Menggunakan kebijakan dan aturan firewall jaringan regional

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan regional.

Tugas kebijakan firewall

Membuat kebijakan firewall jaringan regional

Anda dapat membuat kebijakan untuk jaringan Virtual Private Cloud (VPC) apa pun dalam project Google Cloud Anda. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC apa pun dalam project Anda. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM di jaringan terkait.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.create

Peran

  • compute.securityAdmin pada project tempat Anda ingin membuat kebijakan
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda dalam organisasi.

  3. Klik Create firewall policy.

  4. Di kolom Nama, masukkan nama kebijakan.

  5. Untuk Deployment scope, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.

  6. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall jaringan.

  7. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Aitkan kebijakan dengan jaringan VPC.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

  8. Klik Buat.

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama untuk kebijakan
  • DESCRIPTION: deskripsi untuk kebijakan
  • REGION_NAME: region yang ingin Anda terapkan ke kebijakan.

Mengaitkan kebijakan dengan jaringan

Kaitkan kebijakan dengan jaringan untuk mengaktifkan aturan kebijakan bagi VM apa pun dalam jaringan tersebut.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.use pada kebijakan firewall

Peran

  • compute.securityAdmin
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Asosiasi.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME \
    [ --replace-association-on-target true ]

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem
  • NETWORK_NAME: nama jaringan Anda
  • ASSOCIATION_NAME: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.
  • REGION_NAME: region tempat menerapkan kebijakan

Menjelaskan kebijakan firewall jaringan regional

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini dihitung dalam batas per kebijakan.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.get

Peran

  • compute.networkAdmin
    • atau
  • compute.securityAdmin pada project
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Memperbarui deskripsi kebijakan firewall jaringan regional

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.update

Peran

  • compute.networkAdmin atau
  • compute.securityAdmin di project tempat kebijakan berada atau di kebijakan itu sendiri
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Di kolom Deskripsi, ubah deskripsi.

  6. Klik Simpan.

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Mencantumkan kebijakan firewall jaringan regional

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.list

Peran

  • compute.securityAdmin
    • atau
  • compute.networkAdmin
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan.

    Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia di project Anda.

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Menghapus kebijakan firewall jaringan regional

Anda harus menghapus semua pengaitan pada kebijakan firewall jaringan sebelum dapat menghapusnya.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.delete

Peran

  • compute.securityAdmin
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan yang ingin dihapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus Pengaitan.

  7. Setelah semua pengaitan dihapus, klik Hapus.

  1. Cantumkan semua jaringan yang terkait dengan kebijakan firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Menghapus asosiasi individu. Untuk menghapus pengaitan, Anda harus memiliki peran Admin Keamanan Compute (roles/compute.SecurityAdmin) di jaringan Virtual Private Cloud (VPC) terkait.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Menghapus kebijakan:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Menghapus atribusi

Untuk menghentikan penerapan kebijakan firewall di jaringan, hapus pengaitan.

Namun, jika ingin mengganti satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan meninggalkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.use

Peran

  • compute.securityAdmin
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus Pengaitan.

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tugas aturan kebijakan firewall

Membuat aturan firewall jaringan

Aturan kebijakan firewall jaringan harus dibuat dalam kebijakan firewall jaringan regional. Aturan tidak aktif hingga Anda mengaitkan kebijakan yang berisi ke jaringan VPC.

Setiap aturan kebijakan firewall jaringan dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.update

Peran

  • compute.securityAdmin di jaringan yang berisi kebijakan atau di kebijakan itu sendiri
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik nama kebijakan regional Anda.

  4. Untuk Firewall Rules, klik Create.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
    2. Tetapkan koleksi Logs ke On atau Off.
    3. Untuk Direction of traffic, pilih ingress atau egress.
    4. Untuk Tindakan saat kecocokan, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Izinkan), ditolak (Tolak), atau apakah evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki (Buka berikutnya).
    5. Tentukan Targets aturan.
      • Jika Anda ingin aturan diterapkan ke semua instance di jaringan, pilih All instances in the network.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan Tag, pilih Secure tags. Klik SELECT SCOPE dan pilih organisasi atau project tempat Anda ingin membuat pasangan nilai kunci Tag. Masukkan pasangan nilai kunci yang akan diterapkan aturan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan berada dalam project saat ini atau project lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.

    6. Untuk aturan Ingress, tentukan Source filter:

      • Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.
      • Untuk membatasi sumber menurut Tag, klik SELECT SCOPE di bagian Tags. Pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan pasangan nilai kunci yang akan diterapkan oleh aturan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.

    7. Untuk aturan Egress, tentukan Filter tujuan:

      • Untuk memfilter traffic keluar berdasarkan rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar berdasarkan rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IP. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    8. Opsional: Jika Anda membuat aturan Masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.

    9. Opsional: Jika Anda membuat Aturan masuk, pilih Geolokasi sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    10. Opsional: Jika Anda membuat aturan Ingress, pilih Address groups sumber tempat aturan ini berlaku. Jika Anda membuat aturan Egress, pilih Address groups tujuan tempat aturan ini berlaku. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    11. Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    12. Opsional: Untuk aturan Ingress, tentukan filter Destination:

      • Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk berdasarkan rentang IPv6 tujuan, pilih Rentang IPv6 dan masukkan blok CIDR ke dalam kolom Rentang IPv6 tujuan. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    13. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar berdasarkan rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.

    14. Untuk Protocols and ports, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku.

    15. Klik Buat.

  6. Klik Tambahkan aturan untuk menambahkan aturan lain. Klik Lanjutkan > Atribusikan kebijakan dengan jaringan VPC untuk mengatribusikan kebijakan dengan jaringan, atau klik Buat untuk membuat kebijakan.

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan

  • POLICY_NAME: nama kebijakan firewall jaringan

  • PROTOCOL_PORT: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya:

    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Untuk mengetahui informasi selengkapnya, lihat protokol dan port.

  • TARGET_SECURE_TAG: daftar tag aman yang dipisahkan koma untuk menentukan target

  • SERVICE_ACCOUNT: daftar akun layanan yang dipisahkan koma untuk menentukan target

  • DIRECTION: menunjukkan apakah aturan tersebut adalah aturan ingress atau egress; default-nya adalah ingress

    • Menyertakan --src-ip-ranges untuk menentukan rentang IP sumber traffic
    • Menyertakan --dest-ip-ranges untuk menentukan rentang IP tujuan traffic

    Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.

  • SRC_NETWORK_SCOPE: menunjukkan cakupan traffic jaringan sumber yang menjadi tempat aturan masuk diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.

  • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma

    Anda hanya dapat menggunakan --src-networks jika --src-network-scope ditetapkan ke VPC_NETWORKS.

  • DEST_NETWORK_SCOPE: menunjukkan cakupan traffic jaringan tujuan tempat aturan keluar diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.

  • IP_RANGES: daftar rentang IP berformat CIDR yang dipisahkan koma, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: daftar Tag yang dipisahkan koma.

    Anda tidak dapat menggunakan tag aman sumber jika cakupan jaringan ditetapkan ke INTERNET.

  • COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma

    • Untuk arah masuk, tentukan kode negara sumber dalam tanda --src-region-code. Anda tidak dapat menggunakan flag --src-region-code untuk arah keluar, atau saat --src-network-scope ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan kode negara tujuan dalam tanda --dest-region-code; Anda tidak dapat menggunakan tanda --dest-region-code untuk arah masuk

  • LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma

    • Untuk arah traffic masuk, tentukan daftar Google Threat Intelligence sumber di tanda --src-threat-intelligence. Anda tidak dapat menggunakan flag --src-threat-intelligence untuk arah ekspor, atau saat --src-network-scope ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan dalam flag --dest-threat-intelligence; Anda tidak dapat menggunakan flag --dest-threat-intelligence untuk arah masuk

  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah traffic masuk, tentukan grup alamat sumber dalam tanda --src-address-groups; Anda tidak dapat menggunakan tanda --src-address-groups untuk arah traffic keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam flag --dest-address-groups; Anda tidak dapat menggunakan flag --dest-address-groups untuk arah masuk

  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain

    • Untuk arah traffic masuk, tentukan nama domain sumber dalam flag --src-fqdns; Anda tidak dapat menggunakan flag --src-fqdns untuk arah traffic keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam flag --dest-fqdns; Anda tidak dapat menggunakan flag --dest-fqdns untuk arah masuk

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang diberikan

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak akan dipertimbangkan saat memproses koneksi; menghapus tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

  • REGION_NAME: region tempat menerapkan kebijakan

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall jaringan.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.update

Peran

  • compute.securityAdmin
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Menjelaskan aturan

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.update

Peran

  • compute.securityAdmin
    • atau
  • compute.networkAdmin
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unik
  • POLICY_NAME: nama kebijakan yang berisi aturan
  • REGION_NAME: region tempat menerapkan kebijakan.

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.update

Peran

  • compute.securityAdmin pada project yang menghosting kebijakan atau pada kebijakan itu sendiri
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin dihapus.

  5. Klik Hapus.

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • POLICY_NAME: kebijakan yang berisi aturan
  • REGION_NAME: region tempat menerapkan kebijakan

Meng-clone aturan dari satu kebijakan ke kebijakan lainnya

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.regionFirewallPolicies.cloneRules

Peran

  • compute.securityAdmin pada project atau pada kebijakan itu sendiri
Konsol gcloud

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan.

  3. Klik kebijakan yang aturannya ingin Anda salin.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Klik Lanjutkan > Atribusikan kebijakan jaringan dengan resource jika Anda ingin segera mengatribusikan kebijakan baru.

  7. Klik Clone.

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • SOURCE_POLICY: kebijakan tempat menyalin aturan; harus berupa URL resource
  • REGION_NAME: region tempat menerapkan kebijakan

Mendapatkan kebijakan firewall jaringan regional yang efektif

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan kebijakan firewall jaringan yang diterapkan ke region tertentu.

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

  • compute.networks.getEffectiveFirewalls di jaringan

Peran

  • compute.securityAdmin
  • compute.viewer
  • compute.networkUser
  • compute.networkViewer
gcloud 
gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ganti kode berikut:

  • REGION_NAME: region tempat Anda ingin melihat aturan yang berlaku.
  • NETWORK_NAME: jaringan yang aturan efektifnya ingin Anda lihat.