Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menetapkan sekumpulan komponen yang menentukan fungsi aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).

Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (masuk) atau keluar (keluar), bukan keduanya.

Aturan masuk

Arah masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke target Google Cloud. Aturan masuk berlaku untuk paket masuk, dengan tujuan paket adalah target.

Aturan masuk dengan tindakan deny melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan dengan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis mencakup beberapa aturan firewall VPC yang telah diisi sebelumnya, yang memungkinkan traffic masuk untuk jenis traffic tertentu.

Aturan keluar

Arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan keluar berlaku pada paket untuk koneksi baru yang sumber paketnya adalah target.

Aturan keluar dengan tindakan allow memungkinkan instance mengirimkan traffic ke tujuan yang ditentukan dalam aturan. Traffic keluar bisa ditolak oleh aturan firewall deny dengan prioritas yang lebih tinggi. Google Cloud juga memblokir atau membatasi jenis traffic tertentu.

Komponen aturan kebijakan firewall

Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional menggunakan komponen yang dijelaskan di bagian ini. Istilah kebijakan firewall mengacu pada salah satu dari tiga jenis kebijakan ini. Untuk mengetahui informasi lebih lanjut tentang jenis kebijakan firewall, lihat Kebijakan firewall.

Aturan kebijakan firewall umumnya berfungsi sama seperti aturan firewall VPC, tetapi ada beberapa perbedaan seperti yang dijelaskan di bagian berikut.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan dalam kebijakan firewall mirip dengan prioritas aturan firewall VPC, dengan perbedaan berikut:

  • Setiap aturan dalam kebijakan firewall harus memiliki prioritas yang unik.
  • Prioritas aturan dalam kebijakan firewall berfungsi sebagai ID unik aturan. Aturan dalam kebijakan firewall tidak menggunakan nama untuk identifikasi.
  • Prioritas aturan dalam kebijakan firewall menentukan urutan evaluasi dalam kebijakan firewall itu sendiri. Aturan dan aturan firewall VPC dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional dievaluasi seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu dari empat tindakan berikut:

  • allow mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.
  • deny tidak mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.
  • apply_security_profile_group secara transparan mencegat traffic dan mengirimkannya ke endpoint firewall yang dikonfigurasi untuk pemeriksaan lapisan 7.
  • goto_next melanjutkan proses evaluasi aturan.

Penerapan

Anda dapat memilih apakah aturan kebijakan firewall diterapkan dengan menyetel statusnya ke aktif atau nonaktif. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.

Protocols and ports

Sama halnya dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol, dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan port atau rentang port saja. Selain itu, Anda hanya dapat menentukan porta tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut di aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak menggunakannya. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk ICMP IPv6, gunakan nomor protokol 58.

Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokolnya.

Protokol Hop-by-Hop IPv6 tidak didukung pada aturan firewall.

Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Logging

Cara kerja logging untuk aturan kebijakan firewall sama seperti untuk Firewall Rules Logging VPC, kecuali untuk hal berikut:

  • Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan level node tempat kebijakan dipasang. Misalnya, 0 berarti kebijakan diterapkan ke organisasi, dan 1 berarti kebijakan diterapkan ke folder level teratas dalam organisasi.

  • Log untuk aturan kebijakan firewall menyertakan kolom target_resource yang mengidentifikasi jaringan VPC tempat aturan diterapkan.

  • Logging hanya dapat diaktifkan untuk aturan allow,deny, dan apply_security_profile_group; dan tidak dapat diaktifkan untuk aturan goto_next.

Target, sumber, tujuan

Parameter target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.

Anda dapat menentukan parameter sumber dan parameter tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.

Parameter target, sumber, dan tujuan bekerja sama.

Targets

Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node GKE dan instance lingkungan fleksibel App Engine.

Anda dapat menentukan target untuk aturan masuk atau keluar. Opsi target yang valid bergantung pada jenis kebijakan firewall.

Target untuk aturan kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis mendukung target berikut:

  • Target terluas default: Jika Anda menghilangkan spesifikasi target dalam aturan kebijakan firewall hierarkis, aturan firewall akan berlaku untuk semua instance di semua jaringan VPC di semua project pada node (folder atau organisasi) yang terkait dengan kebijakan firewall. Ini adalah kumpulan target paling luas.

  • Jaringan tertentu: Jika Anda menentukan satu atau beberapa jaringan VPC menggunakan parameter target-resources, kumpulan target terluas akan dipersempit menjadi VM dengan antarmuka jaringan di setidaknya salah satu jaringan VPC yang ditentukan.

  • Instance yang diidentifikasi oleh akun layanan: Jika Anda menentukan satu atau beberapa akun layanan menggunakan parameter target-service-accounts, kumpulan target terluas akan dipersempit ke VM yang menggunakan salah satu akun layanan yang ditentukan.

  • Jaringan dan instance tertentu yang diidentifikasi oleh akun layanan: Jika Anda menentukan parameter target-resources dan parameter target-service-accounts, kumpulan target terluas akan dipersempit ke VM yang memenuhi kedua kriteria berikut:

    • VM memiliki antarmuka jaringan di salah satu jaringan VPC yang ditentukan.
    • VM menggunakan salah satu akun layanan yang ditentukan.

Target untuk aturan kebijakan firewall jaringan global

Aturan kebijakan firewall jaringan global mendukung target berikut:

  • Target default—semua instance dalam jaringan VPC: Jika Anda mengabaikan spesifikasi target dalam aturan kebijakan firewall jaringan global, aturan firewall akan diterapkan ke instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan tersebut. Instance dapat ditempatkan di region mana saja. Ini adalah kumpulan target paling luas.

  • Instance menurut tag aman target: Jika Anda menentukan tag target dengan parameter target-secure-tags, kumpulan target terluas akan dipersempit agar hanya menyertakan VM yang terikat ke tag.

  • Instance menurut akun layanan target: Jika Anda menentukan akun layanan dengan parameter target-service-accounts, kumpulan target terluas akan dipersempit agar hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.

Target untuk aturan kebijakan firewall jaringan regional

Aturan kebijakan firewall jaringan regional mendukung target berikut:

  • Target default—semua instance di region dan jaringan VPC: Jika Anda mengabaikan spesifikasi target dalam aturan kebijakan firewall jaringan regional, aturan firewall akan berlaku pada instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan tersebut. Instance harus berada di region yang sama dengan kebijakan. Ini adalah target paling luas.

  • Instance menurut tag aman target: Jika Anda menentukan tag target dengan parameter target-secure-tags, kumpulan target terluas akan dipersempit agar hanya menyertakan VM yang terikat ke tag.

  • Instance menurut akun layanan target: Jika Anda menentukan akun layanan dengan parameter target-service-accounts, kumpulan target terluas akan dipersempit agar hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.

Target dan alamat IP untuk aturan masuk

Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:

  • Jika aturan firewall masuk menyertakan rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditetapkan secara eksplisit.

  • Jika aturan firewall masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:

    • Alamat IPv4 internal utama yang ditetapkan ke NIC instance.

    • Setiap rentang alamat IP alias yang dikonfigurasi pada NIC instance.

    • Alamat IPv4 eksternal yang terkait dengan NIC {i>instance<i}.

    • Jika IPv6 dikonfigurasi di subnet, salah satu alamat IPv6 yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing pass-through, dengan instance sebagai backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, dengan instance yang direferensikan oleh instance target.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (next-hop-instance atau next-hop-address) sebagai VM next hop.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (next-hop-ilb) sebagai next hop jika VM adalah backend untuk load balancer tersebut.

Target dan alamat IP untuk aturan traffic keluar

Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP pada VM target. Penerusan IP dinonaktifkan secara default.

  • Jika VM target menonaktifkan penerusan IP, VM dapat memunculkan paket dengan sumber berikut:

    • Alamat IPv4 internal utama dari NIC instance.

    • Rentang alamat IP alias apa pun yang telah dikonfigurasi pada NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, salah satu alamat IPv6 yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing pass-through atau penerusan protokol. Ini valid jika instance adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.

    Jika aturan firewall keluar menyertakan rentang alamat IP sumber, VM target masih dibatasi untuk alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring kumpulan tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP akan tidak memperluas kumpulan kemungkinan alamat sumber paket.

    Jika aturan firewall keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.

  • Jika VM target mengaktifkan penerusan IP, VM dapat mengeluarkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan secara lebih akurat.

Sumber

Nilai parameter sumber bergantung pada hal berikut:

  • Jenis kebijakan firewall yang berisi aturan firewall
  • Arah aturan firewall

Sumber aturan masuk dalam kebijakan firewall hierarkis

Anda dapat menggunakan sumber berikut untuk aturan masuk dalam kebijakan firewall hierarkis:

  • Rentang sumber default: Jika Anda menghilangkan spesifikasi sumber dalam aturan masuk, Google Cloud akan menggunakan rentang alamat IPv4 sumber default 0.0.0.0/0 (alamat IPv4 apa pun). Nilai defaultnya tidak menyertakan sumber IPv6.

  • Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.

  • Geolokasi: Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf untuk memfilter traffic masuk. Untuk informasi selengkapnya, lihat Objek geolokasi.

  • Daftar Threat Intelligence: Daftar yang berisi satu atau beberapa nama daftar Threat Intelligence yang telah ditetapkan. Untuk mengetahui informasi selengkapnya, lihat Kecerdasan Ancaman untuk aturan kebijakan firewall.

  • Grup alamat sumber: Daftar satu atau beberapa grup alamat sumber yang terdiri dari CIDR IPv4 atau CIDR IPv6. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

  • Nama domain sumber: Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi lebih lanjut tentang nama domain, lihat Nama domain untuk kebijakan firewall.

  • Kombinasi sumber yang valid: Anda dapat menentukan berbagai kombinasi sumber sebelumnya dalam aturan masuk. Set sumber yang efektif adalah gabungan dari kombinasi ini.

    Saat Anda menentukan kombinasi sumber dalam aturan masuk, aturan ini diterapkan pada paket yang cocok dengan setidaknya salah satu kriteria parameter sumber.

    Ikuti panduan ini saat menentukan kombinasi sumber untuk aturan:

    • Jangan gunakan rentang alamat IPv4 sumber dan rentang alamat IPv6 sumber dalam aturan yang sama.
    • Jangan gunakan grup alamat sumber yang berisi CIDR IPv4, dengan grup alamat sumber lain yang berisi CIDR IPv6 dalam aturan yang sama.
    • Jangan gunakan rentang alamat IPv4 sumber dan grup alamat sumber yang berisi CIDR IPv6 dalam aturan yang sama.
    • Jangan gunakan rentang alamat IPv6 sumber dan grup alamat sumber yang berisi CIDR IPv4 dalam aturan yang sama.

Sumber aturan masuk dalam kebijakan firewall jaringan

Anda dapat menggunakan sumber berikut untuk aturan ingress dalam kebijakan firewall jaringan global dan regional:

  • Rentang sumber default: Jika Anda menghilangkan spesifikasi sumber dalam aturan masuk, Google Cloud akan menggunakan rentang alamat IPv4 sumber default 0.0.0.0/0 (alamat IPv4 apa pun). Nilai defaultnya tidak menyertakan sumber IPv6.

  • Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.

  • Geolokasi: Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf untuk memfilter traffic masuk. Untuk informasi selengkapnya, lihat Objek geolokasi.

  • Daftar Threat Intelligence: Daftar yang berisi satu atau beberapa nama daftar Threat Intelligence yang telah ditetapkan. Untuk mengetahui informasi selengkapnya, lihat Kecerdasan Ancaman untuk aturan kebijakan firewall.

  • Grup alamat sumber: Daftar satu atau beberapa grup alamat sumber yang terdiri dari CIDR IPv4 atau CIDR IPv6. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

  • Nama domain sumber: Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi lebih lanjut tentang nama domain, lihat Nama domain untuk kebijakan firewall.

  • Tag aman sumber: Satu atau beberapa tag aman yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama tempat kebijakan firewall jaringan diterapkan, atau di jaringan VPC yang terhubung ke jaringan kebijakan firewall menggunakan Peering Jaringan VPC. Selain itu, jika kebijakan tersebut adalah kebijakan firewall jaringan regional, instance VM harus berada di region yang sama dengan kebijakan tersebut.

  • Kombinasi sumber yang valid: Anda dapat menentukan berbagai kombinasi sumber sebelumnya dalam aturan masuk. Set sumber yang efektif adalah gabungan dari kombinasi ini.

    Saat Anda menentukan kombinasi sumber dalam aturan masuk, aturan ini diterapkan pada paket yang cocok dengan setidaknya salah satu kriteria parameter sumber.

    Ikuti panduan ini saat menentukan kombinasi sumber untuk aturan:

    • Jangan gunakan rentang alamat IPv4 sumber dan rentang alamat IPv6 sumber dalam aturan yang sama.
    • Jangan gunakan grup alamat sumber yang berisi CIDR IPv4, dengan grup alamat sumber lain yang berisi CIDR IPv6 dalam aturan yang sama.
    • Jangan gunakan rentang alamat IPv4 sumber dan grup alamat sumber yang berisi CIDR IPv6 dalam aturan yang sama.
    • Jangan gunakan rentang alamat IPv6 sumber dan grup alamat sumber yang berisi CIDR IPv4 dalam aturan yang sama.

Cara tag aman sumber menyiratkan sumber paket

Aturan masuk dalam kebijakan firewall jaringan global dan regional dapat menentukan sumber menggunakan tag aman. Setiap tag aman dikaitkan dengan satu jaringan VPC. Tag aman hanya dapat diikat ke VM jika VM tersebut memiliki antarmuka jaringan di jaringan VPC yang sama yang terkait dengan tag aman.

Aturan kebijakan firewall dengan tag aman diterapkan sebagai berikut:

  • Aturan masuk dalam kebijakan jaringan global berlaku untuk paket yang dihasilkan dari antarmuka jaringan VM yang terikat dengan tag, tempat VM memenuhi salah satu kriteria berikut:

    • Antarmuka jaringan VM menggunakan jaringan VPC yang sama dengan kebijakan firewall.
    • Antarmuka jaringan VM menggunakan jaringan VPC yang terhubung ke jaringan VPC kebijakan firewall menggunakan Peering Jaringan VPC.

  • Aturan masuk di kebijakan jaringan regional berlaku untuk paket yang dihasilkan dari antarmuka jaringan VM yang terikat dengan tag, dengan VM yang berada di region yang sama dengan kebijakan firewall memenuhi salah satu kriteria berikut:

    • Antarmuka jaringan VM menggunakan jaringan VPC yang sama dengan kebijakan firewall.
    • Antarmuka jaringan VM menggunakan jaringan VPC yang terhubung ke jaringan VPC kebijakan firewall menggunakan Peering Jaringan VPC.

Selain menentukan antarmuka jaringan, alamat IP sumber berikut juga diselesaikan:

  • Alamat IPv4 internal utama antarmuka jaringan itu
  • Setiap alamat IPv6 yang ditetapkan untuk antarmuka jaringan tersebut

Jika aturan firewall masuk juga berisi rentang alamat IP tujuan, antarmuka jaringan yang terikat pada tag aman akan di-resolve ke versi IP yang sama dengan rentang IP tujuan.

Tidak ada alamat IP sumber paket lain yang di-resolve saat menggunakan tag aman sumber. Misalnya, rentang alamat IP alias dan alamat IPv4 eksternal yang terkait dengan antarmuka jaringan akan dikecualikan. Jika Anda perlu membuat aturan firewall masuk yang sumbernya menyertakan rentang alamat IP alias atau alamat IPv4 eksternal, gunakan rentang alamat IPv4 sumber.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan traffic keluar di kebijakan firewall hierarkis dan kebijakan firewall jaringan:

  • Default—diimplikasikan oleh target: Jika Anda menghapus parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan di Target dan alamat IP untuk aturan keluar.

  • Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.

Ikuti panduan ini guna menambahkan rentang alamat IP sumber untuk aturan keluar:

  • Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

  • Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan traffic keluar, parameter tujuan akan di-resolve menjadi versi IP yang sama dengan versi IP sumber.

    Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 di parameter sumber dan objek FQDN di parameter tujuan. Jika FQDN me-resolve ke alamat IPv4 dan IPv6, hanya alamat IPv4 yang di-resolve yang digunakan selama penerapan aturan.

Tujuan

Tujuan dapat ditentukan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar di kebijakan firewall jaringan dan hierarkis. Perilaku tujuan default bergantung pada arah aturan.

Tujuan untuk aturan masuk

Anda dapat menggunakan tujuan berikut untuk aturan firewall masuk dalam kebijakan firewall jaringan dan hierarkis:

  • Default—diimplikasikan oleh target: Jika Anda menghilangkan parameter tujuan dari aturan masuk, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan di bagian Target dan alamat IP untuk aturan masuk.

  • Rentang alamat IPv4 tujuan: Daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 tujuan: Daftar alamat IPv6 dalam format CIDR.

Ikuti panduan ini untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:

  • Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

  • Jika Anda telah menentukan parameter sumber dan tujuan dalam aturan masuk, parameter sumber di-resolve ke dalam versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber aturan masuk, lihat Sumber aturan masuk dalam kebijakan firewall hierarkis dan Sumber aturan masuk dalam kebijakan firewall jaringan.

    Misalnya, dalam aturan masuk, Anda memiliki rentang alamat IPv6 di parameter tujuan dan kode negara geolokasi di parameter sumber. Selama penegakan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.

Tujuan untuk aturan traffic keluar

Anda dapat menggunakan tujuan berikut untuk aturan firewall keluar dalam kebijakan firewall jaringan dan hierarkis:

  • Default destination range: Jika Anda menghilangkan spesifikasi tujuan dalam aturan keluar, Google Cloud akan menggunakan rentang alamat IPv4 tujuan default 0.0.0.0/0 (alamat IPv4 apa pun). Nilai defaultnya tidak menyertakan tujuan IPv6.

  • Rentang alamat IPv4 tujuan: Daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 tujuan: Daftar alamat IPv6 dalam format CIDR.

  • Geolokasi: Daftar satu atau beberapa lokasi geografis tujuan yang ditentukan sebagai kode negara atau wilayah dua huruf untuk memfilter traffic masuk. Untuk informasi selengkapnya, lihat Objek geolokasi.

  • Daftar Threat Intelligence: Daftar yang berisi satu atau beberapa nama daftar Threat Intelligence yang telah ditetapkan. Untuk mengetahui informasi selengkapnya, lihat Kecerdasan Ancaman untuk aturan kebijakan firewall.

  • Grup alamat tujuan: Daftar satu atau beberapa grup alamat tujuan yang terdiri dari CIDR IPv4 atau CIDR IPv6. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

  • Nama domain tujuan: Daftar satu atau beberapa nama domain tujuan. Untuk informasi selengkapnya tentang nama domain, lihat Nama domain untuk kebijakan firewall.

  • Kombinasi tujuan yang valid: Anda dapat menentukan berbagai kombinasi tujuan sebelumnya dalam aturan masuk. Kumpulan tujuan efektif adalah gabungan dari kombinasi ini.

    Saat Anda menentukan kombinasi tujuan dalam aturan traffic keluar, aturan diterapkan pada paket yang cocok dengan setidaknya salah satu kriteria parameter tujuan.

    Ikuti panduan ini saat menentukan kombinasi tujuan untuk sebuah aturan:

    • Jangan gunakan rentang alamat IPv4 tujuan dan rentang alamat IPv6 tujuan dalam aturan yang sama.
    • Jangan gunakan grup alamat tujuan yang berisi CIDR IPv4 dengan grup alamat tujuan lain yang berisi CIDR IPv6 dalam aturan yang sama.
    • Jangan gunakan rentang alamat IPv4 tujuan dan grup alamat tujuan yang berisi CIDR IPv6 dalam aturan yang sama.
    • Jangan gunakan rentang alamat IPv6 tujuan dan grup alamat tujuan yang berisi CIDR IPv4 dalam aturan yang sama.

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi geografis atau region tertentu.

Anda dapat menerapkan aturan dengan objek geolokasi ke traffic masuk dan keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan kode negara dicocokkan dengan sumber atau tujuan traffic.

  • Anda dapat mengonfigurasi objek geolokasi untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

  • Untuk menambahkan geolokasi ke aturan kebijakan firewall, gunakan kode negara atau wilayah dua huruf seperti yang ditentukan dalam kode negara ISO 3166 alpha-2.

    Misalnya, jika Anda ingin mengizinkan traffic masuk hanya dari AS ke jaringan, buat aturan kebijakan firewall masuk dengan kode negara sumber yang disetel ke US dan tindakan yang disetel ke allow. Demikian pula, jika Anda ingin mengizinkan traffic keluar hanya ke AS, konfigurasikan aturan kebijakan firewall keluar dengan kode negara tujuan yang ditetapkan ke US dan tindakan yang ditetapkan ke allow.

  • Dengan Cloud Next Generation Firewall, Anda dapat mengonfigurasi aturan firewall untuk wilayah berikut yang tunduk pada sanksi komprehensif AS:

    Wilayah Kode yang ditetapkan
    Krimea X
    Negara yang disebut sebagai Republik Rakyat Donetsk dan Republik Rakyat Luhansk XD

  • Jika ada kode negara duplikat yang disertakan dalam satu aturan firewall, hanya satu entri untuk kode negara tersebut yang akan dipertahankan. Entri duplikat akan dihapus. Misalnya, dalam daftar kode negara ca,us,us, hanya ca,us yang dipertahankan.

  • Google mengelola database dengan alamat IP dan pemetaan kode negara. Firewall Google Cloud menggunakan database ini untuk memetakan alamat IP traffic sumber dan tujuan ke kode negara, lalu menerapkan aturan kebijakan firewall yang cocok dengan objek geolokasi.

  • Terkadang, penetapan alamat IP dan kode negara berubah karena kondisi berikut:

    Karena perlu waktu beberapa saat agar perubahan ini terlihat di database Google, Anda mungkin melihat beberapa gangguan traffic dan perubahan perilaku untuk traffic tertentu diblokir atau diizinkan.

Menggunakan objek geolokasi dengan filter aturan kebijakan firewall lainnya

Anda dapat menggunakan objek geolokasi beserta filter sumber atau tujuan lainnya. Bergantung pada arah aturan, aturan kebijakan firewall diterapkan ke traffic masuk atau keluar yang sesuai dengan gabungan dari semua filter yang ditentukan.

Untuk mengetahui informasi tentang cara kerja objek geolokasi dengan filter sumber lainnya dalam aturan masuk, lihat Sumber aturan masuk dalam kebijakan firewall hierarkis dan Sumber aturan masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja objek geolokasi dengan filter tujuan lain dalam aturan keluar, lihat Tujuan untuk aturan keluar.

Threat Intelligence untuk aturan kebijakan firewall

Dengan aturan kebijakan firewall, Anda dapat mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Threat Intelligence. Data Threat Intelligence menyertakan daftar alamat IP berdasarkan kategori berikut:

  • Tor exit node: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitasnya, blokir alamat IP node keluar Tor (endpoint tempat traffic keluar dari jaringan Tor).
  • Alamat IP berbahaya yang diketahui: Alamat IP yang diketahui sebagai asal serangan aplikasi web. Untuk meningkatkan potensi keamanan aplikasi Anda, blokir alamat IP ini.
  • Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
  • Rentang alamat IP cloud publik: Kategori ini dapat diblokir untuk menghindari alat otomatis yang berbahaya agar tidak menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya. Kategori ini dibagi lebih lanjut menjadi subkategori berikut:
    • Rentang alamat IP yang digunakan oleh Amazon Web Services
    • Rentang alamat IP yang digunakan oleh Microsoft Azure
    • Rentang alamat IP yang digunakan oleh Google Cloud
    • Rentang alamat IP yang digunakan oleh layanan Google

Daftar data Threat Intelligence dapat mencakup alamat IPv4, alamat IPv6, atau keduanya. Untuk mengonfigurasi Kecerdasan Ancaman dalam aturan kebijakan firewall, gunakan nama daftar Kecerdasan Ancaman standar berdasarkan kategori yang ingin Anda izinkan atau blokir. Daftar ini terus diperbarui, yang melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Nama daftar yang valid adalah sebagai berikut.

Nama daftar Deskripsi
iplist-tor-exit-nodes Mencocokkan alamat IP node keluar TOR
iplist-known-malicious-ips Mencocokkan alamat IP yang diketahui dapat menyerang aplikasi web
iplist-search-engines-crawlers Cocok dengan alamat IP crawler mesin telusur
iplist-vpn-providers Mencocokkan alamat IP milik penyedia VPN bereputasi rendah
iplist-anon-proxies Mencocokkan alamat IP milik proxy anonim terbuka
iplist-crypto-miners Mencocokkan alamat IP milik situs penambangan mata uang kripto
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
  • iplist-public-clouds-google-services
 Mencocokkan alamat IP milik cloud publik
  • Mencocokkan rentang alamat IP yang digunakan oleh Amazon Web Services
  • Mencocokkan rentang alamat IP yang digunakan oleh Microsoft Azure
  • Mencocokkan rentang alamat IP yang digunakan oleh Google Cloud
  • Mencocokkan rentang alamat IP yang digunakan oleh layanan Google

Menggunakan Kecerdasan Ancaman dengan filter aturan kebijakan firewall lainnya

Untuk menentukan aturan kebijakan firewall dengan Threat Intelligence, ikuti panduan berikut:

  • Untuk aturan traffic keluar, tentukan tujuan menggunakan satu atau beberapa daftar Threat Intelligence tujuan.

  • Untuk aturan masuk, tentukan sumber menggunakan satu atau beberapa daftar Threat Intelligence sumber.

  • Anda dapat mengonfigurasi daftar Threat Intelligence untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

  • Anda dapat menggunakan daftar ini bersama dengan komponen filter aturan sumber atau tujuan lainnya.

    Untuk mengetahui informasi tentang cara kerja daftar Threat Intelligence dengan filter sumber lain dalam aturan masuk, lihat Sumber untuk aturan masuk dalam kebijakan firewall hierarkis dan Sumber aturan masuk dalam kebijakan firewall jaringan.

    Untuk mengetahui informasi tentang cara kerja daftar Threat Intelligence dengan filter tujuan lain dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

  • Logging firewall dilakukan di level aturan. Untuk memudahkan Anda men-debug dan menganalisis efek aturan firewall, jangan sertakan beberapa daftar Threat Intelligence dalam satu aturan firewall.

  • Anda dapat menambahkan beberapa daftar Kecerdasan Ancaman ke aturan kebijakan firewall. Setiap nama daftar yang disertakan dalam aturan dihitung sebagai satu atribut, terlepas dari jumlah alamat IP atau rentang alamat IP yang disertakan dalam daftar tersebut. Misalnya, jika Anda telah menyertakan nama daftar iplist-tor-exit-nodes, iplist-known-malicious-ips, dan iplist-search-engines-crawlers dalam aturan kebijakan firewall, jumlah atribut aturan per kebijakan firewall akan bertambah tiga. Untuk mengetahui informasi selengkapnya tentang jumlah atribut aturan, lihat Kuota dan batas.

Membuat pengecualian untuk daftar Threat Intelligence

Jika memiliki aturan yang berlaku untuk daftar Threat Intelligence, Anda dapat menggunakan teknik berikut untuk membuat aturan pengecualian yang berlaku untuk alamat IP tertentu dalam daftar Threat Intelligence:

  • Pemberian izin selektif: Misalkan Anda memiliki aturan firewall masuk atau keluar yang menolak paket dari atau ke daftar Threat Intelligence. Untuk mengizinkan paket dari atau ke alamat IP yang dipilih dalam daftar Threat Intelligence tersebut, buat aturan traffic masuk atau keluar yang mengizinkan firewall dengan prioritas lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

  • Listingan penolakan selektif: Misalkan Anda memiliki aturan firewall masuk atau keluar yang mengizinkan paket dari atau ke daftar Threat Intelligence. Untuk menolak paket dari atau ke alamat IP yang dipilih dalam daftar Kecerdasan Ancaman tersebut, buat aturan firewall penolakan masuk atau keluar dengan prioritas lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

Grup alamat untuk kebijakan firewall

Grup alamat adalah kumpulan logis rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Grup alamat dapat diperbarui tanpa mengubah aturan firewall yang menggunakannya. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Anda dapat menentukan grup alamat sumber dan tujuan untuk masing-masing aturan firewall masuk dan keluar.

Untuk mengetahui informasi tentang cara kerja grup alamat sumber dengan filter sumber lainnya dalam aturan masuk, lihat Sumber untuk aturan masuk dalam kebijakan firewall hierarkis dan Sumber aturan masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja grup alamat tujuan dengan filter tujuan lain dalam aturan keluar, lihat Tujuan untuk aturan keluar.

Objek FQDN

Gunakan objek nama domain yang sepenuhnya memenuhi syarat (FQDN) dalam aturan kebijakan firewall untuk memfilter traffic masuk atau keluar dari atau ke domain tertentu.

Anda dapat menerapkan aturan kebijakan firewall yang menggunakan objek FQDN untuk traffic masuk dan traffic keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan nama domain dicocokkan dengan sumber atau tujuan traffic.

  • Anda dapat mengonfigurasi objek FQDN dalam aturan kebijakan firewall untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

  • Anda harus menentukan objek FQDN dalam sintaksis FQDN standar

    Untuk mengetahui informasi selengkapnya tentang format nama domain, lihat Format nama domain.

  • Pada interval berkala, Cloud NGFW memperbarui aturan kebijakan firewall yang berisi objek FQDN dengan hasil resolusi nama domain terbaru.

  • Nama domain yang ditentukan dalam aturan kebijakan firewall di-resolve menjadi alamat IP berdasarkan urutan resolusi nama VPC Cloud DNS. Cloud DNS memberi tahu Cloud NGFW jika ada perubahan dalam hasil resolusi nama domain, yang juga dikenal sebagai data domain name system (DNS).

  • Jika dua nama domain me-resolve ke alamat IP yang sama, aturan kebijakan firewall akan berlaku untuk alamat IP tersebut, bukan hanya satu domain. Dengan kata lain, objek FQDN adalah entitas Lapisan 3.

  • Jika objek FQDN dalam aturan kebijakan firewall keluar menyertakan domain yang memiliki CNAME dalam data DNS, Anda harus mengonfigurasi aturan kebijakan firewall keluar dengan semua nama domain yang dapat dikueri—termasuk semua alias potensial—untuk memastikan perilaku aturan firewall yang andal. Jika VM membuat kueri untuk CNAME yang tidak dikonfigurasi di aturan kebijakan firewall keluar, kebijakan mungkin tidak berfungsi selama data DNS berubah.

  • Anda juga dapat menggunakan nama DNS internal Compute Engine dalam aturan kebijakan firewall jaringan. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif dalam kebijakan server keluar.

  • Jika ingin menambahkan nama domain kustom dalam aturan kebijakan firewall jaringan, Anda dapat menggunakan zona terkelola Cloud DNS untuk resolusi nama domain. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif dalam kebijakan server keluar. Untuk mengetahui informasi selengkapnya tentang pengelolaan zona, lihat Membuat, mengubah, dan menghapus zona.

Batasan

Batasan berikut berlaku untuk aturan firewall masuk dan keluar yang menggunakan objek FQDN:

  • Objek FQDN tidak mendukung nama domain karakter pengganti (*) dan tingkat atas (root). Misalnya, *.example.com. dan .org tidak didukung.

Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall masuk. Anda harus mempertimbangkan batasan berikut saat menentukan objek FQDN untuk aturan masuk:

  • Nama domain dapat menghasilkan maksimum 32 alamat IPv4 dan 32 alamat IPv6. Kueri DNS yang menghasilkan lebih dari 32 alamat IPv4 dan 32 alamat IPv6 akan terpotong sehingga hanya menyertakan 32 alamat IPv4 atau IPv6 dari alamat IP yang telah diselesaikan tersebut. Oleh karena itu, jangan sertakan nama domain yang di-resolve menjadi lebih dari 32 alamat IPv4 dan IPv6 dalam aturan kebijakan firewall masuk.

  • Beberapa kueri nama domain memiliki jawaban unik berdasarkan lokasi klien yang meminta. Lokasi tempat resolusi DNS aturan kebijakan firewall dilakukan adalah region Google Cloud yang berisi VM tempat aturan kebijakan firewall diterapkan.

  • Jangan gunakan aturan masuk yang menggunakan objek FQDN jika hasil resolusi nama domain sangat bervariasi atau resolusi nama domain menggunakan bentuk load balancing berbasis DNS. Misalnya, banyak nama domain Google menggunakan skema load balancing berbasis DNS.

Menggunakan objek FQDN dengan filter aturan kebijakan firewall lainnya

Dalam aturan kebijakan firewall, Anda dapat menentukan objek FQDN beserta filter sumber atau tujuan lainnya.

Untuk mengetahui informasi tentang cara kerja objek FQDN dengan filter sumber lainnya dalam aturan masuk, lihat Sumber aturan masuk dalam kebijakan firewall hierarkis dan Sumber aturan masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja objek FQDN dengan filter tujuan lain dalam aturan keluar, lihat Tujuan untuk aturan keluar.

Format nama domain

Firewall VPC mendukung format nama domain seperti yang ditetapkan dalam RFC 1035 , RFC 1123 , dan RFC 4343.

Untuk menambahkan nama domain ke aturan kebijakan firewall, ikuti panduan pemformatan berikut:

  • Nama domain harus mengandung setidaknya dua label yang dijelaskan sebagai berikut:

    • Setiap label berisi ekspresi reguler yang hanya menyertakan karakter berikut: [a-z]([-a-z0-9]*[a-z0-9])?..
    • Panjang setiap label adalah 1-63 karakter.
    • Label digabungkan dengan titik (.).

  • Panjang maksimum yang dienkode dari nama domain tidak boleh melebihi 255 byte (oktet).

  • Anda juga dapat menambahkan Internationalized Domain Name (IDN) ke aturan kebijakan firewall.

  • Nama domain harus dalam format Unicode atau Punycode.

  • Jika Anda menentukan IDN dalam format Unicode, firewall Google Cloud akan mengonversinya ke format Punycode sebelum diproses. Atau, Anda dapat menggunakan Alat Pengonversi IDN untuk mendapatkan representasi Punycode IDN.

  • Firewall Google Cloud tidak mendukung nama domain yang setara dalam aturan kebijakan firewall yang sama. Setelah mengubah nama domain menjadi Punycode, jika kedua nama domain tersebut memiliki perbedaan paling banyak dengan titik di akhir, keduanya dianggap setara.

Skenario pengecualian FQDN

Jika menggunakan objek FQDN di aturan kebijakan firewall, Anda mungkin mendapati pengecualian berikut selama resolusi nama DNS:

  • Nama domain buruk: Jika Anda menentukan satu atau beberapa nama domain yang menggunakan format tidak valid saat membuat aturan kebijakan firewall, Anda akan menerima pesan error. Aturan kebijakan firewall tidak dapat dibuat kecuali jika semua nama domain diformat dengan benar.

  • Nama domain tidak ada (NXDOMAIN): Jika nama domain tidak ada, Google Cloud akan mengabaikan objek FQDN dari aturan kebijakan firewall.

  • Tidak ada resolusi alamat IP: Jika nama domain tidak di-resolve ke alamat IP apa pun, objek FQDN akan diabaikan.

  • Server Cloud DNS tidak dapat dijangkau: Jika server DNS tidak dapat dijangkau, aturan kebijakan firewall yang menggunakan objek FQDN hanya berlaku jika hasil resolusi DNS yang di-cache sebelumnya tersedia. Objek FQDN aturan akan diabaikan jika tidak ada hasil resolusi DNS yang di-cache atau hasil DNS yang di-cache telah habis masa berlakunya.

Langkah selanjutnya