Saat membuat aturan kebijakan firewall, Anda menentukan serangkaian komponen yang menentukan tindakan aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).
Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya.
Aturan traffic masuk
Arah traffic masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke target Google Cloud. Aturan masuk berlaku untuk paket masuk, dengan tujuan paket adalah target.
Aturan masuk dengan tindakan deny
melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis menyertakan beberapa aturan firewall VPC yang sudah terisi otomatis, yang mengizinkan traffic masuk untuk jenis traffic tertentu.
Aturan keluar
Arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan traffic keluar berlaku untuk paket untuk koneksi baru dengan sumber paket sebagai target.
Aturan keluar dengan tindakan allow
memungkinkan instance mengirim traffic ke tujuan yang ditentukan dalam aturan. Traffic keluar dapat ditolak oleh aturan firewall deny
dengan prioritas lebih tinggi. Google Cloud juga memblokir atau
membatasi jenis traffic tertentu.
Komponen aturan kebijakan firewall
Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional menggunakan komponen yang dijelaskan di bagian ini. Istilah kebijakan firewall mengacu pada salah satu dari tiga jenis kebijakan ini. Untuk informasi selengkapnya tentang jenis kebijakan firewall, lihat Kebijakan firewall.
Aturan kebijakan firewall umumnya berfungsi sama seperti aturan firewall VPC, tetapi ada beberapa perbedaan seperti yang dijelaskan di bagian berikut.
Prioritas
Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan dalam kebijakan firewall mirip dengan prioritas aturan firewall VPC, dengan perbedaan berikut:
- Setiap aturan dalam kebijakan firewall harus memiliki prioritas unik.
- Prioritas aturan dalam kebijakan firewall berfungsi sebagai ID unik aturan. Aturan dalam kebijakan firewall tidak menggunakan nama untuk identifikasi.
- Prioritas aturan dalam kebijakan firewall menentukan urutan evaluasi dalam kebijakan firewall itu sendiri. Aturan firewall VPC dan aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional dievaluasi seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.
Tindakan jika ada kecocokan
Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:
allow
mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.deny
tidak mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.
apply_security_profile_group
secara transparan mencegat traffic dan mengirimnya ke endpoint firewall yang dikonfigurasi untuk pemeriksaan Lapisan 7.
goto_next
melanjutkan proses evaluasi aturan.
Penegakan
Anda dapat memilih apakah aturan kebijakan firewall diberlakukan dengan menetapkan statusnya ke aktif atau nonaktif. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.
Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.
Protocols and ports
Serupa dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.
Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp
, udp
, icmp
(untuk ICMP IPv4), esp
, ah
, sctp
, dan ipip
. Untuk semua protokol lainnya, gunakan
nomor protokol
IANA.
Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa
protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp
atau nomor protokol 1
. Untuk ICMP IPv6, gunakan nomor protokol 58
.
Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokol.
Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.
Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.
Logging
Logging untuk aturan kebijakan firewall berfungsi sama seperti untuk Logging Aturan Firewall VPC, kecuali untuk hal berikut:
Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan tingkat resource tempat kebijakan dilampirkan. Misalnya,
0
berarti kebijakan diterapkan ke organisasi, dan1
berarti kebijakan diterapkan ke folder tingkat teratas dalam organisasi.Log untuk aturan kebijakan firewall menyertakan kolom
target_resource
yang mengidentifikasi jaringan VPC tempat aturan berlaku.
- Logging hanya dapat diaktifkan untuk aturan
allow
,deny
, danapply_security_profile_group
; logging tidak dapat diaktifkan untuk aturangoto_next
.
Target, sumber, tujuan
Parameter target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.
Anda dapat menentukan parameter sumber dan parameter tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan nilai yang mungkin untuk parameter sumber dan tujuan.
Parameter target, sumber, dan tujuan berfungsi bersama.
Target
Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node GKE dan instance lingkungan fleksibel App Engine.
Anda dapat menentukan target untuk aturan masuk atau keluar. Opsi target yang valid bergantung pada jenis kebijakan firewall.
Target untuk aturan kebijakan firewall hierarkis
Aturan kebijakan firewall hierarkis mendukung target berikut:
Target terluas default: Jika Anda menghapus spesifikasi target dalam aturan kebijakan firewall hierarkis, aturan firewall akan berlaku untuk semua instance di semua jaringan VPC di semua project dalam node Pengelola Resource (folder atau organisasi) yang terkait dengan kebijakan firewall. Ini adalah kumpulan target yang paling luas.
Jaringan tertentu: Jika Anda menentukan satu atau beberapa jaringan VPC menggunakan parameter
target-resources
, kumpulan target terluas akan dipersempit ke VM dengan antarmuka jaringan di setidaknya salah satu jaringan VPC yang ditentukan.Instance yang diidentifikasi oleh akun layanan: Jika Anda menentukan satu atau beberapa akun layanan menggunakan parameter
target-service-accounts
, kumpulan target terluas akan dipersempit ke VM yang menggunakan salah satu akun layanan yang ditentukan.Jaringan dan instance tertentu yang diidentifikasi oleh akun layanan: Jika Anda menentukan parameter
target-resources
dan parametertarget-service-accounts
, kumpulan target terluas akan dipersempit ke VM yang memenuhi kedua kriteria berikut:- VM memiliki antarmuka jaringan di salah satu jaringan VPC yang ditentukan.
- VM menggunakan salah satu akun layanan yang ditentukan.
Target untuk aturan kebijakan firewall jaringan global
Aturan kebijakan firewall jaringan global mendukung target berikut:
Target default—semua instance dalam jaringan VPC: Jika Anda menghapus spesifikasi target dalam aturan kebijakan firewall jaringan global, aturan firewall akan berlaku untuk instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan. Instance dapat ditempatkan di region mana pun. Ini adalah kumpulan target yang paling luas.
Instance berdasarkan tag aman target: Jika Anda menentukan tag target dengan parameter
target-secure-tags
, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang terikat dengan tag tersebut.Instance berdasarkan akun layanan target: Jika Anda menentukan akun layanan dengan parameter
target-service-accounts
, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.
Target untuk aturan kebijakan firewall jaringan regional
Aturan kebijakan firewall jaringan regional mendukung target berikut:
Target default—semua instance di region dan jaringan VPC: Jika Anda menghapus spesifikasi target dalam aturan kebijakan firewall jaringan regional, aturan firewall akan berlaku untuk instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan. Instance harus berada di region yang sama dengan kebijakan. Ini adalah kumpulan target yang paling luas.
Instance berdasarkan tag aman target: Jika Anda menentukan tag target dengan parameter
target-secure-tags
, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang terikat dengan tag tersebut.Instance berdasarkan akun layanan target: Jika Anda menentukan akun layanan dengan parameter
target-service-accounts
, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.
Target dan alamat IP untuk aturan masuk
Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:
Jika aturan firewall traffic masuk menyertakan rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.
Jika aturan firewall traffic masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:
Alamat IPv4 internal utama yang ditetapkan ke NIC instance.
Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.
Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.
Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, dengan instance direferensikan oleh instance target.
Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (
next-hop-instance
ataunext-hop-address
) sebagai VM next hop.Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (
next-hop-ilb
) sebagai next hop jika VM adalah backend untuk load balancer tersebut.
Target dan alamat IP untuk aturan keluar
Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP di VM target. Penerusan IP dinonaktifkan secara default.
Jika penerusan IP dinonaktifkan di VM target, VM dapat mengeluarkan paket dengan sumber berikut:
Alamat IPv4 internal utama dari NIC instance.
Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.
Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.
Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol. Hal ini valid jika instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.
Jika aturan firewall keluar menyertakan rentang alamat IP sumber, VM target masih dibatasi pada alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring kumpulan tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak memperluas kumpulan alamat sumber paket yang mungkin.
Jika aturan firewall traffic keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.
Jika VM target mengaktifkan penerusan IP, VM dapat memunculkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan dengan lebih tepat.
Sumber
Nilai parameter sumber bergantung pada hal berikut:
- Jenis kebijakan firewall yang berisi aturan firewall
- Arah aturan firewall
Sumber untuk aturan masuk dalam kebijakan firewall hierarkis
Anda dapat menggunakan sumber berikut untuk aturan masuk dalam kebijakan firewall hierarkis:
Rentang sumber default: Jika Anda menghapus spesifikasi sumber dalam aturan entrance, Google Cloud akan menggunakan rentang alamat IPv4 sumber default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai default tidak menyertakan sumber IPv6.Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.
Geolokasi: Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf untuk memfilter traffic masuk. Untuk informasi selengkapnya, lihat Objek geolokasi.
- Daftar Threat Intelligence: Daftar satu atau beberapa nama daftar Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Threat Intelligence untuk aturan kebijakan firewall.
Grup alamat sumber: Daftar satu atau beberapa grup alamat sumber yang terdiri dari CIDR IPv4 atau CIDR IPv6. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber: Daftar satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya tentang nama domain, lihat Nama domain untuk kebijakan firewall.
Kombinasi sumber yang valid: Anda dapat menentukan berbagai kombinasi sumber sebelumnya dalam aturan masuk. Set sumber yang efektif adalah gabungan kombinasi ini.
Saat Anda menentukan kombinasi sumber dalam aturan masuk, aturan tersebut diterapkan ke paket yang cocok dengan setidaknya salah satu kriteria parameter sumber.
Ikuti panduan ini saat menentukan kombinasi sumber untuk aturan:
- Jangan gunakan rentang alamat IPv4 sumber dan rentang alamat IPv6 sumber dalam aturan yang sama.
- Jangan gunakan grup alamat sumber yang berisi CIDR IPv4 dengan grup alamat sumber lain yang berisi CIDR IPv6 dalam aturan yang sama.
- Jangan gunakan rentang alamat IPv4 sumber dan grup alamat sumber yang berisi CIDR IPv6 dalam aturan yang sama.
- Jangan gunakan rentang alamat IPv6 sumber dan grup alamat sumber yang berisi CIDR IPv4 dalam aturan yang sama.
Sumber untuk aturan masuk dalam kebijakan firewall jaringan
Anda dapat menggunakan sumber berikut untuk aturan masuk dalam kebijakan firewall jaringan global dan regional:
Rentang sumber default: Jika Anda menghapus spesifikasi sumber dalam aturan entrance, Google Cloud akan menggunakan rentang alamat IPv4 sumber default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai default tidak menyertakan sumber IPv6.Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.
Geolokasi: Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf untuk memfilter traffic masuk. Untuk informasi selengkapnya, lihat Objek geolokasi.
- Daftar Threat Intelligence: Daftar satu atau beberapa nama daftar Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Intelijen Ancaman untuk aturan kebijakan firewall.
Grup alamat sumber: Daftar satu atau beberapa grup alamat sumber yang terdiri dari CIDR IPv4 atau CIDR IPv6. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber: Daftar satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya tentang nama domain, lihat Nama domain untuk kebijakan firewall.
Tag aman sumber: Satu atau beberapa tag aman yang mengidentifikasi antarmuka jaringan instance VM di jaringan VPC yang sama tempat kebijakan firewall jaringan berlaku, atau di jaringan VPC yang terhubung ke jaringan kebijakan firewall menggunakan Peering Jaringan VPC. Selain itu, jika kebijakan tersebut adalah kebijakan firewall jaringan regional, instance VM harus berada di region yang sama dengan kebijakan.
Kombinasi sumber yang valid: Anda dapat menentukan berbagai kombinasi sumber sebelumnya dalam aturan masuk. Set sumber yang efektif adalah gabungan kombinasi ini.
Saat Anda menentukan kombinasi sumber dalam aturan masuk, aturan tersebut diterapkan ke paket yang cocok dengan setidaknya salah satu kriteria parameter sumber.
Ikuti panduan ini saat menentukan kombinasi sumber untuk aturan:
- Jangan gunakan rentang alamat IPv4 sumber dan rentang alamat IPv6 sumber dalam aturan yang sama.
- Jangan gunakan grup alamat sumber yang berisi CIDR IPv4 dengan grup alamat sumber lain yang berisi CIDR IPv6 dalam aturan yang sama.
- Jangan gunakan rentang alamat IPv4 sumber dan grup alamat sumber yang berisi CIDR IPv6 dalam aturan yang sama.
- Jangan gunakan rentang alamat IPv6 sumber dan grup alamat sumber yang berisi CIDR IPv4 dalam aturan yang sama.
Cara tag aman sumber menyiratkan sumber paket
Aturan ingress dalam kebijakan firewall jaringan global dan regional dapat menentukan sumber menggunakan tag aman. Setiap tag aman dikaitkan dengan satu jaringan VPC. Tag aman hanya dapat diikat ke VM jika VM tersebut memiliki antarmuka jaringan di jaringan VPC yang sama dengan jaringan tempat tag aman dikaitkan.
Aturan masuk dalam kebijakan jaringan global dan regional berlaku untuk paket yang dipancarkan dari antarmuka jaringan VM yang terikat dengan tag aman, dengan VM memenuhi salah satu kriteria berikut:
Antarmuka jaringan VM menggunakan jaringan VPC yang sama dengan kebijakan firewall.
Antarmuka jaringan VM menggunakan jaringan VPC yang terhubung ke jaringan VPC kebijakan firewall menggunakan Peering Jaringan VPC.
Selain menentukan antarmuka jaringan, alamat IP sumber berikut akan di-resolve:
- Alamat IPv4 internal utama dari antarmuka jaringan tersebut
- Setiap alamat IPv6 yang ditetapkan ke antarmuka jaringan tersebut
Jika aturan firewall masuk juga berisi rentang alamat IP tujuan, antarmuka jaringan yang terikat dengan tag aman akan di-resolve ke versi IP yang sama dengan rentang IP tujuan.
Tidak ada alamat IP sumber paket lain yang di-resolve saat menggunakan tag aman sumber. Misalnya, rentang alamat IP alias dan alamat IPv4 eksternal yang terkait dengan antarmuka jaringan dikecualikan. Jika Anda perlu membuat aturan firewall traffic masuk yang sumbernya mencakup rentang alamat IP alias atau alamat IPv4 eksternal, gunakan rentang alamat IPv4 sumber.
Sumber untuk aturan keluar
Anda dapat menggunakan sumber berikut untuk aturan keluar di kebijakan firewall hierarkis dan kebijakan firewall jaringan:
Default—dikaitkan dengan target: Jika Anda menghapus parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.
Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.
Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:
- Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan keluar, parameter tujuan akan di-resolve ke versi IP yang sama dengan versi IP sumber.
Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 di parameter sumber dan objek FQDN di parameter tujuan. Jika FQDN di-resolve menjadi alamat IPv4 dan IPv6, hanya alamat IPv4 yang di-resolve yang akan digunakan selama penerapan aturan.
Tujuan
Tujuan dapat ditentukan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar dalam kebijakan firewall hierarkis dan jaringan. Perilaku tujuan default bergantung pada arah aturan.
Tujuan untuk aturan traffic masuk
Anda dapat menggunakan tujuan berikut untuk aturan firewall masuk dalam kebijakan firewall hierarkis dan jaringan:
Default—dikaitkan dengan target: Jika Anda menghapus parameter tujuan dari aturan masuk, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan masuk.
Rentang alamat IPv4 tujuan: Daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 tujuan: Daftar alamat IPv6 dalam format CIDR.
Ikuti panduan ini untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:
Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.
Jika Anda memiliki parameter sumber dan tujuan yang ditentukan dalam aturan entrance, parameter sumber akan di-resolve ke versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan masuk, lihat Sumber untuk aturan masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan masuk dalam kebijakan firewall jaringan.
Misalnya, dalam aturan masuk, Anda memiliki rentang alamat IPv6 di parameter tujuan dan kode negara geolokasi di parameter sumber. Selama penegakan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.
Tujuan untuk aturan traffic keluar
Anda dapat menggunakan tujuan berikut untuk aturan firewall keluar dalam kebijakan firewall hierarkis dan jaringan:
Rentang tujuan default: Jika Anda menghilangkan spesifikasi tujuan dalam aturan keluar, Google Cloud akan menggunakan rentang alamat IPv4 tujuan default
0.0.0.0/0
(alamat IPv4 apa pun). Nilai default tidak menyertakan tujuan IPv6.Rentang alamat IPv4 tujuan: Daftar alamat IPv4 dalam format CIDR.
Rentang alamat IPv6 tujuan: Daftar alamat IPv6 dalam format CIDR.
Geolokasi: Daftar satu atau beberapa lokasi geografis tujuan yang ditentukan sebagai kode negara atau wilayah dua huruf untuk memfilter traffic masuk. Untuk informasi selengkapnya, lihat Objek geolokasi.
- Daftar Threat Intelligence: Daftar satu atau beberapa nama daftar Threat Intelligence yang telah ditentukan. Untuk mengetahui informasi selengkapnya, lihat Threat Intelligence untuk aturan kebijakan firewall.
Grup alamat tujuan: Daftar satu atau beberapa grup alamat tujuan yang terdiri dari CIDR IPv4 atau CIDR IPv6. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
Nama domain tujuan: Daftar satu atau beberapa nama domain tujuan. Untuk mengetahui informasi selengkapnya tentang nama domain, lihat Nama domain untuk kebijakan firewall.
Kombinasi tujuan yang valid: Anda dapat menentukan berbagai kombinasi tujuan sebelumnya dalam aturan masuk. Kumpulan tujuan yang efektif adalah gabungan dari kombinasi ini.
Saat Anda menentukan kombinasi tujuan dalam aturan keluar, aturan tersebut akan diterapkan ke paket yang cocok dengan setidaknya salah satu kriteria parameter tujuan.
Ikuti panduan ini saat menentukan kombinasi tujuan untuk aturan:
- Jangan gunakan rentang alamat IPv4 tujuan dan rentang alamat IPv6 tujuan dalam aturan yang sama.
- Jangan gunakan grup alamat tujuan yang berisi CIDR IPv4 dengan grup alamat tujuan lain yang berisi CIDR IPv6 dalam aturan yang sama.
- Jangan gunakan rentang alamat IPv4 tujuan dan grup alamat tujuan yang berisi CIDR IPv6 dalam aturan yang sama.
- Jangan gunakan rentang alamat IPv6 tujuan dan grup alamat tujuan yang berisi CIDR IPv4 dalam aturan yang sama.
Objek geolokasi
Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi atau wilayah geografis tertentu.
Anda dapat menerapkan aturan dengan objek geolokasi ke traffic masuk dan keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan kode negara akan dicocokkan dengan sumber atau tujuan traffic.
Anda dapat mengonfigurasi objek geolokasi untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.
Untuk menambahkan geolokasi ke aturan kebijakan firewall, gunakan kode negara atau wilayah dua huruf seperti yang ditentukan dalam kode negara ISO 3166 alpha-2.
Misalnya, jika Anda hanya ingin mengizinkan traffic masuk dari Amerika Serikat ke jaringan, buat aturan kebijakan firewall masuk dengan kode negara sumber yang ditetapkan ke
US
dan tindakan yang ditetapkan keallow
. Demikian pula, jika Anda ingin mengizinkan traffic keluar hanya ke Amerika Serikat, konfigurasikan aturan kebijakan firewall keluar dengan kode negara tujuan ditetapkan keUS
dan tindakan ditetapkan keallow
.Cloud Next Generation Firewall memungkinkan Anda mengonfigurasi aturan firewall untuk wilayah berikut yang tunduk pada sanksi Amerika Serikat yang komprehensif:
Wilayah Kode yang ditetapkan Krimea XC Wilayah yang disebut sebagai Republik Rakyat Donetsk dan Republik Rakyat Luhansk XD Jika ada kode negara duplikat yang disertakan dalam satu aturan firewall, hanya satu entri untuk kode negara tersebut yang dipertahankan. Entri duplikat akan dihapus. Misalnya, dalam daftar kode negara
ca,us,us
, hanyaca,us
yang dipertahankan.Google mengelola database dengan pemetaan alamat IP dan kode negara. Firewall Google Cloud menggunakan database ini untuk memetakan alamat IP traffic sumber dan tujuan ke kode negara, lalu menerapkan aturan kebijakan firewall yang cocok dengan objek geolokasi.
Terkadang, penetapan alamat IP dan kode negara berubah karena kondisi berikut:
- Pergerakan alamat IP di seluruh lokasi geografis
- Pembaruan pada standar kode negara ISO 3166 alpha-2
Karena perlu waktu beberapa saat agar perubahan ini diterapkan di database Google, Anda mungkin melihat beberapa gangguan traffic dan perubahan perilaku untuk traffic tertentu yang diblokir atau diizinkan.
Menggunakan objek geolokasi dengan filter aturan kebijakan firewall lainnya
Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Bergantung pada arah aturan, aturan kebijakan firewall diterapkan ke traffic masuk atau keluar yang cocok dengan gabungan semua filter yang ditentukan.
Untuk informasi tentang cara kerja objek geolokasi dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.
Untuk informasi tentang cara kerja objek geolokasi dengan filter tujuan lain dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.
Kecerdasan Ancaman untuk aturan kebijakan firewall
Aturan kebijakan firewall memungkinkan Anda mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Intelijen Ancaman. Data Intelijen Ancaman mencakup daftar alamat IP berdasarkan kategori berikut:
- Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitas mereka, blokir alamat IP node keluar Tor (endpoint tempat traffic keluar dari jaringan Tor).
- Alamat IP berbahaya yang diketahui: Alamat IP yang diketahui sebagai asal serangan aplikasi web. Untuk meningkatkan postur keamanan aplikasi, blokir alamat IP ini.
- Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
- Rentang alamat IP cloud publik: Kategori ini dapat diblokir untuk
menghindari alat otomatis berbahaya agar tidak menjelajahi aplikasi web atau diizinkan jika
layanan Anda menggunakan cloud publik lainnya. Kategori ini dibagi lagi menjadi
subkategori berikut:
- Rentang alamat IP yang digunakan oleh Amazon Web Services
- Rentang alamat IP yang digunakan oleh Microsoft Azure
- Rentang alamat IP yang digunakan oleh Google Cloud
- Rentang alamat IP yang digunakan oleh layanan Google
Daftar data Intelijen Ancaman dapat mencakup alamat IPv4, alamat IPv6, atau keduanya. Untuk mengonfigurasi Intelijen Ancaman dalam aturan kebijakan firewall, gunakan nama daftar Intelijen Ancaman yang telah ditentukan sebelumnya berdasarkan kategori yang ingin Anda izinkan atau blokir. Daftar ini terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Nama daftar yang valid adalah sebagai berikut.
Nama daftar | Deskripsi |
---|---|
iplist-tor-exit-nodes |
Mencocokkan alamat IP node keluar TOR |
iplist-known-malicious-ips |
Mencocokkan alamat IP yang diketahui menyerang aplikasi web |
iplist-search-engines-crawlers |
Mencocokkan alamat IP crawler mesin telusur |
iplist-vpn-providers |
Mencocokkan alamat IP yang dimiliki oleh penyedia VPN bereputasi rendah |
iplist-anon-proxies |
Mencocokkan alamat IP yang merupakan milik proxy anonim terbuka |
iplist-crypto-miners |
Mencocokkan alamat IP yang dimiliki situs penambangan mata uang kripto |
iplist-public-clouds
|
Mencocokkan alamat IP yang dimiliki oleh cloud publik
|
Menggunakan Threat Intelligence dengan filter aturan kebijakan firewall lainnya
Untuk menentukan aturan kebijakan firewall dengan Threat Intelligence, ikuti panduan berikut:
Untuk aturan keluar, tentukan tujuan menggunakan satu atau beberapa daftar Threat Intelligence tujuan.
Untuk aturan masuk, tentukan sumber menggunakan satu atau beberapa daftar Threat Intelligence sumber.
Anda dapat mengonfigurasi daftar Intelijen Ancaman untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.
Anda dapat menggunakan daftar ini bersama dengan komponen filter aturan sumber atau tujuan lainnya.
Untuk mengetahui informasi tentang cara kerja daftar Threat Intelligence dengan filter sumber lain dalam aturan masuk, lihat Sumber untuk aturan masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan masuk dalam kebijakan firewall jaringan.
Untuk informasi tentang cara kerja daftar Threat Intelligence dengan filter tujuan lain dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.
Logging firewall dilakukan di tingkat aturan. Untuk memudahkan Anda men-debug dan menganalisis efek aturan firewall, jangan sertakan beberapa daftar Threat Intelligence dalam satu aturan firewall.
Anda dapat menambahkan beberapa daftar Intelijen Ancaman ke aturan kebijakan firewall. Setiap nama daftar yang disertakan dalam aturan dihitung sebagai satu atribut, terlepas dari jumlah alamat IP atau rentang alamat IP yang disertakan dalam daftar tersebut. Misalnya, jika Anda telah menyertakan nama daftar
iplist-tor-exit-nodes
,iplist-known-malicious-ips
, daniplist-search-engines-crawlers
dalam aturan kebijakan firewall, jumlah atribut aturan per kebijakan firewall akan bertambah tiga. Untuk mengetahui informasi selengkapnya tentang jumlah atribut aturan, lihat Kuota dan batas.
Membuat pengecualian untuk daftar Threat Intelligence
Jika memiliki aturan yang berlaku untuk daftar Threat Intelligence, Anda dapat menggunakan teknik berikut untuk membuat aturan pengecualian yang berlaku untuk alamat IP tertentu dalam daftar Threat Intelligence:
Pemberian izin selektif: Misalnya, Anda memiliki aturan firewall masuk atau keluar yang menolak paket dari atau ke daftar Threat Intelligence. Untuk mengizinkan paket dari atau ke alamat IP yang dipilih dalam daftar Threat Intelligence tersebut, buat aturan firewall izin masuk atau keluar prioritas tinggi terpisah yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.
Daftar tolak selektif: Misalnya, Anda memiliki aturan firewall masuk atau keluar yang mengizinkan paket dari atau ke daftar Threat Intelligence. Untuk menolak paket dari atau ke alamat IP yang dipilih dalam daftar Threat Intelligence tersebut, buat aturan firewall tolak masuk atau keluar dengan prioritas lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.
Grup alamat untuk kebijakan firewall
Grup alamat adalah kumpulan logis dari rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Grup alamat dapat diperbarui tanpa mengubah aturan firewall yang menggunakannya. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
Anda dapat menentukan grup alamat sumber dan tujuan untuk aturan firewall masuk dan keluar.
Untuk informasi tentang cara kerja grup alamat sumber dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.
Untuk informasi tentang cara kerja grup alamat tujuan dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.
Objek FQDN
Gunakan objek nama domain yang sepenuhnya memenuhi syarat (FQDN) dalam aturan kebijakan firewall untuk memfilter traffic masuk atau keluar dari atau ke domain tertentu.
Anda dapat menerapkan aturan kebijakan firewall yang menggunakan objek FQDN ke traffic masuk dan traffic keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan nama domain akan dicocokkan dengan sumber atau tujuan traffic.
Anda dapat mengonfigurasi objek FQDN dalam aturan kebijakan firewall untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.
Anda harus menentukan objek FQDN dalam sintaksis FQDN standar
Untuk informasi selengkapnya tentang format nama domain, lihat Format nama domain.
Pada interval berkala, Cloud NGFW memperbarui aturan kebijakan firewall yang berisi objek FQDN dengan hasil resolusi nama domain terbaru.
Nama domain yang ditentukan dalam aturan kebijakan firewall di-resolve menjadi alamat IP berdasarkan urutan resolusi nama VPC Cloud DNS. Cloud DNS akan memberi tahu Cloud NGFW jika ada perubahan pada hasil resolusi nama domain, yang juga dikenal sebagai data domain name system (DNS).
Jika dua nama domain di-resolve ke alamat IP yang sama, aturan kebijakan firewall akan berlaku untuk alamat IP tersebut, bukan hanya satu domain. Dengan kata lain, objek FQDN adalah entitas Lapisan 3.
Jika objek FQDN dalam aturan kebijakan firewall keluar menyertakan domain yang memiliki CNAME dalam data DNS, Anda harus mengonfigurasi aturan kebijakan firewall keluar dengan semua nama domain yang dapat dikueri VM Anda—termasuk semua alias potensial—untuk memastikan perilaku aturan firewall yang andal. Jika VM Anda mengkueri CNAME yang tidak dikonfigurasi dalam aturan kebijakan firewall keluar, kebijakan tersebut mungkin tidak berfungsi selama perubahan data DNS.
Anda juga dapat menggunakan nama DNS internal Compute Engine dalam aturan kebijakan firewall jaringan. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif di kebijakan server keluar.
Jika ingin menambahkan nama domain kustom dalam aturan kebijakan firewall jaringan, Anda dapat menggunakan zona yang dikelola Cloud DNS untuk resolusi nama domain. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif dalam kebijakan server keluar. Untuk informasi selengkapnya tentang pengelolaan zona, lihat Membuat, mengubah, dan menghapus zona.
Batasan
Batasan berikut berlaku untuk aturan firewall masuk dan keluar yang menggunakan objek FQDN:
- Objek FQDN tidak mendukung karakter pengganti (*) dan nama domain level teratas (root).
Misalnya,
*.example.com.
dan.org
tidak didukung.
Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall ingress. Anda harus mempertimbangkan batasan berikut saat menentukan objek FQDN untuk aturan masuk:
Nama domain dapat me-resolve ke maksimum 32 alamat IPv4 dan 32 alamat IPv6. Kueri DNS yang me-resolve ke lebih dari 32 alamat IPv4 dan 32 alamat IPv6 dipotong untuk hanya menyertakan 32 alamat IPv4 atau IPv6 dari alamat IP yang di-resolve tersebut. Oleh karena itu, jangan sertakan nama domain yang me-resolve ke lebih dari 32 alamat IPv4 dan IPv6 dalam aturan kebijakan firewall masuk.
Beberapa kueri nama domain memiliki jawaban unik berdasarkan lokasi klien yang meminta. Lokasi tempat resolusi DNS aturan kebijakan firewall dilakukan adalah region Google Cloud yang berisi VM tempat aturan kebijakan firewall diterapkan.
Jangan gunakan aturan ingress yang menggunakan objek FQDN jika hasil resolusi nama domain sangat bervariasi atau resolusi nama domain menggunakan bentuk load balancing berbasis DNS. Misalnya, banyak nama domain Google menggunakan skema load balancing berbasis DNS.
Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall keluar, tetapi sebaiknya jangan gunakan objek FQDN dengan data A DNS yang memiliki TTL (time-to-live) kurang dari 90 detik.
Menggunakan objek FQDN dengan filter aturan kebijakan firewall lainnya
Dalam aturan kebijakan firewall, Anda dapat menentukan objek FQDN beserta filter sumber atau tujuan lainnya.
Untuk mengetahui informasi tentang cara kerja objek FQDN dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.
Untuk informasi tentang cara kerja objek FQDN dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.
Format nama domain
Firewall VPC mendukung format nama domain seperti yang ditentukan dalam RFC 1035 , RFC 1123 , dan RFC 4343.
Untuk menambahkan nama domain ke aturan kebijakan firewall, ikuti panduan format berikut:
Nama domain harus berisi minimal dua label yang dijelaskan sebagai berikut:
- Setiap label cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut:
[a-z]([-a-z0-9][a-z0-9])?.
. - Panjang setiap label adalah 1-63 karakter.
- Label digabungkan dengan titik (.).
- Setiap label cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut:
Panjang maksimum nama domain yang dienkode tidak boleh melebihi 255 byte (octet).
Anda juga dapat menambahkan Nama Domain yang Diinternasionalkan (IDN) ke aturan kebijakan firewall.
Nama domain harus dalam format Unicode atau Punycode.
Jika Anda menentukan IDN dalam format Unicode, firewall Google Cloud akan mengonversinya ke format Punycode sebelum diproses. Atau, Anda dapat menggunakan Alat Konverter IDN untuk mendapatkan representasi Punycode dari IDN.
Firewall Google Cloud tidak mendukung nama domain yang setara dalam aturan kebijakan firewall yang sama. Setelah mengonversi nama domain ke Punycode, jika kedua nama domain berbeda paling banyak dengan titik di bagian akhir, nama domain tersebut dianggap setara.
Skenario pengecualian FQDN
Saat menggunakan objek FQDN dalam aturan kebijakan firewall, Anda mungkin mengalami pengecualian berikut selama resolusi nama DNS:
Nama domain tidak valid: Jika Anda menentukan satu atau beberapa nama domain yang menggunakan format yang tidak valid saat membuat aturan kebijakan firewall, Anda akan menerima error. Aturan kebijakan firewall tidak dapat dibuat kecuali jika semua nama domain diformat dengan benar.
Nama domain tidak ada (
NXDOMAIN
): Jika nama domain tidak ada, Google Cloud akan mengabaikan objek FQDN dari aturan kebijakan firewall.Tidak ada resolusi alamat IP: Jika nama domain tidak di-resolve ke alamat IP apa pun, objek FQDN akan diabaikan.
Server Cloud DNS tidak dapat dijangkau: Jika server DNS tidak dapat dijangkau, aturan kebijakan firewall yang menggunakan objek FQDN hanya berlaku jika hasil resolusi DNS yang di-cache sebelumnya tersedia. Objek FQDN aturan diabaikan jika tidak ada hasil resolusi DNS yang di-cache atau hasil DNS yang di-cache telah habis masa berlakunya.
Langkah selanjutnya
- Kebijakan firewall hierarkis
- Kebijakan firewall jaringan global
- Kebijakan firewall jaringan regional