Pelajari cara membuat dan mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke nama domain tertentu yang sepenuhnya memenuhi syarat (FQDN) menggunakan Konsol Google Cloud. Kebijakan firewall akan memblokir semua traffic keluar lainnya yang berasal dari jaringan Anda. Panduan memulai ini membuat jaringan Virtual Private Cloud (VPC) dengan subnet, membuat instance virtual machine (VM) di jaringan VPC, menyiapkan kebijakan firewall yang menggunakan aturan traffic keluar, lalu menguji kebijakan firewall dari VM.
Sebelum memulai
- Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.
-
Aktifkan API Compute Engine and Identity-Aware Proxy (IAP) .
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.
-
Aktifkan API Compute Engine and Identity-Aware Proxy (IAP) .
- Pastikan Anda memiliki peran Admin Jaringan Compute (
roles/compute.networkAdmin
).
Membuat jaringan VPC kustom dengan subnet IPv4
Buat jaringan VPC mode kustom dengan subnet IPv4.
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik Create VPC network.
Untuk Name, masukkan
vpc-fw-policy-egress
.Untuk Mode pembuatan subnet, klik Kustom.
Di bagian Subnet baru, tentukan parameter konfigurasi berikut untuk subnet:
- Nama: Masukkan
subnet-1
. - Region: Pilih us-central1.
- Rentang IPv4: Masukkan
10.0.0.0/24
.
- Nama: Masukkan
Klik Done.
Klik Create.
Membuat VM
Buat VM di subnet yang telah Anda konfigurasi di bagian sebelumnya.
Di konsol Google Cloud, buka halaman Create an instance.
Untuk Name, masukkan
instance-1-us
.Untuk Region, pilih
us-central1 (Iowa)
.Luaskan Advanced options, lalu luaskan Networking.
Di bagian Network interfaces, perluas antarmuka jaringan yang ada dan tentukan parameter konfigurasi berikut:
- Network: Pilih vpc-fw-policy-egress.
- Subnetwork: Pilih subnet-1 IPv4 (10.0.0.0/24).
- External IPv4 address: Pilih None.
Klik Done.
Klik Create.
Membuat Cloud Router dan gateway Cloud NAT
Di bagian sebelumnya, Anda telah membuat VM tanpa alamat IP eksternal. Agar VM dapat mengakses internet publik, buat Cloud Router dan gateway Cloud NAT untuk region dan subnet yang sama tempat Anda membuat VM.
Di Konsol Google Cloud, buka halaman Cloud NAT.
Klik Get started atau Create Cloud NAT gateway.
Catatan: Jika ini adalah gateway Cloud NAT pertama yang Anda buat, klik Get started. Jika Anda sudah memiliki gateway yang ada, Google Cloud akan menampilkan tombol gateway Create Cloud NAT. Untuk membuat gateway lain, klik Create Cloud NAT.
Untuk Gateway name, masukkan
fw-egress-nat-gw
.Untuk jenis NAT, pilih Publik.
Di bagian Pilih Cloud Router, tentukan parameter konfigurasi berikut:
- Network: Pilih vpc-fw-policy-egress.
- Region: Pilih us-central1 (Iowa).
- Cloud Router: Klik Create new router.
- Untuk Name, masukkan
fw-egress-router
. - Klik Create.
- Untuk Name, masukkan
Klik Create.
Buat kebijakan firewall jaringan global untuk mengaktifkan IAP
Untuk mengaktifkan Identity-Aware Proxy untuk VM di jaringan Anda, buat kebijakan firewall jaringan global dan tambahkan aturan firewall ke kebijakan tersebut. IAP memungkinkan akses admin ke VM.
Aturan firewall harus memiliki karakteristik berikut:
- Berlaku untuk semua VM yang ingin dapat diakses dengan menggunakan penerusan TCP IAP.
- Mengizinkan traffic masuk dari rentang alamat IP
35.235.240.0/20
. Rentang ini berisi semua alamat IP yang digunakan IAP untuk penerusan TCP. - Mengizinkan koneksi ke semua port yang ingin Anda akses menggunakan penerusan TCP IAP, misalnya, port
22
untuk SSH.
Untuk mengaktifkan akses IAP ke semua VM di jaringan vpc-fw-policy-egress
,
ikuti langkah-langkah berikut:
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Klik Create firewall policy.
Di bagian Configure policy, untuk Policy name, masukkan
fw-egress-policy
.Untuk Cakupan deployment, pilih Global, lalu klik Continue.
Untuk membuat aturan bagi kebijakan Anda, di bagian Tambahkan aturan, klik Tambahkan aturan.
- Untuk Priority, masukkan
100
. - Untuk Direction of traffic, pilih Ingress.
- Untuk Action on match, pilih Allow.
- Untuk Log, pilih Aktif.
- Di bagian Target, untuk Jenis target, pilih Semua instance di jaringan.
- Di bagian Sumber, untuk rentang IP, masukkan
35.235.240.0/20
. - Di bagian Protocol and ports, pilih Specified protocols and ports.
- Pilih kotak centang TCP, dan untuk Ports, masukkan
22
. - Klik Create.
- Untuk Priority, masukkan
Klik Lanjutkan.
Untuk mengaitkan jaringan VPC dengan kebijakan tersebut, di bagian Associate policy with VPC networks, klik Associate.
Centang kotak vpc-fw-policy-egress, lalu klik Kaitkan.
Klik Lanjutkan.
Klik Create.
Tambahkan aturan firewall untuk menolak traffic keluar ke semua tujuan
Untuk menolak traffic keluar ke semua tujuan, Anda dapat menambahkan aturan firewall ke fw-egress-policy
.
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.
Klik Buat aturan.
Untuk Priority, masukkan
700
.Untuk Direction of traffic, pilih Traffic keluar.
Untuk Tindakan pada kecocokan, pilih Tolak.
Untuk Log, pilih Aktif.
Di bagian Destination, untuk IP rentang, masukkan
0.0.0.0/0
.Klik Create.
Tambahkan aturan firewall untuk mengizinkan traffic keluar hanya ke FQDN tertentu
Untuk mengizinkan traffic keluar hanya ke FQDN tertentu, ads.google.com
, tambahkan aturan firewall di fw-egress-policy
.
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.
Klik Buat aturan.
Untuk Priority, masukkan
600
.Untuk Direction of traffic, pilih Traffic keluar.
Untuk Action on match, pilih Allow.
Untuk Log, pilih Aktif.
Di bagian Destination, untuk FQDN, masukkan
ads.google.com
.Klik Create.
Menguji kebijakan firewall jaringan global
Setelah mengonfigurasi kebijakan firewall jaringan global, ikuti langkah-langkah berikut untuk menguji kebijakan tersebut:
Di konsol Google Cloud, buka halaman Instance VM.
Di kolom Connect untuk VM
instance-1-us
, klik SSH.Pada dialog SSH-in-browser, klik Authorize dan tunggu hingga koneksi berhasil dibuat.
Untuk memverifikasi bahwa traffic keluar ke https://ads.google.com diizinkan, jalankan perintah berikut:
curl -I https://ads.google.com
Perintah sebelumnya menampilkan informasi header https://ads.google.com, yang berarti koneksi keluar diizinkan.
Untuk memverifikasi bahwa traffic keluar diblokir ke tujuan lain, tentukan FQDN apa pun dan jalankan perintah berikut:
curl -m 2 -I https://mail.yahoo.com
Perintah sebelumnya menampilkan pesan
Connection timed out
, yang diharapkan karena Anda membuat aturan firewall untuk menolak traffic keluar ke semua tujuan kecuali https://ads.google.com.
Melihat log
Anda dapat memverifikasi bahwa aturan firewall telah diterapkan ke traffic keluar dengan mengakses log. Untuk melihat detail log, ikuti langkah-langkah berikut:
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.
Di kolom Jumlah hit, klik angka untuk aturan yang Anda buat di bagian Create a global network firewall policy. Halaman Logs explorer akan terbuka.
Untuk melihat aturan firewall yang diterapkan ke traffic keluar, luaskan log individual. Anda dapat melihat detail koneksi, disposisi, lokasi jarak jauh, dan aturan dengan meluaskan bagian yang relevan.
Pembersihan
Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam panduan memulai ini, hapus project yang berisi resource tersebut, atau simpan project tersebut dan hapus resource individual.
Untuk menghapus resource yang dibuat dalam panduan memulai ini, selesaikan tugas-tugas berikut.
Menghapus kebijakan firewall
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.
Klik tab Pengaitan.
Centang kotak
vpc-fw-policy-egress
, lalu klik Hapus atribusi.Pada dialog Remove a firewall policy attribution, klik Remove.
Klik Delete.
Pada dialog Delete a firewall policy, klik Delete.
Menghapus VM
Di konsol Google Cloud, buka halaman Instance VM.
Pilih kotak centang untuk VM
instance-1-us
.Klik Delete.
Pada dialog Hapus instance-1-us, klik Hapus.
Menghapus gateway Cloud NAT dan Cloud Router
Di konsol Google Cloud, buka halaman Cloud routers.
Pilih kotak centang untuk
fw-egress-router
.Klik Delete.
Pada dialog Delete fw-egress-router, klik Delete.
Saat Anda menghapus Cloud Router, gateway Cloud NAT terkait juga akan dihapus.
Menghapus jaringan VPC dan subnetnya
Di Konsol Google Cloud, buka halaman jaringan VPC.
Di kolom Nama, klik vpc-fw-policy-egress.
Klik Delete VPC network.
Pada dialog Hapus jaringan, klik Hapus.
Saat Anda menghapus jaringan VPC, subnetnya juga akan dihapus.
Langkah selanjutnya
- Untuk mengetahui konsep kebijakan firewall, lihat Ringkasan kebijakan firewall.
- Untuk konsep aturan kebijakan firewall, lihat Ringkasan aturan kebijakan firewall.
- Untuk membuat, memperbarui, memantau, dan menghapus aturan firewall VPC, lihat Menggunakan aturan firewall VPC.
- Untuk menentukan biaya, lihat Harga Cloud NGFW.