Kebijakan firewall jaringan global memungkinkan Anda mengupdate semua aturan firewall secara massal dengan mengelompokkan aturan tersebut ke dalam satu objek kebijakan. Anda dapat menetapkan kebijakan firewall jaringan ke jaringan Virtual Private Cloud (VPC). Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi.
Spesifikasi
- Kebijakan firewall jaringan global adalah resource penampung untuk aturan firewall.
Setiap resource kebijakan firewall jaringan global ditentukan dalam project.
- Setelah membuat kebijakan firewall jaringan global, Anda dapat menambahkan, memperbarui, dan menghapus aturan firewall dalam kebijakan.
- Untuk informasi spesifikasi tentang aturan dalam kebijakan firewall jaringan global, lihat Aturan kebijakan firewall.
- Untuk menerapkan aturan kebijakan firewall jaringan global ke jaringan VPC, Anda harus mengaitkan kebijakan firewall dengan jaringan VPC tersebut.
- Anda dapat mengaitkan kebijakan firewall jaringan global dengan beberapa jaringan VPC. Pastikan kebijakan firewall dan jaringan terkait berasal dari project yang sama.
- Setiap jaringan VPC hanya dapat dikaitkan dengan satu kebijakan firewall jaringan global.
- Jika kebijakan firewall tidak dikaitkan dengan jaringan VPC apa pun, aturan dalam kebijakan tersebut tidak akan berpengaruh. Kebijakan firewall yang tidak terkait dengan jaringan apa pun adalah kebijakan firewall jaringan global yang tidak terkait.
- Jika kebijakan firewall jaringan global dikaitkan dengan satu atau beberapa jaringan VPC, aturan kebijakan firewall akan diterapkan dengan cara berikut:
- Aturan yang ada diterapkan terhadap resource yang berlaku di jaringan VPC terkait.
- Setiap perubahan yang dilakukan pada aturan akan diterapkan pada resource yang berlaku di jaringan VPC terkait.
- Aturan dalam kebijakan firewall jaringan global diterapkan bersama dengan aturan firewall lainnya seperti yang dijelaskan dalam Urutan penilaian kebijakan dan aturan.
Aturan kebijakan firewall jaringan global digunakan untuk mengonfigurasi pemeriksaan Lapisan 7 pada traffic yang cocok, seperti saat menggunakan layanan pencegahan intrusi.
Anda membuat aturan kebijakan firewall dengan tindakan
apply_security_profile_groupdan nama grup profil keamanan. Traffic yang cocok dengan aturan kebijakan firewall diteruskan secara transparan ke endpoint firewall untuk pemeriksaan Lapisan 7. Untuk mempelajari cara membuat aturan kebijakan firewall, lihat Membuat aturan firewall jaringan global.
Detail aturan kebijakan firewall jaringan global
Untuk mengetahui informasi selengkapnya tentang komponen dan parameter aturan dalam kebijakan firewall jaringan global, lihat Aturan kebijakan firewall.
Tabel berikut merangkum perbedaan utama antara aturan kebijakan firewall jaringan global dan aturan firewall VPC:
| Aturan kebijakan firewall jaringan global | Aturan firewall VPC | |
|---|---|---|
| Nomor prioritas | Harus unik dalam kebijakan | Prioritas duplikat diizinkan |
| Akun layanan sebagai target | Ya | Ya |
| Akun layanan sebagai sumber (khusus aturan masuk) |
Tidak | Ya |
| Jenis tag | Tag aman | Tag jaringan |
| Nama dan deskripsi | Nama kebijakan, kebijakan, dan deskripsi aturan | Nama dan deskripsi aturan |
| Update massal | Ya—untuk fungsi clone, edit, dan ganti kebijakan | Tidak |
| Gunakan lagi | Ya | Tidak |
| Kuota | Jumlah atribut—berdasarkan total kompleksitas setiap aturan dalam kebijakan | Jumlah aturan—aturan firewall yang kompleks dan sederhana memiliki dampak kuota yang sama |
Aturan standar
Saat Anda membuat kebijakan firewall jaringan global, Cloud Next Generation Firewall akan menambahkan aturan standar dengan prioritas terendah ke kebijakan tersebut. Aturan ini diterapkan ke koneksi apa pun yang tidak cocok dengan aturan yang ditentukan secara eksplisit dalam kebijakan, sehingga menyebabkan koneksi tersebut diteruskan ke kebijakan tingkat rendah atau aturan jaringan.
Untuk mempelajari berbagai jenis aturan standar dan karakteristiknya, lihat Aturan standar.
Peran Identity and Access Management (IAM)
Peran IAM mengatur tindakan berikut sehubungan dengan kebijakan firewall jaringan global:
- Membuat kebijakan firewall jaringan global
- Mengaitkan kebijakan dengan jaringan
- Mengubah kebijakan yang ada
- Melihat aturan firewall yang efektif untuk jaringan atau VM tertentu
Tabel berikut menjelaskan peran yang diperlukan untuk setiap tindakan:
| Tindakan | Peran yang diperlukan |
|---|---|
| Membuat kebijakan firewall jaringan global baru | Peran compute.securityAdmin di project tempat kebijakan berada |
| Mengaitkan kebijakan dengan jaringan | Peran compute.networkAdmin di project tempat kebijakan akan diterapkan |
| Ubah kebijakan dengan menambahkan, memperbarui, atau menghapus aturan firewall kebijakan | Peran compute.securityAdmin di project tempat kebijakan akan diterapkan |
| Menghapus kebijakan | Peran compute.networkAdmin di project tempat kebijakan akan diterapkan |
| Melihat aturan firewall yang efektif untuk jaringan VPC | Salah satu peran berikut untuk jaringan: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Melihat aturan firewall yang efektif untuk VM di jaringan | Salah satu peran berikut untuk VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Peran berikut relevan dengan kebijakan firewall jaringan global.
| Nama peran | Deskripsi |
|---|---|
| compute.securityAdmin | Dapat diberikan di tingkat project atau kebijakan. Jika diberikan untuk project, izin ini memungkinkan pengguna membuat, memperbarui, dan menghapus kebijakan firewall jaringan global beserta aturannya. Di tingkat kebijakan, memungkinkan pengguna memperbarui aturan kebijakan, tetapi tidak membuat atau menghapus kebijakan. Peran ini juga memungkinkan pengguna mengaitkan kebijakan dengan jaringan. |
| compute.networkAdmin | Diberikan di level project atau level jaringan. Jika diberikan untuk jaringan, izin ini memungkinkan pengguna melihat daftar kebijakan firewall jaringan global. |
|
compute.viewer compute.networkUser compute.networkViewer |
Memungkinkan pengguna melihat aturan firewall yang diterapkan ke jaringan atau instance. Menyertakan izin compute.networks.getEffectiveFirewalls
untuk jaringan dan compute.instances.getEffectiveFirewalls untuk instance. |