Menggunakan kebijakan dan aturan firewall hierarkis

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Batasan

  • Aturan kebijakan firewall hierarkis tidak mendukung tag sumber atau akun layanan sumber.
  • Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Sebagai gantinya, Anda harus menggunakan jaringan VPC target atau akun layanan target.
  • Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
  • Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
  • Logging Aturan Firewall didukung untuk aturan allow dan deny, tetapi tidak didukung untuk aturan goto_next.
  • Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tugas kebijakan firewall

Buat kebijakan firewall

Anda dapat membuat kebijakan di resource mana pun (organisasi atau folder) dari hierarki organisasi. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan resource organisasi apa pun. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM dalam resource terkait dalam hierarki.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi atau folder dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Beri Nama untuk kebijakan.

  5. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan > Tambahkan aturan.

    Untuk mengetahui detailnya, lihat Membuat aturan firewall.

  6. Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan > Kaitkan kebijakan dengan resource.

    Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.

  7. Klik Create.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Ganti kode berikut:

  • ORG_ID: ID organisasi Anda
    Tentukan ID ini jika Anda membuat kebijakan di tingkat organisasi. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak otomatis mengaitkan kebijakan dengan resource organisasi.
  • FOLDER_ID: ID folder
    Tentukan ID ini jika Anda membuat kebijakan di folder tertentu. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak otomatis mengaitkan kebijakan dengan folder tersebut.
  • SHORT_NAME: nama untuk kebijakan
    Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang diberikan oleh Anda. Saat menggunakan Google Cloud CLI untuk memperbarui kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama singkat dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

Membuat aturan firewall

Aturan kebijakan firewall hierarkis harus dibuat dalam kebijakan firewall hierarkis. Aturan tidak akan aktif hingga Anda mengaitkan kebijakan yang berisi ke resource.

Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda.

  4. Klik Tambahkan Aturan.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).
    2. Tetapkan koleksi Logs ke On atau Off.
    3. Untuk Direction of traffic, tentukan apakah aturan ini adalah Ingress atau Egress.
    4. Untuk Action on match, pilih salah satu opsi berikut:

      1. Allow: mengizinkan koneksi yang cocok dengan aturan.
      2. Deny: menolak koneksi yang cocok dengan aturan.
      3. Go to next: evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Lanjutkan ke inspeksi L7: mengirim paket ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.
        • Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Enable TLS inspection.

      Untuk mempelajari lebih lanjut cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.

    5. Opsional: Anda dapat membatasi aturan ke jaringan tertentu dengan menentukannya di kolom Target jaringan. Klik TAMBAHKAN JARINGAN, lalu pilih Project dan Network. Anda dapat menambahkan beberapa jaringan target ke aturan.

    6. Opsional: Anda dapat membatasi aturan ke VM yang berjalan dengan akses ke akun layanan tertentu dengan menentukan akun di kolom Target service accounts.

    7. Untuk aturan Ingress, tentukan filter Source:

      • Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk berdasarkan rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.
    8. Untuk aturan Egress, tentukan Filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IP. Gunakan ::/0 untuk tujuan IPv6 apa pun.
    9. Opsional: Jika Anda membuat aturan Masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.

    10. Opsional: Jika Anda membuat aturan Ingress, pilih Geolocation sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    11. Opsional: Jika Anda membuat aturan Ingress, pilih Address groups sumber tempat aturan ini berlaku. Jika Anda membuat aturan Egress, pilih Address groups tujuan tempat aturan ini berlaku. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    12. Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    13. Opsional: Untuk aturan Ingress, tentukan filter Destination:

      • Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih Rentang IPv6 dan masukkan blok CIDR ke dalam kolom Rentang IPv6 tujuan. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
    14. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.
    15. Untuk Protocols and ports, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku.

      Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan IPv6 ICMP, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya tentang protokol, lihat Protokol dan port.

    16. Klik Create.

  6. Klik Tambahkan aturan untuk menambahkan aturan lain.

  7. Klik Lanjutkan > Kaitkan kebijakan dengan resource untuk mengaitkan kebijakan dengan resource, atau klik Buat untuk membuat kebijakan.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi ke terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).

  • ORG_ID: ID organisasi Anda

  • POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem

  • DIRECTION: menunjukkan apakah aturan tersebut adalah aturan INGRESS (default) atau EGRESS

    • Sertakan --src-ip-ranges untuk menentukan rentang IP sumber traffic.
    • Sertakan --dest-ip-ranges untuk menentukan rentang IP tujuan traffic.

    Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.

  • SRC_NETWORK_SCOPE: menunjukkan cakupan traffic jaringan sumber yang menjadi tempat aturan masuk diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.

  • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma

    Anda hanya dapat menggunakan --src-networks jika --src-network-scope ditetapkan ke VPC_NETWORKS.

  • DEST_NETWORK_SCOPE: menunjukkan cakupan traffic jaringan tujuan tempat aturan keluar diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan.

    Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.

  • IP_RANGES: daftar rentang IP berformat CIDR yang dipisahkan koma, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma

    • Untuk arah masuk, tentukan kode negara sumber dalam tanda --src-region-code. Anda tidak dapat menggunakan flag --src-region-code untuk arah keluar, atau saat --src-network-scope ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan kode negara tujuan di flag --dest-region-code. Anda tidak dapat menggunakan flag --dest-region-code untuk arah masuk, atau saat --dest-network-scope ditetapkan ke NON_INTERNET.
  • LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma

    • Untuk arah masuk, tentukan daftar sumber Google Threat Intelligence di tanda --src-threat-intelligence. Anda tidak dapat menggunakan flag --src-threat-intelligence untuk arah ekspor, atau saat --src-network-scope ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan di flag --dest-threat-intelligence. Anda tidak dapat menggunakan flag --dest-threat-intelligence untuk arah ingress, atau saat --dest-network-scope ditetapkan ke NON_INTERNET.
  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah traffic masuk, tentukan grup alamat sumber dalam tanda --src-address-groups; Anda tidak dapat menggunakan tanda --src-address-groups untuk arah traffic keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam flag --dest-address-groups; Anda tidak dapat menggunakan flag --dest-address-groups untuk arah masuk
  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain

    • Untuk arah traffic masuk, tentukan nama domain sumber dalam flag --src-fqdns; Anda tidak dapat menggunakan flag --src-fqdns untuk arah traffic keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam flag --dest-fqdns; Anda tidak dapat menggunakan flag --dest-fqdns untuk arah masuk
  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • apply_security_profile_group: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan

    Untuk mempelajari lebih lanjut cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7; tentukan argumen ini hanya jika tindakan apply_security_profile_group dipilih

  • --tls-inspect: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakan apply_security_profile_group dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan --no-tls-inspect

  • PROTOCOL_PORT: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

  • NETWORKS: daftar URL resource jaringan VPC yang dipisahkan koma dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, dengan PROJECT_ID adalah project ID project yang berisi jaringan VPC, dan NETWORK_NAME adalah nama jaringan. Jika dihilangkan, aturan akan berlaku untuk semua jaringan VPC di bawah resource.

    Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.

  • SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma; aturan hanya diterapkan ke VM yang berjalan dengan akses ke akun layanan yang ditentukan

    Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang diberikan

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak akan dipertimbangkan saat memproses koneksi; menghapus tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

Mengaitkan kebijakan dengan organisasi atau folder

Kaitkan kebijakan dengan resource untuk mengaktifkan aturan kebijakan bagi VM apa pun di bawah resource dalam hierarki.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Asosiasi.

  6. Pilih root organisasi atau pilih folder dalam organisasi.

  7. Klik Tambahkan.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem
  • ORG_ID: ID organisasi Anda
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan ke tingkat organisasi
  • ASSOCIATION_NAME: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan ke "organisasi ORG_ID" atau "folder FOLDER_ID"
  • --replace-association-on-target
    Secara default, jika Anda mencoba menyisipkan atribusi ke organisasi atau folder yang sudah memiliki atribusi, metode akan gagal. Jika Anda menentukan tanda ini, atribusi yang ada akan dihapus bersamaan dengan pembuatan atribusi baru. Tindakan ini mencegah resource tanpa kebijakan selama transisi.

Memindahkan kebijakan dari satu resource ke resource lain

Memindahkan kebijakan akan mengubah resource yang memiliki kebijakan tersebut. Untuk memindahkan kebijakan, Anda harus memiliki izin move pada resource lama dan baru.

Memindahkan kebijakan tidak memengaruhi pengaitan kebijakan yang ada atau evaluasi aturan yang ada, tetapi dapat memengaruhi siapa yang memiliki izin untuk mengubah atau mengaitkan kebijakan setelah pemindahan.

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama kebijakan yang dibuat sistem yang Anda pindahkan
  • ORG_ID: ID organisasi Anda; jika Anda memindahkan kebijakan ke organisasi, tentukan ID ini, tetapi jangan tentukan folder
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan ke organisasi

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah Deskripsi.

  6. Klik Simpan.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mencantumkan kebijakan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

    Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.

    Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menjelaskan kebijakan

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini dihitung dalam batas per kebijakan.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Anda harus menghapus semua pengaitan pada kebijakan firewall organisasi sebelum dapat menghapusnya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin dihapus.

  4. Klik tab Pengaitan.

  5. Pilih semua asosiasi.

  6. Klik Hapus Pengaitan.

  7. Setelah semua pengaitan dihapus, klik Hapus.

gcloud

  1. Cantumkan semua resource yang terkait dengan kebijakan firewall:

    gcloud compute firewall-policies describe POLICY_NAME \
        --organization ORG_ID
    
  2. Menghapus asosiasi individu. Untuk menghapus pengaitan, Anda harus memiliki peran compute.orgSecurityResourceAdmin di resource terkait atau ancestor resource tersebut.

    gcloud compute firewall-policies associations delete RESOURCE_NAME \
        --organization ORG_ID \
        --firewall-policy POLICY_NAME
    
  3. Menghapus kebijakan:

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

Mencantumkan pengaitan untuk resource

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan yang diwarisi akan muncul.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mencantumkan pengaitan untuk kebijakan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Asosiasi tercantum dalam tabel.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Menghapus atribusi

Untuk menghentikan penerapan kebijakan firewall di organisasi atau folder, hapus pengaitan.

Namun, jika Anda ingin mengganti satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Tindakan ini akan menyebabkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus Pengaitan.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Membuat aturan dalam kebijakan firewall yang ada

Lihat Membuat aturan firewall.

Mencantumkan semua aturan dalam kebijakan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda. Aturan tercantum di tab Aturan firewall.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Menjelaskan aturan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unik
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: nama singkat atau nama yang dibuat sistem dari kebijakan yang berisi aturan

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Meng-clone aturan dari satu kebijakan ke kebijakan lainnya

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan yang aturannya ingin Anda salin.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Klik Lanjutkan > Atribusikan kebijakan dengan resource jika Anda ingin segera mengatribusikan kebijakan baru.

  7. Klik Clone.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • ORG_ID: ID organisasi Anda
  • SOURCE_POLICY: kebijakan tempat menyalin aturan; harus berupa URL resource

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin dihapus.

  5. Klik Hapus.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: kebijakan yang berisi aturan

Mendapatkan aturan firewall yang efektif untuk jaringan

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC yang ditentukan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka jaringan VPC

  2. Klik jaringan yang aturan kebijakan firewallnya ingin Anda lihat.

  3. Klik Kebijakan firewall.

  4. Luaskan setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

  • NETWORK_NAME: jaringan untuk mendapatkan aturan yang efektif

Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall yang efektif untuk antarmuka VM

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine yang ditentukan.

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Di menu pull-down pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Aturan firewall yang efektif akan muncul di Detail firewall dan rute.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM untuk mendapatkan aturan yang efektif; jika tidak ada antarmuka yang ditentukan, akan menampilkan aturan untuk antarmuka utama (nic0)
  • INTERFACE: antarmuka VM untuk mendapatkan aturan yang efektif; defaultnya adalah nic0
  • ZONE: zona VM; opsional jika zona yang dipilih sudah ditetapkan sebagai default

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda lihat.

  • FirewallPolicy may not specify a name. One will be provided.

    Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dihasilkan oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah dipahami yang berfungsi sebagai alias dalam banyak konteks.

  • FirewallPolicy may not specify associations on creation.

    Asosiasi hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.

  • Can not move firewall policy to a different organization.

    Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi penggantian pengaitan yang ada ditetapkan ke benar (true).

  • Cannot have rules with the same priorities.

    Prioritas aturan harus unik dalam kebijakan firewall hierarkis.

  • Direction must be specified on firewall policy rule.

    Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, default-nya adalah INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    Firewall Logging tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk mewakili urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.

  • Must specify at least one destination on Firewall policy rule.

    Flag layer4Configs dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.

    Untuk mengetahui detail selengkapnya tentang cara memecahkan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.

Langkah selanjutnya