Mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke FQDN

Pelajari cara membuat dan mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke nama domain yang sepenuhnya memenuhi syarat (FQDN) tertentu menggunakan Konsol Google Cloud. Kebijakan firewall memblokir semua traffic keluar lainnya yang berasal dari jaringan Anda. Panduan memulai ini membuat jaringan Virtual Private Cloud (VPC) dengan subnet, membuat instance virtual machine (VM) di jaringan VPC, menyiapkan kebijakan firewall yang menggunakan aturan keluar, lalu menguji kebijakan firewall dari VM.

Sebelum memulai

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

   Enable the APIs

8. Pastikan Anda memiliki peran Compute Network Admin (roles/compute.networkAdmin).

Membuat jaringan VPC kustom dengan subnet IPv4

Buat jaringan VPC mode kustom dengan subnet IPv4.

1. Di konsol Google Cloud, buka halaman jaringan VPC.

   Buka VPC networks

2. Klik Create VPC network.

3. Untuk Name, masukkan vpc-fw-policy-egress.

4. Untuk Mode pembuatan subnet, klik Kustom.

5. Di bagian New subnet, tentukan parameter konfigurasi berikut untuk subnet:

   • Nama: Masukkan subnet-1.
   • Region: Pilih us-central1.
   • Rentang IPv4: Masukkan 10.0.0.0/24.

6. Klik Done.

7. Klik Create.

Membuat VM

Buat VM di subnet yang Anda konfigurasi di bagian sebelumnya.

1. Di konsol Google Cloud, buka halaman Create an instance.

   Buka Create an instance

2. Untuk Name, masukkan instance-1-us.

3. Untuk Region, pilih us-central1 (Iowa).

4. Luaskan Advanced options, lalu luaskan Networking.

5. Di bagian Network interfaces, luaskan antarmuka jaringan yang ada dan tentukan parameter konfigurasi berikut:

   • Jaringan: Pilih vpc-fw-policy-egress.
   • Subnetwork: Pilih subnet-1 IPv4 (10.0.0.0/24).
   • External IPv4 address: Pilih None.

6. Klik Done.

7. Klik Create.

Membuat Cloud Router dan gateway Cloud NAT

Di bagian sebelumnya, Anda telah membuat VM tanpa alamat IP eksternal. Agar VM dapat mengakses internet publik, buat Cloud Router dan gateway Cloud NAT untuk region dan subnet yang sama tempat Anda membuat VM.

1. Di Konsol Google Cloud, buka halaman Cloud NAT.

   Buka Cloud NAT

2. Klik Get started atau Create Cloud NAT gateway.

   Catatan: Jika ini adalah gateway Cloud NAT pertama yang Anda buat, klik Mulai. Jika Anda sudah memiliki gateway, Google Cloud akan menampilkan tombol gateway Create Cloud NAT. Untuk membuat gateway lain, klik gateway Create Cloud NAT.

3. Untuk Gateway name, masukkan fw-egress-nat-gw.

4. Untuk Jenis NAT, pilih Publik.

5. Di bagian Select Cloud Router, tentukan parameter konfigurasi berikut:

   • Jaringan: Pilih vpc-fw-policy-egress.
   • Region: Pilih us-central1 (Iowa).
   • Cloud Router: Klik Create new router.
     1. Untuk Name, masukkan fw-egress-router.
     2. Klik Create.

6. Klik Create.

Membuat kebijakan firewall jaringan global untuk mengaktifkan IAP

Untuk mengaktifkan Identity-Aware Proxy bagi VM di jaringan Anda, buat kebijakan firewall jaringan global dan tambahkan aturan firewall ke kebijakan tersebut. IAP memungkinkan akses administratif ke VM.

Aturan firewall harus memiliki karakteristik berikut:

• Berlaku untuk semua VM yang ingin Anda akses menggunakan penerusan TCP IAP.
• Mengizinkan traffic masuk dari rentang alamat IP 35.235.240.0/20. Rentang ini berisi semua alamat IP yang digunakan IAP untuk penerusan TCP.
• Memungkinkan koneksi ke semua port yang ingin Anda akses menggunakan penerusan TCP IAP, misalnya, port 22 untuk SSH.

Untuk mengaktifkan akses IAP ke semua VM di jaringan vpc-fw-policy-egress, ikuti langkah-langkah berikut:

1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

   Buka Kebijakan firewall

2. Klik Create firewall policy.

3. Di bagian Configure policy, untuk Policy name, masukkan fw-egress-policy.

4. Untuk Deployment scope, pilih Global, lalu klik Continue.

5. Untuk membuat aturan kebijakan, di bagian Tambahkan aturan, klik Tambahkan aturan.

   1. Untuk Priority, masukkan 100.
   2. Untuk Direction of traffic, pilih Ingress.
   3. Untuk Action on match, pilih Allow.
   4. Untuk Logs, pilih On.
   5. Di bagian Target, untuk Target type, pilih All instances in the network.
   6. Di bagian Sumber, untuk Rentang IP, masukkan 35.235.240.0/20.
   7. Di bagian Protocol and ports, pilih Specified protocols and ports.
   8. Pilih kotak centang TCP, dan untuk Ports, masukkan 22.
   9. Klik Create.

6. Klik Lanjutkan.

7. Untuk mengaitkan jaringan VPC dengan kebijakan, di bagian Associate policy with VPC networks, klik Associate.

8. Centang kotak vpc-fw-policy-egress, lalu klik Associate.

9. Klik Lanjutkan.

10. Klik Create.

Menambahkan aturan firewall untuk menolak traffic keluar ke semua tujuan

Untuk menolak traffic keluar ke semua tujuan, Anda harus menambahkan aturan firewall ke fw-egress-policy.

1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

   Buka Kebijakan firewall

2. Di bagian Network firewall policies, klik fw-egress-policy.

3. Klik Buat aturan.

4. Untuk Priority, masukkan 700.

5. Untuk Direction of traffic, pilih Egress.

6. Untuk Action on match, pilih Deny.

7. Untuk Logs, pilih On.

8. Di bagian Destination, untuk IP ranges, masukkan 0.0.0.0/0.

9. Klik Create.

Menambahkan aturan firewall untuk mengizinkan traffic keluar hanya ke FQDN tertentu

Untuk mengizinkan traffic keluar hanya ke FQDN tertentu, ads.google.com, tambahkan aturan firewall di fw-egress-policy.

1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

   Buka Kebijakan firewall

2. Di bagian Network firewall policies, klik fw-egress-policy.

3. Klik Buat aturan.

4. Untuk Priority, masukkan 600.

5. Untuk Direction of traffic, pilih Egress.

6. Untuk Action on match, pilih Allow.

7. Untuk Logs, pilih On.

8. Di bagian Destination, untuk FQDNs, masukkan ads.google.com.

9. Klik Create.

Menguji kebijakan firewall jaringan global

Setelah mengonfigurasi kebijakan firewall jaringan global, ikuti langkah-langkah berikut untuk menguji kebijakan:

1. Di konsol Google Cloud, buka halaman Instance VM.

   Buka instance VM

2. Di kolom Connect untuk VM instance-1-us, klik SSH.

3. Pada dialog SSH-in-browser, klik Authorize dan tunggu koneksi dibuat.

4. Untuk memverifikasi bahwa traffic keluar ke https://ads.google.com diizinkan, jalankan perintah berikut:

     curl -I https://ads.google.com
   

   Perintah sebelumnya menampilkan informasi header https://ads.google.com, yang berarti koneksi keluar diizinkan.

5. Untuk memverifikasi bahwa traffic keluar diblokir ke tujuan lain, tentukan FQDN dan jalankan perintah berikut:

     curl -m 2 -I https://mail.yahoo.com
   

   Perintah sebelumnya menampilkan pesan Connection timed out, yang diharapkan karena Anda membuat aturan firewall untuk menolak traffic keluar ke semua tujuan kecuali https://ads.google.com.

Melihat log

Anda dapat memverifikasi bahwa aturan firewall diterapkan ke traffic keluar dengan mengakses log. Untuk melihat detail log, ikuti langkah-langkah berikut:

1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

   Buka Kebijakan firewall

2. Di bagian Network firewall policies, klik fw-egress-policy.

3. Di kolom Hit count, klik angka untuk aturan yang Anda buat di bagian Create a global network firewall policy. Halaman Logs Explorer akan terbuka.

4. Untuk melihat aturan firewall yang diterapkan ke traffic keluar, luaskan setiap log. Anda dapat melihat detail koneksi, disposisi, lokasi jarak jauh, dan aturan dengan meluaskan bagian yang relevan.

Pembersihan

Agar tidak dikenai biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam panduan memulai ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Untuk menghapus resource yang dibuat dalam panduan memulai ini, selesaikan tugas berikut.

Menghapus kebijakan firewall

1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

   Buka Kebijakan firewall

2. Di bagian Network firewall policies, klik fw-egress-policy.

3. Klik tab Pengaitan.

4. Centang kotak vpc-fw-policy-egress, lalu klik Hapus atribusi.

5. Pada dialog Hapus pengaitan kebijakan firewall, klik Hapus.

6. Klik Hapus.

7. Pada dialog Hapus kebijakan firewall, klik Hapus.

Menghapus VM

1. Di konsol Google Cloud, buka halaman Instance VM.

   Buka instance VM

2. Centang kotak untuk VM instance-1-us.

3. Klik Hapus.

4. Pada dialog Hapus instance-1-us, klik Hapus.

Menghapus gateway Cloud NAT dan Cloud Router

1. Di konsol Google Cloud, buka halaman Cloud routers.

   Buka Cloud Router

2. Pilih kotak centang untuk fw-egress-router.

3. Klik Hapus.

4. Pada dialog Hapus fw-egress-router, klik Hapus.

Saat Anda menghapus Cloud Router, gateway Cloud NAT terkait juga akan dihapus.

Menghapus jaringan VPC dan subnetnya

1. Di konsol Google Cloud, buka halaman jaringan VPC.

   Buka jaringan VPC

2. Di kolom Nama, klik vpc-fw-policy-egress.

3. Klik Delete VPC network.

4. Pada dialog Hapus jaringan, klik Hapus.

Saat Anda menghapus jaringan VPC, subnetnya juga akan dihapus.

Langkah selanjutnya

• Untuk konsep kebijakan firewall, lihat Ringkasan kebijakan firewall.
• Untuk konsep aturan kebijakan firewall, lihat Ringkasan aturan kebijakan firewall.
• Untuk membuat, memperbarui, memantau, dan menghapus aturan firewall VPC, lihat Menggunakan aturan firewall VPC.
• Untuk menentukan biaya, lihat Harga Cloud NGFW.