Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan regional.
Tugas kebijakan {i>firewall<i}
Membuat kebijakan firewall jaringan regional
Anda dapat membuat kebijakan untuk jaringan VPC apa pun dalam project. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC apa pun dalam project Anda. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM di jaringan terkait.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project dalam organisasi Anda.
Klik Create firewall policy.
Beri Nama kebijakan.
Untuk Cakupan deployment, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.
Jika Anda ingin membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule.
Untuk mengetahui detailnya, lihat Membuat aturan firewall.
Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Continue, lalu klik Associate policy with VPC networks.
Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan jaringan VPC.
Klik Create.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME --description DESCRIPTION \ --region=REGION_NAME
Ganti kode berikut:
NETWORK_FIREWALL_POLICY_NAME
: nama untuk kebijakan.DESCRIPTION
: deskripsi kebijakan.REGION_NAME
: wilayah yang ingin Anda terapkan ke kebijakan.
Mengaitkan kebijakan dengan jaringan
Kaitkan kebijakan dengan jaringan untuk mengaktifkan aturan kebijakan bagi setiap VM dalam jaringan tersebut.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.
Klik kebijakan Anda.
Klik tab Pengaitan.
Klik Tambahkan Atribusi.
Pilih jaringan dalam project.
Klik Kaitkan.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ --name ASSOCIATION_NAME \ --firewall-policy-region=REGION_NAME [ --replace-association-on-target true ]
Ganti kode berikut:
POLICY_NAME
: baik nama pendek atau nama kebijakan yang dibuat sistemNETWORK_NAME
: nama jaringan AndaASSOCIATION_NAME
: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan disetel ke "organisasiORG_ID
" atau "folderFOLDER_ID
"REGION_NAME
: wilayah untuk menerapkan kebijakan
Menjelaskan kebijakan firewall jaringan regional
Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini diperhitungkan dalam batas per kebijakan.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.
Klik kebijakan Anda.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Perbarui deskripsi kebijakan firewall jaringan regional
Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Description.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.
Klik kebijakan Anda.
Klik Edit.
Ubah Deskripsi.
Klik Save.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Membuat daftar kebijakan firewall jaringan regional
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.
Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia dalam project Anda.
gcloud
gcloud compute network-firewall-policies list --regions=LIST_OF_REGIONS
Hapus kebijakan firewall jaringan regional
Anda harus menghapus semua pengaitan di kebijakan firewall jaringan sebelum dapat menghapusnya.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.
Klik kebijakan yang ingin Anda hapus.
Klik tab Pengaitan.
Pilih semua pengaitan.
Klik Hapus Atribusi.
Setelah semua pengaitan dihapus, klik Hapus.
gcloud
Menampilkan daftar semua jaringan yang terkait dengan kebijakan firewall:
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Hapus atribusi satu per satu. Untuk menghapus pengaitan, Anda harus memiliki peran
compute.SecurityAdmin
di jaringan VPC yang terkait.gcloud compute network-firewall-policies associations delete \ --network-firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Hapus kebijakan:
gcloud compute network-firewall-policies delete POLICY_NAME \ --region=REGION_NAME
Menghapus atribusi
Untuk menghentikan penerapan kebijakan firewall pada jaringan, hapus pengaitan.
Namun, jika ingin menukar satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Tindakan ini akan memberikan jangka waktu ketika tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Pilih atribusi yang ingin dihapus.
Klik Hapus Atribusi.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --firewall-policy-region REGION_NAME
Tugas aturan kebijakan firewall
Membuat aturan firewall jaringan
Aturan kebijakan firewall jaringan harus dibuat dalam kebijakan firewall jaringan regional. Aturan ini tidak akan aktif sampai Anda mengaitkan kebijakan yang memuatnya ke jaringan VPC.
Setiap aturan kebijakan firewall jaringan dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan Anda.
Klik nama kebijakan regional Anda.
Untuk Firewall Rules, klik Create.
Isi kolom aturan:
- Prioritas: urutan evaluasi numerik aturan. Aturan
dievaluasi dari prioritas tertinggi ke terendah dengan
0
sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan angka prioritas ke aturan yang memungkinkan penyisipan berikutnya (seperti100
,200
,300
). - Setel pengumpulan Log ke Aktif atau Nonaktif.
- Untuk Arah traffic, pilih traffic masuk atau keluar.
- Untuk Action on match, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow), ditolak (Tolak), atau apakah evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki (Buka berikutnya).
- Tentukan Targets aturan.
- Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih Semua instance dalam jaringan.
- Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan Tag, pilih Amankan tag. Klik SELECT SCOPE lalu pilih organisasi atau project tempat Anda ingin membuat key-value pair Tag. Masukkan key-value pair tempat aturan akan diterapkan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
- Jika Anda ingin aturan tersebut diterapkan ke instance tertentu oleh akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan tersebut ada dalam project saat ini atau yang lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.
- Untuk aturan Ingress, tentukan Source filter:
- Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
0.0.0.0/0
untuk sumber IPv4 apa pun. - Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan
::/0
untuk sumber IPv6 apa pun. - Untuk membatasi sumber menurut Tag, klik PILIH SCOPE di bagian Tag. Pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan key-value pair tempat aturan akan diterapkan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
- Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
- Untuk aturan Traffic keluar, tetapkan Tujuan filter:
- Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
0.0.0.0/0
untuk tujuan IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan
::/0
untuk tujuan IPv6 apa pun.
- Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
- Opsional: Jika Anda membuat aturan Ingress, tentukan FQDN sumber tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih FQDN tujuan tempat aturan ini akan diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.
- Opsional: Jika Anda membuat Ingress rule, pilih sumber Geolocations tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih tujuan Geolocations tujuan tempat aturan ini diterapkan. Untuk informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
- Opsional: Jika Anda membuat aturan Ingress, pilih sumber Address groups tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih Grup alamat tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
- Opsional: Jika Anda membuat aturan Ingress, pilih sumber daftar Google Cloud Threat Intelligence tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic Keluar, pilih ke daftar Google Cloud Threat Intelligence tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang Kecerdasan Ancaman, lihat Kecerdasan Ancaman untuk aturan kebijakan firewall.
Opsional: Untuk aturan Ingress, tentukan filter Destination:
- Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
0.0.0.0/0
untuk tujuan IPv4 apa pun. - Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke kolom Destination IPv6 ranges. Gunakan
::/0
untuk tujuan IPv6 apa pun. Untuk informasi selengkapnya, lihat Tujuan untuk aturan masuk.
- Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
Opsional: Untuk aturan Traffic keluar, tentukan filter Source:
- Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
0.0.0.0/0
untuk sumber IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR di kolom IP range. Gunakan
::/0
untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.
- Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan
Untuk Protokol dan port, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana aturan tersebut diterapkan.
Klik Create.
- Prioritas: urutan evaluasi numerik aturan. Aturan
dievaluasi dari prioritas tertinggi ke terendah dengan
Klik Add rule untuk menambahkan aturan lain. Klik Continue > Associate policy with VPC networks untuk mengaitkan kebijakan dengan jaringan, atau klik Create untuk membuat kebijakan tersebut.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--description DESCRIPTION ]\ [--layer4-configs PROTOCOL_PORT] \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION]\ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--enable-logging | --no-enable-logging]\ [--disabled | --no-disabled]\ --firewall-policy-region=REGION_NAME
Ganti kode berikut:
PRIORITY
: urutan evaluasi numerik aturanAturan dievaluasi dari prioritas tertinggi hingga terendah, dengan
0
sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas pada aturan yang memungkinkan penyisipan berikutnya (seperti100
,200
,300
).ACTION
: salah satu tindakan berikut:allow
: mengizinkan koneksi yang cocok dengan aturandeny
: menolak koneksi yang cocok dengan aturangoto_next
: meneruskan evaluasi koneksi ke level berikutnya dalam hierarki, baik folder maupun jaringan
POLICY_NAME
: nama kebijakan firewall jaringanPROTOCOL_PORT
: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17
), protokol dan port tujuan (tcp:80
), atau protokol dan rentang port tujuan (tcp:5000-6000
)Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Untuk informasi selengkapnya, lihat protokol dan port.
TARGET_SECURE_TAG
: daftar tag aman yang dipisahkan koma untuk menentukan targetSERVICE_ACCOUNT
: daftar akun layanan yang dipisahkan koma untuk menentukan targetDIRECTION
: menunjukkan apakah aturannya adalah aturaningress
atauegress
; defaultnya adalahingress
- Sertakan
--src-ip-ranges
untuk menentukan rentang IP bagi sumber traffic - Sertakan
--dest-ip-ranges
untuk menentukan rentang IP bagi tujuan traffic
Untuk informasi selengkapnya, lihat target, sumber, dan tujuan.
- Sertakan
IP_RANGES
: daftar yang dipisahkan koma untuk rentang IP berformat CIDR, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: daftar Tag yang dipisahkan komaCOUNTRY_CODE
: daftar yang dipisahkan koma dari kode negara dua huruf- Untuk arah masuk, tentukan kode negara sumber dalam parameter
--src-region-code
; Anda tidak dapat menggunakan parameter--src-region-code
untuk arah keluar - Untuk rute keluar, tentukan kode negara tujuan dalam parameter
--dest-region-code
; Anda tidak dapat menggunakan parameter--dest-region-code
untuk arah masuk
- Untuk arah masuk, tentukan kode negara sumber dalam parameter
LIST_NAMES
: nama yang dipisahkan koma dari daftar Threat Intelligence- Untuk arah masuk, tentukan daftar Kecerdasan Ancaman sumber dalam parameter
--src-threat-intelligence
; Anda tidak dapat menggunakan parameter--src-threat-intelligence
untuk arah keluar - Untuk arah keluar, tentukan daftar Kecerdasan Ancaman tujuan di parameter
--dest-threat-intelligence
; Anda tidak dapat menggunakan parameter--dest-threat-intelligence
untuk arah masuk
- Untuk arah masuk, tentukan daftar Kecerdasan Ancaman sumber dalam parameter
ADDR_GRP_URL
: ID URL unik untuk grup alamat- Untuk arah masuk, tentukan grup alamat sumber dalam parameter
--src-address-groups
; Anda tidak dapat menggunakan parameter--src-address-groups
untuk arah keluar - Untuk arah keluar, tentukan grup alamat tujuan di parameter
--dest-address-groups
; Anda tidak dapat menggunakan parameter--dest-address-groups
untuk arah masuk
- Untuk arah masuk, tentukan grup alamat sumber dalam parameter
DOMAIN_NAME
: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan dalam Format nama domain- Untuk arah masuk, tentukan nama domain sumber dalam parameter
--src-fqdns
; Anda tidak dapat menggunakan parameter--src-fqdns
untuk arah keluar - Untuk arah keluar, tentukan grup alamat tujuan di parameter
--dest-fqdns
; Anda tidak dapat menggunakan parameter--dest-fqdns
untuk arah masuk
- Untuk arah masuk, tentukan nama domain sumber dalam parameter
--enable-logging
dan--no-enable-logging
: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang ditentukan--disabled
: menunjukkan bahwa aturan firewall, meskipun ada, tidak dipertimbangkan saat memproses koneksi; menghilangkan flag ini akan mengaktifkan aturan, atau Anda dapat menentukan--no-disabled
REGION_NAME
: wilayah untuk menerapkan kebijakan
Memperbarui aturan
Untuk deskripsi kolom, lihat Membuat aturan firewall.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.
Klik kebijakan Anda.
Klik prioritas aturan.
Klik Edit.
Ubah kolom yang ingin Anda ubah.
Klik Save.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME \ [...fields you want to modify...]
Jelaskan aturan
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.
Klik kebijakan Anda.
Klik prioritas aturan.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Ganti kode berikut:
PRIORITY
: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas yang unik, setelan ini akan mengidentifikasi aturan secara unikPOLICY_NAME
: nama kebijakan yang berisi aturanREGION_NAME
: wilayah untuk menerapkan kebijakan.
Menghapus aturan dari kebijakan
Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.
Klik kebijakan Anda.
Pilih aturan yang ingin dihapus.
Klik Delete.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Ganti kode berikut:
PRIORITY
: prioritas aturan yang ingin Anda hapus dari kebijakanPOLICY_NAME
: kebijakan yang berisi aturanREGION_NAME
: wilayah untuk menerapkan kebijakan
Menggandakan aturan dari satu kebijakan ke kebijakan lainnya
Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih project yang berisi kebijakan tersebut.
Klik kebijakan yang aturannya ingin Anda salin.
Klik Clone di bagian atas layar.
Berikan nama kebijakan target.
Klik Continue > Associate network policy with resources jika Anda ingin segera mengaitkan kebijakan baru.
Klik Clone.
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --region=REGION_NAME
Ganti kode berikut:
POLICY_NAME
: kebijakan untuk menerima aturan yang disalinSOURCE_POLICY
: kebijakan tempat aturan akan disalin; harus berupa URL resourceREGION_NAME
: wilayah untuk menerapkan kebijakan
Mendapatkan kebijakan firewall jaringan regional yang efektif
Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan kebijakan firewall jaringan yang diterapkan ke region tertentu.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \ --region=REGION_NAME \ --network=NETWORK_NAME
Ganti kode berikut:
REGION_NAME
: region tempat Anda ingin melihat aturan efektif.NETWORK_NAME
: jaringan tempat Anda ingin melihat aturan efektif.