Menggunakan kebijakan dan aturan firewall jaringan global

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan global.

Tugas kebijakan firewall

Membuat kebijakan firewall jaringan global

Anda dapat membuat kebijakan untuk jaringan VPC apa pun dalam project Anda. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC apa pun dalam project Anda. Setelah dikaitkan, aturan kebijakan akan menjadi aktif untuk VM di jaringan terkait.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Dalam daftar pemilih project, pilih project Anda dalam organisasi.

  3. Klik Create network firewall policy.

  4. Beri kebijakan Nama.

  5. Untuk Deployment scope, pilih Global.

  6. Untuk membuat aturan kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan.

    Untuk mengetahui detailnya, lihat Membuat aturan firewall.

  7. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Aitkan kebijakan dengan jaringan VPC.

    Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan jaringan.

  8. Klik Create.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama untuk kebijakan.
  • DESCRIPTION: deskripsi untuk kebijakan.

Mengaitkan kebijakan dengan jaringan

Kaitkan kebijakan dengan jaringan untuk mengaktifkan aturan kebijakan bagi VM apa pun dalam jaringan tersebut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Asosiasi.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem.
  • NETWORK_NAME: nama jaringan Anda.
  • ASSOCIATION_NAME: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.

Menjelaskan kebijakan firewall jaringan global

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut dalam semua aturan dalam kebijakan. Atribut ini dihitung dalam batas untuk setiap batas kebijakan.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Memperbarui deskripsi kebijakan firewall jaringan global

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan global.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Di kolom Deskripsi, ubah teks.

  6. Klik Simpan.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Mencantumkan kebijakan firewall jaringan global

Anda dapat melihat daftar kebijakan yang tersedia di project Anda.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan.

    Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia di project Anda.

gcloud

gcloud compute network-firewall-policies list --global

Menghapus kebijakan firewall jaringan global

Anda harus menghapus semua pengaitan pada kebijakan firewall jaringan global sebelum dapat menghapusnya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan yang ingin dihapus.

  4. Klik tab Pengaitan.

  5. Pilih semua asosiasi.

  6. Klik Hapus Pengaitan.

  7. Setelah semua pengaitan dihapus, klik Hapus.

gcloud

  1. Cantumkan semua jaringan yang terkait dengan kebijakan firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --global
    
  2. Menghapus asosiasi individu. Untuk menghapus pengaitan, Anda harus memiliki peran compute.SecurityAdmin pada kebijakan firewall jaringan global dan peran compute.networkAdmin` di jaringan VPC terkait.

    gcloud compute network-firewall-policies associations delete \
        --name ASSOCIATION_NAME \
        --firewall-policy POLICY_NAME \
        --global-firewall-policy
    
  3. Menghapus kebijakan:

    gcloud compute network-firewall-policies delete POLICY_NAME \
        --global
    

Menghapus atribusi

Untuk menghentikan penerapan kebijakan firewall di jaringan, hapus pengaitan.

Namun, jika ingin mengganti satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan meninggalkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus Pengaitan.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tugas aturan kebijakan firewall

Membuat aturan firewall jaringan global

Aturan kebijakan firewall jaringan global harus dibuat dalam kebijakan firewall jaringan global. Aturan tidak akan aktif hingga Anda mengaitkan kebijakan yang berisi aturan tersebut dengan jaringan VPC.

Setiap aturan kebijakan firewall jaringan global dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik nama kebijakan global Anda.

  4. Di tab Firewall Rules, klik Create.

  5. Isi kolom aturan:

    1. Di kolom Prioritas, tetapkan nomor urutan untuk aturan, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan di lain waktu (seperti 100, 200, 300).
    2. Untuk Direction of traffic, pilih ingress atau egress.
    3. Untuk Action on match, pilih salah satu opsi berikut:
      1. Allow: mengizinkan koneksi yang cocok dengan aturan.
      2. Deny: menolak koneksi yang cocok dengan aturan.
      3. Go to next: meneruskan evaluasi koneksi ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Lanjutkan ke inspeksi L7: mengirim paket ke endpoint firewall yang dikonfigurasi untuk inspeksi dan pencegahan Lapisan 7.
        • Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Enable TLS inspection.
    4. Tetapkan koleksi Logs ke On atau Off.
    5. Tentukan Target aturan. Pilih salah satu opsi berikut untuk kolom Jenis target:
      • Jika Anda ingin aturan diterapkan ke semua instance di jaringan, pilih All instances in the network.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan Tag, pilih Secure tags. Klik PILIH LUAS, lalu pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan pasangan nilai kunci yang akan diterapkan aturan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau di project lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.
    6. Untuk aturan Ingress, tentukan filter Source:
      • Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk berdasarkan rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.
      • Untuk membatasi sumber menurut Tag, klik SELECT SCOPE di bagian Tags. Pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan pasangan nilai kunci tempat aturan akan diterapkan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
    7. Untuk aturan Egress, tentukan Filter tujuan:
      • Untuk memfilter traffic keluar berdasarkan rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IP. Gunakan ::/0 untuk tujuan IPv6 apa pun.
    8. Opsional: Jika Anda membuat aturan Masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.
    9. Opsional: Jika Anda membuat aturan Ingress, pilih Geolocation sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
    10. Opsional: Jika Anda membuat aturan Ingress, pilih Address groups sumber tempat aturan ini berlaku. Jika Anda membuat aturan Egress, pilih Address groups tujuan tempat aturan ini berlaku. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
    11. Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
    12. Opsional: Untuk aturan Ingress, tentukan filter Destination:

      • Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih Rentang IPv6 dan masukkan blok CIDR ke dalam kolom Rentang IPv6 tujuan. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
    13. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.
    14. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku.

    15. Klik Create.

  6. Klik Tambahkan aturan untuk menambahkan aturan lain.

  7. Untuk mengaitkan kebijakan dengan jaringan, klik Lanjutkan > Aitkan kebijakan dengan jaringan VPC, atau klik Buat untuk membuat kebijakan.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP] \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
  • POLICY_NAME: nama kebijakan firewall jaringan global

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7; tentukan argumen ini hanya jika tindakan apply_security_profile_group dipilih

  • --tls-inspect: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakan apply_security_profile_group dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan --no-tls-inspect

  • TARGET_SECURE_TAG: daftar tag aman yang dipisahkan koma untuk menentukan target

  • SERVICE_ACCOUNT: daftar akun layanan yang dipisahkan koma untuk menentukan target

  • DIRECTION: menunjukkan apakah aturan tersebut adalah aturan ingress atau egress; default-nya adalah ingress

    • Sertakan --src-ip-ranges untuk menentukan rentang alamat IP bagi sumber traffic.
    • Sertakan --dest-ip-ranges untuk menentukan rentang alamat IP tujuan traffic.

    Untuk informasi selengkapnya, lihat target, sumber, dan tujuan.

  • SRC_NETWORK_SCOPE: menunjukkan cakupan traffic jaringan sumber tempat aturan masuk diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.

  • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma

    Anda hanya dapat menggunakan --src-networks jika --src-network-scope ditetapkan ke VPC_NETWORKS.

  • DEST_NETWORK_SCOPE: menunjukkan cakupan traffic jaringan tujuan tempat aturan keluar diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.

  • IP_RANGES: daftar rentang alamat IP berformat CIDR yang dipisahkan koma, baik semua rentang alamat IPv4 maupun semua rentang alamat IPv6—contoh:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: daftar Tag yang dipisahkan koma.

    Anda tidak dapat menggunakan tag aman sumber jika cakupan jaringan ditetapkan ke INTERNET.

  • COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma

    • Untuk arah masuk, tentukan kode negara dalam tanda --src-region-code. Anda tidak dapat menggunakan flag --src-region-code untuk arah keluar, atau saat --src-network-scope ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, kode negara ditentukan dalam flag --dest-region-code. Anda tidak dapat menggunakan flag --dest-region-code untuk arah masuk, atau saat --dest-network-scope ditetapkan ke NON_INTERNET.
  • LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma

    • Untuk arah masuk, tentukan daftar sumber Google Threat Intelligence di tanda --src-threat-intelligence. Anda tidak dapat menggunakan flag --src-threat-intelligence untuk arah ekspor, atau saat --src-network-scope ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan di flag --dest-threat-intelligence. Anda tidak dapat menggunakan flag --dest-threat-intelligence untuk arah ingress, atau saat --dest-network-scope ditetapkan ke NON_INTERNET.
  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah traffic masuk, tentukan grup alamat sumber dalam tanda --src-address-groups; Anda tidak dapat menggunakan tanda --src-address-groups untuk arah traffic keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam flag --dest-address-groups; Anda tidak dapat menggunakan flag --dest-address-groups untuk arah masuk
  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain

    • Untuk arah traffic masuk, tentukan nama domain sumber dalam flag --src-fqdns; Anda tidak dapat menggunakan flag --src-fqdns untuk arah traffic keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam flag --dest-fqdns; Anda tidak dapat menggunakan flag --dest-fqdns untuk arah masuk
  • PROTOCOL_PORT: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Untuk mengetahui informasi selengkapnya, lihat protokol dan port.

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang diberikan

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak akan dipertimbangkan saat memproses koneksi; menghapus tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Menjelaskan aturan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unik
  • POLICY_NAME: nama kebijakan yang berisi aturan

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin dihapus.

  5. Klik Hapus.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • POLICY_NAME: kebijakan yang berisi aturan

Meng-clone aturan dari satu kebijakan ke kebijakan lainnya

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan yang aturannya ingin Anda salin.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Jika Anda ingin segera mengaitkan kebijakan baru, klik Lanjutkan > Aitkan kebijakan jaringan dengan resource.

  7. Klik Clone.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Ganti kode berikut:

  • POLICY_NAME: kebijakan target tempat Anda ingin mengganti aturan dengan aturan yang di-clone.
  • SOURCE_POLICY: URL resource untuk kebijakan sumber tempat Anda ingin meng-clone aturan.

Mendapatkan aturan firewall yang efektif untuk jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC yang ditentukan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka jaringan VPC

  2. Klik jaringan yang aturan kebijakan firewallnya ingin Anda lihat.

  3. Klik Kebijakan firewall.

  4. Luaskan setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

  • NETWORK_NAME: jaringan yang aturan efektifnya ingin Anda lihat.

Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall yang efektif untuk antarmuka VM

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine yang ditentukan.

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Di menu pull-down pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Lihat aturan firewall yang efektif di Detail firewall dan rute.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
  • INTERFACE: antarmuka VM yang aturan efektifnya ingin Anda lihat; nilai defaultnya adalah nic0.
  • ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.