Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan global.
Tugas kebijakan firewall
Membuat kebijakan firewall jaringan global
Anda dapat membuat kebijakan untuk jaringan VPC apa pun dalam project Anda. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC apa pun dalam project Anda. Setelah dikaitkan, aturan kebijakan akan menjadi aktif untuk VM di jaringan terkait.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Dalam daftar pemilih project, pilih project Anda dalam organisasi.
Klik Create network firewall policy.
Beri kebijakan Nama.
Untuk Deployment scope, pilih Global.
Untuk membuat aturan kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan.
Untuk mengetahui detailnya, lihat Membuat aturan firewall.
Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Aitkan kebijakan dengan jaringan VPC.
Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan jaringan.
Klik Create.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME \ --description DESCRIPTION --global
Ganti kode berikut:
NETWORK_FIREWALL_POLICY_NAME
: nama untuk kebijakan.DESCRIPTION
: deskripsi untuk kebijakan.
Mengaitkan kebijakan dengan jaringan
Kaitkan kebijakan dengan jaringan untuk mengaktifkan aturan kebijakan bagi VM apa pun dalam jaringan tersebut.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.
Klik kebijakan Anda.
Klik tab Pengaitan.
Klik Tambahkan Asosiasi.
Pilih jaringan dalam project.
Klik Kaitkan.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ [ --name ASSOCIATION_NAME ] \ --global-firewall-policy
Ganti kode berikut:
POLICY_NAME
: nama singkat atau nama kebijakan yang dibuat sistem.NETWORK_NAME
: nama jaringan Anda.ASSOCIATION_NAME
: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan kenetwork-NETWORK_NAME
.
Menjelaskan kebijakan firewall jaringan global
Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut dalam semua aturan dalam kebijakan. Atribut ini dihitung dalam batas untuk setiap batas kebijakan.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan global.
Klik kebijakan Anda.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --global
Memperbarui deskripsi kebijakan firewall jaringan global
Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan global.
Klik kebijakan Anda.
Klik Edit.
Di kolom Deskripsi, ubah teks.
Klik Simpan.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --global
Mencantumkan kebijakan firewall jaringan global
Anda dapat melihat daftar kebijakan yang tersedia di project Anda.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan.
Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia di project Anda.
gcloud
gcloud compute network-firewall-policies list --global
Menghapus kebijakan firewall jaringan global
Anda harus menghapus semua pengaitan pada kebijakan firewall jaringan global sebelum dapat menghapusnya.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan.
Klik kebijakan yang ingin dihapus.
Klik tab Pengaitan.
Pilih semua asosiasi.
Klik Hapus Pengaitan.
Setelah semua pengaitan dihapus, klik Hapus.
gcloud
Cantumkan semua jaringan yang terkait dengan kebijakan firewall:
gcloud compute network-firewall-policies describe POLICY_NAME \ --global
Menghapus asosiasi individu. Untuk menghapus pengaitan, Anda harus memiliki peran
compute.SecurityAdmin
pada kebijakan firewall jaringan global dan peran compute.networkAdmin` di jaringan VPC terkait.gcloud compute network-firewall-policies associations delete \ --name ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --global-firewall-policy
Menghapus kebijakan:
gcloud compute network-firewall-policies delete POLICY_NAME \ --global
Menghapus atribusi
Untuk menghentikan penerapan kebijakan firewall di jaringan, hapus pengaitan.
Namun, jika ingin mengganti satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan meninggalkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Pilih pengaitan yang ingin Anda hapus.
Klik Hapus Pengaitan.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --name ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --global-firewall-policy
Tugas aturan kebijakan firewall
Membuat aturan firewall jaringan global
Aturan kebijakan firewall jaringan global harus dibuat dalam kebijakan firewall jaringan global. Aturan tidak akan aktif hingga Anda mengaitkan kebijakan yang berisi aturan tersebut dengan jaringan VPC.
Setiap aturan kebijakan firewall jaringan global dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.
Klik nama kebijakan global Anda.
Di tab Firewall Rules, klik Create.
Isi kolom aturan:
- Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan
0
adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan di lain waktu (seperti100
,200
,300
). - Untuk Direction of traffic, pilih ingress atau egress.
- Untuk Action on match, pilih salah satu opsi berikut:
- Allow: mengizinkan koneksi yang cocok dengan aturan.
- Deny: menolak koneksi yang cocok dengan aturan.
- Go to next: meneruskan evaluasi koneksi ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
- Lanjutkan ke inspeksi L7: mengirim paket ke
endpoint firewall
yang dikonfigurasi untuk inspeksi dan pencegahan Lapisan 7.
- Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
- Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Enable TLS inspection.
- Tetapkan koleksi Logs ke On atau Off.
- Tentukan Target aturan. Pilih salah satu opsi
berikut untuk kolom Jenis target:
- Jika Anda ingin aturan diterapkan ke semua instance di jaringan, pilih All instances in the network.
- Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan Tag, pilih Secure tags. Klik PILIH LUAS, lalu pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan pasangan nilai kunci yang akan diterapkan aturan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
- Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau di project lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.
- Untuk aturan Ingress, tentukan filter Source:
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
0.0.0.0/0
untuk sumber IPv4 apa pun. - Untuk memfilter traffic masuk berdasarkan rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan
::/0
untuk sumber IPv6 apa pun. - Untuk membatasi sumber menurut Tag, klik SELECT SCOPE di bagian Tags. Pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan pasangan nilai kunci tempat aturan akan diterapkan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
- Untuk aturan Egress, tentukan Filter tujuan:
- Untuk memfilter traffic keluar berdasarkan rentang IPv4 tujuan, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
0.0.0.0/0
untuk tujuan IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IP. Gunakan
::/0
untuk tujuan IPv6 apa pun.
- Untuk memfilter traffic keluar berdasarkan rentang IPv4 tujuan, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
- Opsional: Jika Anda membuat aturan Masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.
- Opsional: Jika Anda membuat aturan Ingress, pilih Geolocation sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
- Opsional: Jika Anda membuat aturan Ingress, pilih Address groups sumber tempat aturan ini berlaku. Jika Anda membuat aturan Egress, pilih Address groups tujuan tempat aturan ini berlaku. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
- Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Opsional: Untuk aturan Ingress, tentukan filter Destination:
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan
0.0.0.0/0
untuk tujuan IPv4 apa pun. - Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih
Rentang IPv6 dan masukkan blok CIDR ke dalam
kolom Rentang IPv6 tujuan. Gunakan
::/0
untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan
Opsional: Untuk aturan Egress, tentukan filter Source:
- Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
0.0.0.0/0
untuk sumber IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan
::/0
untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.
- Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku.
Klik Create.
- Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan
Klik Tambahkan aturan untuk menambahkan aturan lain.
Untuk mengaitkan kebijakan dengan jaringan, klik Lanjutkan > Aitkan kebijakan dengan jaringan VPC, atau klik Buat untuk membuat kebijakan.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no-tls-inspect] \ --description DESCRIPTION \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \ [--layer4-configs PROTOCOL_PORT] \ [--enable-logging | --no-enable-logging] \ [--disabled | --no-disabled] \ --global-firewall-policy
Ganti kode berikut:
PRIORITY
: urutan evaluasi numerik aturanAturan dievaluasi dari prioritas tertinggi ke terendah, dengan
0
adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti100
,200
,300
).ACTION
: salah satu tindakan berikut:allow
: mengizinkan koneksi yang cocok dengan aturandeny
: menolak koneksi yang cocok dengan aturanapply_security_profile_group
: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.goto_next
: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
POLICY_NAME
: nama kebijakan firewall jaringan globalSECURITY_PROFILE_GROUP
: nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7; tentukan argumen ini hanya jika tindakanapply_security_profile_group
dipilih--tls-inspect
: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakanapply_security_profile_group
dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan--no-tls-inspect
TARGET_SECURE_TAG
: daftar tag aman yang dipisahkan koma untuk menentukan targetSERVICE_ACCOUNT
: daftar akun layanan yang dipisahkan koma untuk menentukan targetDIRECTION
: menunjukkan apakah aturan tersebut adalah aturaningress
atauegress
; default-nya adalahingress
- Sertakan
--src-ip-ranges
untuk menentukan rentang alamat IP bagi sumber traffic. - Sertakan
--dest-ip-ranges
untuk menentukan rentang alamat IP tujuan traffic.
Untuk informasi selengkapnya, lihat target, sumber, dan tujuan.
- Sertakan
SRC_NETWORK_SCOPE
: menunjukkan cakupan traffic jaringan sumber tempat aturan masuk diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.
SRC_VPC_NETWORK
: daftar jaringan VPC yang dipisahkan komaAnda hanya dapat menggunakan
--src-networks
jika--src-network-scope
ditetapkan keVPC_NETWORKS
.DEST_NETWORK_SCOPE
: menunjukkan cakupan traffic jaringan tujuan tempat aturan keluar diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:INTERNET
NON_INTERNET
Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.
IP_RANGES
: daftar rentang alamat IP berformat CIDR yang dipisahkan koma, baik semua rentang alamat IPv4 maupun semua rentang alamat IPv6—contoh:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: daftar Tag yang dipisahkan koma.Anda tidak dapat menggunakan tag aman sumber jika cakupan jaringan ditetapkan ke
INTERNET
.COUNTRY_CODE
: daftar kode negara dua huruf yang dipisahkan koma- Untuk arah masuk, tentukan kode negara dalam
tanda
--src-region-code
. Anda tidak dapat menggunakan flag--src-region-code
untuk arah keluar, atau saat--src-network-scope
ditetapkan keNON_INTERNET
,VPC_NETWORK
, atauINTRA_VPC
. - Untuk arah keluar, kode negara ditentukan dalam
flag
--dest-region-code
. Anda tidak dapat menggunakan flag--dest-region-code
untuk arah masuk, atau saat--dest-network-scope
ditetapkan keNON_INTERNET
.
- Untuk arah masuk, tentukan kode negara dalam
tanda
LIST_NAMES
: daftar nama daftar Google Threat Intelligence yang dipisahkan koma- Untuk arah masuk, tentukan daftar sumber Google Threat Intelligence
di tanda
--src-threat-intelligence
. Anda tidak dapat menggunakan flag--src-threat-intelligence
untuk arah ekspor, atau saat--src-network-scope
ditetapkan keNON_INTERNET
,VPC_NETWORK
, atauINTRA_VPC
. - Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan di flag
--dest-threat-intelligence
. Anda tidak dapat menggunakan flag--dest-threat-intelligence
untuk arah ingress, atau saat--dest-network-scope
ditetapkan keNON_INTERNET
.
- Untuk arah masuk, tentukan daftar sumber Google Threat Intelligence
di tanda
ADDR_GRP_URL
: ID URL unik untuk grup alamat- Untuk arah traffic masuk, tentukan grup alamat sumber dalam
tanda
--src-address-groups
; Anda tidak dapat menggunakan tanda--src-address-groups
untuk arah traffic keluar - Untuk arah keluar, tentukan grup alamat tujuan
dalam flag
--dest-address-groups
; Anda tidak dapat menggunakan flag--dest-address-groups
untuk arah masuk
- Untuk arah traffic masuk, tentukan grup alamat sumber dalam
tanda
DOMAIN_NAME
: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain- Untuk arah traffic masuk, tentukan nama domain sumber dalam
flag
--src-fqdns
; Anda tidak dapat menggunakan flag--src-fqdns
untuk arah traffic keluar - Untuk arah keluar, tentukan grup alamat tujuan
dalam flag
--dest-fqdns
; Anda tidak dapat menggunakan flag--dest-fqdns
untuk arah masuk
- Untuk arah traffic masuk, tentukan nama domain sumber dalam
flag
PROTOCOL_PORT
: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17
), protokol dan port tujuan (tcp:80
), atau protokol dan rentang port tujuan (tcp:5000-6000
)Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
.Untuk mengetahui informasi selengkapnya, lihat protokol dan port.
--enable-logging
dan--no-enable-logging
: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang diberikan--disabled
: menunjukkan bahwa aturan firewall, meskipun ada, tidak akan dipertimbangkan saat memproses koneksi; menghapus tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan--no-disabled
Memperbarui aturan
Untuk deskripsi kolom, lihat Membuat aturan firewall.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.
Klik Edit.
Ubah kolom yang ingin Anda ubah.
Klik Simpan.
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \ --firewall-policy POLICY_NAME \ --global-firewall-policy \ [...fields you want to modify...]
Menjelaskan aturan
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME --global-firewall-policy
Ganti kode berikut:
PRIORITY
: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unikPOLICY_NAME
: nama kebijakan yang berisi aturan
Menghapus aturan dari kebijakan
Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan.
Klik kebijakan Anda.
Pilih aturan yang ingin dihapus.
Klik Hapus.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME --global-firewall-policy
Ganti kode berikut:
PRIORITY
: prioritas aturan yang ingin Anda hapus dari kebijakanPOLICY_NAME
: kebijakan yang berisi aturan
Meng-clone aturan dari satu kebijakan ke kebijakan lainnya
Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan.
Klik kebijakan yang aturannya ingin Anda salin.
Klik Clone di bagian atas layar.
Masukkan nama kebijakan target.
Jika Anda ingin segera mengaitkan kebijakan baru, klik Lanjutkan > Aitkan kebijakan jaringan dengan resource.
Klik Clone.
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --global
Ganti kode berikut:
POLICY_NAME
: kebijakan target tempat Anda ingin mengganti aturan dengan aturan yang di-clone.SOURCE_POLICY
: URL resource untuk kebijakan sumber tempat Anda ingin meng-clone aturan.
Mendapatkan aturan firewall yang efektif untuk jaringan
Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC yang ditentukan.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik jaringan yang aturan kebijakan firewallnya ingin Anda lihat.
Klik Kebijakan firewall.
Luaskan setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Ganti kode berikut:
NETWORK_NAME
: jaringan yang aturan efektifnya ingin Anda lihat.
Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.
Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.
Mendapatkan aturan firewall yang efektif untuk antarmuka VM
Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine yang ditentukan.
Konsol
Di konsol Google Cloud, buka halaman Instance VM.
Di menu pull-down pemilih project, pilih project yang berisi VM.
Klik VM.
Untuk Network interfaces, klik antarmuka.
Lihat aturan firewall yang efektif di Detail firewall dan rute.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Ganti kode berikut:
INSTANCE_NAME
: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0
).INTERFACE
: antarmuka VM yang aturan efektifnya ingin Anda lihat; nilai defaultnya adalah nic0.ZONE
: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.