Halaman ini menunjukkan contoh penerapan kebijakan firewall jaringan global dan kebijakan firewall jaringan regional. Hal ini mengasumsikan bahwa Anda sudah memahami konsep yang dijelaskan dalam Kebijakan firewall jaringan global dan Kebijakan firewall jaringan regional.
Anda dapat melampirkan satu kebijakan firewall jaringan global dan beberapa kebijakan firewall jaringan regional ke jaringan Virtual Private Cloud (VPC). Kebijakan firewall jaringan global berlaku untuk semua subnetwork di semua region jaringan VPC. Kebijakan firewall jaringan regional hanya berlaku untuk subjaringan jaringan VPC di region target.
Gambar 1 menjelaskan cakupan kebijakan firewall jaringan global dan kebijakan firewall jaringan regional di jaringan VPC.
Contoh: Menolak semua koneksi eksternal kecuali ke port tertentu
Dalam kasus penggunaan ini, kebijakan firewall jaringan global memblokir semua koneksi dari
sumber internet eksternal, kecuali koneksi di port tujuan 80
,
443
, dan 22
. Koneksi internet masuk di port selain 80
,
443
, atau 22
diblokir. Penerapan aturan didelegasikan ke kebijakan
firewall jaringan regional untuk koneksi apa pun di port 80
, 443
, atau 22
.
Dalam contoh ini, kebijakan firewall jaringan regional berlaku untuk region-a
, yang
mengizinkan traffic internal dari sumber 10.2.0.0/16
dan traffic masuk ke port
443
dan 80
dari sumber mana pun. Gambar 2 menjelaskan
penyiapan konfigurasi untuk kasus penggunaan ini.
Kebijakan efektif yang diterapkan di VM
Bagian ini menjelaskan kebijakan firewall jaringan yang efektif dan berlaku dalam contoh ini setelah mengevaluasi aturan di seluruh hierarki.
Koneksi ingress
Setiap koneksi masuk dari
10.0.0.0/8
cocok dengan aturan kebijakan firewall jaringan global prioritas tertinggidelegate-internal-traffic
dan mengabaikan aturan lainnya dalam kebijakan firewall jaringan global. Dalam aturan kebijakan firewall jaringan regional, koneksi masuk dari10.2.0.0/16
diizinkan, dan koneksi lainnya dievaluasi berdasarkan aturandeny
masuk yang tersirat.Koneksi masuk dengan rentang IP sumber selain
10.0.0.0/8
, dan port tujuan22
,80
, dan443
, didelegasikan ke tingkat aturan kebijakan firewall jaringan regional. Dalam aturan kebijakan firewall jaringan regional, port80
dan443
diizinkan, tetapi port22
tidak.
Koneksi egress
- Tidak ada kecocokan di seluruh aturan kebijakan firewall jaringan global. Oleh karena itu, aturan sistem implisit berlaku, yang mengizinkan koneksi keluar.
Cara mengonfigurasi
Buat kebijakan firewall jaringan global yang berisi aturan berikut:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"
Kaitkan kebijakan dengan jaringan VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policy
Tambahkan aturan untuk mencocokkan koneksi masuk dari
10.0.0.0/8
:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policy
Tambahkan aturan untuk mendelegasikan traffic eksternal dari port tertentu:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policy
Tambahkan aturan untuk memblokir semua traffic masuk yang tersisa:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policy
Buat kebijakan firewall jaringan regional:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"
Kaitkan kebijakan firewall jaringan regional dengan jaringan VPC untuk mengaktifkan aturan kebijakan bagi VM apa pun dalam jaringan tersebut dalam region tertentu:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-a
Tambahkan aturan untuk mengizinkan traffic internal untuk kebijakan firewall jaringan regional:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-a
Tambahkan aturan untuk mengizinkan traffic eksternal dari port tertentu:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Langkah selanjutnya
Untuk membuat dan mengubah kebijakan dan aturan firewall jaringan global, lihat Menggunakan kebijakan dan aturan firewall jaringan global.
Untuk membuat dan mengubah kebijakan dan aturan firewall jaringan regional, lihat Menggunakan kebijakan dan aturan firewall jaringan regional.