Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan kebijakan dan aturan firewall hierarkis

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Batasan

Aturan kebijakan firewall hierarkis tidak mendukung tag sumber atau akun layanan sumber.
Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Sebagai gantinya, Anda harus menggunakan jaringan VPC target atau akun layanan target.
Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
Logging Aturan Firewall didukung untuk aturan allow dan deny, tetapi tidak didukung untuk aturan goto_next.
Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tugas kebijakan firewall

Catatan: Untuk memeriksa progres operasi yang tercantum di bagian ini, pastikan peran pengguna Anda memiliki izin peran Admin Kebijakan Firewall Organisasi Compute (roles/compute.orgFirewallPolicyAdmin) yang ditetapkan di tingkat organisasi:

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Buat kebijakan firewall

Anda dapat membuat kebijakan di resource mana pun (organisasi atau folder) dari hierarki organisasi. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan resource organisasi apa pun. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM dalam resource terkait dalam hierarki.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.create

Peran

compute.orgFirewallPolicyAdmin pada resource tempat Anda ingin membuat kebijakan

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi atau folder dalam organisasi Anda.
Klik Create firewall policy.
Beri Nama untuk kebijakan.
Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan > Tambahkan aturan.

Untuk mengetahui detailnya, lihat Membuat aturan firewall.
Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan > Kaitkan kebijakan dengan resource.

Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.
Klik Create.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Ganti kode berikut:

ORG_ID: ID organisasi Anda
Tentukan ID ini jika Anda membuat kebijakan di tingkat organisasi. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak otomatis mengaitkan kebijakan dengan resource organisasi.
FOLDER_ID: ID folder
Tentukan ID ini jika Anda membuat kebijakan di folder tertentu. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak otomatis mengaitkan kebijakan dengan folder tersebut.
SHORT_NAME: nama untuk kebijakan
Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang diberikan oleh Anda. Saat menggunakan Google Cloud CLI untuk memperbarui kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama singkat dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

Membuat aturan firewall

Aturan kebijakan firewall hierarkis harus dibuat dalam kebijakan firewall hierarkis. Aturan tidak aktif hingga Anda mengaitkan kebijakan yang berisi ke resource.

Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.update

Peran

compute.orgFirewallPolicyAdmin pada resource yang berisi kebijakan atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik nama kebijakan Anda.
Klik Tambahkan Aturan.
Isi kolom aturan:
1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
2. Tetapkan koleksi Logs ke On atau Off.
3. Untuk Direction of traffic, tentukan apakah aturan ini adalah Ingress atau Egress.
4. Untuk Action on match, pilih salah satu opsi berikut:
  1. Allow: mengizinkan koneksi yang cocok dengan aturan.
  2. Deny: menolak koneksi yang cocok dengan aturan.
  3. Go to next: evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
  4. Lanjutkan ke inspeksi L7: mengirim paket ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.
    - Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
    - Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Enable TLS inspection.
  Untuk mempelajari lebih lanjut cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.
5. Opsional: Anda dapat membatasi aturan ke jaringan tertentu dengan menentukannya di kolom Target jaringan. Klik TAMBAHKAN JARINGAN, lalu pilih Project dan Network. Anda dapat menambahkan beberapa jaringan target ke aturan.
6. Opsional: Anda dapat membatasi aturan ke VM yang berjalan dengan akses ke akun layanan tertentu dengan menentukan akun di kolom Target service accounts.
7. Untuk aturan Ingress, tentukan filter Source:
  - Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
  - Untuk memfilter traffic masuk berdasarkan rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.
8. Untuk aturan Egress, tentukan Filter tujuan:
  - Untuk memfilter traffic keluar berdasarkan rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
  - Untuk memfilter traffic keluar berdasarkan rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IP. Gunakan ::/0 untuk tujuan IPv6 apa pun.
9. Opsional: Jika Anda membuat aturan Masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.
10. Opsional: Jika Anda membuat aturan Ingress, pilih Geolocation sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
11. Opsional: Jika Anda membuat aturan Ingress, pilih Address groups sumber tempat aturan ini berlaku. Jika Anda membuat aturan Egress, pilih Address groups tujuan tempat aturan ini berlaku. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
12. Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Intelijen Ancaman, lihat Intelijen Ancaman untuk aturan kebijakan firewall.
13. Opsional: Untuk aturan Ingress, tentukan filter Destination:
  - Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
  - Untuk memfilter traffic masuk berdasarkan rentang IPv6 tujuan, pilih Rentang IPv6 dan masukkan blok CIDR ke dalam kolom Rentang IPv6 tujuan. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
14. Opsional: Untuk aturan Egress, tentukan filter Source:
  - Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
  - Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.
15. Untuk Protocols and ports, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku.
  
  Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya tentang protokol, lihat Protokol dan port.
16. Klik Create.
Klik Tambahkan aturan untuk menambahkan aturan lain.
Klik Lanjutkan > Kaitkan kebijakan dengan resource untuk mengaitkan kebijakan dengan resource, atau klik Buat untuk membuat kebijakan.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Ganti kode berikut:

PRIORITY: urutan evaluasi numerik aturan

Aturan dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
ORG_ID: ID organisasi Anda
POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem
DIRECTION: menunjukkan apakah aturan tersebut adalah aturan INGRESS (default) atau EGRESS
- Sertakan --src-ip-ranges untuk menentukan rentang IP sumber traffic.
- Sertakan --dest-ip-ranges untuk menentukan rentang IP tujuan traffic.
Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.
IP_RANGES: daftar rentang IP berformat CIDR yang dipisahkan koma, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:
--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma
- Untuk arah masuk, tentukan kode negara sumber dalam parameter --src-region-code; Anda tidak dapat menggunakan parameter --src-region-code untuk arah keluar
- Untuk arah keluar, tentukan kode negara tujuan dalam parameter --dest-region-code; Anda tidak dapat menggunakan parameter --dest-region-code untuk arah masuk
LIST_NAMES: daftar nama daftar Intelijen Ancaman yang dipisahkan koma
- Untuk arah masuk, tentukan daftar Threat Intelligence sumber dalam parameter --src-threat-intelligence; Anda tidak dapat menggunakan parameter --src-threat-intelligence untuk arah keluar
- Untuk arah keluar, tentukan daftar Threat Intelligence tujuan dalam parameter --dest-threat-intelligence; Anda tidak dapat menggunakan parameter --dest-threat-intelligence untuk arah masuk
ADDR_GRP_URL: ID URL unik untuk grup alamat
- Untuk arah masuk, tentukan grup alamat sumber dalam parameter --src-address-groups; Anda tidak dapat menggunakan parameter --src-address-groups untuk arah keluar
- Untuk arah keluar, tentukan grup alamat tujuan dalam parameter --dest-address-groups; Anda tidak dapat menggunakan parameter --dest-address-groups untuk arah masuk
DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain
- Untuk arah masuk, tentukan nama domain sumber dalam parameter --src-fqdns; Anda tidak dapat menggunakan parameter --src-fqdns untuk arah keluar
- Untuk arah keluar, tentukan grup alamat tujuan dalam parameter --dest-fqdns; Anda tidak dapat menggunakan parameter --dest-fqdns untuk arah masuk
ACTION: salah satu tindakan berikut:
- allow: mengizinkan koneksi yang cocok dengan aturan
- deny: menolak koneksi yang cocok dengan aturan
- apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7
- goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
Untuk mempelajari lebih lanjut cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.
SECURITY_PROFILE_GROUP: nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7; tentukan parameter ini hanya jika tindakan apply_security_profile_group dipilih
--tls-inspect: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakan apply_security_profile_group dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan --no-tls-inspect
PROTOCOL_PORT: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
NETWORKS: daftar URL resource jaringan VPC yang dipisahkan koma dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, dengan PROJECT_ID adalah project ID project yang berisi jaringan VPC, dan NETWORK_NAME adalah nama jaringan. Jika dihilangkan, aturan tersebut akan berlaku untuk semua jaringan VPC di bawah resource.

Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.
SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma; aturan hanya diterapkan ke VM yang berjalan dengan akses ke akun layanan yang ditentukan

Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.
--enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang diberikan
--disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak akan dipertimbangkan saat memproses koneksi; menghapus tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

Mengaitkan kebijakan dengan organisasi atau folder

Kaitkan kebijakan dengan resource untuk mengaktifkan aturan kebijakan bagi VM apa pun di bawah resource dalam hierarki.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.organizations.setFirewallPolicy pada resource target
compute.firewallPolicies.addAssociation pada kebijakan firewall

Peran

compute.orgSecurityResourceAdmin pada resource target dan compute.orgFirewallPolicyUser pada resource kebijakan atau pada kebijakan itu sendiri

atau

compute.orgSecurityResourceAdmin pada resource target dan compute.orgFirewallPolicyAdmin pada resource kebijakan atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik kebijakan Anda.
Klik tab Pengaitan.
Klik Tambahkan Asosiasi.
Pilih root organisasi atau pilih folder dalam organisasi.
Klik Tambahkan.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ganti kode berikut:

POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem
ORG_ID: ID organisasi Anda
FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan ke tingkat organisasi
ASSOCIATION_NAME: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan ke "organisasi ORG_ID" atau "folder FOLDER_ID"
--replace-association-on-target
Secara default, jika Anda mencoba menyisipkan atribusi ke organisasi atau folder yang sudah memiliki atribusi, metode akan gagal. Jika Anda menentukan tanda ini, atribusi yang ada akan dihapus bersamaan dengan pembuatan atribusi baru. Hal ini mencegah resource tanpa kebijakan selama transisi.

Memindahkan kebijakan dari satu resource ke resource lain

Memindahkan kebijakan akan mengubah resource yang memiliki kebijakan tersebut. Untuk memindahkan kebijakan, Anda harus memiliki izin move pada resource lama dan baru.

Memindahkan kebijakan tidak memengaruhi pengaitan kebijakan yang ada atau evaluasi aturan yang ada, tetapi dapat memengaruhi siapa yang memiliki izin untuk mengubah atau mengaitkan kebijakan setelah pemindahan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.move

Peran

compute.orgFirewallPolicyAdmin pada resource baru dan pada resource lama atau kebijakan itu sendiri

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Ganti kode berikut:

POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem yang Anda pindahkan
ORG_ID: ID organisasi Anda; jika Anda memindahkan kebijakan ke organisasi, tentukan ID ini, tetapi jangan tentukan folder
FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan ke organisasi

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.update

Peran

compute.orgFirewallPolicyAdmin pada resource tempat kebijakan berada atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik Edit.
Ubah Deskripsi.
Klik Simpan.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mencantumkan kebijakan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.list

Peran

compute.orgFirewallPolicyAdmin

atau

compute.orgFirewallPolicyUser

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.

Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.

Catatan: Kebijakan yang dimiliki oleh resource (organisasi atau folder) mungkin tidak dikaitkan dengan resource tersebut, tetapi tersedia untuk dikaitkan dengan resource tersebut atau resource lainnya.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menjelaskan kebijakan

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini dihitung dalam batas per kebijakan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.get

Peran

compute.orgFirewallPolicyAdmin

atau

compute.orgFirewallPolicyUser pada resource atau kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Anda harus menghapus semua pengaitan pada kebijakan firewall organisasi sebelum dapat menghapusnya.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.delete

Peran

compute.orgFirewallPolicyAdmin pada resource atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan yang ingin dihapus.
Klik tab Pengaitan.
Pilih semua asosiasi.
Klik Hapus Pengaitan.
Setelah semua pengaitan dihapus, klik Hapus.

gcloud

Cantumkan semua resource yang terkait dengan kebijakan firewall:

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus asosiasi individu. Untuk menghapus pengaitan, Anda harus memiliki peran compute.orgSecurityResourceAdmin di resource terkait atau ancestor resource tersebut.
```
gcloud compute firewall-policies associations delete RESOURCE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME
```

Menghapus kebijakan:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mencantumkan pengaitan untuk resource

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.organizations.listAssociations

Peran

compute.orgSecurityResourceAdmin

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan yang diwarisi akan muncul.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mencantumkan pengaitan untuk kebijakan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.organizations.listAssociations

Peran

compute.orgSecurityResourceAdmin pada resource atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Asosiasi tercantum dalam tabel.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Menghapus atribusi

Untuk menghentikan penerapan kebijakan firewall di organisasi atau folder, hapus pengaitan.

Namun, jika Anda ingin mengganti satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Tindakan ini akan menyebabkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.organizations.setFirewallPolicy pada resource target
compute.firewallPolicies.addAssociation pada kebijakan firewall

Peran

compute.orgSecurityResourceAdmin pada resource target dan compute.orgFirewallPolicyUser pada resource kebijakan atau kebijakan itu sendiri

atau

compute.orgSecurityResourceAdmin pada resource target dan compute.orgFirewallPolicyAdmin pada resource kebijakan atau kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Pilih pengaitan yang ingin Anda hapus.
Klik Hapus Pengaitan.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Membuat aturan dalam kebijakan firewall yang ada

Lihat Membuat aturan firewall.

Mencantumkan semua aturan dalam kebijakan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.get

Peran

compute.orgFirewallPolicyAdmin

atau

compute.orgFirewallPolicyUser pada resource atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda. Aturan tercantum di tab Aturan firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Menjelaskan aturan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.get

Peran

compute.orgFirewallPolicyAdmin

atau

compute.orgFirewallPolicyUser

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unik
ORG_ID: ID organisasi Anda
POLICY_NAME: nama singkat atau nama yang dibuat sistem dari kebijakan yang berisi aturan

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.update

Peran

compute.orgFirewallPolicyAdmin

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.
Klik Edit.
Ubah kolom yang ingin Anda ubah.
Klik Simpan.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Meng-clone aturan dari satu kebijakan ke kebijakan lainnya

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.copyRule

Peran

compute.orgFirewallPolicyAdmin pada resource atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan yang aturannya ingin Anda salin.
Klik Clone di bagian atas layar.
Masukkan nama kebijakan target.
Klik Lanjutkan > Atribusikan kebijakan dengan resource jika Anda ingin segera mengatribusikan kebijakan baru.
Klik Clone.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

POLICY_NAME: kebijakan untuk menerima aturan yang disalin
ORG_ID: ID organisasi Anda
SOURCE_POLICY: kebijakan tempat menyalin aturan; harus berupa URL resource

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.firewallPolicies.update

Peran

compute.orgFirewallPolicyAdmin pada resource yang menghosting kebijakan atau pada kebijakan itu sendiri

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Pilih aturan yang ingin dihapus.
Klik Hapus.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
ORG_ID: ID organisasi Anda
POLICY_NAME: kebijakan yang berisi aturan

Mendapatkan aturan firewall yang efektif untuk jaringan

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC yang ditentukan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.networks.getEffectiveFirewalls di jaringan

Peran

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Konsol

Di Konsol Google Cloud, buka halaman jaringan VPC.

Buka jaringan VPC
Klik jaringan yang aturan kebijakan firewallnya ingin Anda lihat.
Klik Kebijakan firewall.
Luaskan setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

NETWORK_NAME: jaringan untuk mendapatkan aturan yang efektif

Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.organizations.listAssociations di jaringan
(Opsional) resourcemanager.folders.get dan resourcemanager.organizations.get untuk melihat informasi di kolom Diwariskan dari dan Terletak di

Peran

Untuk melihat aturan firewall:

compute.orgSecurityResourceAdmin
compute.viewer

(Opsional) Untuk melihat informasi di kolom Diwarisi dari dan Terletak di:

browser
resourcemanager.organizationAdmin

Konsol

Di Konsol Google Cloud, buka halaman Firewall policies.

Buka Kebijakan firewall
Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.
Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall yang efektif untuk antarmuka VM

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine yang ditentukan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

compute.instances.getEffectiveFirewalls di jaringan

Peran

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Konsol

Di konsol Google Cloud, buka halaman Instance VM.

Buka instance VM
Di menu pull-down pemilih project, pilih project yang berisi VM.
Klik VM.
Untuk Network interfaces, klik antarmuka.
Aturan firewall yang efektif akan muncul di Detail firewall dan rute.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

INSTANCE_NAME: VM untuk mendapatkan aturan yang efektif; jika tidak ada antarmuka yang ditentukan, akan menampilkan aturan untuk antarmuka utama (nic0)
INTERFACE: antarmuka VM untuk mendapatkan aturan yang efektif; defaultnya adalah nic0
ZONE: zona VM; opsional jika zona yang dipilih sudah ditetapkan sebagai default

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda lihat.

FirewallPolicy may not specify a name. One will be provided.

Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dihasilkan oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah dipahami yang berfungsi sebagai alias dalam banyak konteks.
FirewallPolicy may not specify associations on creation.

Asosiasi hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.
Can not move firewall policy to a different organization.

Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi penggantian pengaitan yang ada ditetapkan ke benar (true).
Cannot have rules with the same priorities.

Prioritas aturan harus unik dalam kebijakan firewall hierarkis.
Direction must be specified on firewall policy rule.

Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, default-nya adalah INGRESS.
Can not specify enable_logging on a goto_next rule.

Firewall Logging tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk mewakili urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.
Must specify at least one destination on Firewall policy rule.

Parameter layer4Configs dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.

Untuk mengetahui detail selengkapnya tentang cara memecahkan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.