Aturan firewall Virtual Private Cloud (VPC) berlaku untuk project dan jaringan tertentu. Jika ingin menerapkan aturan firewall ke beberapa jaringan VPC di dalam suatu organisasi, lihat Kebijakan firewall. Bagian selanjutnya dari halaman ini hanya membahas aturan firewall VPC.
Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance virtual machine (VM) di jaringan VPC Anda. Aturan firewall VPC yang diaktifkan akan selalu diterapkan, yang melindungi instance Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun belum dimulai.
Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Meskipun aturan firewall ditentukan pada tingkat jaringan, koneksi diizinkan atau ditolak per instance. Anda dapat menganggap aturan firewall VPC sebagai aturan yang ada tidak hanya antara instance Anda dan jaringan lain, tetapi juga antara instance individual dalam jaringan yang sama.
Untuk mengetahui informasi lebih lanjut tentang firewall, lihat Firewall (komputasi).
Praktik terbaik untuk aturan firewall
Saat mendesain dan mengevaluasi aturan firewall, perhatikan praktik terbaik berikut:
- Menerapkan prinsip hak istimewa terendah. Blokir semua traffic secara default dan hanya izinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya pada protokol dan port yang Anda perlukan.
- Gunakan aturan kebijakan firewall hierarkis untuk memblokir traffic yang seharusnya tidak diizinkan di tingkat organisasi atau folder.
- Untuk aturan "izinkan", batasi hanya untuk VM tertentu dengan menentukan akun layanan VM.
- Jika Anda perlu membuat aturan berdasarkan alamat IP, cobalah untuk meminimalkan jumlah aturan. Lebih mudah untuk melacak satu aturan yang memungkinkan traffic ke rentang 16 VM daripada melacak 16 aturan terpisah.
- Aktifkan Firewall Rules Logging dan gunakan Firewall Insights untuk memastikan bahwa aturan firewall digunakan dengan cara yang dimaksudkan. Logging Aturan Firewall dapat menimbulkan biaya, jadi Anda sebaiknya mempertimbangkan untuk menggunakannya secara selektif.
Aturan firewall di Google Cloud
Saat membuat aturan firewall VPC, Anda menentukan jaringan VPC dan sekumpulan komponen yang menentukan fungsi aturan tersebut. Komponen ini memungkinkan Anda menargetkan jenis traffic tertentu, berdasarkan protokol traffic, port tujuan, sumber, dan tujuan. Untuk mengetahui informasi selengkapnya, lihat komponen aturan firewall.
Anda dapat membuat atau mengubah aturan firewall VPC menggunakan Google Cloud Console, Google Cloud CLI, dan REST API. Saat membuat atau mengubah aturan firewall, Anda dapat menentukan instance tempat aturan tersebut ingin diterapkan menggunakan parameter target aturan. Untuk contoh aturan firewall, lihat Contoh konfigurasi lainnya.
Selain aturan firewall yang Anda buat, Google Cloud memiliki aturan lain yang dapat memengaruhi koneksi masuk (masuk) atau keluar (keluar):
Google Cloud memblokir atau membatasi traffic tertentu. Untuk informasi selengkapnya, lihat Traffic yang diblokir dan terbatas.
Google Cloud selalu mengizinkan komunikasi antara instance VM dan server metadata yang sesuai di
169.254.169.254
. Untuk informasi selengkapnya, lihat traffic selalu diizinkan.Setiap jaringan memiliki dua aturan firewall tersirat yang mengizinkan koneksi keluar dan memblokir koneksi masuk. Aturan firewall yang Anda buat dapat menggantikan aturan tersirat ini.
Jaringan default telah diisi sebelumnya dengan aturan firewall yang dapat Anda hapus atau ubah.
Spesifikasi
Aturan firewall VPC memiliki karakteristik berikut:
Setiap aturan firewall berlaku untuk koneksi masuk (masuk) atau keluar (keluar), bukan keduanya. Untuk mengetahui informasi selengkapnya, lihat arah koneksi.
Aturan firewall mendukung koneksi IPv4. Koneksi IPv6 juga didukung di jaringan VPC yang telah mengaktifkan IPv6. Saat menentukan sumber atau tujuan untuk aturan masuk atau keluar berdasarkan alamat, Anda dapat menentukan alamat atau blok IPv4 atau IPv6 dalam notasi CIDR.
Setiap aturan firewall dapat berisi rentang IPv4 atau IPv6, tetapi tidak keduanya.
Setiap tindakan aturan firewall dapat berupa
allow
ataudeny
. Aturan ini berlaku untuk koneksi selama aturan tersebut diterapkan. Misalnya, Anda dapat menonaktifkan aturan untuk tujuan pemecahan masalah.Saat membuat aturan firewall, Anda harus memilih jaringan VPC. Meskipun aturan diterapkan di tingkat instance, konfigurasinya dikaitkan dengan jaringan VPC. Artinya, Anda tidak dapat berbagi aturan firewall di antara jaringan VPC, termasuk jaringan yang terhubung melalui Peering Jaringan VPC atau menggunakan tunnel Cloud VPN.
Aturan firewall VPC bersifat stateful:
- Jika koneksi diizinkan melalui firewall di kedua arah, traffic yang ditampilkan yang cocok dengan koneksi ini juga akan diizinkan. Anda tidak dapat mengonfigurasi aturan firewall untuk menolak traffic respons terkait.
- Traffic yang ditampilkan harus cocok dengan 5 tuple (IP sumber, IP tujuan, port sumber, port tujuan, protokol) dari traffic permintaan yang diterima, tetapi dengan alamat sumber dan tujuan serta port dibalik.
- Google Cloud mengaitkan paket masuk dengan paket keluar yang sesuai menggunakan tabel pelacakan koneksi. Koneksi IPv4 mendukung protokol TCP, UDP, SCTP, dan ICMP. Koneksi IPv6 mendukung protokol TCP, UDP, SCTP, dan ICMPv6.
- Google Cloud menerapkan pelacakan koneksi terlepas dari apakah protokol mendukung koneksi atau tidak. Jika koneksi diizinkan antara sumber dan target (untuk aturan masuk) atau antara target dan tujuan (untuk aturan keluar), semua traffic respons diizinkan selama status pelacakan koneksi firewall aktif. Status pelacakan aturan firewall dianggap aktif jika minimal satu paket dikirim setiap 10 menit.
- Jika koneksi terfragmentasi diizinkan melalui firewall, Google Cloud akan menggunakan pelacakan koneksi untuk hanya mengizinkan fragmen pertama traffic yang kembali. Untuk mengizinkan fragmen pengembalian berikutnya, Anda harus menambahkan aturan firewall.
- Traffic respons ICMP, seperti "ICMP TYPE 3, Destination UNREACHABLE", yang dihasilkan sebagai respons terhadap koneksi TCP/UDP yang diizinkan diizinkan melalui firewall. Perilaku ini konsisten dengan RFC 792.
Aturan firewall VPC tidak menyusun ulang paket TCP yang terfragmentasi. Oleh karena itu, aturan firewall yang berlaku untuk protokol TCP hanya dapat diterapkan ke fragmen pertama karena berisi header TCP. Aturan firewall yang berlaku untuk protokol TCP tidak berlaku untuk fragmen TCP berikutnya.
Jumlah maksimum koneksi yang dilacak dalam tabel aturan firewall bergantung pada jumlah koneksi stateful yang didukung oleh jenis mesin instance. Jika jumlah maksimum koneksi yang dilacak sudah terlampaui, pelacakan akan dihentikan untuk koneksi yang memiliki interval tidak ada aktivitas terpanjang agar koneksi baru dilacak.
Jenis mesin instance Jumlah maksimum koneksi stateful Jenis mesin dengan inti bersama 130.000 Instance dengan 1–8 vCPU 130.000 koneksi per vCPU Instance dengan lebih dari 8 vCPU 1.040.000 (130.000 × 8) total koneksi
Aturan tersirat
Setiap jaringan VPC memiliki dua aturan firewall IPv4 tersirat. Jika IPv6 diaktifkan di jaringan VPC, jaringan tersebut juga memiliki dua aturan firewall IPv6 tersirat. Aturan ini tidak ditampilkan di Konsol Google Cloud.
Aturan firewall IPv4 tersirat ada di semua jaringan VPC, terlepas dari cara jaringan dibuat, dan apakah jaringan tersebut mode otomatis atau jaringan VPC mode kustom. Jaringan default memiliki aturan tersirat yang sama.
IPv4 tersirat mengizinkan aturan keluar. Aturan keluar yang tindakannya adalah
allow
, tujuannya adalah0.0.0.0/0
, dan prioritasnya adalah nilai serendah mungkin (65535
) memungkinkan setiap instance mengirim traffic ke tujuan mana pun, kecuali traffic yang diblokir oleh Google Cloud. Aturan firewall berprioritas lebih tinggi dapat membatasi akses keluar. Akses internet akan diizinkan jika tidak ada aturan firewall lain yang menolak traffic keluar dan jika instance memiliki alamat IP eksternal atau menggunakan instance Cloud NAT. Untuk informasi lebih lanjut, lihat Persyaratan akses internet.Aturan penolakan akses masuk IPv4 tersirat. Aturan masuk yang tindakannya adalah
deny
, sumbernya adalah0.0.0.0/0
, dan prioritasnya adalah yang serendah mungkin (65535
) melindungi semua instance dengan memblokir koneksi yang masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default menyertakan beberapa aturan tambahan yang menggantikan aturan ini, sehingga memungkinkan jenis koneksi masuk tertentu.
Jika IPv6 diaktifkan, jaringan VPC juga memiliki dua aturan tersirat berikut:
IPv6 tersirat mengizinkan aturan keluar. Aturan keluar yang tindakannya adalah
allow
, tujuannya adalah::/0
, dan prioritasnya adalah nilai serendah mungkin (65535
) memungkinkan setiap instance mengirim traffic ke tujuan mana pun, kecuali traffic yang diblokir oleh Google Cloud. Aturan firewall berprioritas lebih tinggi dapat membatasi akses keluar. Akses internet akan diizinkan jika tidak ada aturan firewall lain yang menolak traffic keluar dan jika instance memiliki alamat IP eksternal.Aturan penolakan akses masuk IPv6 tersirat. Aturan masuk yang tindakannya adalah
deny
, sumbernya adalah::/0
, dan prioritasnya adalah yang serendah mungkin (65535
) melindungi semua instance dengan memblokir koneksi yang masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk.
Aturan tersirat tidak dapat dihapus, tetapi memiliki prioritas
yang serendah mungkin. Anda dapat membuat aturan yang menggantinya selama aturan Anda memiliki prioritas yang lebih tinggi (angka prioritas kurang dari 65535
). Karena aturan deny
lebih diutamakan daripada aturan allow
dengan prioritas yang sama, aturan allow
masuk dengan prioritas 65535
tidak akan diterapkan.
Aturan yang telah terisi otomatis di jaringan default
Jaringan default telah diisi sebelumnya dengan aturan firewall yang mengizinkan koneksi masuk ke instance. Aturan ini dapat dihapus atau diubah sesuai kebutuhan:
Nama aturan | Arah | Prioritas | Rentang sumber | Tindakan | Protocols and ports | Deskripsi |
---|---|---|---|---|---|---|
default-allow-internal
|
ingress
|
65534
|
10.128.0.0/9
|
allow
|
tcp:0-65535
|
Mengizinkan koneksi masuk ke instance VM dari instance lain dalam jaringan VPC yang sama. |
default-allow-ssh
|
ingress
|
65534
|
0.0.0.0/0
|
allow
|
tcp:22
|
Memungkinkan Anda terhubung ke instance dengan alat seperti ssh , scp , atau sftp .
|
default-allow-rdp
|
ingress
|
65534
|
0.0.0.0/0
|
allow
|
tcp:3389
|
Memungkinkan Anda terhubung ke instance menggunakan Microsoft Remote Desktop Protocol (RDP). |
default-allow-icmp
|
ingress
|
65534
|
0.0.0.0/0
|
allow
|
icmp
|
Memungkinkan Anda menggunakan alat seperti ping .
|
Anda dapat membuat aturan firewall serupa untuk jaringan selain jaringan default. Lihat Mengonfigurasi aturan firewall untuk kasus penggunaan umum guna mendapatkan informasi lebih lanjut.
Traffic yang diblokir dan terbatas
Terlepas dari aturan firewall VPC dan kebijakan firewall hierarkis, Google Cloud akan memblokir atau membatasi traffic tertentu seperti yang dijelaskan dalam tabel berikut.
Jenis traffic | Detail |
---|---|
Kecepatan paket dan bandwidth
Berlaku untuk:
|
Google Cloud memperhitungkan bandwidth per instance VM, untuk setiap antarmuka jaringan (NIC) atau alamat IP. Jenis mesin VM menentukan tingkat traffic keluar maksimumnya; tetapi, Anda hanya dapat mencapai rasio traffic keluar maksimum yang dimungkinkan dalam situasi tertentu. Untuk mengetahui detailnya, lihat Bandwidth jaringan dalam dokumentasi Compute Engine. |
Penawaran dan konfirmasi DHCP
Berlaku untuk:
|
Google Cloud memblokir penawaran dan konfirmasi DHCP yang masuk dari semua sumber kecuali untuk paket DHCP yang berasal dari server metadata. |
Protokol yang didukung oleh alamat IP eksternal Google Cloud
Berlaku untuk:
|
Alamat IPv4 dan IPv6 eksternal hanya menerima paket TCP, UDP, ICMP, IPIP, AH, ESP, SCTP, dan GRE. Resource yang menggunakan alamat IP eksternal memberlakukan pembatasan protokol tambahan:
|
Traffic SMTP (port 25)
Berlaku untuk:
|
Secara default, Google Cloud memblokir paket keluar yang dikirim ke port tujuan TCP 25 alamat IP eksternal (termasuk alamat IP eksternal dari resource Google Cloud lainnya). Namun, traffic ini tidak diblokir di project yang dimiliki oleh pelanggan Google Cloud tertentu. Di Konsol Google Cloud, halaman Jaringan VPC dan halaman kebijakan Firewall menampilkan pesan yang menunjukkan apakah port 25 SMTP diizinkan atau tidak diizinkan dalam project Anda. Blok ini tidak berlaku untuk paket keluar yang dikirim ke port tujuan TCP 25 dari alamat IP internal, termasuk alamat IP publik yang digunakan secara pribadi dalam jaringan VPC atau jaringan lokal. Jika traffic keluar SMTP eksternal di port 25 diizinkan di project, dan Anda ingin mengirim jenis traffic ini, ketentuan tambahan berikut harus terpenuhi:
Anda dapat mencegah traffic keluar SMTP eksternal dengan membuat aturan firewall VPC yang menolak traffic keluar atau kebijakan firewall hierarkis. |
Traffic yang selalu diizinkan
Untuk instance VM, aturan firewall VPC dan kebijakan firewall hierarkis tidak berlaku untuk hal berikut:
- Paket yang dikirim ke dan diterima dari server metadata Google Cloud
Paket dikirim ke alamat IP yang ditetapkan ke salah satu antarmuka jaringan (NIC) instance itu sendiri, dengan paket tetap berada dalam VM itu sendiri. Alamat IP yang ditetapkan ke NIC instance meliputi:
- Alamat IPv4 internal utama NIC
- Semua alamat IPv4 internal dari rentang IP alias NIC
- Jika IPv6 dikonfigurasi di subnet, salah satu alamat IPv6 yang ditetapkan ke NIC
- Alamat IPv4 internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing atau penerusan protokol, jika instance tersebut adalah backend untuk load balancer atau merupakan instance target untuk penerusan protokol
- Alamat loopback
- Alamat yang dikonfigurasi sebagai bagian dari software overlay jaringan yang Anda jalankan dalam instance itu sendiri
Server metadata Google Cloud
Google Cloud menjalankan server metadata lokal bersama setiap instance di 169.254.169.254
. Server ini sangat penting untuk pengoperasian instance, sehingga instance dapat mengaksesnya, terlepas dari aturan firewall yang Anda konfigurasi. Server metadata menyediakan layanan dasar berikut ke instance:
- DHCP
- Resolusi DNS, yang mengikuti urutan resolusi nama DNS untuk jaringan VPC.
- Metadata instance
- Protokol Waktu Jaringan (NTP)
Interaksi produk
Bagian berikut menjelaskan cara aturan firewall dan kebijakan firewall hierarkis berinteraksi dengan produk Google Cloud lainnya.
Aturan firewall dan load balancer passthrough
Aturan firewall VPC dan kebijakan firewall hierarkis mengontrol protokol dan port yang didukung oleh aturan penerusan mana yang diizinkan untuk mengakses backend load balancer passthrough. Untuk mengetahui detailnya, baca artikel berikut:
- Aturan firewall dalam dokumentasi Load Balancer Jaringan passthrough eksternal
- Aturan firewall dalam dokumentasi Load Balancer Jaringan passthrough internal
Load balancer aturan firewall dan proxy
Untuk Load Balancer Aplikasi eksternal, Load Balancer Aplikasi internal, Load Balancer Jaringan proxy internal, dan Load Balancer Jaringan proxy eksternal, aturan firewall VPC, dan kebijakan firewall hierarkis tidak mengontrol protokol dan port mana yang diterima oleh alamat IP aturan penerusan load balancer proxy. Aturan penerusan saja menentukan protokol dan port mana yang diterima oleh load balancer proxy.
Aturan firewall VPC dan kebijakan firewall hierarkis mengontrol cara load balancer proxy ini berkomunikasi ke backend-nya. Untuk mengetahui detailnya, lihat:
- Aturan firewall dalam dokumentasi Load Balancer Aplikasi eksternal
- Aturan firewall dalam dokumentasi Load Balancer Aplikasi internal
- Aturan firewall dalam dokumentasi Load Balancer Jaringan proxy internal
- Aturan firewall dalam dokumentasi Load Balancer Jaringan proxy eksternal
Aturan firewall dan Cloud VPN
Aturan firewall dan kebijakan firewall hierarkis tidak mengontrol protokol dan port mana yang diterima oleh gateway Cloud VPN.
Gateway Cloud VPN hanya menerima paket untuk protokol dan port yang dijelaskan dalam spesifikasi Cloud VPN.
Aturan firewall dan GKE
Google Kubernetes Engine membuat dan mengelola aturan firewall secara otomatis saat Anda membuat cluster atau resource dalam cluster (termasuk Layanan dan Ingress). Untuk mengetahui informasi selengkapnya, lihat Aturan firewall yang dibuat secara otomatis di dokumentasi Google Kubernetes Engine.
Komponen aturan firewall
Setiap aturan firewall terdiri dari komponen konfigurasi berikut:
direction dari perspektif target. Arah bisa berupa masuk atau keluar.
Prioritas numerik, yang menentukan apakah aturan diterapkan atau tidak. Hanya aturan prioritas tertinggi (angka prioritas terendah) yang traffic-nya cocok dengan komponen lain yang akan diterapkan; aturan yang bertentangan dengan prioritas lebih rendah akan diabaikan.
Tindakan pada kecocokan, baik
allow
ataudeny
, yang menentukan apakah aturan mengizinkan atau memblokir koneksi.Status pemberlakuan aturan firewall: Anda dapat mengaktifkan dan menonaktifkan aturan firewall tanpa menghapusnya.
Target, yang menentukan instance (termasuk cluster GKE dan instance lingkungan fleksibel App Engine) tempat aturan diterapkan.
Filter sumber atau tujuan untuk karakteristik paket.
Protokol (seperti TCP, UDP, atau ICMP) dan port tujuan.
Opsi logs boolean yang mencatat koneksi yang cocok dengan aturan ke dalam Cloud Logging.
Ringkasan komponen
Aturan masuk (masuk) | ||||||
---|---|---|---|---|---|---|
Prioritas | Tindakan | Penerapan | Parameter target | Filter sumber dan tujuan | Protocols and ports | |
Bilangan bulat dari 0 sampai 65535 , inklusif; default
1000 |
allow atau deny |
enabled (default) atau disabled |
Menentukan instance yang menerima paket. | Tentukan protokol atau protokol dan port tujuan. Jika tidak disetel, aturan berlaku untuk semua protokol dan port tujuan. Untuk mengetahui informasi selengkapnya, baca Protokol dan port. |
||
Aturan keluar (keluar) | ||||||
Prioritas | Tindakan | Penerapan | Parameter target | Filter sumber dan tujuan | Protocols and ports | |
Bilangan bulat dari 0 sampai 65535 , inklusif; default
1000 |
allow atau deny |
enabled (default) atau disabled |
Menentukan instance yang mengirim paket. | Tentukan protokol atau protokol dan port tujuan. Jika tidak disetel, aturan berlaku untuk semua protokol dan port tujuan. Untuk mengetahui informasi selengkapnya, baca Protokol dan port. |
Arah traffic
Anda dapat membuat aturan firewall yang berlaku untuk traffic masuk atau keluar. Satu aturan tidak dapat berlaku untuk traffic masuk dan keluar. Namun, Anda dapat membuat beberapa aturan untuk menentukan traffic masuk dan keluar yang Anda izinkan atau tolak melalui firewall.
Ingress (masuk) menjelaskan paket yang masuk ke antarmuka jaringan target.
Traffic keluar (keluar) menjelaskan paket yang keluar dari antarmuka jaringan target.
Jika Anda tidak menentukan arah, Google Cloud akan menggunakan traffic masuk.
Prioritas
Prioritas aturan firewall adalah bilangan bulat dari 0
hingga 65535
, inklusif. Bilangan bulat
yang lebih rendah menunjukkan prioritas yang lebih tinggi. Jika Anda tidak menentukan prioritas saat membuat aturan, prioritas 1000
akan ditetapkan pada aturan tersebut.
Prioritas relatif aturan firewall menentukan apakah aturan tersebut berlaku saat dievaluasi terhadap yang lain. Logika evaluasi berfungsi sebagai berikut:
Aturan prioritas tertinggi yang berlaku untuk target untuk jenis traffic tertentu akan diprioritaskan. Kekhususan target tidak menjadi masalah. Misalnya, aturan masuk dengan prioritas yang lebih tinggi untuk port dan protokol tujuan tertentu yang ditujukan untuk semua target akan menggantikan aturan yang ditetapkan serupa dengan prioritas yang lebih rendah untuk port dan protokol tujuan yang sama yang ditujukan untuk target tertentu.
Aturan prioritas tertinggi yang berlaku untuk definisi protokol dan port tujuan tertentu lebih diutamakan, meskipun jika definisi protokol dan port tujuan lebih umum. Misalnya, aturan masuk dengan prioritas lebih tinggi yang mengizinkan traffic untuk semua protokol dan port tujuan yang ditujukan untuk target tertentu menggantikan aturan masuk dengan prioritas lebih rendah yang menolak TCP 22 untuk target yang sama.
Aturan dengan tindakan
deny
akan menggantikan aturan lain dengan tindakanallow
hanya jika kedua aturan tersebut memiliki prioritas yang sama. Dengan menggunakan prioritas relatif, Anda dapat membuat aturanallow
yang menggantikan aturandeny
, dan aturandeny
yang mengganti aturanallow
.Aturan dengan prioritas yang sama dan tindakan yang sama memiliki hasil yang sama. Namun, aturan yang digunakan selama evaluasi tidak dapat ditentukan. Biasanya, aturan mana yang digunakan tidak masalah kecuali jika Anda mengaktifkan Logging Aturan Firewall. Jika ingin log menampilkan aturan firewall yang dievaluasi secara konsisten dan terdefinisi dengan baik, tetapkan prioritas yang unik.
Perhatikan contoh berikut jika ada dua aturan firewall:
Aturan masuk dari sumber
0.0.0.0/0
(alamat IPv4 apa pun) yang berlaku untuk semua target, semua protokol, dan semua port tujuan, yang memiliki tindakandeny
dan prioritas1000
.Aturan masuk dari sumber
0.0.0.0/0
(alamat IPv4 apa pun) yang berlaku untuk target tertentu dengan tag jaringanwebserver
, untuk traffic di TCP 80, dengan tindakanallow
.
Prioritas aturan kedua menentukan apakah traffic TCP ke port 80
diizinkan untuk target webserver
:
Jika prioritas aturan kedua ditetapkan ke angka yang lebih besar dari
1000
, aturan tersebut memiliki prioritas lebih rendah, sehingga aturan pertama yang menolak semua traffic akan diterapkan.Jika prioritas aturan kedua ditetapkan ke
1000
, kedua aturan tersebut memiliki prioritas yang identik, sehingga aturan pertama yang menolak semua traffic akan berlaku.Jika prioritas aturan kedua ditetapkan ke angka kurang dari
1000
, aturan tersebut memiliki prioritas lebih tinggi, sehingga memungkinkan traffic di TCP 80 untuk targetwebserver
. Jika tidak memiliki aturan lain, aturan pertama akan tetap menolak jenis traffic lain ke targetwebserver
, dan juga akan menolak semua traffic, termasuk TCP 80, ke instance tanpa tag jaringanwebserver
.
Contoh sebelumnya menunjukkan cara menggunakan prioritas untuk membuat aturan
allow
selektif dan aturan deny
global untuk menerapkan praktik terbaik keamanan dengan
hak istimewa terendah.
Tindakan jika ada kecocokan
Komponen tindakan aturan firewall menentukan apakah aturan tersebut mengizinkan atau memblokir traffic, sesuai dengan komponen aturan lainnya:
Tindakan
allow
mengizinkan koneksi yang cocok dengan komponen lain yang ditentukan.Tindakan
deny
akan memblokir koneksi yang cocok dengan komponen lain yang ditentukan.
Penerapan
Anda dapat memilih apakah aturan firewall diterapkan dengan menetapkan statusnya ke enabled
atau disabled
. Anda menetapkan status penerapan saat
membuat aturan atau saat
memperbarui aturan.
Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis disetel ke enabled
.
Kasus penggunaan
Menonaktifkan dan mengaktifkan berguna untuk memecahkan masalah dan melakukan pemeliharaan. Pertimbangkan untuk mengubah penerapan aturan firewall dalam situasi berikut:
Untuk pemecahan masalah: Bersama dengan Logging Aturan Firewall, Anda dapat menonaktifkan aturan firewall untuk sementara guna menentukan apakah aturan tersebut bertanggung jawab atas pemblokiran atau izin traffic. Hal ini berguna untuk situasi ketika beberapa aturan firewall diterapkan ke traffic yang sama. Menonaktifkan dan mengaktifkan aturan lebih berguna daripada menghapus dan membuat ulang aturan karena tidak ada komponen aturan lain yang hilang.
Untuk pemeliharaan: Menonaktifkan aturan firewall dapat menyederhanakan pemeliharaan berkala. Misalnya, Anda dapat memilih untuk mengaktifkan aturan firewall masuk yang mengizinkan akses SSH hanya pada saat Anda perlu melakukan pemeliharaan menggunakan SSH. Saat tidak melakukan pemeliharaan, Anda dapat menonaktifkan aturan.
Pengaruh pada traffic yang ada
Saat Anda mengubah status penerapan aturan firewall, atau saat Anda membuat aturan baru yaitu enforced
, perubahan tersebut hanya berlaku untuk koneksi baru.
Koneksi yang sudah ada tidak terpengaruh oleh perubahan ini.
Protocols and ports
Anda dapat mempersempit cakupan aturan firewall dengan menentukan protokol atau protokol dan port tujuan. Anda dapat menentukan protokol atau kombinasi protokol dan porta tujuannya. Jika Anda menghilangkan protokol dan port, aturan firewall berlaku untuk semua traffic pada protokol dan port tujuan mana pun. Aturan berdasarkan port sumber tidak didukung.
Tidak semua protokol mendukung porta. Misalnya, port ada untuk TCP dan UDP, tetapi tidak untuk ICMP. ICMP memiliki jenis ICMP yang berbeda, tetapi bukan merupakan port dan tidak dapat ditentukan dalam aturan firewall.
Anda dapat menggunakan nama protokol berikut di aturan firewall: tcp
, udp
, icmp
(untuk ICMP IPv4), esp
, ah
, sctp
, dan ipip
. Untuk semua protokol lainnya, Anda harus menggunakan nomor protokol IANA.
Banyak protokol menggunakan nama dan nomor yang sama pada IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak menggunakannya.
Protokol Hop-by-Hop IPv6 tidak didukung pada aturan firewall.
Tabel berikut meringkas kombinasi protokol dan spesifikasi port tujuan yang valid untuk aturan firewall Google Cloud.
Spesifikasi | Contoh | Penjelasan |
---|---|---|
Tidak ada protokol dan port | — | Jika Anda tidak menentukan protokol, aturan firewall akan berlaku untuk semua protokol dan port tujuan yang berlaku. |
Protocol | tcp |
Jika Anda menentukan protokol tanpa informasi port, aturan firewall berlaku untuk protokol tersebut dan semua port yang berlaku. |
Protokol dan port tunggal | tcp:80 |
Jika Anda menentukan protokol dan port tujuan tunggal, aturan firewall berlaku untuk port tujuan protokol tersebut. |
Protokol dan rentang port | tcp:20-22 |
Jika Anda menentukan protokol dan rentang port, aturan firewall berlaku untuk rentang port tujuan tersebut untuk protokol tersebut. |
Kombinasi | icmp,tcp:80 tcp:443 udp:67-69 |
Anda dapat menentukan berbagai kombinasi protokol dan port tujuan tempat aturan firewall diterapkan. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall. |
Target, sumber, tujuan
Target mengidentifikasi antarmuka jaringan instance tempat aturan firewall diterapkan.
Anda dapat menentukan parameter sumber dan tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.
Parameter target
Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node GKE dan instance lingkungan fleksibel App Engine.
Anda dapat menentukan target berikut untuk aturan masuk atau keluar. Parameter target, sumber, dan tujuan bekerja sama seperti yang dijelaskan dalam Sumber, tujuan, target.
Target default—semua instance dalam jaringan VPC. Jika Anda menghapus spesifikasi target, aturan firewall akan berlaku untuk semua instance di jaringan VPC.
Instance menurut tag jaringan target. Aturan firewall hanya berlaku untuk instance di jaringan VPC dengan tag jaringan yang cocok. Untuk mengetahui jumlah maksimum tag jaringan target yang dapat Anda terapkan per aturan firewall, lihat Kuota resource VPC.
Instance menurut akun layanan target. Aturan firewall hanya berlaku untuk instance di jaringan VPC yang menggunakan akun layanan tertentu. Untuk mengetahui jumlah maksimum akun layanan target yang dapat Anda terapkan per aturan firewall, lihat Kuota resource VPC.
Untuk informasi tentang manfaat dan batasan tag jaringan target dan akun layanan target, lihat memfilter berdasarkan akun layanan versus tag jaringan.
Target dan alamat IP untuk aturan masuk
Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:
Jika aturan firewall masuk menyertakan rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.
Jika aturan firewall masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:
Alamat IPv4 internal utama yang ditetapkan ke NIC instance.
Setiap rentang IP alias yang dikonfigurasi pada NIC instance.
Alamat IPv4 eksternal yang terkait dengan NIC {i>instance<i}.
Jika IPv6 dikonfigurasi di subnet, salah satu alamat IPv6 yang ditetapkan ke NIC.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing pass-through, dengan instance merupakan backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, dengan instance yang direferensikan oleh instance target.
Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance sebagai VM next hop (
next-hop-instance
ataunext-hop-address
).Alamat IP dalam rentang tujuan rute statis kustom menggunakan next hop Load Balancer Jaringan passthrough (
next-hop-ilb
) internal, jika VM adalah backend untuk load balancer tersebut.
Target dan alamat IP untuk aturan traffic keluar
Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP pada VM target. Penerusan IP dinonaktifkan secara default.
Jika VM target menonaktifkan penerusan IP, VM dapat memunculkan paket dengan sumber berikut:
Alamat IPv4 internal utama dari NIC instance.
Rentang IP alias apa pun yang dikonfigurasi pada NIC instance.
Jika IPv6 dikonfigurasi di subnet, salah satu alamat IPv6 yang ditetapkan ke NIC.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing pass-through atau penerusan protokol, jika instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.
Jika aturan firewall keluar menyertakan rentang alamat IP sumber, VM target masih dibatasi untuk alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring kumpulan tersebut (fitur pratinjau). Penggunaan parameter sumber tanpa mengaktifkan penerusan IP akan tidak memperluas kumpulan kemungkinan alamat sumber paket.
Jika aturan firewall keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.
Jika VM target mengaktifkan penerusan IP, VM dapat mengeluarkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan secara lebih akurat.
Parameter sumber
Nilai parameter sumber bergantung pada arah aturan firewall.
Sumber untuk aturan masuk
Anda dapat menggunakan sumber berikut untuk aturan firewall masuk:
Rentang sumber default: Jika Anda menghilangkan spesifikasi sumber dalam aturan masuk, Google Cloud akan menggunakan rentang alamat IPv4 sumber default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai defaultnya tidak menyertakan sumber IPv6.Rentang IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.
Tag jaringan sumber: Satu atau beberapa tag jaringan yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama dengan aturan firewall. Untuk mengetahui jumlah maksimum tag jaringan sumber per aturan firewall, lihat Kuota resource VPC. Untuk mengetahui detail tentang alamat sumber paket saat menggunakan spesifikasi sumber implisit ini, lihat Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket.
Akun layanan sumber: Satu atau beberapa akun layanan yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama dengan aturan firewall. Untuk mengetahui jumlah maksimum akun layanan sumber per aturan firewall, lihat Kuota resource VPC. Untuk mengetahui detail tentang alamat sumber paket saat menggunakan spesifikasi sumber implisit ini, lihat Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket.
Kombinasi sumber yang valid: Untuk semua kombinasi berikut, set sumber yang efektif adalah gabungan alamat IPv4 atau IPv6 yang secara eksplisit ditentukan dan rentang alamat IP yang dinyatakan oleh tag jaringan sumber atau akun layanan sumber:
- Kombinasi rentang IPv4 sumber dan tag jaringan sumber.
- Kombinasi rentang IPv6 sumber dan tag jaringan sumber.
- Kombinasi rentang IPv4 sumber dan akun layanan sumber.
- Kombinasi rentang IPv6 sumber dan akun layanan sumber.
Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket
Jika aturan firewall masuk menggunakan tag jaringan sumber, paket harus dikeluarkan dari antarmuka jaringan yang memenuhi kriteria berikut:
- Antarmuka jaringan menggunakan jaringan VPC yang sama dengan aturan firewall.
- Antarmuka jaringan dikaitkan dengan VM yang memiliki tag jaringan yang cocok dengan tag jaringan sumber aturan firewall.
Jika aturan firewall masuk menggunakan akun layanan sumber, paket harus dikeluarkan dari antarmuka jaringan yang memenuhi kriteria berikut:
- Antarmuka jaringan menggunakan jaringan VPC yang sama dengan aturan firewall.
- Antarmuka jaringan dikaitkan dengan VM yang memiliki akun layanan yang cocok dengan akun layanan sumber aturan firewall.
Selain menentukan antarmuka jaringan, jika aturan firewall masuk menggunakan tag jaringan sumber atau akun layanan sumber, paket yang dikeluarkan dari antarmuka jaringan VM harus menggunakan salah satu alamat IP sumber yang valid berikut:
- Alamat IPv4 internal utama dari antarmuka jaringan tersebut.
- Setiap alamat IPv6 yang ditetapkan untuk antarmuka jaringan tersebut.
Jika aturan firewall masuk juga berisi rentang alamat IP tujuan, antarmuka jaringan yang terikat pada tag jaringan akan di-resolve ke versi IP yang sama dengan rentang IP tujuan.
Tidak ada alamat IP sumber paket lainnya yang tersirat saat menggunakan tag jaringan sumber atau akun layanan sumber. Misalnya, rentang IP alias dan alamat IPv4 eksternal yang terkait dengan antarmuka jaringan akan dikecualikan. Jika Anda perlu membuat aturan firewall masuk yang sumbernya mencakup rentang alamat IP alias atau alamat IPv4 eksternal, gunakan rentang IPv4 sumber.
Sumber untuk aturan keluar
Anda dapat menggunakan sumber berikut untuk aturan firewall keluar:
Default—diimplikasikan menurut target. Jika Anda menghapus parameter sumber dari aturan keluar, sumber paket akan didefinisikan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.
Rentang IPv4 sumber. Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 sumber. Daftar alamat IPv6 dalam format CIDR.
Ikuti panduan ini guna menambahkan rentang alamat IP sumber untuk aturan keluar:
Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda menentukan parameter sumber dan tujuan dalam aturan traffic keluar, gunakan versi IP yang sama untuk kedua parameter tersebut. Anda dapat menggunakan rentang alamat IPv4 atau rentang alamat IPv6, tetapi tidak keduanya. Untuk mengetahui detailnya, lihat Tujuan untuk aturan keluar.
Parameter tujuan
Tujuan dapat ditentukan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar. Perilaku tujuan default bergantung pada arah aturan.
Tujuan untuk aturan masuk
Anda dapat menggunakan tujuan berikut untuk aturan firewall masuk:
Default—diimplikasikan menurut target. Jika Anda menghapus parameter tujuan dari aturan masuk, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan masuk.
Rentang IPv4 tujuan. Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 tujuan. Daftar alamat IPv6 dalam format CIDR.
Ikuti panduan ini untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:
Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda menentukan parameter sumber dan tujuan dalam aturan masuk, parameter sumber di-resolve menjadi versi IP yang sama dengan rentang alamat IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber aturan masuk, lihat Sumber untuk aturan ingress.
Tujuan untuk aturan traffic keluar
Anda dapat menggunakan tujuan berikut untuk aturan firewall keluar:
Rentang tujuan default. Jika Anda menghapus spesifikasi tujuan dalam aturan keluar, Google Cloud akan menggunakan rentang alamat IPv4 tujuan default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai defaultnya tidak termasuk tujuan IPv6.Rentang IPv4 tujuan. Daftar alamat IPv4 dalam format CIDR.
Rentang IPv6 tujuan. Daftar alamat IPv6 dalam format CIDR.
Pemfilteran sumber dan target berdasarkan akun layanan
Anda dapat menggunakan akun layanan untuk membuat aturan firewall yang bersifat lebih spesifik:
Untuk aturan masuk dan keluar, Anda dapat menggunakan akun layanan untuk menentukan target.
Untuk aturan masuk, Anda dapat menentukan sumber paket masuk sebagai alamat IP internal utama VM apa pun di jaringan tempat VM menggunakan akun layanan tertentu.
Akun layanan harus dibuat dalam project yang sama dengan aturan firewall sebelum Anda membuat aturan firewall yang bergantung pada akun tersebut. Meskipun sistem tidak menghentikan Anda untuk membuat aturan yang menggunakan akun layanan dari project lain, aturan tidak diterapkan jika akun layanan tidak ada dalam project aturan firewall.
Aturan firewall yang menggunakan akun layanan untuk mengidentifikasi instance berlaku untuk instance baru yang dibuat dan terkait dengan akun layanan dan instance yang sudah ada jika Anda mengubah akun layanannya. Jika Anda mengubah akun layanan yang terkait dengan sebuah instance, Anda harus menghentikan dan memulai ulang instance tersebut. Anda dapat mengaitkan akun layanan dengan setiap instance dan dengan template instance yang digunakan oleh grup instance terkelola.
Filter menurut akun layanan versus tag jaringan
Bagian ini menyoroti poin-poin penting yang perlu dipertimbangkan saat memutuskan apakah Anda harus menggunakan akun layanan atau tag jaringan untuk menentukan target dan sumber (untuk aturan ingress).
Jika Anda memerlukan kontrol ketat terkait cara penerapan aturan firewall ke VM, gunakan akun layanan target dan akun layanan sumber, bukan tag jaringan target dan tag jaringan sumber:
Tag jaringan adalah atribut arbitrer. Satu atau beberapa tag jaringan dapat dikaitkan dengan sebuah instance oleh akun utama Identity and Access Management (IAM) yang memiliki izin untuk mengeditnya. Akun utama IAM dengan peran Admin Instance Compute Engine ke project memiliki izin ini. Akun utama IAM yang dapat mengedit instance dapat mengubah tag jaringannya, yang dapat mengubah kumpulan aturan firewall yang berlaku untuk instance tersebut.
Akun layanan mewakili identitas yang terkait dengan instance. Hanya satu akun layanan yang dapat dikaitkan dengan satu instance. Anda mengontrol akses ke akun layanan dengan mengontrol pemberian peran Service Account User untuk akun utama IAM lainnya. Agar akun utama IAM dapat memulai instance dengan menggunakan akun layanan, akun utama tersebut harus memiliki peran Service Account User setidaknya agar dapat menggunakan akun layanan tersebut dan izin yang sesuai untuk membuat instance (misalnya, memiliki peran Admin Instance Compute Engine ke project).
Anda tidak dapat mencampur dan mencocokkan akun layanan dan tag jaringan di aturan firewall mana pun:
Anda tidak dapat menggunakan akun layanan target dan tag jaringan target secara bersamaan dalam aturan firewall mana pun (masuk atau keluar).
Jika Anda menentukan target berdasarkan tag jaringan target atau akun layanan target, hal berikut adalah sumber yang tidak valid untuk aturan firewall masuk.
Targets Sumber tidak valid Menargetkan tag jaringan Akun layanan sumber
Kombinasi rentang IP sumber dan akun layanan sumberAkun layanan target Tag jaringan sumber
Kombinasi rentang IP sumber dan tag jaringan sumber
Berikut adalah pertimbangan operasional untuk akun layanan dan tag jaringan:
Mengubah akun layanan untuk sebuah instance mengharuskan untuk menghentikan dan memulai ulang instance tersebut. Menambahkan atau menghapus tag jaringan dapat dilakukan saat instance berjalan.
Ada jumlah maksimum akun layanan target, akun layanan sumber, tag jaringan target, dan tag jaringan sumber yang dapat ditentukan untuk aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Kuota resource VPC.
Jika Anda mengidentifikasi instance berdasarkan tag jaringan, aturan firewall berlaku untuk alamat IP internal utama instance tersebut.
Aturan firewall akun layanan berlaku untuk node GKE, bukan Pod GKE.
Peran dan izin
Tabel berikut menjelaskan izin Identity and Access Management (IAM) yang Anda perlukan untuk menggunakan aturan firewall VPC.
Tugas | Izin yang diperlukan | Contoh peran |
---|---|---|
Membuat aturan firewall |
compute.firewalls.create
|
Admin Keamanan Compute ( roles/compute.securityAdmin )
|
Menghapus aturan firewall |
compute.firewalls.delete
|
Admin Keamanan Compute ( roles/compute.securityAdmin )
|
Membuat perubahan pada aturan firewall |
compute.firewalls.update
|
Admin Keamanan Compute ( roles/compute.securityAdmin )
|
Melihat detail tentang aturan firewall |
compute.firewalls.get
|
Viewer Jaringan Compute ( roles/compute.networkViewer )
|
Melihat daftar aturan firewall |
compute.firewalls.list
|
Viewer Jaringan Compute ( roles/compute.networkViewer )
|
Kasus penggunaan
Kasus penggunaan berikut menunjukkan cara kerja aturan firewall. Dalam contoh ini, semua aturan firewall diaktifkan.
Kasus masuk
Aturan firewall masuk mengontrol koneksi masuk dari sumber ke instance target di jaringan VPC Anda. Sumber untuk aturan masuk dapat ditentukan sebagai salah satu dari berikut ini:
- Rentang alamat IPv4 atau IPv6; defaultnya adalah semua alamat IPv4
(
0.0.0.0/0
) - Instance lain di jaringan VPC Anda yang diidentifikasi oleh tag jaringan
- Instance lain di jaringan VPC Anda yang diidentifikasi oleh akun layanan
- Instance lain di jaringan VPC Anda yang diidentifikasi berdasarkan rentang alamat IPv4 atau IPv6 dan menurut tag jaringan
- Instance lain di jaringan VPC Anda yang diidentifikasi berdasarkan rentang alamat IPv4 atau IPv6 dan menurut akun layanan
Sumber defaultnya adalah alamat IPv4 (0.0.0.0/0
). Jika Anda ingin mengontrol koneksi masuk untuk sumber di luar jaringan VPC, termasuk sumber lain di internet, gunakan rentang alamat IP dalam format CIDR.
Aturan masuk dengan tindakan allow
mengizinkan traffic masuk berdasarkan komponen aturan lainnya. Selain menentukan sumber dan target aturan, Anda dapat membatasi aturan yang akan diterapkan pada protokol dan port tujuan tertentu. Demikian pula, aturan masuk dengan tindakan deny
dapat digunakan untuk melindungi instance dengan memblokir traffic masuk berdasarkan komponen aturan firewall.
Contoh ingress
Gambar 1 menunjukkan beberapa contoh ketika aturan firewall dapat mengontrol koneksi masuk. Contoh tersebut menggunakan parameter target dalam penetapan aturan untuk menerapkan aturan ke instance tertentu.
Aturan masuk dengan prioritas
1000
berlaku untuk VM 1. Aturan ini mengizinkan traffic TCP masuk dari sumber IPv4 mana pun (0.0.0.0/0
). Traffic TCP dari instance lain di jaringan VPC diizinkan, sesuai dengan aturan traffic keluar yang berlaku untuk instance lainnya tersebut. VM 4 dapat berkomunikasi dengan VM 1 melalui TCP karena VM 4 tidak memiliki aturan keluar yang memblokir komunikasi tersebut (hanya aturan izinkan keluar tersirat yang berlaku). Karena VM 1 memiliki IP eksternal, aturan ini juga mengizinkan traffic TCP yang masuk dari host eksternal di internet dan dari VM 2 melalui alamat IP eksternal.VM 2 tidak memiliki aturan firewall masuk yang ditentukan, sehingga aturan tolak ingress tersirat akan memblokir semua traffic masuk. Koneksi dari instance lain di jaringan akan diblokir, terlepas dari aturan keluar untuk instance lainnya. Karena VM 2 memiliki IP eksternal, ada jalur ke IP tersebut dari host eksternal di internet, tetapi aturan penolakan masuk secara tersirat juga memblokir traffic masuk eksternal.
Aturan masuk dengan prioritas
1000
berlaku untuk VM 3. Aturan ini mengizinkan traffic TCP dari instance di jaringan dengan tag jaringanclient
, seperti VM 4. Traffic TCP dari VM 4 ke VM 3 diizinkan karena VM 4 tidak memiliki aturan keluar yang memblokir komunikasi tersebut (hanya aturan izinkan traffic keluar yang tersirat yang berlaku). Karena VM 3 tidak memiliki IP eksternal, tidak ada jalur ke VM tersebut dari host eksternal di internet.
Kasus keluar
Aturan firewall keluar mengontrol koneksi keluar dari instance target di jaringan VPC Anda. Aturan keluar dengan tindakan allow
mengizinkan traffic dari instance berdasarkan komponen aturan lainnya. Misalnya, Anda dapat mengizinkan traffic keluar ke tujuan tertentu, seperti rentang alamat IPv4, pada protokol dan port tujuan yang Anda tentukan. Demikian pula, aturan keluar dengan traffic pemblokiran tindakan deny
berdasarkan komponen aturan lainnya.
Setiap aturan keluar memerlukan destination. Tujuan defaultnya adalah alamat IPv4 (0.0.0.0/0
), tetapi Anda dapat membuat tujuan yang lebih spesifik dengan menggunakan rentang alamat IPv4 atau IPv6 dalam format CIDR. Saat menentukan berbagai alamat IP, Anda dapat mengontrol traffic ke instance di jaringan Anda dan ke tujuan di luar jaringan Anda, termasuk tujuan di internet.
Contoh traffic keluar
Gambar 2 menunjukkan beberapa contoh ketika aturan firewall dapat mengontrol koneksi keluar. Contoh tersebut menggunakan parameter target dalam penetapan aturan untuk menerapkan aturan ke instance tertentu.
VM 1 tidak memiliki aturan firewall keluar yang ditentukan, sehingga aturan izinkan keluar ternyata memungkinkannya mengirimkan traffic ke tujuan mana pun. Koneksi ke instance lain dalam jaringan VPC diizinkan, sesuai dengan aturan masuk yang berlaku untuk instance lain tersebut. VM 1 dapat mengirim traffic ke VM 4 karena VM 4 memiliki aturan masuk yang memungkinkan traffic masuk dari rentang alamat IP apa pun. Karena VM 1 memiliki alamat IP eksternal, VM dapat mengirim traffic ke host eksternal di internet. Respons masuk ke traffic yang dikirim oleh VM 1 diizinkan karena aturan firewall bersifat stateful.
Aturan keluar dengan prioritas
1000
berlaku untuk VM 2. Aturan ini menolak semua traffic keluar ke semua tujuan IPv4 (0.0.0.0/0
). Traffic keluar ke instance lain di jaringan VPC akan diblokir, terlepas dari aturan masuk yang diterapkan ke instance lainnya. Meskipun VM 2 memiliki alamat IP eksternal, aturan firewall ini memblokir traffic keluarnya ke host eksternal di internet.Aturan keluar dengan prioritas
1000
berlaku untuk VM 3. Aturan ini memblokir traffic TCP keluarnya ke tujuan mana pun dalam rentang IP192.168.1.0/24
. Meskipun aturan masuk untuk VM 4 mengizinkan semua traffic masuk, VM 3 tidak dapat mengirim traffic TCP ke VM 4. Namun, VM 3 bebas mengirim traffic UDP ke VM 4 karena aturan keluar hanya berlaku untuk protokol TCP.Selain itu, VM 3 dapat mengirim traffic apa pun ke instance lain dalam jaringan VPC di luar rentang IP
192.168.1.0/24
, selama instance lainnya tersebut memiliki aturan masuk untuk mengizinkan traffic tersebut. Karena tidak memiliki alamat IP eksternal, jaringan tersebut tidak memiliki jalur untuk mengirim traffic ke luar jaringan VPC.
Langkah selanjutnya
- Untuk membuat dan bekerja dengan aturan firewall, lihat Menggunakan aturan firewall VPC.
Cobalah sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa Cloud NGFW dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Coba Cloud NGFW gratis