Aturan firewall VPC

Aturan firewall Virtual Private Cloud (VPC) berlaku untuk project dan jaringan tertentu. Jika Anda ingin menerapkan aturan firewall ke beberapa jaringan VPC di organisasi, lihat Kebijakan firewall. Bagian lain halaman ini hanya membahas aturan firewall VPC.

Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari instance virtual machine (VM) di jaringan VPC Anda. Aturan firewall VPC yang diaktifkan selalu diterapkan, sehingga melindungi instance Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun belum dimulai.

Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Meskipun aturan firewall ditentukan di tingkat jaringan, koneksi akan diizinkan atau ditolak per instance. Anda dapat menganggap bahwa aturan firewall VPC sudah ada tidak hanya antara instance Anda dan jaringan lainnya, tetapi juga antara instance individual dalam jaringan yang sama.

Untuk informasi selengkapnya tentang firewall, lihat Firewall (komputasi).

Praktik terbaik untuk aturan firewall

Saat mendesain dan mengevaluasi aturan firewall, perhatikan praktik terbaik berikut:

  • Terapkan prinsip hak istimewa terendah. Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda butuhkan.
  • Gunakan aturan kebijakan firewall hierarkis untuk memblokir traffic yang tidak boleh diizinkan di tingkat organisasi atau folder.
  • Untuk aturan "izinkan", batasi aturan tersebut ke VM tertentu dengan menentukan akun layanan VM.
  • Jika Anda perlu membuat aturan berdasarkan alamat IP, coba minimalkan jumlah aturan. Melacak satu aturan yang mengizinkan traffic ke rentang 16 VM lebih mudah daripada melacak 16 aturan terpisah.
  • Aktifkan Logging Aturan Firewall dan gunakan Analisis Firewall untuk memverifikasi bahwa aturan firewall digunakan dengan cara yang diinginkan. Logging Aturan Firewall dapat menimbulkan biaya, jadi sebaiknya gunakan secara selektif.

Aturan firewall di Google Cloud

Saat membuat aturan firewall VPC, Anda menentukan jaringan VPC dan serangkaian komponen yang menentukan fungsi aturan. Komponen ini memungkinkan Anda menargetkan jenis traffic tertentu, berdasarkan protokol, port tujuan, sumber, dan tujuan traffic. Untuk mengetahui informasi selengkapnya, lihat komponen aturan firewall.

Anda membuat atau mengubah aturan firewall VPC menggunakan konsol Google Cloud, Google Cloud CLI, dan REST API. Saat membuat atau mengubah aturan firewall, Anda dapat menentukan instance yang akan diterapkan oleh aturan tersebut menggunakan parameter target aturan. Untuk contoh aturan firewall, lihat Contoh konfigurasi lainnya.

Selain aturan firewall yang Anda buat, Google Cloud memiliki aturan lain yang dapat memengaruhi koneksi masuk (ingress) atau keluar (egress):

Spesifikasi

Aturan firewall VPC memiliki karakteristik berikut:

  • Setiap aturan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya. Untuk informasi selengkapnya, lihat arah koneksi.

  • Aturan firewall mendukung koneksi IPv4. Koneksi IPv6 juga didukung di jaringan VPC yang telah mengaktifkan IPv6. Saat menentukan sumber atau tujuan untuk aturan masuk atau keluar berdasarkan alamat, Anda dapat menentukan alamat atau blok IPv4 atau IPv6 dalam notasi CIDR.

  • Setiap aturan firewall dapat berisi rentang IPv4 atau IPv6, tetapi tidak keduanya.

  • Setiap tindakan aturan firewall adalah allow atau deny. Aturan ini berlaku untuk koneksi selama diterapkan. Misalnya, Anda dapat menonaktifkan aturan untuk tujuan pemecahan masalah.

  • Saat membuat aturan firewall, Anda harus memilih jaringan VPC. Meskipun aturan diterapkan di tingkat instance, konfigurasinya dikaitkan dengan jaringan VPC. Artinya, Anda tidak dapat berbagi aturan firewall antarjaringan VPC, termasuk jaringan yang terhubung melalui Peering Jaringan VPC atau menggunakan tunnel Cloud VPN.

  • Aturan firewall VPC bersifat stateful:

    • Jika koneksi diizinkan melalui firewall dalam kedua arah, traffic kembali yang cocok dengan koneksi ini juga diizinkan. Anda tidak dapat mengonfigurasi aturan firewall untuk menolak traffic respons terkait.
    • Traffic yang ditampilkan harus cocok dengan 5-tuple (IP sumber, IP tujuan, port sumber, port tujuan, protokol) dari traffic permintaan yang diterima, tetapi dengan alamat dan port sumber dan tujuan yang dibalik.
    • Google Cloud mengaitkan paket masuk dengan paket keluar yang sesuai menggunakan tabel pelacakan koneksi. Koneksi IPv4 mendukung protokol TCP, UDP, SCTP, dan ICMP. Koneksi IPv6 mendukung protokol TCP, UDP, SCTP, dan ICMPv6.
    • Google Cloud menerapkan pelacakan koneksi terlepas dari apakah protokol mendukung koneksi atau tidak. Jika koneksi diizinkan antara sumber dan target (untuk aturan masuk) atau antara target dan tujuan (untuk aturan keluar), semua traffic respons diizinkan selama status pelacakan koneksi firewall aktif. Status pelacakan aturan firewall dianggap aktif jika setidaknya satu paket dikirim setiap 10 menit.
    • Jika koneksi yang terfragmentasi diizinkan melalui firewall, Google Cloud menggunakan pelacakan koneksi untuk hanya mengizinkan fragmen pertama traffic return. Untuk mengizinkan fragmen pengembalian berikutnya, Anda harus menambahkan aturan firewall.
    • Traffic respons ICMP, seperti "ICMP TYPE 3, DESTINATION UNREACHABLE", yang dihasilkan sebagai respons terhadap koneksi TCP/UDP yang diizinkan diizinkan melalui firewall. Perilaku ini konsisten dengan RFC 792.
  • Aturan firewall VPC tidak menyusun ulang paket TCP yang terfragmentasi. Oleh karena itu, aturan firewall yang berlaku untuk protokol TCP hanya dapat diterapkan ke fragmen pertama karena berisi header TCP. Aturan firewall yang berlaku untuk protokol TCP tidak berlaku untuk fragmen TCP berikutnya.

  • Jumlah maksimum koneksi yang dilacak dalam tabel aturan firewall bergantung pada jumlah koneksi stateful yang didukung oleh jenis mesin instance. Jika jumlah maksimum koneksi yang dilacak terlampaui, pelacakan akan dihentikan untuk koneksi yang memiliki interval tidak ada aktivitas terpanjang agar koneksi baru dapat dilacak.

    Jenis mesin instance Jumlah maksimum koneksi stateful
    Jenis mesin dengan inti bersama 130.000
    Instance dengan 1–8 vCPU 130.000 koneksi per vCPU
    Instance dengan lebih dari 8 vCPU Total koneksi 1.040.000 (130.000×8)

Aturan tersirat

Setiap jaringan VPC memiliki dua aturan firewall IPv4 tersirat. Jika IPv6 diaktifkan di jaringan VPC, jaringan tersebut juga memiliki dua aturan firewall IPv6 tersirat. Aturan ini tidak ditampilkan di konsol Google Cloud.

Aturan firewall IPv4 tersirat ada di semua jaringan VPC, terlepas dari cara jaringan dibuat, dan apakah jaringan tersebut adalah jaringan VPC mode otomatis atau mode kustom. Jaringan default memiliki aturan tersirat yang sama.

  • Aturan izin keluar IPv4 implisit. Aturan keluar yang tindakannya adalah allow, tujuannya adalah 0.0.0.0/0, dan prioritasnya adalah serendah mungkin (65535) memungkinkan instance apa pun mengirim traffic ke tujuan mana pun, kecuali untuk traffic yang diblokir oleh Google Cloud. Aturan firewall dengan prioritas yang lebih tinggi dapat membatasi akses keluar. Akses internet diizinkan jika tidak ada aturan firewall lain yang menolak traffic keluar dan jika instance memiliki alamat IP eksternal atau menggunakan instance Cloud NAT. Untuk informasi selengkapnya, lihat Persyaratan akses internet.

    Untuk informasi tentang persyaratan pemilihan rute, lihat Persyaratan akses internet.

  • Aturan masuk IPv4 yang ditolak secara implisit. Aturan traffic masuk yang tindakannya adalah deny, sumbernya adalah 0.0.0.0/0, dan prioritasnya adalah serendah mungkin (65535) melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default menyertakan beberapa aturan tambahan yang mengganti aturan ini, sehingga mengizinkan jenis koneksi masuk tertentu.

Jika IPv6 diaktifkan, jaringan VPC juga memiliki dua aturan implisit ini:

  • Aturan izin keluar IPv6 tersirat. Aturan keluar yang tindakannya adalah allow, tujuannya adalah ::/0, dan prioritasnya adalah serendah mungkin (65535) memungkinkan instance apa pun mengirim traffic ke tujuan mana pun, kecuali untuk traffic yang diblokir oleh Google Cloud. Aturan firewall dengan prioritas yang lebih tinggi dapat membatasi akses keluar. Untuk informasi tentang persyaratan rute, lihat Persyaratan akses internet.

  • Aturan ingress tolak IPv6 yang tersirat. Aturan traffic masuk yang tindakannya adalah deny, sumbernya adalah ::/0, dan prioritasnya adalah serendah mungkin (65535) melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk.

Aturan implisit tidak dapat dihapus, tetapi memiliki prioritas terendah. Anda dapat membuat aturan yang menggantikannya selama aturan Anda memiliki prioritas yang lebih tinggi (angka prioritas kurang dari 65535). Karena aturan deny didahulukan daripada aturan allow dengan prioritas yang sama, aturan allow masuk dengan prioritas 65535 tidak pernah diterapkan.

Aturan yang sudah terisi otomatis di jaringan default

Jaringan default sudah diisi otomatis dengan aturan firewall yang mengizinkan koneksi masuk ke instance. Aturan ini dapat dihapus atau diubah sesuai kebutuhan:

Nama aturan Arah Prioritas Rentang sumber Tindakan Protocols and ports Deskripsi
default-allow-internal ingress 65534 10.128.0.0/9 allow tcp:0-65535
udp:0-65535
icmp
Mengizinkan koneksi masuk ke instance VM dari instance lain dalam jaringan VPC yang sama.
default-allow-ssh ingress 65534 0.0.0.0/0 allow tcp:22 Memungkinkan Anda terhubung ke instance dengan alat seperti ssh, scp, atau sftp.
default-allow-rdp ingress 65534 0.0.0.0/0 allow tcp:3389 Memungkinkan Anda terhubung ke instance menggunakan Remote Desktop Protocol (RDP) Microsoft.
default-allow-icmp ingress 65534 0.0.0.0/0 allow icmp Memungkinkan Anda menggunakan alat seperti ping.

Anda dapat membuat aturan firewall serupa untuk jaringan selain jaringan default. Lihat Mengonfigurasi aturan firewall untuk kasus penggunaan umum untuk mengetahui informasi selengkapnya.

Traffic yang diblokir dan dibatasi

Terpisah dari aturan firewall VPC dan kebijakan firewall hierarkis, Google Cloud memblokir atau membatasi traffic tertentu seperti yang dijelaskan dalam tabel berikut.

Jenis traffic Detail
Rasio paket dan bandwidth

Berlaku untuk:

  • Semua paket keluar
  • Semua paket masuk
Google Cloud memperhitungkan bandwidth per instance VM, untuk setiap antarmuka jaringan (NIC) atau alamat IP. Jenis mesin VM menentukan rasio traffic keluar maksimum yang memungkinkan; tetapi, Anda hanya dapat mencapai tingkat traffic keluar maksimum yang dimungkinkan dalam situasi tertentu.

Untuk mengetahui detailnya, lihat Bandwidth jaringan dalam dokumentasi Compute Engine.
Penawaran dan konfirmasi DHCP

Berlaku untuk:

  • Paket masuk ke port UDP 68 (DHCPv4)
  • Paket masuk ke port UDP 546 (DHCPv6)
Google Cloud memblokir penawaran dan konfirmasi DHCP yang masuk dari semua sumber kecuali paket DHCP yang berasal dari server metadata.
Protokol yang didukung oleh alamat IP eksternal Google Cloud

Berlaku untuk:

  • Paket masuk ke alamat IP eksternal

Alamat IPv4 dan IPv6 eksternal hanya menerima paket TCP, UDP, ICMP, IPIP, AH, ESP, SCTP, dan GRE. Resource yang menggunakan alamat IP eksternal akan menerapkan pembatasan protokol tambahan:

Traffic SMTP (port 25)

Berlaku untuk:

  • Paket traffic keluar ke alamat IP eksternal di port TCP 25

Secara default, Google Cloud memblokir paket traffic keluar yang dikirim ke port tujuan TCP 25 dari alamat IP eksternal (termasuk alamat IP eksternal dari resource Google Cloud lainnya). Namun, traffic ini tidak diblokir di project yang dimiliki oleh pelanggan Google Cloud tertentu. Di konsol Google Cloud, halaman jaringan VPC dan halaman kebijakan Firewall akan menampilkan pesan yang menunjukkan apakah port SMTP 25 diizinkan atau tidak diizinkan di project Anda.

Pemblokiran ini tidak berlaku untuk paket keluar yang dikirim ke port tujuan TCP 25 dari alamat IP internal, termasuk alamat IP publik yang digunakan secara pribadi di jaringan VPC atau jaringan lokal.

Jika traffic keluar SMTP eksternal di port 25 diizinkan di project Anda, dan Anda ingin mengirim jenis traffic ini, kondisi tambahan berikut harus dipenuhi:

  • Aturan firewall keluar di jaringan VPC dan kebijakan firewall hierarkis yang berlaku untuk jaringan VPC harus mengizinkan traffic keluar ke alamat IP eksternal di port TCP 25. Aturan izinkan traffic keluar yang tersirat memenuhi persyaratan ini karena mengizinkan traffic keluar ke (dan menetapkan respons masuk dari) alamat IP mana pun.
  • Rute yang berlaku untuk tujuan harus menggunakan next hop gateway internet default. Rute default yang dibuat oleh sistem memenuhi persyaratan ini.
  • Instance yang mengirim paket ke alamat IP eksternal harus memenuhi persyaratan akses internet.

Anda dapat mencegah traffic keluar SMTP eksternal dengan membuat aturan firewall VPC tolak traffic keluar atau kebijakan firewall hierarkis.

Traffic yang selalu diizinkan

Untuk instance VM, aturan firewall VPC dan kebijakan firewall hierarkis tidak berlaku untuk hal berikut:

  • Paket yang dikirim ke dan diterima dari server metadata Google Cloud
  • Paket dikirim ke alamat IP yang ditetapkan ke salah satu antarmuka jaringan (NIC) instance sendiri tempat paket tetap berada dalam VM itu sendiri. Alamat IP yang ditetapkan ke NIC instance mencakup:

    • Alamat IPv4 internal utama dari NIC
    • Alamat IPv4 internal apa pun dari rentang IP alias NIC
    • Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC
    • Alamat IPv4 internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing atau penerusan protokol, jika instance tersebut adalah backend untuk load balancer atau merupakan instance target untuk penerusan protokol
    • Alamat loopback
    • Alamat yang dikonfigurasi sebagai bagian dari software overlay jaringan yang Anda jalankan dalam instance itu sendiri

Server metadata Google Cloud

Google Cloud menjalankan server metadata lokal bersama setiap instance di 169.254.169.254. Server ini penting untuk pengoperasian instance, sehingga instance dapat mengaksesnya terlepas dari aturan firewall yang Anda konfigurasikan. Server metadata menyediakan layanan dasar berikut ke instance:

Interaksi produk

Bagian berikut menjelaskan cara aturan firewall dan kebijakan firewall hierarkis berinteraksi dengan produk Google Cloud lainnya.

Aturan firewall dan load balancer passthrough

Aturan firewall VPC dan kebijakan firewall hierarkis mengontrol protokol dan port yang didukung oleh aturan penerusan yang diizinkan untuk mengakses backend load balancer passthrough. Untuk mengetahui detailnya, baca artikel berikut:

Aturan firewall dan load balancer proxy

Untuk Load Balancer Aplikasi eksternal, Load Balancer Aplikasi internal, Load Balancer Jaringan proxy internal, dan Load Balancer Jaringan proxy eksternal, aturan firewall VPC dan kebijakan firewall hierarkis tidak mengontrol protokol dan port mana yang diterima oleh alamat IP aturan penerusan load balancer proxy. Aturan penerusan saja menentukan protokol dan port yang diterima oleh load balancer proxy.

Aturan firewall VPC dan kebijakan firewall hierarkis mengontrol cara load balancer proxy ini berkomunikasi dengan backend-nya. Untuk mengetahui detailnya, lihat:

Aturan firewall dan Cloud VPN

Aturan firewall dan kebijakan firewall hierarkis tidak mengontrol protokol dan port mana yang diterima oleh gateway Cloud VPN.

Gateway Cloud VPN hanya menerima paket untuk protokol dan port yang dijelaskan dalam spesifikasi Cloud VPN.

Aturan firewall dan GKE

Google Kubernetes Engine membuat dan mengelola aturan firewall secara otomatis saat Anda membuat cluster atau resource dalam cluster (termasuk Layanan dan Ingress). Untuk informasi selengkapnya, lihat Aturan firewall yang dibuat otomatis dalam dokumentasi Google Kubernetes Engine.

Komponen aturan firewall

Setiap aturan firewall terdiri dari komponen konfigurasi berikut:

  • Arah dari perspektif target. Arah dapat berupa ingress atau egress.

  • Prioritas numerik, yang menentukan apakah aturan diterapkan. Hanya aturan prioritas tertinggi (angka prioritas terendah) yang komponen lainnya cocok dengan traffic yang diterapkan; aturan yang bertentangan dengan prioritas yang lebih rendah akan diabaikan.

  • Tindakan saat kecocokan, baik allow maupun deny, yang menentukan apakah aturan mengizinkan atau memblokir koneksi.

  • Status penerapan aturan firewall: Anda dapat mengaktifkan dan menonaktifkan aturan firewall tanpa menghapusnya.

  • Target, yang menentukan instance (termasuk cluster GKE dan instance lingkungan fleksibel App Engine) tempat aturan diterapkan.

  • Filter sumber atau tujuan untuk karakteristik paket.

  • Protokol (seperti TCP, UDP, atau ICMP) dan port tujuan.

  • Opsi logs boolean yang mencatat log koneksi yang cocok dengan aturan ke Cloud Logging.

Ringkasan komponen

Aturan traffic masuk (inbound)
Prioritas Tindakan Penegakan Parameter target Filter sumber dan tujuan Protocols and ports
Bilangan bulat dari 0 hingga 65535, inklusif; default 1000 allow atau deny enabled (default) atau disabled Menentukan instance yang menerima paket.

Sumber untuk aturan masuk

Tujuan untuk aturan masuk

Tentukan protokol atau protokol dan port tujuan.

Jika tidak ditetapkan, aturan akan berlaku untuk semua protokol dan port tujuan. Untuk informasi selengkapnya, lihat Protokol dan port.

Aturan traffic keluar
Prioritas Tindakan Penegakan Parameter target Filter sumber dan tujuan Protocols and ports
Bilangan bulat dari 0 hingga 65535, inklusif; default 1000 allow atau deny enabled (default) atau disabled Menentukan instance yang mengirim paket.

Sumber untuk aturan keluar

Tujuan untuk aturan keluar

Tentukan protokol atau protokol dan port tujuan.

Jika tidak ditetapkan, aturan akan berlaku untuk semua protokol dan port tujuan. Untuk informasi selengkapnya, lihat Protokol dan port.

Direction of traffic

Anda dapat membuat aturan firewall yang berlaku untuk traffic masuk atau keluar. Satu aturan tidak dapat diterapkan untuk traffic masuk dan keluar. Namun, Anda dapat membuat beberapa aturan untuk menentukan traffic masuk dan keluar yang Anda izinkan atau tolak melalui firewall.

  • Ingress (masuk) menjelaskan paket yang masuk ke antarmuka jaringan target.

  • Keluar (outbound) menjelaskan paket yang keluar dari antarmuka jaringan target.

  • Jika Anda tidak menentukan arah, Google Cloud akan menggunakan ingress.

Prioritas

Prioritas aturan firewall adalah bilangan bulat dari 0 hingga 65535, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Jika Anda tidak menentukan prioritas saat membuat aturan, aturan tersebut akan diberi prioritas 1000.

Prioritas relatif aturan firewall menentukan apakah aturan tersebut berlaku saat dievaluasi terhadap aturan lainnya. Logika evaluasi berfungsi sebagai berikut:

  • Aturan prioritas tertinggi yang berlaku untuk target untuk jenis traffic tertentu akan diutamakan. Spesifisitas target tidak penting. Misalnya, aturan masuk dengan prioritas lebih tinggi untuk port dan protokol tujuan tertentu yang ditujukan untuk semua target akan menggantikan aturan yang ditentukan dengan cara yang sama dengan prioritas lebih rendah untuk port dan protokol tujuan yang sama yang ditujukan untuk target tertentu.

  • Aturan prioritas tertinggi yang berlaku untuk protokol dan definisi port tujuan tertentu lebih diutamakan, meskipun definisi port protokol dan tujuan lebih umum. Misalnya, aturan masuk dengan prioritas lebih tinggi yang mengizinkan traffic untuk semua protokol dan port tujuan yang ditujukan untuk target tertentu akan menggantikan aturan masuk dengan prioritas lebih rendah yang menolak TCP 22 untuk target yang sama.

  • Aturan dengan tindakan deny akan menggantikan aturan lain dengan tindakan allow hanya jika kedua aturan memiliki prioritas yang sama. Dengan menggunakan prioritas relatif, Anda dapat membuat aturan allow yang mengganti aturan deny, dan aturan deny yang mengganti aturan allow.

  • Aturan dengan prioritas yang sama dan tindakan yang sama akan memiliki hasil yang sama. Namun, aturan yang digunakan selama evaluasi tidak dapat ditentukan. Biasanya, tidak masalah aturan mana yang digunakan kecuali saat Anda mengaktifkan Firewall Rules Logging. Jika Anda ingin log menampilkan aturan firewall yang dievaluasi dalam urutan yang konsisten dan ditentukan dengan baik, tetapkan prioritas unik.

Pertimbangkan contoh berikut yang memiliki dua aturan firewall:

  • Aturan masuk dari sumber 0.0.0.0/0 (alamat IPv4 apa pun) yang berlaku untuk semua target, semua protokol, dan semua port tujuan, yang memiliki tindakan deny dan prioritas 1000.

  • Aturan masuk dari sumber 0.0.0.0/0 (alamat IPv4 apa pun) yang berlaku untuk target tertentu dengan tag jaringan webserver, untuk traffic di TCP 80, dengan tindakan allow.

Prioritas aturan kedua menentukan apakah traffic TCP ke port 80 diizinkan untuk target webserver:

  • Jika prioritas aturan kedua ditetapkan ke angka yang lebih besar dari 1000, prioritasnya lebih rendah, sehingga aturan pertama yang menolak semua traffic akan diterapkan.

  • Jika prioritas aturan kedua ditetapkan ke 1000, kedua aturan tersebut memiliki prioritas yang sama, sehingga aturan pertama yang menolak semua traffic akan diterapkan.

  • Jika prioritas aturan kedua ditetapkan ke angka yang kurang dari 1000, prioritasnya akan lebih tinggi, sehingga mengizinkan traffic di TCP 80 untuk target webserver. Tanpa aturan lain, aturan pertama akan tetap menolak jenis traffic lain ke target webserver, dan juga akan menolak semua traffic, termasuk TCP 80, ke instance tanpa tag jaringan webserver.

Contoh sebelumnya menunjukkan cara menggunakan prioritas untuk membuat aturan allow selektif dan aturan deny global untuk menerapkan praktik terbaik keamanan hak istimewa terendah.

Tindakan jika ada kecocokan

Komponen tindakan aturan firewall menentukan apakah aturan mengizinkan atau memblokir traffic, tunduk pada komponen aturan lainnya:

  • Tindakan allow mengizinkan koneksi yang cocok dengan komponen lain yang ditentukan.

  • Tindakan deny memblokir koneksi yang cocok dengan komponen lain yang ditentukan.

Penegakan

Anda dapat memilih apakah aturan firewall diterapkan dengan menetapkan statusnya ke enabled atau disabled. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis menjadi enabled.

Kasus penggunaan

Menonaktifkan dan mengaktifkan berguna untuk memecahkan masalah dan melakukan pemeliharaan. Pertimbangkan untuk mengubah penerapan aturan firewall dalam situasi berikut:

  • Untuk pemecahan masalah: Bersama dengan Logging Aturan Firewall, Anda dapat menonaktifkan sementara aturan firewall untuk menentukan apakah aturan tersebut bertanggung jawab untuk memblokir atau mengizinkan traffic. Hal ini berguna untuk situasi saat beberapa aturan firewall berlaku untuk traffic yang sama. Menonaktifkan dan mengaktifkan aturan lebih berguna daripada menghapus dan membuat ulang aturan karena tidak ada komponen lain dari aturan yang hilang.

  • Untuk pemeliharaan: Menonaktifkan aturan firewall dapat menyederhanakan pemeliharaan berkala. Misalnya, Anda dapat memilih untuk mengaktifkan aturan firewall masuk yang mengizinkan akses SSH hanya saat Anda perlu melakukan pemeliharaan menggunakan SSH. Saat tidak melakukan pemeliharaan, Anda dapat menonaktifkan aturan.

Pengaruh terhadap traffic yang ada

Saat Anda mengubah status penerapan aturan firewall, atau saat Anda membuat aturan baru yang enforced, perubahan hanya berlaku untuk koneksi baru. Koneksi yang ada tidak akan terpengaruh oleh perubahan ini.

Protocols and ports

Anda dapat mempersempit cakupan aturan firewall dengan menentukan protokol atau protokol dan port tujuan. Anda dapat menentukan protokol atau kombinasi protokol dan port tujuannya. Jika Anda menghilangkan protokol dan port, aturan firewall berlaku untuk semua traffic di protokol dan port tujuan apa pun. Aturan berdasarkan port sumber tidak didukung.

Tidak semua protokol mendukung port. Misalnya, port ada untuk TCP dan UDP, tetapi tidak untuk ICMP. ICMP memang memiliki jenis ICMP yang berbeda, tetapi bukan port dan tidak dapat ditentukan dalam aturan firewall.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, Anda harus menggunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak.

Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tabel berikut meringkas kombinasi spesifikasi protokol dan port tujuan yang valid untuk aturan firewall Google Cloud.

Spesifikasi Contoh Penjelasan
Tidak ada protokol dan port Jika Anda tidak menentukan protokol, aturan firewall akan berlaku untuk semua protokol dan port tujuan yang berlaku.
Protokol tcp Jika Anda menentukan protokol tanpa informasi port apa pun, aturan firewall akan berlaku untuk protokol tersebut dan semua port yang berlaku.
Protokol dan port tunggal tcp:80 Jika Anda menentukan protokol dan satu port tujuan, aturan firewall akan berlaku untuk port tujuan protokol tersebut.
Rentang protokol dan port tcp:20-22 Jika Anda menentukan protokol dan rentang port, aturan firewall akan berlaku untuk rentang port tujuan tersebut untuk protokol.
Kombinasi icmp,tcp:80
tcp:443
udp:67-69
Anda dapat menentukan berbagai kombinasi protokol dan port tujuan yang akan diterapkan aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall.

Target, sumber, tujuan

Target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.

Anda dapat menentukan parameter sumber dan tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.

Parameter target

Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node GKE dan instance lingkungan fleksibel App Engine.

Anda dapat menentukan target berikut untuk aturan masuk atau keluar. Parameter target, sumber, dan tujuan bekerja sama seperti yang dijelaskan dalam Sumber, tujuan, target.

  • Target default—semua instance dalam jaringan VPC. Jika Anda menghapus spesifikasi target, aturan firewall akan berlaku untuk semua instance di jaringan VPC.

  • Instance berdasarkan tag jaringan target. Aturan firewall hanya berlaku untuk instance dengan antarmuka jaringan di jaringan VPC aturan firewall jika instance memiliki tag jaringan yang cocok dengan setidaknya salah satu tag jaringan target aturan firewall. Untuk mengetahui jumlah maksimum tag jaringan target yang dapat Anda tentukan per aturan firewall, lihat batas per aturan firewall.

  • Instance berdasarkan akun layanan target. Aturan firewall hanya berlaku untuk instance dengan antarmuka jaringan di jaringan VPC aturan firewall jika instance menggunakan akun layanan yang cocok dengan setidaknya salah satu akun layanan target aturan firewall. Untuk mengetahui jumlah maksimum akun layanan target yang dapat Anda tentukan per aturan firewall, lihat batas per aturan firewall.

Untuk mengetahui informasi tentang manfaat dan batasan tag jaringan target dan akun layanan target, lihat memfilter berdasarkan akun layanan versus tag jaringan.

Target dan alamat IP untuk aturan masuk

Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:

  • Jika aturan firewall traffic masuk menyertakan rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.

  • Jika aturan firewall traffic masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:

    • Alamat IPv4 internal utama yang ditetapkan ke NIC instance.

    • Rentang IP alias apa pun yang dikonfigurasi pada NIC instance.

    • Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, dengan instance direferensikan oleh instance target.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance sebagai VM next hop (next-hop-instance atau next-hop-address).

    • Alamat IP dalam rentang tujuan rute statis kustom menggunakan next hop Load Balancer Jaringan passthrough internal (next-hop-ilb), jika VM adalah backend untuk load balancer tersebut.

Target dan alamat IP untuk aturan keluar

Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP di VM target. Penerusan IP dinonaktifkan secara default.

  • Jika penerusan IP dinonaktifkan di VM target, VM dapat mengeluarkan paket dengan sumber berikut:

    • Alamat IPv4 internal utama dari NIC instance.

    • Rentang IP alias apa pun yang dikonfigurasi pada NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol, jika instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.

    Jika aturan firewall keluar menyertakan rentang alamat IP sumber, VM target masih terbatas pada alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring kumpulan tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak memperluas kumpulan alamat sumber paket yang mungkin.

    Jika aturan firewall keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya akan diizinkan.

  • Jika VM target mengaktifkan penerusan IP, VM dapat memunculkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan dengan lebih tepat.

Parameter sumber

Nilai parameter sumber bergantung pada arah aturan firewall.

Sumber untuk aturan traffic masuk

Anda dapat menggunakan sumber berikut untuk aturan firewall masuk:

  • Rentang sumber default: Jika Anda menghapus spesifikasi sumber dalam aturan masuk, Google Cloud akan menggunakan rentang alamat IPv4 sumber default 0.0.0.0/0 (alamat IPv4 apa pun). Nilai default tidak menyertakan sumber IPv6.

  • Rentang IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.

  • Rentang IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.

  • Tag jaringan sumber: Satu atau beberapa tag jaringan yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama dengan aturan firewall. Untuk mengetahui jumlah maksimum tag jaringan sumber per aturan firewall, lihat batas per aturan firewall. Untuk mengetahui detail tentang cara alamat sumber paket dicocokkan saat menggunakan spesifikasi sumber implisit ini, lihat Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket.

  • Akun layanan sumber: Satu atau beberapa akun layanan yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama dengan aturan firewall. Untuk mengetahui jumlah maksimum akun layanan sumber per aturan firewall, lihat batas per aturan firewall. Untuk mengetahui detail tentang cara alamat sumber paket cocok saat menggunakan spesifikasi sumber implisit ini, lihat Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket.

  • Kombinasi sumber yang valid: Untuk semua kombinasi berikut, set sumber yang efektif adalah gabungan alamat IPv4 atau IPv6 yang ditentukan secara eksplisit dan rentang alamat IP yang tersirat oleh tag jaringan sumber atau akun layanan sumber:

    • Kombinasi rentang IPv4 sumber dan tag jaringan sumber.
    • Kombinasi rentang IPv6 sumber dan tag jaringan sumber.
    • Kombinasi rentang IPv4 sumber dan akun layanan sumber.
    • Kombinasi rentang IPv6 sumber dan akun layanan sumber.

Cara tag jaringan sumber dan akun layanan sumber menyiratkan sumber paket

Saat aturan firewall masuk menggunakan tag jaringan sumber, paket harus dipancarkan dari antarmuka jaringan yang memenuhi kriteria berikut:

  • Antarmuka jaringan harus berada di jaringan VPC tempat aturan firewall ditentukan, dan
  • Antarmuka jaringan harus dikaitkan dengan VM yang memiliki tag jaringan yang cocok dengan setidaknya satu tag jaringan sumber aturan firewall.

Saat aturan firewall masuk menggunakan akun layanan sumber, paket harus dipancarkan dari antarmuka jaringan yang memenuhi kriteria berikut:

  • Antarmuka jaringan harus berada di jaringan VPC tempat aturan firewall ditentukan, dan
  • Antarmuka jaringan harus dikaitkan dengan VM yang memiliki akun layanan yang cocok dengan salah satu akun layanan sumber aturan firewall.

Selain menentukan antarmuka jaringan, saat aturan firewall masuk menggunakan tag jaringan sumber atau akun layanan sumber, paket yang dikeluarkan dari antarmuka jaringan VM harus menggunakan salah satu alamat IP sumber yang valid berikut:

  • Alamat IPv4 internal utama dari antarmuka jaringan tersebut.
  • Setiap alamat IPv6 yang ditetapkan ke antarmuka jaringan tersebut.

Jika aturan firewall masuk juga berisi rentang alamat IP tujuan, antarmuka jaringan yang terikat ke tag jaringan akan di-resolve ke versi IP yang sama dengan rentang IP tujuan.

Tidak ada alamat IP sumber paket lain yang tersirat saat menggunakan tag jaringan sumber atau akun layanan sumber. Misalnya, rentang IP alias dan alamat IPv4 eksternal yang terkait dengan antarmuka jaringan dikecualikan. Jika Anda perlu membuat aturan firewall traffic masuk yang sumbernya mencakup rentang alamat IP alias atau alamat IPv4 eksternal, gunakan rentang IPv4 sumber.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan firewall keluar:

  • Default—dikaitkan dengan target. Jika Anda menghilangkan parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.

  • Rentang IPv4 sumber. Daftar alamat IPv4 dalam format CIDR.

  • Rentang IPv6 sumber. Daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:

  • Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

  • Jika Anda menentukan parameter sumber dan tujuan dalam aturan keluar, gunakan versi IP yang sama untuk kedua parameter tersebut. Anda dapat menggunakan rentang alamat IPv4 atau rentang alamat IPv6, tetapi tidak keduanya. Untuk mengetahui detailnya, lihat Tujuan untuk aturan traffic keluar.

Parameter tujuan

Tujuan dapat ditentukan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar. Perilaku tujuan default bergantung pada arah aturan.

Tujuan untuk aturan traffic masuk

Anda dapat menggunakan tujuan berikut untuk aturan firewall masuk:

  • Default—dikaitkan dengan target. Jika Anda menghapus parameter tujuan dari aturan masuk, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan masuk.

  • Rentang IPv4 tujuan. Daftar alamat IPv4 dalam format CIDR.

  • Rentang IPv6 tujuan. Daftar alamat IPv6 dalam format CIDR.

Ikuti panduan ini untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:

  • Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

  • Jika Anda menentukan parameter sumber dan tujuan dalam aturan masuk, parameter sumber akan di-resolve ke versi IP yang sama dengan rentang alamat IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan traffic masuk, lihat Sumber untuk aturan traffic masuk.

Tujuan untuk aturan traffic keluar

Anda dapat menggunakan tujuan berikut untuk aturan firewall keluar:

  • Rentang tujuan default. Jika Anda menghapus spesifikasi tujuan dalam aturan keluar, Google Cloud akan menggunakan rentang alamat IPv4 tujuan default 0.0.0.0/0 (alamat IPv4 apa pun). Nilai default tidak menyertakan tujuan IPv6.

  • Rentang IPv4 tujuan. Daftar alamat IPv4 dalam format CIDR.

  • Rentang IPv6 tujuan. Daftar alamat IPv6 dalam format CIDR.

Pemfilteran sumber dan target berdasarkan akun layanan

Anda dapat menggunakan akun layanan untuk membuat aturan firewall yang sifatnya lebih spesifik:

  • Untuk aturan masuk dan keluar, Anda dapat menggunakan akun layanan untuk menentukan target.

  • Untuk aturan masuk, Anda dapat menentukan sumber untuk paket masuk sebagai alamat IP internal utama VM mana pun di jaringan tempat VM menggunakan akun layanan tertentu.

Akun layanan harus dibuat dalam project yang sama dengan aturan firewall sebelum Anda membuat aturan firewall yang mengandalkannya. Meskipun sistem tidak mencegah Anda membuat aturan yang menggunakan akun layanan dari project yang berbeda, aturan tersebut tidak diterapkan jika akun layanan tidak ada dalam project aturan firewall.

Aturan firewall yang menggunakan akun layanan untuk mengidentifikasi instance berlaku untuk instance baru yang dibuat dan dikaitkan dengan akun layanan dan instance yang ada jika Anda mengubah akun layanannya. Untuk mengubah akun layanan yang terkait dengan instance, Anda harus menghentikan dan memulai ulang instance tersebut. Anda dapat mengaitkan akun layanan dengan setiap instance dan dengan template instance yang digunakan oleh grup instance terkelola.

Memfilter berdasarkan akun layanan versus tag jaringan

Bagian ini menyoroti poin-poin penting yang perlu dipertimbangkan saat memutuskan apakah Anda harus menggunakan akun layanan atau tag jaringan untuk menentukan target dan sumber (untuk aturan masuk).

Jika Anda memerlukan kontrol ketat atas cara aturan firewall diterapkan ke VM, gunakan akun layanan target dan akun layanan sumber, bukan tag jaringan target dan tag jaringan sumber:

  • Tag jaringan adalah atribut arbitrer. Satu atau beberapa tag jaringan dapat dikaitkan dengan instance oleh akun utama Identity and Access Management (IAM) yang memiliki izin untuk mengeditnya. Akun utama IAM dengan peran Compute Engine Instance Admin untuk project memiliki izin ini. Akun utama IAM yang dapat mengedit instance dapat mengubah tag jaringannya, yang dapat mengubah kumpulan aturan firewall yang berlaku untuk instance tersebut.

  • Akun layanan mewakili identitas yang terkait dengan instance. Hanya satu akun layanan yang dapat dikaitkan dengan instance. Anda mengontrol akses ke akun layanan dengan mengontrol pemberian peran Service Account User untuk akun utama IAM lainnya. Agar akun utama IAM dapat memulai instance menggunakan akun layanan, akun utama tersebut harus memiliki peran Service Account User setidaknya untuk menggunakan akun layanan tersebut dan izin yang sesuai untuk membuat instance (misalnya, memiliki peran Compute Engine Instance Admin untuk project).

Anda tidak dapat mencampur akun layanan dan tag jaringan dalam aturan firewall apa pun:

  • Anda tidak dapat menggunakan akun layanan target dan tag jaringan target secara bersamaan dalam aturan firewall apa pun (masuk atau keluar).

  • Jika Anda menentukan target berdasarkan tag jaringan target atau akun layanan target, hal berikut adalah sumber yang tidak valid untuk aturan firewall masuk.

    Target Sumber tidak valid
    Tag jaringan target Akun layanan sumber

    Kombinasi rentang IP sumber dan akun layanan sumber
    Akun layanan target Tag jaringan sumber

    Kombinasi rentang IP sumber dan tag jaringan sumber

Berikut adalah pertimbangan operasional untuk akun layanan dan tag jaringan:

  • Untuk mengubah akun layanan instance, Anda harus menghentikan dan memulai ulang instance. Menambahkan atau menghapus tag jaringan dapat dilakukan saat instance berjalan.

  • Ada jumlah maksimum akun layanan target, akun layanan sumber, tag jaringan target, dan tag jaringan sumber yang dapat ditentukan untuk aturan firewall. Untuk mengetahui informasi selengkapnya, lihat batas per aturan firewall.

  • Jika Anda mengidentifikasi instance berdasarkan tag jaringan, aturan firewall akan berlaku untuk alamat IP internal utama instance.

  • Aturan firewall akun layanan berlaku untuk node GKE, bukan Pod GKE.

Peran dan izin

Tabel berikut menjelaskan izin Identity and Access Management (IAM) yang Anda perlukan untuk menggunakan aturan firewall VPC.

Tugas Izin yang diperlukan Contoh peran
Membuat aturan firewall compute.firewalls.create Compute Security Admin
(roles/compute.securityAdmin)
Menghapus aturan firewall compute.firewalls.delete Compute Security Admin
(roles/compute.securityAdmin)
Membuat perubahan pada aturan firewall compute.firewalls.update Compute Security Admin
(roles/compute.securityAdmin)
Melihat detail tentang aturan firewall compute.firewalls.get Compute Network Viewer
(roles/compute.networkViewer)
Melihat daftar aturan firewall compute.firewalls.list Compute Network Viewer
(roles/compute.networkViewer)

Kasus penggunaan

Kasus penggunaan berikut menunjukkan cara kerja aturan firewall. Dalam contoh ini, semua aturan firewall diaktifkan.

Kasus ingress

Aturan firewall masuk mengontrol koneksi masuk dari sumber ke instance target di jaringan VPC Anda. Sumber untuk aturan masuk dapat ditentukan sebagai salah satu dari hal berikut:

  • Rentang alamat IPv4 atau IPv6; default-nya adalah alamat IPv4 apa pun (0.0.0.0/0)
  • Instance lain di jaringan VPC Anda yang diidentifikasi dengan tag jaringan
  • Instance lain di jaringan VPC Anda yang diidentifikasi oleh akun layanan
  • Instance lain di jaringan VPC Anda yang diidentifikasi berdasarkan rentang alamat IPv4 atau IPv6 dan berdasarkan tag jaringan
  • Instance lain di jaringan VPC Anda yang diidentifikasi berdasarkan rentang alamat IPv4 atau IPv6 dan berdasarkan akun layanan

Sumber default adalah alamat IPv4 apa pun (0.0.0.0/0). Jika Anda ingin mengontrol koneksi masuk untuk sumber di luar jaringan VPC, termasuk sumber lain di internet, gunakan rentang alamat IP dalam format CIDR.

Aturan masuk dengan tindakan allow mengizinkan traffic masuk berdasarkan komponen aturan lainnya. Selain menentukan sumber dan target untuk aturan, Anda dapat membatasi aturan agar berlaku untuk protokol dan port tujuan tertentu. Demikian pula, aturan masuk dengan tindakan deny dapat digunakan untuk melindungi instance dengan memblokir traffic masuk berdasarkan komponen aturan firewall.

Contoh ingress

Gambar 1 mengilustrasikan beberapa contoh tempat aturan firewall dapat mengontrol koneksi masuk. Contoh ini menggunakan parameter target dalam penetapan aturan untuk menerapkan aturan ke instance tertentu.

Dalam contoh jaringan VPC ini, aturan firewall izinkan masuk akan menggantikan aturan izinkan masuk tersirat untuk beberapa VM.
Gambar 1. Dalam contoh jaringan VPC ini, aturan firewall izinkan masuk akan menggantikan aturan izinkan masuk tersirat untuk beberapa VM (klik untuk memperbesar).
  • Aturan masuk dengan prioritas 1000 berlaku untuk VM 1. Aturan ini mengizinkan traffic TCP masuk dari sumber IPv4 mana pun (0.0.0.0/0). Traffic TCP dari instance lain di jaringan VPC diizinkan, tunduk pada aturan keluar yang berlaku untuk instance lain tersebut. VM 4 dapat berkomunikasi dengan VM 1 melalui TCP karena VM 4 tidak memiliki aturan keluar yang memblokir komunikasi tersebut (hanya aturan izin keluar implisit yang berlaku). Karena VM 1 memiliki IP eksternal, aturan ini juga mengizinkan traffic TCP masuk dari host eksternal di internet dan dari VM 2 melalui alamat IP eksternal.

  • VM 2 tidak memiliki aturan firewall masuk yang ditentukan, sehingga aturan tolak masuk yang tersirat akan memblokir semua traffic masuk. Koneksi dari instance lain di jaringan akan diblokir, terlepas dari aturan traffic keluar untuk instance lain. Karena VM 2 memiliki IP eksternal, ada jalur ke VM tersebut dari host eksternal di internet, tetapi aturan deny ingress implisit juga memblokir traffic masuk eksternal.

  • Aturan traffic masuk dengan prioritas 1000 berlaku untuk VM 3. Aturan ini mengizinkan traffic TCP dari instance di jaringan dengan tag jaringan client, seperti VM 4. Traffic TCP dari VM 4 ke VM 3 diizinkan karena VM 4 tidak memiliki aturan egress yang memblokir komunikasi tersebut (hanya aturan izin keluar implisit yang berlaku). Karena VM 3 tidak memiliki IP eksternal, tidak ada jalur ke VM tersebut dari host eksternal di internet.

Kasus traffic keluar

Aturan firewall keluar mengontrol koneksi keluar dari instance target di jaringan VPC Anda. Aturan keluar dengan tindakan allow mengizinkan traffic dari instance berdasarkan komponen aturan lainnya. Misalnya, Anda dapat mengizinkan traffic keluar ke tujuan tertentu, seperti rentang alamat IPv4, pada protokol dan port tujuan yang Anda tentukan. Demikian pula, aturan traffic keluar dengan tindakan deny akan memblokir traffic berdasarkan komponen aturan lainnya.

Setiap aturan keluar memerlukan tujuan. Tujuan default adalah alamat IPv4 apa pun (0.0.0.0/0), tetapi Anda dapat membuat tujuan yang lebih spesifik menggunakan rentang alamat IPv4 atau IPv6 dalam format CIDR. Saat menentukan rentang alamat IP, Anda dapat mengontrol traffic ke instance di jaringan dan ke tujuan di luar jaringan, termasuk tujuan di internet.

Contoh traffic keluar

Gambar 2 mengilustrasikan beberapa contoh tempat aturan firewall dapat mengontrol koneksi keluar. Contoh ini menggunakan parameter target dalam penetapan aturan untuk menerapkan aturan ke instance tertentu.

Dalam contoh jaringan VPC ini, aturan firewall tolak keluar menggantikan aturan izin keluar tersirat untuk beberapa VM.
Gambar 2. Dalam contoh jaringan VPC ini, aturan firewall tolak keluar mengganti aturan izinkan keluar yang tersirat untuk beberapa VM (klik untuk memperbesar).
  • VM 1 tidak memiliki aturan firewall keluar yang ditentukan, sehingga aturan izin keluar tersirat memungkinkannya mengirim traffic ke tujuan mana pun. Koneksi ke instance lain di jaringan VPC diizinkan, tunduk pada aturan masuk yang berlaku untuk instance lain tersebut. VM 1 dapat mengirim traffic ke VM 4 karena VM 4 memiliki aturan masuk yang mengizinkan traffic masuk dari rentang alamat IP mana pun. Karena memiliki alamat IP eksternal, VM 1 dapat mengirim traffic ke host eksternal di internet. Respons masuk untuk traffic yang dikirim oleh VM 1 diizinkan karena aturan firewall bersifat stateful.

  • Aturan keluar dengan prioritas 1000 berlaku untuk VM 2. Aturan ini menolak semua traffic keluar ke semua tujuan IPv4 (0.0.0.0/0). Traffic keluar ke instance lain di jaringan VPC diblokir, terlepas dari aturan ingress yang diterapkan ke instance lain. Meskipun VM 2 memiliki alamat IP eksternal, aturan firewall ini memblokir traffic keluarnya ke host eksternal di internet.

  • Aturan keluar dengan prioritas 1000 berlaku untuk VM 3. Aturan ini memblokir traffic TCP keluarnya ke tujuan mana pun dalam rentang IP 192.168.1.0/24. Meskipun aturan masuk untuk VM 4 mengizinkan semua traffic masuk, VM 3 tidak dapat mengirim traffic TCP ke VM 4. Namun, VM 3 bebas mengirim traffic UDP ke VM 4 karena aturan keluar hanya berlaku untuk protokol TCP.

    Selain itu, VM 3 dapat mengirim traffic apa pun ke instance lain di jaringan VPC di luar rentang IP 192.168.1.0/24, selama instance lain tersebut memiliki aturan masuk untuk mengizinkan traffic tersebut. Karena tidak memiliki alamat IP eksternal, instance ini tidak memiliki jalur untuk mengirim traffic di luar jaringan VPC.

Langkah selanjutnya

Coba sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa Cloud NGFW dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Coba Cloud NGFW gratis