Mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke FQDN

Pelajari cara membuat dan mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke nama domain yang sepenuhnya memenuhi syarat (FQDN) tertentu menggunakan konsol Google Cloud . Kebijakan firewall memblokir semua traffic keluar lainnya yang berasal dari jaringan Anda. Panduan memulai ini akan membuat jaringan Virtual Private Cloud (VPC) dengan subnet, membuat instance virtual machine (VM) di jaringan VPC, menyiapkan kebijakan firewall yang menggunakan aturan keluar, lalu menguji kebijakan firewall dari VM.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Pastikan Anda memiliki peran Compute Network Admin (roles/compute.networkAdmin).
  9. Pastikan Anda mengetahui konsep kebijakan firewall dan aturan kebijakan firewall.
  10. Pastikan Anda mengetahui harga Cloud NGFW. Untuk mengetahui informasi selengkapnya, lihat harga Cloud NGFW.

    11. Membuat jaringan VPC kustom dengan subnet IPv4

    Buat jaringan VPC mode kustom dengan subnet IPv4.

    1. Di Google Cloud konsol, buka halaman VPC networks.

      Buka jaringan VPC

    2. Klik Create VPC network.

    3. Untuk Name, masukkan vpc-fw-policy-egress.

    4. Untuk Mode pembuatan subnet, klik Kustom.

    5. Di bagian New subnet, tentukan parameter konfigurasi berikut untuk subnet:

      • Nama: Masukkan subnet-1.
      • Region: Pilih us-central1.
      • Rentang IPv4: Masukkan 10.0.0.0/24.

    6. Klik Selesai.

    7. Klik Buat.

    Membuat VM

    Buat VM di subnet yang Anda konfigurasi di bagian sebelumnya.

    1. Di konsol Google Cloud , buka halaman Create an instance.

      Buka halaman Buat instance

    2. Di panel Machine configuration, lakukan hal berikut:

      1. Untuk Name, masukkan instance-1-us.
      2. Untuk Region, pilih us-central1 (Iowa).

    3. Di menu navigasi, klik Networking.

      1. Di bagian Network interfaces, klik default dan tentukan parameter konfigurasi berikut:
        • Jaringan: vpc-fw-policy-egress
        • Subnetwork: subnet-1 IPv4 (10.0.0.0/24)
        • External IPv4 address: None
      2. Klik Selesai.

    4. Klik Buat.

    Buat Cloud Router dan gateway Cloud NAT

    Di bagian sebelumnya, Anda telah membuat VM tanpa alamat IP eksternal. Untuk mengaktifkan VM agar dapat mengakses internet publik, buat Cloud Router dan gateway Cloud NAT untuk region dan subnet yang sama dengan tempat Anda membuat VM.

    1. Di konsol Google Cloud , buka halaman Cloud NAT.

      Buka Cloud NAT

    2. Klik Get started atau Create Cloud NAT gateway.

      Catatan: Jika ini adalah gateway Cloud NAT pertama yang Anda buat, klik Mulai. Jika Anda sudah memiliki gateway, Google Cloud tombol gateway Create Cloud NAT akan ditampilkan. Untuk membuat gateway lain, klik gateway Create Cloud NAT.

    3. Untuk Gateway name, masukkan fw-egress-nat-gw.

    4. Untuk NAT type, pilih Public.

    5. Di bagian Select Cloud Router, tentukan parameter konfigurasi berikut:

      • Jaringan: Pilih vpc-fw-policy-egress.
      • Region: Pilih us-central1 (Iowa).
      • Cloud Router: Klik Create new router.
        1. Untuk Name, masukkan fw-egress-router.
        2. Klik Buat.

    6. Klik Buat.

    Buat kebijakan firewall jaringan global untuk mengizinkan tunneling TCP IAP

    Untuk mengizinkan tunneling Identity-Aware Proxy untuk VM di jaringan Anda, buat kebijakan firewall jaringan global dan tambahkan aturan firewall ke kebijakan tersebut. IAP memungkinkan akses administratif ke VM.

    Aturan firewall harus memiliki karakteristik berikut:

    • Berlaku untuk semua VM yang ingin Anda akses menggunakan penerusan TCP IAP.
    • Mengizinkan traffic masuk dari rentang alamat IP 35.235.240.0/20. Rentang ini berisi semua alamat IP yang digunakan IAP untuk penerusan TCP.
    • Mengizinkan koneksi ke semua port yang ingin Anda akses menggunakan penerusan TCP IAP, misalnya, port 22 untuk SSH.

    Untuk mengaktifkan akses IAP ke semua VM di jaringan vpc-fw-policy-egress, ikuti langkah-langkah berikut:

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Klik Create firewall policy.

    3. Di bagian Configure policy, untuk Policy name, masukkan fw-egress-policy.

    4. Untuk Cakupan deployment, pilih Global, lalu klik Lanjutkan.

    5. Untuk membuat aturan bagi kebijakan Anda, di bagian Tambahkan aturan, klik Tambahkan aturan.

      1. Untuk Priority, masukkan 100.
      2. Untuk Direction of traffic, pilih Ingress.
      3. Untuk Action on match, pilih Allow.
      4. Untuk Logs, pilih On.
      5. Di bagian Target, untuk Jenis target, pilih Semua instance di jaringan.
      6. Di bagian Sumber, untuk Rentang IP, masukkan 35.235.240.0/20.
      7. Di bagian Protocol and ports, pilih Specified protocols and ports.
      8. Pilih kotak centang TCP, lalu untuk Ports, masukkan 22.
      9. Klik Buat.

    6. Klik Lanjutkan.

    7. Untuk mengaitkan jaringan VPC Anda dengan kebijakan, di bagian Kaitkan kebijakan dengan jaringan VPC, klik Kaitkan.

    8. Centang kotak vpc-fw-policy-egress, lalu klik Associate.

    9. Klik Lanjutkan.

    10. Klik Buat.

    Menambahkan aturan firewall untuk menolak traffic keluar ke semua tujuan

    Untuk menolak traffic keluar ke semua tujuan, Anda menambahkan aturan firewall ke fw-egress-policy.

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Di bagian Network firewall policies, klik fw-egress-policy.

    3. Klik Buat aturan.

    4. Untuk Priority, masukkan 700.

    5. Untuk Direction of traffic, pilih Egress.

    6. Untuk Action on match, pilih Deny.

    7. Untuk Logs, pilih On.

    8. Di bagian Tujuan, untuk Rentang IP, masukkan 0.0.0.0/0.

    9. Klik Buat.

    Menambahkan aturan firewall untuk mengizinkan traffic keluar hanya ke FQDN tertentu

    Untuk mengizinkan traffic keluar hanya ke FQDN tertentu, ads.google.com, tambahkan aturan firewall di fw-egress-policy.

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Di bagian Network firewall policies, klik fw-egress-policy.

    3. Klik Buat aturan.

    4. Untuk Priority, masukkan 600.

    5. Untuk Direction of traffic, pilih Egress.

    6. Untuk Action on match, pilih Allow.

    7. Untuk Logs, pilih On.

    8. Di bagian Destination, untuk FQDN, masukkan ads.google.com.

    9. Klik Buat.

    Menguji kebijakan firewall jaringan global

    Setelah mengonfigurasi kebijakan firewall jaringan global, ikuti langkah-langkah berikut untuk menguji kebijakan:

    1. Di konsol Google Cloud , buka halaman VM instances.

      Buka instance VM

    2. Di kolom Connect untuk VM instance-1-us, klik SSH.

    3. Dalam dialog SSH di browser, klik Authorize dan tunggu hingga koneksi dibuat.

    4. Untuk memverifikasi bahwa traffic keluar ke https://ads.google.com diizinkan, jalankan perintah berikut:

        curl -I https://ads.google.com

      Perintah sebelumnya menampilkan informasi header https://ads.google.com, yang berarti koneksi keluar diizinkan.

    5. Untuk memverifikasi bahwa traffic keluar diblokir ke tujuan lain, tentukan FQDN apa pun dan jalankan perintah berikut:

        curl -m 2 -I https://mail.yahoo.com

      Perintah sebelumnya menampilkan pesan Connection timed out, yang diharapkan karena Anda membuat aturan firewall untuk menolak traffic keluar ke semua tujuan kecuali https://ads.google.com.

    Melihat log

    Anda dapat memverifikasi bahwa aturan firewall diterapkan ke traffic keluar dengan mengakses log. Untuk melihat detail log, ikuti langkah-langkah berikut:

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Di bagian Network firewall policies, klik fw-egress-policy.

    3. Di kolom Hit count, klik angka untuk aturan yang Anda buat di bagian Membuat kebijakan firewall jaringan global. Halaman Logs explorer akan terbuka.

    4. Untuk melihat aturan firewall yang diterapkan pada traffic keluar, luaskan setiap log. Anda dapat melihat detail koneksi, disposisi, lokasi jarak jauh, dan aturan dengan meluaskan bagian yang relevan.

    Pembersihan

    Agar tidak dikenai biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam panduan memulai ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

    Untuk menghapus resource yang dibuat dalam panduan memulai ini, selesaikan tugas berikut.

    Hapus kebijakan firewall

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Di bagian Network firewall policies, klik fw-egress-policy.

    3. Klik tab Pengaitan.

    4. Centang kotak vpc-fw-policy-egress, lalu klik Hapus atribusi.

    5. Pada dialog Hapus pengaitan kebijakan firewall, klik Hapus.

    6. Klik Hapus.

    7. Pada dialog Hapus kebijakan firewall, klik Hapus.

    Hapus VM

    1. Di konsol Google Cloud , buka halaman VM instances.

      Buka instance VM

    2. Centang kotak untuk VM instance-1-us.

    3. Klik Hapus.

    4. Pada dialog Hapus instance-1-us, klik Hapus.

    Menghapus gateway Cloud NAT dan Cloud Router

    1. Di Google Cloud konsol, buka halaman Cloud Router.

      Buka Cloud Router

    2. Pilih kotak centang untuk fw-egress-router.

    3. Klik Hapus.

    4. Pada dialog Delete fw-egress-router, klik Delete.

    Saat Anda menghapus Cloud Router, gateway Cloud NAT terkait juga akan dihapus.

    Menghapus jaringan VPC dan subnetnya

    1. Di Google Cloud konsol, buka halaman VPC networks.

      Buka jaringan VPC

    2. Di kolom Name, klik vpc-fw-policy-egress.

    3. Klik Delete VPC network.

    4. Pada dialog Hapus jaringan, klik Hapus.

    Saat Anda menghapus jaringan VPC, subnetnya juga akan dihapus.

    Langkah berikutnya