Halaman ini menampilkan contoh kebijakan firewall jaringan global dan implementasi kebijakan firewall jaringan regional. Anda dianggap sudah memahami konsep yang dijelaskan dalam Kebijakan firewall jaringan global dan Kebijakan firewall jaringan regional.
Anda dapat memasang satu kebijakan firewall jaringan global dan beberapa kebijakan firewall jaringan regional ke jaringan Virtual Private Cloud (VPC). Kebijakan firewall jaringan global berlaku untuk semua subnetwork di semua region jaringan VPC. Kebijakan firewall jaringan regional hanya berlaku pada subnetwork jaringan VPC di region target.
Gambar 1 menjelaskan cakupan kebijakan firewall jaringan global dan kebijakan firewall jaringan regional dalam jaringan VPC.
Contoh: Menolak semua koneksi eksternal kecuali ke port tertentu
Dalam kasus penggunaan ini, kebijakan firewall jaringan global akan memblokir semua koneksi dari
sumber internet eksternal, kecuali untuk koneksi pada port tujuan 80,
443, dan 22. Koneksi internet masuk pada port selain 80,
443, atau 22 akan diblokir. Penerapan aturan didelegasikan ke kebijakan firewall jaringan regional untuk setiap koneksi di port 80, 443, atau 22.
Dalam contoh ini, kebijakan firewall jaringan regional berlaku untuk region-a, yang
memungkinkan traffic internal dari sumber 10.2.0.0/16 dan traffic masuk ke port
443 dan 80 dari sumber mana pun. Gambar 2 menjelaskan
penyiapan konfigurasi untuk kasus penggunaan ini.
Kebijakan efektif diterapkan di VM
Bagian ini menjelaskan kebijakan firewall jaringan efektif yang berlaku dalam contoh ini setelah mengevaluasi aturan di seluruh hierarki.
Koneksi masuk
Setiap koneksi masuk dari
10.0.0.0/8cocok dengan aturan kebijakan firewall jaringan global prioritas tertinggidelegate-internal-trafficdan mengabaikan aturan lainnya dalam kebijakan firewall jaringan global. Dalam aturan kebijakan firewall jaringan regional, koneksi masuk dari10.2.0.0/16diizinkan, dan koneksi lainnya dievaluasi terhadap aturandenymasuk yang tersirat.Koneksi masuk dengan rentang IP sumber selain
10.0.0.0/8, dan port tujuan22,80, dan443, didelegasikan ke tingkat aturan kebijakan firewall jaringan regional. Dalam aturan kebijakan firewall jaringan regional, port80dan443diizinkan, tetapi port22tidak.
Koneksi keluar
- Tidak ada kecocokan di seluruh aturan kebijakan firewall jaringan global. Oleh karena itu, aturan sistem implisit berlaku, yang mengizinkan koneksi keluar.
Cara mengonfigurasi
Buat kebijakan firewall jaringan global yang berisi aturan berikut:
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Kaitkan kebijakan dengan jaringan VPC:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyTambahkan aturan untuk mencocokkan koneksi masuk dari
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyTambahkan aturan untuk mendelegasikan traffic eksternal dari port tertentu:
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyTambahkan aturan untuk memblokir semua traffic masuk yang tersisa:
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyBuat kebijakan firewall jaringan regional:
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Kaitkan kebijakan firewall jaringan regional dengan jaringan VPC untuk mengaktifkan aturan kebijakan bagi setiap VM dalam jaringan tersebut dalam region tertentu:
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aTambahkan aturan guna mengizinkan traffic internal untuk kebijakan firewall jaringan regional:
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aTambahkan aturan untuk mengizinkan traffic eksternal dari port tertentu:
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Langkah selanjutnya
Untuk membuat dan mengubah kebijakan dan aturan firewall jaringan global, lihat Menggunakan kebijakan dan aturan firewall jaringan global.
Untuk membuat dan mengubah kebijakan dan aturan firewall jaringan regional, lihat Menggunakan kebijakan dan aturan firewall jaringan regional.