Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Batasan
- Aturan kebijakan firewall hierarkis tidak mendukung tag sumber atau akun layanan sumber.
- Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Sebagai gantinya, Anda harus menggunakan jaringan VPC target atau akun layanan target.
- Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
- Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
- Logging Aturan Firewall
didukung untuk aturan
allow
dandeny
, tetapi tidak didukung untuk aturangoto_next
. - Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.
Tugas kebijakan firewall
Buat kebijakan firewall
Anda dapat membuat kebijakan di resource mana pun (organisasi atau folder) dari hierarki organisasi. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan resource organisasi apa pun. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM dalam resource terkait dalam hierarki.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi atau folder dalam organisasi Anda.
Klik Create firewall policy.
Beri Nama untuk kebijakan.
Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan > Tambahkan aturan.
Untuk mengetahui detailnya, lihat Membuat aturan firewall.
Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan > Kaitkan kebijakan dengan resource.
Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.
Klik Create.
gcloud
gcloud compute firewall-policies create \ [--organization ORG_ID] | --folder FOLDER_ID] \ --short-name SHORT_NAME
Ganti kode berikut:
ORG_ID
: ID organisasi Anda
Tentukan ID ini jika Anda membuat kebijakan di tingkat organisasi. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak otomatis mengaitkan kebijakan dengan resource organisasi.FOLDER_ID
: ID folder
Tentukan ID ini jika Anda membuat kebijakan di folder tertentu. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak otomatis mengaitkan kebijakan dengan folder tersebut.SHORT_NAME
: nama untuk kebijakan
Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang diberikan oleh Anda. Saat menggunakan Google Cloud CLI untuk memperbarui kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama singkat dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.
Membuat aturan firewall
Aturan kebijakan firewall hierarkis harus dibuat dalam kebijakan firewall hierarkis. Aturan tidak akan aktif hingga Anda mengaitkan kebijakan yang berisi ke resource.
Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik nama kebijakan Anda.
Klik Tambahkan Aturan.
Isi kolom aturan:
- Prioritas: urutan evaluasi numerik aturan. Aturan
dievaluasi dari prioritas tertinggi ke terendah dengan
0
adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti100
,200
,300
). - Tetapkan koleksi Logs ke On atau Off.
- Untuk Direction of traffic, tentukan apakah aturan ini adalah Ingress atau Egress.
Untuk Action on match, pilih salah satu opsi berikut:
- Allow: mengizinkan koneksi yang cocok dengan aturan.
- Deny: menolak koneksi yang cocok dengan aturan.
- Go to next: evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
- Lanjutkan ke inspeksi L7: mengirim paket ke
endpoint firewall
yang dikonfigurasi untuk inspeksi Lapisan 7.
- Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
- Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Enable TLS inspection.
Untuk mempelajari lebih lanjut cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.
Opsional: Anda dapat membatasi aturan ke jaringan tertentu dengan menentukannya di kolom Target jaringan. Klik TAMBAHKAN JARINGAN, lalu pilih Project dan Network. Anda dapat menambahkan beberapa jaringan target ke aturan.
Opsional: Anda dapat membatasi aturan ke VM yang berjalan dengan akses ke akun layanan tertentu dengan menentukan akun di kolom Target service accounts.
Untuk aturan Ingress, tentukan filter Source:
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
0.0.0.0/0
untuk sumber IPv4 apa pun. - Untuk memfilter traffic masuk berdasarkan rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan
::/0
untuk sumber IPv6 apa pun.
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
Untuk aturan Egress, tentukan Filter tujuan:
- Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
0.0.0.0/0
untuk tujuan IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom Rentang IP. Gunakan
::/0
untuk tujuan IPv6 apa pun.
- Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
Opsional: Jika Anda membuat aturan Masuk, tentukan FQDN sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.
Opsional: Jika Anda membuat aturan Ingress, pilih Geolocation sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.
Opsional: Jika Anda membuat aturan Ingress, pilih Address groups sumber tempat aturan ini berlaku. Jika Anda membuat aturan Egress, pilih Address groups tujuan tempat aturan ini berlaku. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.
Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang akan diterapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Opsional: Untuk aturan Ingress, tentukan filter Destination:
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan
0.0.0.0/0
untuk tujuan IPv4 apa pun. - Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih
Rentang IPv6 dan masukkan blok CIDR ke dalam
kolom Rentang IPv6 tujuan. Gunakan
::/0
untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
- Untuk memfilter traffic masuk berdasarkan rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan
Opsional: Untuk aturan Egress, tentukan filter Source:
- Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
0.0.0.0/0
untuk sumber IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan
::/0
untuk sumber IPv6 apa pun. Untuk informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.
- Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih
IPv4, lalu masukkan blok CIDR di kolom
Rentang IP. Gunakan
Untuk Protocols and ports, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan mana yang berlaku.
Untuk menentukan ICMP IPv4, gunakan
icmp
atau nomor protokol1
. Untuk menentukan IPv6 ICMP, gunakan nomor protokol58
. Untuk mengetahui informasi selengkapnya tentang protokol, lihat Protokol dan port.Klik Create.
- Prioritas: urutan evaluasi numerik aturan. Aturan
dievaluasi dari prioritas tertinggi ke terendah dengan
Klik Tambahkan aturan untuk menambahkan aturan lain.
Klik Lanjutkan > Kaitkan kebijakan dengan resource untuk mengaitkan kebijakan dengan resource, atau klik Buat untuk membuat kebijakan.
gcloud
gcloud compute firewall-policies rules create PRIORITY \ [--organization ORG_ID] \ --firewall-policy POLICY_NAME \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--dest-ip-ranges IP_RANGES ] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] --action ACTION \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no--tls-inspect] \ [--layer4-configs PROTOCOL_PORT] \ [--target-resources NETWORKS] \ [--target-service-accounts SERVICE_ACCOUNTS] \ [--enable-logging | --no-enable-logging] \ [--disabled]
Ganti kode berikut:
PRIORITY
: urutan evaluasi numerik aturanAturan dievaluasi dari prioritas tertinggi ke terendah, dengan
0
adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti100
,200
,300
).ORG_ID
: ID organisasi AndaPOLICY_NAME
: nama singkat atau nama kebijakan yang dibuat sistemDIRECTION
: menunjukkan apakah aturan tersebut adalah aturanINGRESS
(default) atauEGRESS
- Sertakan
--src-ip-ranges
untuk menentukan rentang IP sumber traffic. - Sertakan
--dest-ip-ranges
untuk menentukan rentang IP tujuan traffic.
Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.
- Sertakan
SRC_NETWORK_SCOPE
: menunjukkan cakupan traffic jaringan sumber yang menjadi tempat aturan masuk diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan. Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.
SRC_VPC_NETWORK
: daftar jaringan VPC yang dipisahkan komaAnda hanya dapat menggunakan
--src-networks
jika--src-network-scope
ditetapkan keVPC_NETWORKS
.DEST_NETWORK_SCOPE
: menunjukkan cakupan traffic jaringan tujuan tempat aturan keluar diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:INTERNET
NON_INTERNET
Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua cakupan jaringan.
Untuk mengetahui informasi selengkapnya, lihat Memahami jenis cakupan jaringan.
IP_RANGES
: daftar rentang IP berformat CIDR yang dipisahkan koma, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE
: daftar kode negara dua huruf yang dipisahkan koma- Untuk arah masuk, tentukan kode negara sumber dalam
tanda
--src-region-code
. Anda tidak dapat menggunakan flag--src-region-code
untuk arah keluar, atau saat--src-network-scope
ditetapkan keNON_INTERNET
,VPC_NETWORK
, atauINTRA_VPC
. - Untuk arah keluar, tentukan kode negara tujuan di
flag
--dest-region-code
. Anda tidak dapat menggunakan flag--dest-region-code
untuk arah masuk, atau saat--dest-network-scope
ditetapkan keNON_INTERNET
.
- Untuk arah masuk, tentukan kode negara sumber dalam
tanda
LIST_NAMES
: daftar nama daftar Google Threat Intelligence yang dipisahkan koma- Untuk arah masuk, tentukan daftar sumber Google Threat Intelligence
di tanda
--src-threat-intelligence
. Anda tidak dapat menggunakan flag--src-threat-intelligence
untuk arah ekspor, atau saat--src-network-scope
ditetapkan keNON_INTERNET
,VPC_NETWORK
, atauINTRA_VPC
. - Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan di flag
--dest-threat-intelligence
. Anda tidak dapat menggunakan flag--dest-threat-intelligence
untuk arah ingress, atau saat--dest-network-scope
ditetapkan keNON_INTERNET
.
- Untuk arah masuk, tentukan daftar sumber Google Threat Intelligence
di tanda
ADDR_GRP_URL
: ID URL unik untuk grup alamat- Untuk arah traffic masuk, tentukan grup alamat sumber dalam
tanda
--src-address-groups
; Anda tidak dapat menggunakan tanda--src-address-groups
untuk arah traffic keluar - Untuk arah keluar, tentukan grup alamat tujuan
dalam flag
--dest-address-groups
; Anda tidak dapat menggunakan flag--dest-address-groups
untuk arah masuk
- Untuk arah traffic masuk, tentukan grup alamat sumber dalam
tanda
DOMAIN_NAME
: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain- Untuk arah traffic masuk, tentukan nama domain sumber dalam
flag
--src-fqdns
; Anda tidak dapat menggunakan flag--src-fqdns
untuk arah traffic keluar - Untuk arah keluar, tentukan grup alamat tujuan
dalam flag
--dest-fqdns
; Anda tidak dapat menggunakan flag--dest-fqdns
untuk arah masuk
- Untuk arah traffic masuk, tentukan nama domain sumber dalam
flag
ACTION
: salah satu tindakan berikut:allow
: mengizinkan koneksi yang cocok dengan aturandeny
: menolak koneksi yang cocok dengan aturanapply_security_profile_group
: mengirim paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7goto_next
: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan
Untuk mempelajari lebih lanjut cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.
SECURITY_PROFILE_GROUP
: nama grup profil keamanan yang digunakan untuk pemeriksaan Lapisan 7; tentukan argumen ini hanya jika tindakanapply_security_profile_group
dipilih--tls-inspect
: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakanapply_security_profile_group
dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan--no-tls-inspect
PROTOCOL_PORT
: daftar yang dipisahkan koma untuk nama atau nomor protokol (tcp,17
), protokol dan port tujuan (tcp:80
), atau protokol dan rentang port tujuan (tcp:5000-6000
)Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
.Untuk menentukan ICMP IPv4, gunakan
icmp
atau nomor protokol1
. Untuk menentukan ICMP IPv6, gunakan nomor protokol58
. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.NETWORKS
: daftar URL resource jaringan VPC yang dipisahkan koma dalam bentukhttps://www.googleapis.com/compute/v1/projects/
PROJECT_ID/global/networks/
NETWORK_NAME, dengan PROJECT_ID adalah project ID project yang berisi jaringan VPC, dan NETWORK_NAME adalah nama jaringan. Jika dihilangkan, aturan akan berlaku untuk semua jaringan VPC di bawah resource.Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.
SERVICE_ACCOUNTS
: daftar akun layanan yang dipisahkan koma; aturan hanya diterapkan ke VM yang berjalan dengan akses ke akun layanan yang ditentukanUntuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.
--enable-logging
dan--no-enable-logging
: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang diberikan--disabled
: menunjukkan bahwa aturan firewall, meskipun ada, tidak akan dipertimbangkan saat memproses koneksi; menghapus tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan--no-disabled
Mengaitkan kebijakan dengan organisasi atau folder
Kaitkan kebijakan dengan resource untuk mengaktifkan aturan kebijakan bagi VM apa pun di bawah resource dalam hierarki.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik kebijakan Anda.
Klik tab Pengaitan.
Klik Tambahkan Asosiasi.
Pilih root organisasi atau pilih folder dalam organisasi.
Klik Tambahkan.
gcloud
gcloud compute firewall-policies associations create \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [ --folder FOLDER_ID ] \ [ --name ASSOCIATION_NAME ] \ [ --replace-association-on-target ]
Ganti kode berikut:
POLICY_NAME
: nama singkat atau nama kebijakan yang dibuat sistemORG_ID
: ID organisasi AndaFOLDER_ID
: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan ke tingkat organisasiASSOCIATION_NAME
: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan ke "organisasiORG_ID
" atau "folderFOLDER_ID
"--replace-association-on-target
Secara default, jika Anda mencoba menyisipkan atribusi ke organisasi atau folder yang sudah memiliki atribusi, metode akan gagal. Jika Anda menentukan tanda ini, atribusi yang ada akan dihapus bersamaan dengan pembuatan atribusi baru. Tindakan ini mencegah resource tanpa kebijakan selama transisi.
Memindahkan kebijakan dari satu resource ke resource lain
Memindahkan kebijakan akan mengubah resource yang memiliki kebijakan tersebut. Untuk memindahkan kebijakan, Anda harus
memiliki izin move
pada resource lama dan baru.
Memindahkan kebijakan tidak memengaruhi pengaitan kebijakan yang ada atau evaluasi aturan yang ada, tetapi dapat memengaruhi siapa yang memiliki izin untuk mengubah atau mengaitkan kebijakan setelah pemindahan.
Konsol
Gunakan Google Cloud CLI untuk prosedur ini.
gcloud
gcloud compute firewall-policies move POLICY_NAME \ --organization ORG_ID \ [--folder FOLDER_ID]
Ganti kode berikut:
POLICY_NAME
: nama singkat atau nama kebijakan yang dibuat sistem yang Anda pindahkanORG_ID
: ID organisasi Anda; jika Anda memindahkan kebijakan ke organisasi, tentukan ID ini, tetapi jangan tentukan folderFOLDER_ID
: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan ke organisasi
Memperbarui deskripsi kebijakan
Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik Edit.
Ubah Deskripsi.
Klik Simpan.
gcloud
gcloud compute firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --organization ORG_ID
Mencantumkan kebijakan
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.
Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.
gcloud
gcloud compute firewall-policies list \ [--organization ORG_ID | --folder FOLDER_ID]
Menjelaskan kebijakan
Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini dihitung dalam batas per kebijakan.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Menghapus kebijakan
Anda harus menghapus semua pengaitan pada kebijakan firewall organisasi sebelum dapat menghapusnya.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan yang ingin dihapus.
Klik tab Pengaitan.
Pilih semua asosiasi.
Klik Hapus Pengaitan.
Setelah semua pengaitan dihapus, klik Hapus.
gcloud
Cantumkan semua resource yang terkait dengan kebijakan firewall:
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Menghapus asosiasi individu. Untuk menghapus pengaitan, Anda harus memiliki peran
compute.orgSecurityResourceAdmin
di resource terkait atau ancestor resource tersebut.gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Menghapus kebijakan:
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
Mencantumkan pengaitan untuk resource
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan yang diwarisi akan muncul.
gcloud
gcloud compute firewall-policies associations list \ [--organization ORG_ID | --folder FOLDER_ID]
Mencantumkan pengaitan untuk kebijakan
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Asosiasi tercantum dalam tabel.
gcloud
gcloud compute firewall-policies describe POLICY_ID
Menghapus atribusi
Untuk menghentikan penerapan kebijakan firewall di organisasi atau folder, hapus pengaitan.
Namun, jika Anda ingin mengganti satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Tindakan ini akan menyebabkan periode waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik tab Pengaitan.
Pilih pengaitan yang ingin Anda hapus.
Klik Hapus Pengaitan.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID
Tugas aturan kebijakan firewall
Membuat aturan dalam kebijakan firewall yang ada
Lihat Membuat aturan firewall.
Mencantumkan semua aturan dalam kebijakan
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda. Aturan tercantum di tab Aturan firewall.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \ --organization ORG_ID
Menjelaskan aturan
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Ganti kode berikut:
PRIORITY
: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unikORG_ID
: ID organisasi AndaPOLICY_NAME
: nama singkat atau nama yang dibuat sistem dari kebijakan yang berisi aturan
Memperbarui aturan
Untuk deskripsi kolom, lihat Membuat aturan firewall.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Klik prioritas aturan.
Klik Edit.
Ubah kolom yang ingin Anda ubah.
Klik Simpan.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [...fields you want to modify...]
Meng-clone aturan dari satu kebijakan ke kebijakan lainnya
Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan yang aturannya ingin Anda salin.
Klik Clone di bagian atas layar.
Masukkan nama kebijakan target.
Klik Lanjutkan > Atribusikan kebijakan dengan resource jika Anda ingin segera mengatribusikan kebijakan baru.
Klik Clone.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \ --organization ORG_ID \ --source-firewall-policy SOURCE_POLICY
Ganti kode berikut:
POLICY_NAME
: kebijakan untuk menerima aturan yang disalinORG_ID
: ID organisasi AndaSOURCE_POLICY
: kebijakan tempat menyalin aturan; harus berupa URL resource
Menghapus aturan dari kebijakan
Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.
Klik kebijakan Anda.
Pilih aturan yang ingin dihapus.
Klik Hapus.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Ganti kode berikut:
PRIORITY
: prioritas aturan yang ingin Anda hapus dari kebijakanORG_ID
: ID organisasi AndaPOLICY_NAME
: kebijakan yang berisi aturan
Mendapatkan aturan firewall yang efektif untuk jaringan
Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC yang ditentukan.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik jaringan yang aturan kebijakan firewallnya ingin Anda lihat.
Klik Kebijakan firewall.
Luaskan setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Ganti kode berikut:
NETWORK_NAME
: jaringan untuk mendapatkan aturan yang efektif
Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.
Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.
Mendapatkan aturan firewall yang efektif untuk antarmuka VM
Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine yang ditentukan.
Konsol
Di konsol Google Cloud, buka halaman Instance VM.
Di menu pull-down pemilih project, pilih project yang berisi VM.
Klik VM.
Untuk Network interfaces, klik antarmuka.
Aturan firewall yang efektif akan muncul di Detail firewall dan rute.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Ganti kode berikut:
INSTANCE_NAME
: VM untuk mendapatkan aturan yang efektif; jika tidak ada antarmuka yang ditentukan, akan menampilkan aturan untuk antarmuka utama (nic0
)INTERFACE
: antarmuka VM untuk mendapatkan aturan yang efektif; defaultnya adalahnic0
ZONE
: zona VM; opsional jika zona yang dipilih sudah ditetapkan sebagai default
Pemecahan masalah
Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda lihat.
FirewallPolicy may not specify a name. One will be provided.
Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dihasilkan oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah dipahami yang berfungsi sebagai alias dalam banyak konteks.
FirewallPolicy may not specify associations on creation.
Asosiasi hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.
Can not move firewall policy to a different organization.
Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.
Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi penggantian pengaitan yang ada ditetapkan ke benar (true).
Cannot have rules with the same priorities.
Prioritas aturan harus unik dalam kebijakan firewall hierarkis.
Direction must be specified on firewall policy rule.
Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, default-nya adalah
INGRESS
.Can not specify enable_logging on a goto_next rule.
Firewall Logging tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk mewakili urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.
Must specify at least one destination on Firewall policy rule.
Flag
layer4Configs
dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.Untuk mengetahui detail selengkapnya tentang cara memecahkan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.