Gunakan kebijakan dan aturan firewall jaringan regional

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan regional.

Tugas kebijakan {i>firewall<i}

Membuat kebijakan firewall jaringan regional

Anda dapat membuat kebijakan untuk jaringan VPC apa pun dalam project. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC apa pun dalam project Anda. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM di jaringan terkait.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Beri Nama kebijakan.

  5. Untuk Cakupan deployment, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.

  6. Jika Anda ingin membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule.

    Untuk mengetahui detailnya, lihat Membuat aturan firewall.

  7. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Continue, lalu klik Associate policy with VPC networks.

    Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan jaringan VPC.

  8. Klik Create.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama untuk kebijakan.
  • DESCRIPTION: deskripsi kebijakan.
  • REGION_NAME: wilayah yang ingin Anda terapkan ke kebijakan.

Mengaitkan kebijakan dengan jaringan

Kaitkan kebijakan dengan jaringan untuk mengaktifkan aturan kebijakan bagi setiap VM dalam jaringan tersebut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Atribusi.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Ganti kode berikut:

  • POLICY_NAME: baik nama pendek atau nama kebijakan yang dibuat sistem
  • NETWORK_NAME: nama jaringan Anda
  • ASSOCIATION_NAME: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan disetel ke "organisasi ORG_ID" atau "folder FOLDER_ID"
  • REGION_NAME: wilayah untuk menerapkan kebijakan

Menjelaskan kebijakan firewall jaringan regional

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini diperhitungkan dalam batas per kebijakan.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Perbarui deskripsi kebijakan firewall jaringan regional

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Description.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah Deskripsi.

  6. Klik Save.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Membuat daftar kebijakan firewall jaringan regional

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.

    Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia dalam project Anda.

gcloud 

gcloud compute network-firewall-policies list
    --regions=LIST_OF_REGIONS

Hapus kebijakan firewall jaringan regional

Anda harus menghapus semua pengaitan di kebijakan firewall jaringan sebelum dapat menghapusnya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus Atribusi.

  7. Setelah semua pengaitan dihapus, klik Hapus.

gcloud

  1. Menampilkan daftar semua jaringan yang terkait dengan kebijakan firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Hapus atribusi satu per satu. Untuk menghapus pengaitan, Anda harus memiliki peran compute.SecurityAdmin di jaringan VPC yang terkait.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Hapus kebijakan:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Menghapus atribusi

Untuk menghentikan penerapan kebijakan firewall pada jaringan, hapus pengaitan.

Namun, jika ingin menukar satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Tindakan ini akan memberikan jangka waktu ketika tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih atribusi yang ingin dihapus.

  6. Klik Hapus Atribusi.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tugas aturan kebijakan firewall

Membuat aturan firewall jaringan

Aturan kebijakan firewall jaringan harus dibuat dalam kebijakan firewall jaringan regional. Aturan ini tidak akan aktif sampai Anda mengaitkan kebijakan yang memuatnya ke jaringan VPC.

Setiap aturan kebijakan firewall jaringan dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik nama kebijakan regional Anda.

  4. Untuk Firewall Rules, klik Create.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan angka prioritas ke aturan yang memungkinkan penyisipan berikutnya (seperti 100, 200, 300).
    2. Setel pengumpulan Log ke Aktif atau Nonaktif.
    3. Untuk Arah traffic, pilih traffic masuk atau keluar.
    4. Untuk Action on match, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow), ditolak (Tolak), atau apakah evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki (Buka berikutnya).
    5. Tentukan Targets aturan.
      • Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih Semua instance dalam jaringan.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan Tag, pilih Amankan tag. Klik SELECT SCOPE lalu pilih organisasi atau project tempat Anda ingin membuat key-value pair Tag. Masukkan key-value pair tempat aturan akan diterapkan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
      • Jika Anda ingin aturan tersebut diterapkan ke instance tertentu oleh akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan tersebut ada dalam project saat ini atau yang lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.
    6. Untuk aturan Ingress, tentukan Source filter:
      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.
      • Untuk membatasi sumber menurut Tag, klik PILIH SCOPE di bagian Tag. Pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan key-value pair tempat aturan akan diterapkan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
    7. Untuk aturan Traffic keluar, tetapkan Tujuan filter:
      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk tujuan IPv6 apa pun.
    8. Opsional: Jika Anda membuat aturan Ingress, tentukan FQDN sumber tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih FQDN tujuan tempat aturan ini akan diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.
    9. Opsional: Jika Anda membuat Ingress rule, pilih sumber Geolocations tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih tujuan Geolocations tujuan tempat aturan ini diterapkan. Untuk informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
    10. Opsional: Jika Anda membuat aturan Ingress, pilih sumber Address groups tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih Grup alamat tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
    11. Opsional: Jika Anda membuat aturan Ingress, pilih sumber daftar Google Cloud Threat Intelligence tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic Keluar, pilih ke daftar Google Cloud Threat Intelligence tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang Kecerdasan Ancaman, lihat Kecerdasan Ancaman untuk aturan kebijakan firewall.

    12. Opsional: Untuk aturan Ingress, tentukan filter Destination:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke kolom Destination IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk informasi selengkapnya, lihat Tujuan untuk aturan masuk.

    13. Opsional: Untuk aturan Traffic keluar, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR di kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.

    14. Untuk Protokol dan port, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana aturan tersebut diterapkan.

    15. Klik Create.

  6. Klik Add rule untuk menambahkan aturan lain. Klik Continue > Associate policy with VPC networks untuk mengaitkan kebijakan dengan jaringan, atau klik Create untuk membuat kebijakan tersebut.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas pada aturan yang memungkinkan penyisipan berikutnya (seperti 100, 200, 300).

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • goto_next: meneruskan evaluasi koneksi ke level berikutnya dalam hierarki, baik folder maupun jaringan

  • POLICY_NAME: nama kebijakan firewall jaringan

  • PROTOCOL_PORT: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Untuk informasi selengkapnya, lihat protokol dan port.

  • TARGET_SECURE_TAG: daftar tag aman yang dipisahkan koma untuk menentukan target

  • SERVICE_ACCOUNT: daftar akun layanan yang dipisahkan koma untuk menentukan target

  • DIRECTION: menunjukkan apakah aturannya adalah aturan ingress atau egress; defaultnya adalah ingress

    • Sertakan --src-ip-ranges untuk menentukan rentang IP bagi sumber traffic
    • Sertakan --dest-ip-ranges untuk menentukan rentang IP bagi tujuan traffic

    Untuk informasi selengkapnya, lihat target, sumber, dan tujuan.

  • IP_RANGES: daftar yang dipisahkan koma untuk rentang IP berformat CIDR, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: daftar Tag yang dipisahkan koma

  • COUNTRY_CODE: daftar yang dipisahkan koma dari kode negara dua huruf

    • Untuk arah masuk, tentukan kode negara sumber dalam parameter --src-region-code; Anda tidak dapat menggunakan parameter --src-region-code untuk arah keluar
    • Untuk rute keluar, tentukan kode negara tujuan dalam parameter --dest-region-code; Anda tidak dapat menggunakan parameter --dest-region-code untuk arah masuk

  • LIST_NAMES: nama yang dipisahkan koma dari daftar Threat Intelligence

    • Untuk arah masuk, tentukan daftar Kecerdasan Ancaman sumber dalam parameter --src-threat-intelligence; Anda tidak dapat menggunakan parameter --src-threat-intelligence untuk arah keluar
    • Untuk arah keluar, tentukan daftar Kecerdasan Ancaman tujuan di parameter --dest-threat-intelligence; Anda tidak dapat menggunakan parameter --dest-threat-intelligence untuk arah masuk

  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah masuk, tentukan grup alamat sumber dalam parameter --src-address-groups; Anda tidak dapat menggunakan parameter --src-address-groups untuk arah keluar
    • Untuk arah keluar, tentukan grup alamat tujuan di parameter --dest-address-groups; Anda tidak dapat menggunakan parameter --dest-address-groups untuk arah masuk

  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan dalam Format nama domain

    • Untuk arah masuk, tentukan nama domain sumber dalam parameter --src-fqdns; Anda tidak dapat menggunakan parameter --src-fqdns untuk arah keluar
    • Untuk arah keluar, tentukan grup alamat tujuan di parameter --dest-fqdns; Anda tidak dapat menggunakan parameter --dest-fqdns untuk arah masuk

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang ditentukan

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak dipertimbangkan saat memproses koneksi; menghilangkan flag ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

  • REGION_NAME: wilayah untuk menerapkan kebijakan

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Save.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Jelaskan aturan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas yang unik, setelan ini akan mengidentifikasi aturan secara unik
  • POLICY_NAME: nama kebijakan yang berisi aturan
  • REGION_NAME: wilayah untuk menerapkan kebijakan.

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin dihapus.

  5. Klik Delete.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • POLICY_NAME: kebijakan yang berisi aturan
  • REGION_NAME: wilayah untuk menerapkan kebijakan

Menggandakan aturan dari satu kebijakan ke kebijakan lainnya

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.

  3. Klik kebijakan yang aturannya ingin Anda salin.

  4. Klik Clone di bagian atas layar.

  5. Berikan nama kebijakan target.

  6. Klik Continue > Associate network policy with resources jika Anda ingin segera mengaitkan kebijakan baru.

  7. Klik Clone.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • SOURCE_POLICY: kebijakan tempat aturan akan disalin; harus berupa URL resource
  • REGION_NAME: wilayah untuk menerapkan kebijakan

Mendapatkan kebijakan firewall jaringan regional yang efektif

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan kebijakan firewall jaringan yang diterapkan ke region tertentu.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ganti kode berikut:

  • REGION_NAME: region tempat Anda ingin melihat aturan efektif.
  • NETWORK_NAME: jaringan tempat Anda ingin melihat aturan efektif.