tentukan sumber jenis non-internet dan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar intelijen ancaman atau sumber geolokasi. Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan cocok dengan parameter sumber jenis non-internet.
Untuk aturan keluar, tentukan tujuan jenis non-internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lainnya dan cocok dengan parameter tujuan jenis non-internet.

Bagian selanjutnya menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan non-internet.

Jenis jaringan non-internet untuk paket masuk

Paket masuk yang dirutekan ke antarmuka jaringan VM menggunakan next hop dalam jaringan VPC atau dari Google API dan layanan Google dianggap termasuk dalam jenis jaringan non-internet.

Paket dirutekan menggunakan next hop dalam jaringan VPC atau dari Google API dan layanan Google dalam skenario berikut:

Tujuan paket cocok dengan salah satu dari berikut:
- Alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough internal, atau aturan penerusan untuk penerusan protokol internal.
- Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket dirutekan menggunakan rute subnet lokal, rute subnet peering, atau rute subnet Network Connectivity Center.
- Alamat apa pun dalam rentang tujuan rute statis tempat VM penerima adalah VM next hop atau VM backend dari Load Balancer Jaringan passthrough internal next hop.
Sumber paket cocok dengan salah satu hal berikut:
- Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
- Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
- Alamat IP Front End Google yang digunakan oleh Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal global, atau Load Balancer Jaringan proxy klasik. Untuk mengetahui informasi selengkapnya, lihat Jalur antara backend dan Frontend Google.
- Alamat IP pemeriksa health check. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk health check.
- Alamat IP yang digunakan oleh Identity-Aware Proxy untuk penerusan TCP. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Identity-Aware Proxy (IAP).
- Alamat IP yang digunakan oleh Cloud DNS atau Service Directory. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Cloud DNS dan Service Directory.
- Alamat IP yang digunakan oleh Akses VPC Serverless. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Akses VPC Serverless.
- Alamat IP endpoint Private Service Connect untuk Google API global. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk endpoint Private Service Connect untuk Google API global.

Jenis jaringan non-internet untuk paket keluar

Paket keluar yang dikirim oleh antarmuka jaringan VM dan dirutekan dalam jaringan VPC atau dikirim ke Google API dan layanan Google dianggap termasuk dalam jenis jaringan non-internet.

Paket dirutekan menggunakan next hop dalam jaringan VPC atau ke Google API dan layanan Google dalam skenario berikut:

Paket dirutekan menggunakan rute subnet, yang mencakup tujuan berikut:
- Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
- Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
Paket dirutekan menggunakan rute dinamis.
Paket dirutekan menggunakan rute statis yang menggunakan next hop yang bukan gateway internet default.
Paket dirutekan ke Google API dan layanan global yang diakses menggunakan rute statis dengan next hop gateway internet default. Tujuan layanan dan API Google global mencakup alamat IP untuk domain default dan alamat IP untuk private.googleapis.com dan restricted.googleapis.com.
Tujuan untuk layanan Google yang diakses menggunakan salah satu jalur berikut:

Jenis jaringan VPC

Jenis jaringan VPC (VPC_NETWORKS) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress. Anda tidak dapat menggunakan jenis jaringan VPC sebagai bagian dari kombinasi tujuan aturan keluar.

Untuk menggunakan jenis jaringan VPC sebagai bagian dari kombinasi sumber aturan ingress, lakukan hal berikut:

Anda harus menentukan daftar jaringan VPC sumber:
- Daftar jaringan sumber harus berisi setidaknya satu jaringan VPC. Anda dapat menambahkan maksimal 250 jaringan VPC ke daftar jaringan sumber.
- Jaringan VPC harus ada sebelum Anda dapat menambahkannya ke daftar jaringan sumber.
- Anda dapat menambahkan jaringan menggunakan ID URL sebagian atau lengkap.
- Jaringan VPC yang Anda tambahkan ke daftar jaringan sumber tidak perlu terhubung satu sama lain. Setiap jaringan VPC dapat berada di project mana pun.
- Jika jaringan VPC dihapus setelah ditambahkan ke daftar jaringan sumber, referensi ke jaringan yang dihapus akan tetap ada dalam daftar. Cloud NGFW mengabaikan jaringan VPC yang dihapus saat menerapkan aturan masuk. Jika semua jaringan VPC dalam daftar jaringan sumber dihapus, aturan masuk yang mengandalkan daftar tersebut tidak akan efektif karena tidak cocok dengan paket apa pun.
Anda harus menentukan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar informasi ancaman atau sumber geolokasi .

Paket cocok dengan aturan ingress yang menggunakan jenis jaringan VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

Paket cocok dengan setidaknya satu parameter sumber lainnya.
Paket dikirim oleh resource yang berada di salah satu jaringan VPC sumber.
Jaringan VPC sumber dan jaringan VPC yang menerapkan kebijakan firewall yang berisi aturan masuk adalah jaringan VPC yang sama, atau terhubung menggunakan Peering Jaringan VPC atau sebagai spoke VPC di hub Network Connectivity Center.

Resource berikut terletak di jaringan VPC:

Antarmuka jaringan VM
Tunnel Cloud VPN
Lampiran VLAN Cloud Interconnect
Peralatan router
Proxy Envoy di subnet khusus proxy
Endpoint Private Service Connect
Konektor akses VPC Serverless

Jenis jaringan intra-VPC

Jenis jaringan intra-VPC (INTRA_VPC) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress. Anda tidak dapat menggunakan jenis jaringan intra-VPC sebagai bagian dari kombinasi tujuan aturan keluar.

Untuk menggunakan jenis intra-VPC sebagai bagian dari kombinasi sumber aturan masuk, Anda harus menentukan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar informasi ancaman atau sumber geolokasi .

Paket cocok dengan aturan ingress yang menggunakan jenis intra-VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

Paket cocok dengan setidaknya satu parameter sumber lainnya.
Paket dikirim oleh resource yang berada di jaringan VPC yang kebijakan firewall-nya berisi aturan ingress yang berlaku.

Resource berikut terletak di jaringan VPC:

Antarmuka jaringan VM
Tunnel Cloud VPN
Lampiran VLAN Cloud Interconnect
Peralatan router
Proxy Envoy di subnet khusus proxy
Endpoint Private Service Connect
Konektor akses VPC Serverless

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi atau wilayah geografis tertentu.

Anda dapat menerapkan aturan dengan objek geolokasi ke traffic masuk dan keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan kode negara dicocokkan dengan sumber atau tujuan traffic.

Anda dapat mengonfigurasi objek geolokasi untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.
Untuk menambahkan geolokasi ke aturan kebijakan firewall, gunakan kode negara atau wilayah dua huruf sebagaimana ditentukan dalam kode negara alpha-2 ISO 3166.

Misalnya, jika Anda ingin mengizinkan traffic masuk hanya dari Amerika Serikat ke dalam jaringan, buat aturan kebijakan firewall masuk dengan kode negara sumber ditetapkan ke US dan tindakan ditetapkan ke allow. Demikian pula, jika Anda ingin mengizinkan traffic keluar hanya ke Amerika Serikat, konfigurasi aturan kebijakan firewall keluar dengan kode negara tujuan ditetapkan ke US dan tindakan ditetapkan ke allow.
Cloud NGFW memungkinkan Anda mengonfigurasi aturan firewall untuk wilayah berikut yang tunduk pada sanksi komprehensif AS:

Wilayah Kode yang ditetapkan

Krimea XC

Wilayah yang disebut sebagai Republik Rakyat Donetsk dan Republik Rakyat Luhansk XD
Jika ada kode negara duplikat yang disertakan dalam satu aturan firewall, hanya satu entri untuk kode negara tersebut yang dipertahankan. Entri duplikat dihapus. Misalnya, dalam daftar kode negara ca,us,us, hanya ca,us yang dipertahankan.
Google mengelola database dengan pemetaan kode negara dan alamat IP. FirewallGoogle Cloud menggunakan database ini untuk memetakan alamat IP traffic sumber dan tujuan ke kode negara, lalu menerapkan aturan kebijakan firewall yang cocok dengan objek geolokasi.
Terkadang, penetapan alamat IP dan kode negara berubah karena kondisi berikut:
- Perpindahan alamat IP di seluruh lokasi geografis
- Pembaruan pada standar kode negara ISO 3166 alpha-2
Karena perubahan ini memerlukan waktu untuk ditampilkan di database Google, Anda mungkin melihat beberapa gangguan traffic dan perubahan perilaku untuk traffic tertentu yang diblokir atau diizinkan.

Catatan: Database Google dikelola berdasarkan input dari berbagai sumber tepercaya. Google tidak mendukung penyesuaian pada database ini berdasarkan permintaan pelanggan perorangan.

Wilayah	Kode yang ditetapkan
Krimea	XC
Wilayah yang disebut sebagai Republik Rakyat Donetsk dan Republik Rakyat Luhansk	XD

Menggunakan objek geolokasi dengan filter aturan kebijakan firewall lainnya

Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Bergantung pada arah aturan, aturan kebijakan firewall diterapkan ke traffic masuk atau keluar yang cocok dengan gabungan semua filter yang ditentukan.

Untuk mengetahui informasi tentang cara kerja objek geolokasi dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja objek geolokasi dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Google Threat Intelligence untuk aturan kebijakan firewall

Aturan kebijakan firewall memungkinkan Anda mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Intelijen Ancaman Google. Data Google Threat Intelligence mencakup daftar alamat IP berdasarkan kategori berikut:

Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitas mereka, blokir alamat IP node keluar Tor (endpoint tempat traffic keluar dari jaringan Tor).
Alamat IP berbahaya yang diketahui: Alamat IP yang diketahui sebagai asal serangan aplikasi web. Untuk meningkatkan kualitas keamanan aplikasi Anda, blokir alamat IP ini.
Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
Rentang alamat IP cloud publik: kategori ini dapat diblokir untuk mencegah alat otomatis berbahaya menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya. Kategori ini dibagi lagi menjadi subkategori berikut:
- Rentang alamat IP yang digunakan oleh Amazon Web Services
- Rentang alamat IP yang digunakan oleh Microsoft Azure
- Rentang alamat IP yang digunakan oleh Google Cloud
- Rentang alamat IP yang digunakan oleh layanan Google

Daftar data Google Threat Intelligence dapat mencakup alamat IPv4, alamat IPv6, atau keduanya. Untuk mengonfigurasi Google Threat Intelligence dalam aturan kebijakan firewall, gunakan nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya berdasarkan kategori yang ingin Anda izinkan atau blokir. Daftar ini terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Nama daftar yang valid adalah sebagai berikut.

Nama daftar	Deskripsi
`iplist-tor-exit-nodes`	Mencocokkan alamat IP node keluar TOR
`iplist-known-malicious-ips`	Mencocokkan alamat IP yang diketahui menyerang aplikasi web
`iplist-search-engines-crawlers`	Mencocokkan alamat IP crawler mesin telusur
`iplist-vpn-providers`	Mencocokkan alamat IP yang termasuk dalam penyedia VPN bereputasi rendah
`iplist-anon-proxies`	Mencocokkan alamat IP yang termasuk dalam proxy anonim terbuka
`iplist-crypto-miners`	Mencocokkan alamat IP yang termasuk dalam situs penambangan mata uang kripto
`iplist-public-clouds` `iplist-public-clouds-aws` `iplist-public-clouds-azure` `iplist-public-clouds-gcp` `iplist-public-clouds-google-services`	Mencocokkan alamat IP milik cloud publik Mencocokkan rentang alamat IP yang digunakan oleh Amazon Web Services Mencocokkan rentang alamat IP yang digunakan oleh Microsoft Azure Mencocokkan rentang alamat IP yang digunakan oleh Google Cloud Mencocokkan rentang alamat IP yang digunakan oleh layanan Google

Menggunakan Google Threat Intelligence dengan filter aturan kebijakan firewall lainnya

Untuk menentukan aturan kebijakan firewall dengan Google Threat Intelligence, ikuti panduan berikut:

Untuk aturan keluar, tentukan tujuan menggunakan satu atau beberapa daftar Google Threat Intelligence tujuan.
Untuk aturan masuk, tentukan sumber menggunakan satu atau beberapa daftar Google Threat Intelligence sumber.
Anda dapat mengonfigurasi daftar Kecerdasan Ancaman Google untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.
Anda dapat menggunakan daftar ini bersama dengan komponen filter aturan sumber atau tujuan lainnya.

Untuk mengetahui informasi tentang cara kerja daftar Google Threat Intelligence dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja daftar Google Threat Intelligence dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.
Logging firewall dilakukan di tingkat aturan. Untuk mempermudah Anda men-debug dan menganalisis efek aturan firewall, jangan sertakan beberapa daftar Google Threat Intelligence dalam satu aturan firewall.
Anda dapat menambahkan beberapa daftar Google Threat Intelligence ke aturan kebijakan firewall. Setiap nama daftar yang disertakan dalam aturan dihitung sebagai satu atribut, terlepas dari jumlah alamat IP atau rentang alamat IP yang disertakan dalam daftar tersebut. Misalnya, jika Anda telah menyertakan nama daftar iplist-tor-exit-nodes, iplist-known-malicious-ips, dan iplist-search-engines-crawlers dalam aturan kebijakan firewall, jumlah atribut aturan per kebijakan firewall akan bertambah tiga. Untuk mengetahui informasi selengkapnya tentang jumlah atribut aturan, lihat Kuota dan batas.

Membuat pengecualian untuk daftar Google Threat Intelligence

Jika memiliki aturan yang berlaku untuk daftar Google Threat Intelligence, Anda dapat menggunakan teknik berikut untuk membuat aturan pengecualian yang berlaku untuk alamat IP tertentu dalam daftar Google Threat Intelligence:

Aturan firewall izin selektif: misalkan Anda memiliki aturan firewall masuk atau keluar yang menolak paket dari atau ke daftar Google Threat Intelligence. Untuk mengizinkan paket dari atau ke alamat IP yang dipilih dalam daftar Google Threat Intelligence tersebut, buat aturan firewall izinkan traffic masuk atau keluar terpisah dengan prioritas lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.
Aturan firewall penolakan selektif: misalkan Anda memiliki aturan firewall masuk atau keluar yang mengizinkan paket dari atau ke daftar Google Threat Intelligence. Untuk menolak paket dari atau ke alamat IP yang dipilih dalam daftar Google Threat Intelligence tersebut, buat aturan firewall tolak masuk atau keluar dengan prioritas yang lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

Grup alamat untuk kebijakan firewall

Grup alamat adalah kumpulan logis dari rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Grup alamat dapat diperbarui tanpa mengubah aturan firewall yang menggunakannya. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Anda dapat menentukan grup alamat sumber dan tujuan untuk aturan firewall masuk dan keluar.

Untuk mengetahui informasi tentang cara kerja grup alamat sumber dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja grup alamat tujuan dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Objek FQDN

Objek nama domain yang sepenuhnya memenuhi syarat (FQDN) berisi nama domain yang Anda tentukan dalam format nama domain. Anda dapat menggunakan objek FQDN sebagai sumber untuk aturan ingress atau sebagai tujuan untuk aturan egress dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Anda dapat menggabungkan FQDN dengan parameter lain. Untuk mengetahui detail tentang kombinasi parameter sumber dalam aturan ingress, lihat Sumber untuk aturan ingress. Untuk mengetahui detail tentang kombinasi parameter tujuan dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Objek FQDN mendukung kebijakan respons Cloud DNS, zona pribadi terkelola dengan cakupan jaringan VPC, nama DNS internal Compute Engine, dan zona DNS publik. Dukungan ini berlaku selama jaringan VPC tidak memiliki kebijakan server keluar yang menentukan server nama alternatif. Untuk mengetahui informasi selengkapnya, lihat Urutan penyelesaian jaringan VPC.

Memetakan objek FQDN ke alamat IP

Cloud NGFW secara berkala menyelesaikan objek FQDN ke alamat IP. Cloud NGFW mengikuti urutan penyelesaian nama VPC Cloud DNS di jaringan VPC yang berisi target aturan firewall.

Cloud NGFW menggunakan perilaku berikut untuk resolusi alamat IP:

Mendukung pencarian CNAME. Cloud NGFW menggunakan pencarian CNAME Cloud DNS jika jawaban atas kueri objek FQDN adalah data CNAME.
Alamat IP program. Cloud NGFW menggunakan alamat IP yang telah di-resolve saat memprogram aturan firewall yang menggunakan objek FQDN. Setiap objek FQDN dapat dipetakan ke maksimum 32 alamat IPv4 dan 32 alamat IPv6.

Jika jawaban DNS untuk kueri objek FQDN di-resolve ke lebih dari 32 alamat IPv4 atau lebih dari 32 alamat IPv6, Cloud NGFW membatasi alamat IP yang diprogram dalam aturan firewall ke 32 alamat IPv4 pertama dan 32 alamat IPv6 pertama.
Mengabaikan objek FQDN. Jika Cloud NGFW tidak dapat menyelesaikan objek FQDN ke alamat IP, Cloud NGFW akan mengabaikan objek FQDN tersebut. Dalam situasi berikut, Cloud NGFW mengabaikan objek FQDN:
- Saat NXDOMAIN jawaban diterima. Jawaban NXDOMAIN adalah jawaban eksplisit dari server nama yang menunjukkan bahwa tidak ada data DNS untuk kueri objek FQDN.
- Jika tidak ada alamat IP dalam jawaban. Dalam situasi ini, kueri objek FQDN tidak menghasilkan jawaban dengan alamat IP yang dapat digunakan Cloud NGFW untuk memprogram aturan firewall.
- Saat server Cloud DNS tidak dapat dijangkau. Cloud NGFW mengabaikan objek FQDN jika server DNS yang memberikan jawaban tidak dapat dijangkau.
Jika objek FQDN diabaikan, Cloud NGFW akan memprogram bagian aturan firewall yang tersisa, jika memungkinkan.

Pertimbangan untuk objek FQDN

Pertimbangkan hal berikut untuk objek FQDN:

Karena objek FQDN dipetakan ke dan diprogram sebagai alamat IP, Cloud NGFW menggunakan perilaku berikut saat dua atau lebih objek FQDN dipetakan ke alamat IP yang sama. Misalkan Anda memiliki dua aturan firewall berikut yang berlaku untuk target yang sama:
- Aturan 1: prioritas 100, izinkan ingress dari FQDN sumber example1.com
- Aturan 2: prioritas 200, ingress diizinkan dari FQDN sumber example2.com
Jika example1.com dan example2.com di-resolve ke alamat IP yang sama, paket masuk dari example1.com dan example2.com cocok dengan aturan firewall pertama karena aturan ini memiliki prioritas yang lebih tinggi.
Pertimbangan untuk menggunakan objek FQDN mencakup hal berikut:
- Kueri DNS dapat memiliki jawaban unik berdasarkan lokasi klien yang membuat permintaan.
- Respons DNS dapat sangat bervariasi jika sistem load balancing berbasis DNS terlibat.
- Jawaban DNS mungkin berisi lebih dari 32 alamat IPv4.
- Jawaban DNS dapat berisi lebih dari 32 alamat IPv6.
Dalam situasi sebelumnya, karena Cloud NGFW melakukan kueri DNS di setiap region yang berisi antarmuka jaringan VM yang aturan firewallnya berlaku, alamat IP yang diprogram dalam aturan firewall tidak berisi semua alamat IP yang mungkin terkait dengan FQDN.

Sebagian besar nama domain Google, seperti googleapis.com, tunduk pada satu atau beberapa situasi ini. Sebagai gantinya, gunakan alamat IP atau grup alamat.
Jangan gunakan objek FQDN dengan DNS64 Cloud DNS. Cloud NGFW tidak memprogram alamat IPv6 Well-Known Prefix (WKP) yang digunakan oleh DNS64.

DNS64 dan NAT64 dimaksudkan untuk digunakan bersama guna menyediakan konektivitas ke server khusus IPv4 dari klien VM khusus IPv6. Untuk menyediakan konektivitas ini, penyedia DNS64 mensintesis jawaban AAAA terhadap kueri DNS yang tidak memiliki data AAAA. Jawaban AAAA yang disintesis mengenkode alamat IPv4 server dalam empat byte terakhir alamat IPv6 WKP (64:ff9b::/96). Saat klien khusus IPv6 mengirim paket ke alamat IPv6 WKP, penyedia NAT64 akan mengekstrak alamat server IPv4 dari alamat IPv6 WKP dan membuka koneksi IPv4 ke server khusus IPv4.

Jika DNS64 terlibat, sebaiknya gunakan alamat IP atau grup alamat dalam aturan firewall. Pastikan Anda menyertakan alamat IPv4 server dan representasi IPv6 WKP-nya.
Hindari penggunaan objek FQDN dengan data DNS A yang memiliki time to live (TTL) kurang dari 90 detik.

Memformat nama domain

Objek FQDN harus mengikuti format FQDN standar.Format ini ditentukan dalam RFC 1035, RFC 1123, dan RFC 4343. Cloud NGFW menolak objek FQDN yang menyertakan nama domain yang tidak memenuhi semua aturan pemformatan berikut:

Setiap objek FQDN harus berupa nama domain dengan minimal dua label:
- Setiap label harus cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut: [a-z]([-a-z0-9][a-z0-9])?..
- Setiap label harus memiliki panjang 1-63 karakter.
- Label harus digabungkan dengan titik (.).
Oleh karena itu, objek FQDN tidak mendukung karakter pengganti (*) atau nama domain tingkat teratas (atau root), seperti *.example.com. dan .org, karena hanya menyertakan satu label.
Objek FQDN mendukung Nama Domain Internasional (IDN). Anda dapat memberikan IDN dalam format Unicode atau Punycode. Pertimbangkan hal berikut:
- Jika Anda menentukan IDN dalam format Unicode, Cloud NGFW akan mengonversinya ke format Punycode sebelum diproses.
- Anda dapat menggunakan pengonversi IDN untuk membuat representasi Punycode dari IDN.
- Batas karakter 1-63 per label berlaku untuk IDN setelah konversi ke format Punycode.
Panjang yang dienkode dari nama domain yang sepenuhnya memenuhi syarat (FQDN) tidak boleh melebihi 255 byte (oktet).

Cloud NGFW tidak mendukung nama domain yang setara dalam aturan firewall yang sama. Misalnya, jika dua nama domain (atau representasi Punycode dari IDN) berbeda paling banyak dengan titik terminal (.), Cloud NGFW menganggapnya setara.