Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menentukan serangkaian komponen yang menentukan tindakan aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).

Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya.

Aturan traffic masuk

Arah traffic masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke target Google Cloud. Aturan masuk berlaku untuk paket masuk, dengan tujuan paket adalah target.

Aturan masuk dengan tindakan deny melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis menyertakan beberapa aturan firewall VPC yang sudah terisi otomatis, yang mengizinkan traffic masuk untuk jenis traffic tertentu.

Aturan traffic keluar

Arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan traffic keluar berlaku untuk paket untuk koneksi baru dengan sumber paket sebagai target.

Aturan keluar dengan tindakan allow memungkinkan instance mengirim traffic ke tujuan yang ditentukan dalam aturan. Traffic keluar dapat ditolak oleh aturan firewall deny dengan prioritas lebih tinggi. Google Cloud juga memblokir atau membatasi jenis traffic tertentu.

Komponen aturan kebijakan firewall

Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional menggunakan komponen yang dijelaskan di bagian ini. Istilah kebijakan firewall mengacu pada salah satu dari tiga jenis kebijakan ini. Untuk informasi selengkapnya tentang jenis kebijakan firewall, lihat Kebijakan firewall.

Aturan kebijakan firewall umumnya berfungsi sama seperti aturan firewall VPC, tetapi ada beberapa perbedaan seperti yang dijelaskan di bagian berikut.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan dalam kebijakan firewall mirip dengan prioritas aturan firewall VPC, dengan perbedaan berikut:

• Setiap aturan dalam kebijakan firewall harus memiliki prioritas unik.
• Prioritas aturan dalam kebijakan firewall berfungsi sebagai ID unik aturan. Aturan dalam kebijakan firewall tidak menggunakan nama untuk identifikasi.
• Prioritas aturan dalam kebijakan firewall menentukan urutan evaluasi dalam kebijakan firewall itu sendiri. Aturan firewall VPC dan aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional dievaluasi seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:

• allow mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.
• deny tidak mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.

• apply_security_profile_group secara transparan mencegat traffic dan mengirimnya ke endpoint firewall yang dikonfigurasi untuk pemeriksaan Lapisan 7.

• goto_next melanjutkan proses evaluasi aturan.

Penegakan

Anda dapat memilih apakah aturan kebijakan firewall diberlakukan dengan menetapkan statusnya ke aktif atau nonaktif. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.

Protocols and ports

Serupa dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk ICMP IPv6, gunakan nomor protokol 58.

Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokol.

Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Logging

Logging untuk aturan kebijakan firewall berfungsi sama seperti untuk Logging Aturan Firewall VPC, kecuali untuk hal berikut:

• Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan tingkat resource tempat kebijakan dilampirkan. Misalnya, 0 berarti kebijakan diterapkan ke organisasi, dan 1 berarti kebijakan diterapkan ke folder tingkat teratas dalam organisasi.

• Log untuk aturan kebijakan firewall menyertakan kolom target_resource yang mengidentifikasi jaringan VPC tempat aturan berlaku.

• Logging hanya dapat diaktifkan untuk aturan allow,deny, dan apply_security_profile_group; logging tidak dapat diaktifkan untuk aturan goto_next.

Target, sumber, tujuan

Parameter target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.

Anda dapat menentukan parameter sumber dan parameter tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.

Parameter target, sumber, dan tujuan berfungsi bersama.

Target

Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node GKE dan instance lingkungan fleksibel App Engine.

Anda dapat menentukan target untuk aturan masuk atau keluar. Opsi target yang valid bergantung pada jenis kebijakan firewall.

Target untuk aturan kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis mendukung target berikut:

• Target terluas default: Jika Anda menghapus spesifikasi target dalam aturan kebijakan firewall hierarkis, aturan firewall akan berlaku untuk semua instance di semua jaringan VPC di semua project dalam node Pengelola Resource (folder atau organisasi) yang terkait dengan kebijakan firewall. Ini adalah kumpulan target yang paling luas.

• Jaringan tertentu: Jika Anda menentukan satu atau beberapa jaringan VPC menggunakan parameter target-resources, kumpulan target terluas akan dipersempit menjadi VM dengan antarmuka jaringan di setidaknya salah satu jaringan VPC yang ditentukan.

• Instance yang diidentifikasi oleh akun layanan: Jika Anda menentukan satu atau beberapa akun layanan menggunakan parameter target-service-accounts, kumpulan target terluas akan dipersempit ke VM yang menggunakan salah satu akun layanan yang ditentukan.

• Jaringan dan instance tertentu yang diidentifikasi oleh akun layanan: Jika Anda menentukan parameter target-resources dan parameter target-service-accounts, kumpulan target terluas akan dipersempit ke VM yang memenuhi kedua kriteria berikut:

  • VM memiliki antarmuka jaringan di salah satu jaringan VPC yang ditentukan.
  • VM menggunakan salah satu akun layanan yang ditentukan.

Target untuk aturan kebijakan firewall jaringan global

Aturan kebijakan firewall jaringan global mendukung target berikut:

• Target default—semua instance dalam jaringan VPC: Jika Anda menghapus spesifikasi target dalam aturan kebijakan firewall jaringan global, aturan firewall akan berlaku untuk instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan. Instance dapat berada di region mana pun. Ini adalah kumpulan target yang paling luas.

• Instance berdasarkan tag aman target: Jika Anda menentukan tag target dengan parameter target-secure-tags, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang terikat dengan tag tersebut.

• Instance berdasarkan akun layanan target: Jika Anda menentukan akun layanan dengan parameter target-service-accounts, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.

Target untuk aturan kebijakan firewall jaringan regional

Aturan kebijakan firewall jaringan regional mendukung target berikut:

• Target default—semua instance di region dan jaringan VPC: Jika Anda menghapus spesifikasi target dalam aturan kebijakan firewall jaringan regional, aturan firewall akan berlaku untuk instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan. Instance harus berada di region yang sama dengan kebijakan. Ini adalah kumpulan target yang paling luas.

• Instance berdasarkan tag aman target: Jika Anda menentukan tag target dengan parameter target-secure-tags, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang terikat dengan tag tersebut.

• Instance berdasarkan akun layanan target: Jika Anda menentukan akun layanan dengan parameter target-service-accounts, kumpulan target terluas akan dipersempit untuk hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.

Target dan alamat IP untuk aturan masuk

Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:

• Jika aturan firewall traffic masuk menyertakan rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.

• Jika aturan firewall traffic masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:

  • Alamat IPv4 internal utama yang ditetapkan ke NIC instance.

  • Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.

  • Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.

  • Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.

  • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.

  • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, dengan instance direferensikan oleh instance target.

  • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (next-hop-instance atau next-hop-address) sebagai VM next hop.

  • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (next-hop-ilb) sebagai next hop jika VM adalah backend untuk load balancer tersebut.

Target dan alamat IP untuk aturan keluar

Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP di VM target. Penerusan IP dinonaktifkan secara default.

• Jika penerusan IP dinonaktifkan di VM target, VM dapat mengeluarkan paket dengan sumber berikut:

  • Alamat IPv4 internal utama dari NIC instance.

  • Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.

  • Jika IPv6 dikonfigurasi di subnet, alamat IPv6 apa pun yang ditetapkan ke NIC.

  • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol. Hal ini valid jika instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.

  Jika aturan firewall keluar menyertakan rentang alamat IP sumber, VM target masih terbatas pada alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring kumpulan tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak memperluas kumpulan alamat sumber paket yang mungkin.

  Jika aturan firewall traffic keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.

• Jika VM target mengaktifkan penerusan IP, VM dapat memunculkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan dengan lebih tepat.

Sumber

Nilai parameter sumber bergantung pada hal berikut:

• Jenis kebijakan firewall yang berisi aturan firewall
• Arah aturan firewall

Sumber untuk aturan traffic masuk

Tabel berikut mencantumkan parameter sumber yang dapat digunakan satu per satu atau secara kombinasi satu sama lain dalam satu aturan kebijakan firewall masuk. Cloud NGFW mengharuskan Anda menentukan minimal satu parameter sumber.

Parameter sumber aturan traffic masuk	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Rentang alamat IP sumber Daftar sederhana yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat sumber Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan firewall mereferensikan kumpulan. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber Daftar satu atau beberapa nama domain sumber. Untuk informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Tag aman sumber Daftar satu atau beberapa tag aman sumber. Untuk informasi selengkapnya, lihat Cara tag aman sumber menyiratkan sumber paket.
Geolokasi sumber Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk informasi selengkapnya, lihat Objek geolokasi.
Daftar sumber Google Threat Intelligence Daftar satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Cakupan jaringan sumber Batasan yang menentukan batas keamanan. Untuk mengetahui informasi selengkapnya, lihat Cakupan jaringan.

Dalam satu aturan ingress, Anda dapat menggunakan dua parameter sumber atau lebih untuk menghasilkan kombinasi sumber. Cloud NGFW menerapkan batasan berikut pada kombinasi sumber setiap aturan masuk:

• Rentang alamat IP sumber harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
• Grup alamat sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
• Rentang alamat IP sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
• Rentang alamat IP sumber yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv4.
• Cakupan jaringan internet tidak dapat digunakan dengan tag aman sumber.
• Cakupan non-internet, cakupan jaringan VPC, dan cakupan antar-VPC tidak dapat digunakan dengan daftar Google Threat Intelligence sumber atau geolokasi sumber.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan masuk yang menggunakan kombinasi sumber:

• Jika kombinasi sumber tidak menyertakan cakupan jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan setidaknya satu parameter sumber dalam kombinasi sumber.

• Jika kombinasi sumber menyertakan cakupan jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan cakupan jaringan sumber dan setidaknya salah satu parameter sumber lainnya dalam kombinasi sumber.

Cara tag aman sumber menyiratkan sumber paket

Aturan ingress dalam kebijakan firewall jaringan global dan regional dapat menentukan sumber menggunakan tag aman. Setiap tag aman dikaitkan dengan satu jaringan VPC, dan tag aman hanya dapat diikat ke VM yang memiliki antarmuka jaringan di jaringan VPC tempat tag aman dikaitkan.

Paket yang dikirim dari antarmuka jaringan VM cocok dengan aturan traffic masuk yang menggunakan sumber tag aman jika kondisi berikut terpenuhi:

• Jika aturan masuk berada dalam kebijakan jaringan regional, VM harus berada di zona region kebijakan firewall jaringan. Jika aturan masuk berada dalam kebijakan firewall jaringan global, VM dapat berada di zona mana pun.

• Antarmuka jaringan VM yang mengirim paket memenuhi salah satu kriteria berikut:

  • Antarmuka jaringan VM berada di jaringan VPC yang sama dengan jaringan VPC tempat kebijakan firewall jaringan global atau regional berlaku.
  • Antarmuka jaringan VM berada di jaringan VPC yang terhubung, menggunakan Peering Jaringan VPC, ke jaringan VPC tempat kebijakan firewall jaringan global atau regional berlaku.
  • Jaringan VPC yang digunakan oleh antarmuka jaringan VM dan jaringan VPC tempat kebijakan firewall jaringan global atau regional berlaku adalah spoke VPC di hub Network Connectivity Center yang sama.

• Alamat IP sumber paket adalah salah satu dari berikut:

  • Alamat IPv4 internal utama dari antarmuka jaringan.
  • Alamat IPv6 apa pun (internal atau eksternal) yang ditetapkan ke antarmuka jaringan.

Tidak ada alamat IP sumber paket lain yang di-resolve saat menggunakan tag aman sumber. Misalnya, rentang alamat IP alias dan alamat IPv4 eksternal yang terkait dengan antarmuka jaringan dikecualikan. Jika Anda perlu membuat aturan firewall traffic masuk dengan sumber yang menyertakan rentang alamat IP alias atau alamat IPv4 eksternal, gunakan rentang alamat sumber atau grup alamat sumber.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan keluar dalam kebijakan firewall hierarkis dan kebijakan firewall jaringan:

• Default—dikaitkan dengan target: Jika Anda menghapus parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.

• Rentang alamat IPv4 sumber: Daftar alamat IPv4 dalam format CIDR.

• Rentang alamat IPv6 sumber: Daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:

• Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

• Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan keluar, parameter tujuan akan di-resolve ke versi IP yang sama dengan versi IP sumber.

  Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 di parameter sumber dan objek FQDN di parameter tujuan. Jika FQDN di-resolve menjadi alamat IPv4 dan IPv6, hanya alamat IPv4 yang di-resolve yang akan digunakan selama penerapan aturan.

Tujuan

Tujuan dapat ditentukan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar dalam kebijakan firewall hierarkis dan jaringan. Perilaku tujuan default bergantung pada arah aturan.

Tujuan untuk aturan traffic masuk

Anda dapat menggunakan tujuan berikut untuk aturan firewall masuk dalam kebijakan firewall hierarkis dan jaringan:

• Default—disederhanakan oleh target: Jika Anda menghapus parameter tujuan dari aturan masuk, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan masuk.

• Rentang alamat IPv4 tujuan: Daftar alamat IPv4 dalam format CIDR.

• Rentang alamat IPv6 tujuan: Daftar alamat IPv6 dalam format CIDR.

Ikuti panduan ini untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:

• Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

• Jika Anda memiliki parameter sumber dan tujuan yang ditentukan dalam aturan entrance, parameter sumber akan di-resolve ke versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan masuk, lihat Sumber untuk aturan masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan masuk dalam kebijakan firewall jaringan.

  Misalnya, dalam aturan masuk, Anda memiliki rentang alamat IPv6 di parameter tujuan dan kode negara geolokasi di parameter sumber. Selama penegakan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.

Tujuan untuk aturan traffic keluar

Tabel berikut mencantumkan parameter tujuan yang dapat digunakan satu per satu atau digabungkan satu sama lain dalam satu aturan kebijakan firewall keluar. Cloud NGFW mengharuskan Anda menentukan minimal satu parameter tujuan.

Parameter tujuan aturan keluar	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Rentang alamat IP tujuan Daftar sederhana yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat tujuan Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan kebijakan firewall mereferensikan kumpulan. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain tujuan Daftar satu atau beberapa nama domain sumber. Untuk informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Geolokasi tujuan Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence tujuan Daftar satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Cakupan jaringan tujuan Batasan yang menentukan batas keamanan. Untuk mengetahui informasi selengkapnya, lihat Cakupan jaringan.

Dalam satu aturan keluar, Anda dapat menggunakan dua atau beberapa parameter tujuan untuk menghasilkan kombinasi tujuan. Cloud NGFW menerapkan batasan berikut pada kombinasi tujuan dari setiap aturan keluar:

• Rentang alamat IP tujuan harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
• Grup alamat tujuan yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv6.
• Rentang alamat IP tujuan yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv6.
• Rentang alamat IP tujuan yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv4.
• Daftar Google Threat Intelligence tujuan atau geolokasi tujuan tidak dapat digunakan dengan cakupan jaringan non-internet tujuan.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan keluar yang menggunakan kombinasi tujuan:

• Jika kombinasi tujuan tidak menyertakan cakupan jaringan tujuan, paket akan cocok dengan aturan keluar jika cocok dengan setidaknya satu parameter tujuan dalam kombinasi tujuan.

• Jika kombinasi tujuan menyertakan cakupan jaringan tujuan, paket akan cocok dengan aturan keluar jika cocok dengan cakupan jaringan tujuan dan setidaknya salah satu parameter tujuan lainnya dalam kombinasi tujuan.

Cakupan jaringan

Cakupan jaringan membantu Anda memenuhi sasaran keamanan dengan menggunakan lebih sedikit aturan kebijakan firewall secara lebih efisien. Cloud NGFW mendukung empat jenis cakupan jaringan yang dapat digunakan untuk membuat kombinasi sumber atau kombinasi tujuan dalam aturan kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Jenis cakupan jaringan

Tabel berikut mencantumkan empat jenis cakupan jaringan dan apakah jenis cakupan dapat digunakan dalam kombinasi sumber aturan masuk, dalam kombinasi tujuan aturan keluar, atau keduanya.

Jenis cakupan jaringan	Sumber untuk aturan masuk	Tujuan untuk aturan traffic keluar
Internet (INTERNET)
Non-internet (NON_INTERNET)
Jaringan VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Cakupan internet dan non-internet tidak dapat terjadi secara bersamaan. Jaringan VPC dan cakupan intra-VPC adalah subset dari cakupan non-internet.

Cakupan internet

Cakupan internet (INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk atau sebagai bagian dari kombinasi tujuan aturan keluar:

• Untuk aturan masuk, tentukan sumber cakupan internet dan setidaknya satu parameter sumber lainnya, kecuali untuk sumber tag aman. Paket cocok dengan aturan entrance jika cocok dengan setidaknya salah satu parameter sumber lainnya dan cocok dengan parameter sumber cakupan internet.

• Untuk aturan keluar, tentukan tujuan cakupan internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lain dan cocok dengan parameter tujuan cakupan internet.

Bagian lainnya dalam bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam cakupan internet.

Cakupan internet untuk paket masuk

Paket masuk yang dirutekan ke antarmuka jaringan VM oleh Maglev Google dianggap dalam cakupan internet. Paket dirutekan oleh Maglev ke antarmuka jaringan VM jika tujuan paket cocok dengan salah satu hal berikut:

• Alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal.
• Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket tidak dirutekan menggunakan rute subnet yang diimpor oleh Peering Jaringan VPC atau dari spoke VPC di hub Network Connectivity Center.

Untuk mengetahui informasi selengkapnya tentang paket yang dirutekan oleh Maglev ke VM backend untuk Load Balancer Jaringan passthrough eksternal atau penerusan protokol eksternal, lihat Jalur untuk Load Balancer Jaringan passthrough eksternal dan penerusan protokol eksternal.

Cakupan internet untuk paket keluar

Paket keluar yang dikirim oleh antarmuka jaringan VM dan dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default dianggap dalam cakupan internet. Namun, jika alamat IP tujuan paket keluar ini ditujukan untuk layanan dan Google API, paket ini dianggap dalam cakupan non-internet. Untuk informasi selengkapnya tentang konektivitas ke Google API dan layanan, lihat Cakupan non-internet.

Saat paket dirutekan menggunakan rute statis yang menggunakan gateway internet default next hop, setiap paket yang dikirim oleh antarmuka jaringan VM ke tujuan berikut akan dipertimbangkan dalam cakupan internet:

• Tujuan alamat IP eksternal di luar jaringan Google.
• Tujuan alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv4 dan IPv6 eksternal global dari aturan penerusan load balancer eksternal global.

Paket yang dikirim oleh antarmuka jaringan VM ke gateway Cloud VPN dan Cloud NAT dianggap dalam cakupan internet:

• Paket keluar yang dikirim dari antarmuka jaringan VM yang menjalankan software VPN ke alamat IPv4 eksternal regional gateway Cloud VPN dianggap berada dalam cakupan internet.
• Paket keluar yang dikirim dari satu gateway Cloud VPN ke gateway Cloud VPN lain tidak dipertimbangkan dalam cakupan jaringan apa pun karena aturan firewall hanya berlaku untuk VM.
• Untuk NAT Publik, paket respons yang dikirim dari antarmuka jaringan VM ke alamat IPv4 eksternal regional gateway Cloud NAT dianggap dalam cakupan internet.

Jika jaringan VPC terhubung menggunakan Peering Jaringan VPC atau jika jaringan VPC berpartisipasi sebagai spoke VPC di hub Network Connectivity Center yang sama, rute subnet IPv6 dapat memberikan konektivitas ke tujuan alamat IPv6 eksternal regional antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, dan aturan penerusan protokol eksternal. Jika konektivitas ke tujuan alamat IPv6 eksternal regional tersebut disediakan menggunakan rute subnet, tujuannya berada dalam cakupan non-internet.

Cakupan non-internet

Cakupan non-internet (NON-INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk atau sebagai bagian dari kombinasi tujuan aturan keluar:

• Untuk aturan masuk, tentukan sumber cakupan non-internet dan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar intelijen ancaman atau sumber geolokasi. Paket cocok dengan aturan masuk jika cocok dengan setidaknya satu parameter sumber lain dan cocok dengan parameter sumber cakupan non-internet.

• Untuk aturan keluar, tentukan tujuan cakupan non-internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lain dan cocok dengan parameter tujuan cakupan non-internet.

Bagian lainnya dalam bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam cakupan non-internet.

Cakupan non-internet untuk paket masuk

Paket masuk yang dirutekan ke antarmuka jaringan VM menggunakan next hop dalam jaringan VPC atau dari Google API dan layanan dianggap dalam cakupan non-internet.

Paket dirutekan menggunakan next hop dalam jaringan VPC atau dari Google API dan layanan dalam skenario berikut:

• Tujuan paket cocok dengan salah satu dari berikut:

  • Alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough internal, atau aturan penerusan untuk penerusan protokol internal.
  • Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket dirutekan menggunakan rute subnet lokal, rute subnet peering, atau rute subnet Network Connectivity Center.
  • Alamat apa pun dalam rentang tujuan rute statis dengan VM penerima adalah VM next hop atau VM backend dari next hop Load Balancer Jaringan passthrough internal.

• Sumber paket cocok dengan salah satu hal berikut:

  • Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
  • Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
  • Alamat IP Front End Google yang digunakan oleh Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal global, atau Load Balancer Jaringan proxy klasik. Untuk informasi selengkapnya, lihat Jalur antara Front End dan backend Google.
  • Alamat IP pemeriksa health check. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk health check.
  • Alamat IP yang digunakan oleh Identity-Aware Proxy untuk penerusan TCP. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Identity-Aware Proxy (IAP).
  • Alamat IP yang digunakan oleh Cloud DNS atau Direktori Layanan. Untuk informasi selengkapnya, lihat Jalur untuk Cloud DNS dan Direktori Layanan.
  • Alamat IP yang digunakan oleh Akses VPC Serverless. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Akses VPC Serverless.
  • Alamat IP endpoint Private Service Connect untuk Google API global. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk endpoint Private Service Connect untuk Google API global.

Cakupan non-internet untuk paket keluar

Paket keluar yang dikirim oleh antarmuka jaringan VM dan dirutekan dalam jaringan VPC atau dikirim ke Google API dan layanan Google dianggap dalam cakupan non-internet.

Paket dirutekan menggunakan next hop dalam jaringan VPC atau ke Google API dan layanan Google dalam skenario berikut:

• Paket dirutekan menggunakan rute subnet, yang mencakup tujuan berikut:
  • Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
  • Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Paket dirutekan menggunakan rute dinamis.
• Paket dirutekan menggunakan rute statis yang menggunakan next hop yang bukan gateway internet default.
• Paket dirutekan ke Google API dan layanan global yang diakses menggunakan rute statis dengan next hop gateway internet default. Tujuan layanan dan Google API global mencakup alamat IP untuk domain default dan alamat IP untuk private.googleapis.com dan restricted.googleapis.com.
• Tujuan untuk layanan Google yang diakses menggunakan salah satu jalur berikut:
  • Jalur antara Front End dan backend Google
  • Jalur untuk health check
  • Jalur untuk Identity-Aware Proxy (IAP)
  • Jalur untuk Cloud DNS dan Direktori Layanan
  • Jalur untuk Akses VPC Serverless
  • Jalur untuk endpoint Private Service Connect untuk Google API global

Cakupan jaringan VPC

Cakupan jaringan VPC (VPC_NETWORKS) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk. Anda tidak dapat menggunakan cakupan jaringan VPC sebagai bagian dari kombinasi tujuan aturan keluar.

Untuk menggunakan cakupan jaringan VPC sebagai bagian dari kombinasi sumber aturan masuk, lakukan hal berikut:

1. Anda harus menentukan daftar jaringan VPC sumber:

   • Daftar jaringan sumber harus berisi minimal satu jaringan VPC. Anda dapat menambahkan maksimum 250 jaringan VPC ke daftar jaringan sumber.
   • Jaringan VPC harus ada sebelum Anda dapat menambahkannya ke daftar jaringan sumber.
   • Anda dapat menambahkan jaringan menggunakan ID URL sebagian atau lengkap.
   • Jaringan VPC yang Anda tambahkan ke daftar jaringan sumber tidak perlu terhubung satu sama lain. Setiap jaringan VPC dapat berada di project mana pun.
   • Jika jaringan VPC dihapus setelah ditambahkan ke daftar jaringan sumber, referensi ke jaringan yang dihapus akan tetap ada dalam daftar. Cloud NGFW mengabaikan jaringan VPC yang dihapus saat menerapkan aturan masuk. Jika semua jaringan VPC dalam daftar jaringan sumber dihapus, aturan masuk yang mengandalkan daftar tersebut tidak akan efektif karena tidak cocok dengan paket apa pun.

2. Anda harus menentukan setidaknya satu parameter sumber lain, kecuali untuk sumber daftar intelijen ancaman atau sumber geolokasi.

Paket cocok dengan aturan masuk yang menggunakan cakupan jaringan VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya salah satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di salah satu jaringan VPC sumber.

• Jaringan VPC sumber dan jaringan VPC tempat kebijakan firewall yang berisi aturan masuk diterapkan adalah jaringan VPC yang sama, atau terhubung menggunakan Peering Jaringan VPC atau sebagai spoke VPC di hub Network Connectivity Center.

Resource berikut berada di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless

Cakupan intra-VPC

Cakupan jaringan intra-VPC (INTRA_VPC) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan traffic masuk. Anda tidak dapat menggunakan cakupan intra-VPC sebagai bagian dari kombinasi tujuan aturan keluar.

Untuk menggunakan cakupan intra-VPC sebagai bagian dari kombinasi sumber aturan masuk, Anda harus menentukan minimal satu parameter sumber lainnya, kecuali sumber daftar intelijen ancaman atau sumber geolokasi.

Paket cocok dengan aturan masuk yang menggunakan cakupan intra-VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya salah satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di jaringan VPC tempat kebijakan firewall yang berisi aturan masuk berlaku.

Resource berikut berada di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi atau wilayah geografis tertentu.

Anda dapat menerapkan aturan dengan objek geolokasi ke traffic masuk dan keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan kode negara akan dicocokkan dengan sumber atau tujuan traffic.

• Anda dapat mengonfigurasi objek geolokasi untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

• Untuk menambahkan geolokasi ke aturan kebijakan firewall, gunakan kode negara atau wilayah dua huruf seperti yang ditentukan dalam kode negara ISO 3166 alpha-2.

  Misalnya, jika Anda hanya ingin mengizinkan traffic masuk dari Amerika Serikat ke jaringan, buat aturan kebijakan firewall masuk dengan kode negara sumber yang ditetapkan ke US dan tindakan yang ditetapkan ke allow. Demikian pula, jika Anda ingin mengizinkan traffic keluar hanya ke Amerika Serikat, konfigurasikan aturan kebijakan firewall keluar dengan kode negara tujuan ditetapkan ke US dan tindakan ditetapkan ke allow.

• Cloud NGFW memungkinkan Anda mengonfigurasi aturan firewall untuk wilayah berikut yang tunduk pada sanksi Amerika Serikat yang komprehensif:

  Wilayah	Kode yang ditetapkan
  Krimea	XC
  Wilayah yang disebut sebagai Republik Rakyat Donetsk dan Republik Rakyat Luhansk	XD

• Jika ada kode negara duplikat yang disertakan dalam satu aturan firewall, hanya satu entri untuk kode negara tersebut yang dipertahankan. Entri duplikat akan dihapus. Misalnya, dalam daftar kode negara ca,us,us, hanya ca,us yang dipertahankan.

• Google mengelola database dengan alamat IP dan pemetaan kode negara. Firewall Google Cloud menggunakan database ini untuk memetakan alamat IP traffic sumber dan tujuan ke kode negara, lalu menerapkan aturan kebijakan firewall yang cocok dengan objek geolokasi.

• Terkadang, penetapan alamat IP dan kode negara berubah karena kondisi berikut:

  • Pergerakan alamat IP di seluruh lokasi geografis
  • Pembaruan pada standar kode negara ISO 3166 alpha-2

  Karena perlu waktu beberapa saat agar perubahan ini diterapkan di database Google, Anda mungkin melihat beberapa gangguan traffic dan perubahan perilaku untuk traffic tertentu yang diblokir atau diizinkan.

Menggunakan objek geolokasi dengan filter aturan kebijakan firewall lainnya

Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Bergantung pada arah aturan, aturan kebijakan firewall diterapkan ke traffic masuk atau keluar yang cocok dengan gabungan semua filter yang ditentukan.

Untuk informasi tentang cara kerja objek geolokasi dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk informasi tentang cara kerja objek geolokasi dengan filter tujuan lain dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Google Threat Intelligence untuk aturan kebijakan firewall

Aturan kebijakan firewall memungkinkan Anda mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Google Threat Intelligence. Data Google Threat Intelligence mencakup daftar alamat IP berdasarkan kategori berikut:

• Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitas mereka, blokir alamat IP node keluar Tor (endpoint tempat traffic keluar dari jaringan Tor).
• Alamat IP berbahaya yang diketahui: Alamat IP yang diketahui sebagai asal serangan aplikasi web. Untuk meningkatkan postur keamanan aplikasi, blokir alamat IP ini.
• Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
• Rentang alamat IP cloud publik: Kategori ini dapat diblokir untuk menghindari alat otomatis berbahaya agar tidak menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya. Kategori ini dibagi lagi menjadi subkategori berikut:
  • Rentang alamat IP yang digunakan oleh Amazon Web Services
  • Rentang alamat IP yang digunakan oleh Microsoft Azure
  • Rentang alamat IP yang digunakan oleh Google Cloud
  • Rentang alamat IP yang digunakan oleh layanan Google

Daftar data Google Threat Intelligence dapat mencakup alamat IPv4, alamat IPv6, atau keduanya. Untuk mengonfigurasi Google Threat Intelligence dalam aturan kebijakan firewall, gunakan nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya berdasarkan kategori yang ingin Anda izinkan atau blokir. Daftar ini terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Nama daftar yang valid adalah sebagai berikut.

Nama daftar	Deskripsi
iplist-tor-exit-nodes	Mencocokkan alamat IP node keluar TOR
iplist-known-malicious-ips	Mencocokkan alamat IP yang diketahui menyerang aplikasi web
iplist-search-engines-crawlers	Mencocokkan alamat IP crawler mesin telusur
iplist-vpn-providers	Mencocokkan alamat IP yang dimiliki oleh penyedia VPN bereputasi rendah
iplist-anon-proxies	Mencocokkan alamat IP yang termasuk dalam proxy anonim terbuka
iplist-crypto-miners	Mencocokkan alamat IP yang dimiliki situs penambangan mata uang kripto
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	Mencocokkan alamat IP yang dimiliki oleh cloud publik Mencocokkan rentang alamat IP yang digunakan oleh Amazon Web Services Mencocokkan rentang alamat IP yang digunakan oleh Microsoft Azure Mencocokkan rentang alamat IP yang digunakan oleh Google Cloud Mencocokkan rentang alamat IP yang digunakan oleh layanan Google

Menggunakan Google Threat Intelligence dengan filter aturan kebijakan firewall lainnya

Untuk menentukan aturan kebijakan firewall dengan Google Threat Intelligence, ikuti panduan berikut:

• Untuk aturan keluar, tentukan tujuan menggunakan satu atau beberapa daftar Google Threat Intelligence tujuan.

• Untuk aturan masuk, tentukan sumber menggunakan satu atau beberapa daftar Google Threat Intelligence sumber.

• Anda dapat mengonfigurasi daftar Kecerdasan Ancaman Google untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

• Anda dapat menggunakan daftar ini bersama dengan komponen filter aturan sumber atau tujuan lainnya.

  Untuk informasi tentang cara kerja daftar Google Threat Intelligence dengan filter sumber lain dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

  Untuk mengetahui informasi tentang cara kerja daftar Google Threat Intelligence dengan filter tujuan lain dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

• Logging firewall dilakukan di tingkat aturan. Untuk memudahkan Anda men-debug dan menganalisis efek aturan firewall, jangan sertakan beberapa daftar Google Threat Intelligence dalam satu aturan firewall.

• Anda dapat menambahkan beberapa daftar Google Threat Intelligence ke aturan kebijakan firewall. Setiap nama daftar yang disertakan dalam aturan dihitung sebagai satu atribut, terlepas dari jumlah alamat IP atau rentang alamat IP yang disertakan dalam daftar tersebut. Misalnya, jika Anda telah menyertakan nama daftar iplist-tor-exit-nodes, iplist-known-malicious-ips, dan iplist-search-engines-crawlers dalam aturan kebijakan firewall, jumlah atribut aturan per kebijakan firewall akan bertambah tiga. Untuk mengetahui informasi selengkapnya tentang jumlah atribut aturan, lihat Kuota dan batas.

Membuat pengecualian untuk daftar Google Threat Intelligence

Jika memiliki aturan yang berlaku untuk daftar Google Threat Intelligence, Anda dapat menggunakan teknik berikut untuk membuat aturan pengecualian yang berlaku untuk alamat IP tertentu dalam daftar Google Threat Intelligence:

• Daftar yang diizinkan secara selektif: Misalnya, Anda memiliki aturan firewall masuk atau keluar yang menolak paket dari atau ke daftar Google Threat Intelligence. Untuk mengizinkan paket dari atau ke alamat IP yang dipilih dalam daftar Google Threat Intelligence tersebut, buat aturan firewall izinkan traffic masuk atau keluar dengan prioritas lebih tinggi yang terpisah yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

• Daftar tolak selektif: Misalnya, Anda memiliki aturan firewall masuk atau keluar yang mengizinkan paket dari atau ke daftar Google Threat Intelligence. Untuk menolak paket dari atau ke alamat IP yang dipilih dalam daftar Google Threat Intelligence tersebut, buat aturan firewall tolak traffic masuk atau keluar dengan prioritas lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

Grup alamat untuk kebijakan firewall

Grup alamat adalah kumpulan logis dari rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Grup alamat dapat diperbarui tanpa mengubah aturan firewall yang menggunakannya. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Anda dapat menentukan grup alamat sumber dan tujuan untuk aturan firewall masuk dan keluar.

Untuk informasi tentang cara kerja grup alamat sumber dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk informasi tentang cara kerja grup alamat tujuan dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Objek FQDN

Gunakan objek nama domain yang sepenuhnya memenuhi syarat (FQDN) dalam aturan kebijakan firewall untuk memfilter traffic masuk atau keluar dari atau ke domain tertentu.

Anda dapat menerapkan aturan kebijakan firewall yang menggunakan objek FQDN ke traffic masuk dan traffic keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan nama domain akan dicocokkan dengan sumber atau tujuan traffic.

• Anda dapat mengonfigurasi objek FQDN dalam aturan kebijakan firewall untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

• Anda harus menentukan objek FQDN dalam sintaksis FQDN standar

  Untuk informasi selengkapnya tentang format nama domain, lihat Format nama domain.

• Pada interval berkala, Cloud NGFW memperbarui aturan kebijakan firewall yang berisi objek FQDN dengan hasil resolusi nama domain terbaru.

• Nama domain yang ditentukan dalam aturan kebijakan firewall di-resolve menjadi alamat IP berdasarkan urutan resolusi nama VPC Cloud DNS. Cloud DNS akan memberi tahu Cloud NGFW jika ada perubahan pada hasil resolusi nama domain, yang juga dikenal sebagai data domain name system (DNS).

• Jika dua nama domain di-resolve ke alamat IP yang sama, aturan kebijakan firewall akan berlaku untuk alamat IP tersebut, bukan hanya satu domain. Dengan kata lain, objek FQDN adalah entitas Lapisan 3.

• Jika objek FQDN dalam aturan kebijakan firewall keluar menyertakan domain yang memiliki CNAME dalam data DNS, Anda harus mengonfigurasi aturan kebijakan firewall keluar dengan semua nama domain yang dapat dikueri VM Anda—termasuk semua alias potensial—untuk memastikan perilaku aturan firewall yang andal. Jika VM Anda mengkueri CNAME yang tidak dikonfigurasi dalam aturan kebijakan firewall keluar, kebijakan tersebut mungkin tidak berfungsi selama perubahan data DNS.

• Anda juga dapat menggunakan nama DNS internal Compute Engine dalam aturan kebijakan firewall jaringan. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif di kebijakan server keluar.

• Jika ingin menambahkan nama domain kustom dalam aturan kebijakan firewall jaringan, Anda dapat menggunakan zona yang dikelola Cloud DNS untuk resolusi nama domain. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif dalam kebijakan server keluar. Untuk informasi selengkapnya tentang pengelolaan zona, lihat Membuat, mengubah, dan menghapus zona.

Batasan

Batasan berikut berlaku untuk aturan firewall masuk dan keluar yang menggunakan objek FQDN:

• Objek FQDN tidak mendukung karakter pengganti (*) dan nama domain level teratas (root). Misalnya, *.example.com. dan .org tidak didukung.

Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall ingress. Anda harus mempertimbangkan batasan berikut saat menentukan objek FQDN untuk aturan masuk:

• Nama domain dapat me-resolve ke maksimum 32 alamat IPv4 dan 32 alamat IPv6. Kueri DNS yang me-resolve ke lebih dari 32 alamat IPv4 dan 32 alamat IPv6 dipotong untuk hanya menyertakan 32 alamat IPv4 atau IPv6 dari alamat IP yang di-resolve tersebut. Oleh karena itu, jangan sertakan nama domain yang me-resolve ke lebih dari 32 alamat IPv4 dan IPv6 dalam aturan kebijakan firewall masuk.

• Beberapa kueri nama domain memiliki jawaban unik berdasarkan lokasi klien yang meminta. Lokasi tempat resolusi DNS aturan kebijakan firewall dilakukan adalah region Google Cloud yang berisi VM tempat aturan kebijakan firewall diterapkan.

• Jangan gunakan aturan ingress yang menggunakan objek FQDN jika hasil resolusi nama domain sangat bervariasi atau resolusi nama domain menggunakan bentuk load balancing berbasis DNS. Misalnya, banyak nama domain Google menggunakan skema load balancing berbasis DNS.

Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall keluar, tetapi sebaiknya jangan gunakan objek FQDN dengan data A DNS yang memiliki TTL (time-to-live) kurang dari 90 detik.

Menggunakan objek FQDN dengan filter aturan kebijakan firewall lainnya

Dalam aturan kebijakan firewall, Anda dapat menentukan objek FQDN beserta filter sumber atau tujuan lainnya.

Untuk informasi tentang cara kerja objek FQDN dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk informasi tentang cara kerja objek FQDN dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Format nama domain

Firewall VPC mendukung format nama domain seperti yang ditentukan dalam RFC 1035 , RFC 1123 , dan RFC 4343.

Untuk menambahkan nama domain ke aturan kebijakan firewall, ikuti panduan format berikut:

• Nama domain harus berisi minimal dua label yang dijelaskan sebagai berikut:

  • Setiap label cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut: [a-z]([-a-z0-9][a-z0-9])?..
  • Panjang setiap label adalah 1-63 karakter.
  • Label digabungkan dengan titik (.).

• Panjang maksimum nama domain yang dienkode tidak boleh melebihi 255 byte (octet).

• Anda juga dapat menambahkan Nama Domain yang Diinternasionalkan (IDN) ke aturan kebijakan firewall.

• Nama domain harus dalam format Unicode atau Punycode.

• Jika Anda menentukan IDN dalam format Unicode, firewall Google Cloud akan mengonversinya ke format Punycode sebelum diproses. Atau, Anda dapat menggunakan Alat Konverter IDN untuk mendapatkan representasi Punycode dari IDN.

• Firewall Google Cloud tidak mendukung nama domain yang setara dalam aturan kebijakan firewall yang sama. Setelah mengonversi nama domain ke Punycode, jika kedua nama domain berbeda paling banyak dengan titik di bagian akhir, nama domain tersebut dianggap setara.

Skenario pengecualian FQDN

Saat menggunakan objek FQDN dalam aturan kebijakan firewall, Anda mungkin mengalami pengecualian berikut selama resolusi nama DNS:

• Nama domain yang salah: Jika Anda menentukan satu atau beberapa nama domain yang menggunakan format yang tidak valid saat membuat aturan kebijakan firewall, Anda akan menerima error. Aturan kebijakan firewall tidak dapat dibuat kecuali jika semua nama domain diformat dengan benar.

• Nama domain tidak ada (NXDOMAIN): Jika nama domain tidak ada, Google Cloud akan mengabaikan objek FQDN dari aturan kebijakan firewall.

• Tidak ada resolusi alamat IP: Jika nama domain tidak di-resolve ke alamat IP apa pun, objek FQDN akan diabaikan.

• Server Cloud DNS tidak dapat dijangkau: Jika server DNS tidak dapat dijangkau, aturan kebijakan firewall yang menggunakan objek FQDN hanya berlaku jika hasil resolusi DNS yang di-cache sebelumnya tersedia. Objek FQDN aturan diabaikan jika tidak ada hasil resolusi DNS yang di-cache atau hasil DNS yang di-cache telah habis masa berlakunya.

Langkah selanjutnya

• Kebijakan firewall hierarkis
• Kebijakan firewall jaringan global
• Kebijakan firewall jaringan regional