Menggunakan kebijakan dan aturan {i>firewall

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Kebijakan firewall hierarkis. Untuk melihat contoh implementasi kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Batasan

  • Aturan kebijakan firewall hierarkis tidak mendukung tag sumber atau akun layanan sumber.
  • Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Sebagai gantinya, Anda harus menggunakan jaringan VPC target atau akun layanan target.
  • Kebijakan firewall dapat diterapkan pada tingkat folder dan organisasi, tetapi tidak pada tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
  • Hanya satu kebijakan firewall yang dapat dikaitkan dengan node (folder atau organisasi), meskipun instance mesin virtual (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki node di atas VM.
  • Firewall Rules Logging didukung untuk aturan allow dan deny, tetapi tidak didukung untuk aturan goto_next.
  • Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tugas kebijakan {i>firewall<i}

Buat kebijakan firewall

Anda dapat membuat kebijakan di node, organisasi, atau folder mana pun di hierarki organisasi. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan node mana pun di organisasi Anda. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM di bawah node terkait dalam hierarki.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi atau folder dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Beri Nama kebijakan.

  5. Jika ingin membuat aturan untuk kebijakan Anda, klik Lanjutkan > Tambahkan aturan.

    Untuk mengetahui detailnya, lihat Membuat aturan firewall.

  6. Jika ingin mengaitkan kebijakan dengan node, klik Continue > Associate policy with resources.

    Untuk mengetahui detailnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.

  7. Klik Create.

gcloud 

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Ganti kode berikut:

  • ORG_ID: ID organisasi Anda
    Tentukan ID ini jika Anda membuat kebijakan di tingkat organisasi. ID ini hanya menunjukkan tempat kebijakan berada; tidak otomatis mengaitkan kebijakan dengan node organisasi.
  • FOLDER_ID: ID folder
    Tentukan ID ini jika Anda membuat kebijakan di folder tertentu. ID ini hanya menunjukkan tempat kebijakan berlaku; ID ini tidak otomatis mengaitkan kebijakan dengan folder tersebut.
  • SHORT_NAME: nama untuk kebijakan
    Kebijakan yang dibuat dengan menggunakan Google Cloud CLI memiliki dua nama: nama yang dihasilkan sistem dan nama pendek yang Anda berikan. Saat menggunakan Google Cloud CLI untuk memperbarui kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

Membuat aturan firewall

Aturan kebijakan firewall hierarkis harus dibuat dalam kebijakan firewall hierarkis. Aturan ini tidak akan aktif sampai Anda mengaitkan kebijakan yang memuatnya ke node.

Setiap aturan kebijakan firewall hierarkis dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda.

  4. Klik Tambahkan Aturan.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas pada aturan yang memungkinkan penyisipan berikutnya (seperti 100, 200, 300).
    2. Setel koleksi Log ke Aktif atau Nonaktif.
    3. Untuk Arah traffic, tentukan apakah aturan ini merupakan aturan Ingress atau Traffic Keluar.

    4. Untuk Tindakan pada pencocokan, pilih salah satu opsi berikut:

      1. Allow: mengizinkan koneksi yang cocok dengan aturan.
      2. Deny: menolak koneksi yang cocok dengan aturan.
      3. Buka berikutnya: evaluasi koneksi diteruskan ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Lanjutkan ke pemeriksaan L7: akan mengirimkan paket ke endpoint firewall yang dikonfigurasi untuk pemeriksaan lapisan 7.
        • Dalam daftar Security profile group, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS atas paket, pilih Enable TLS inspection.

      Untuk mempelajari lebih lanjut bagaimana aturan dan tindakan terkait dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.

    5. Opsional: Anda dapat membatasi aturan pada jaringan tertentu dengan menentukannya di kolom Target networks. Klik ADD NETWORK, lalu pilih Project dan Network. Anda dapat menambahkan beberapa jaringan target ke aturan.

    6. Opsional: Anda dapat membatasi aturan untuk VM yang berjalan dengan akses ke akun layanan tertentu dengan menentukan akun di kolom Target service accounts.

    7. Untuk aturan Ingress, tentukan filter Source:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.

    8. Untuk aturan Traffic keluar, tetapkan Filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    9. Opsional: Jika Anda membuat aturan Ingress, tentukan FQDN sumber tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih FQDN tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.

    10. Opsional: Jika Anda membuat aturan Ingress, pilih sumber Geolocations tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih Geolokasi tujuan tempat aturan ini diterapkan. Untuk informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    11. Opsional: Jika Anda membuat aturan Ingress, pilih Grup alamat sumber tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic keluar, pilih Grup alamat tujuan tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya mengenai grup alamat, lihat Grup alamat untuk kebijakan firewall.

    12. Opsional: Jika Anda membuat aturan Ingress, pilih sumber daftar Google Cloud Threat Intelligence tempat aturan ini diterapkan. Jika Anda membuat aturan Traffic Keluar, pilih tujuan yang mencantumkan Google Cloud Threat Intelligence tempat aturan ini diterapkan. Untuk mengetahui informasi selengkapnya tentang Kecerdasan Ancaman, lihat Kecerdasan Ancaman untuk aturan kebijakan firewall.

    13. Opsional: Untuk aturan Ingress, tentukan filter Tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih IPv6 ranges dan masukkan blok CIDR ke kolom Tujuan IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 mana pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan masuk.

    14. Opsional: Untuk aturan Traffic keluar, tentukan filter Sumber:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber aturan traffic keluar.

    15. Untuk Protokol dan port, tentukan bahwa aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang diterapkan.

      Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk informasi selengkapnya tentang protokol, lihat Protokol dan port.

    16. Klik Create.

  6. Klik Add rule untuk menambahkan aturan lain.

  7. Klik Continue > Associate policy with resources untuk mengaitkan kebijakan dengan resource, atau klik Create untuk membuat kebijakan.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan tersebut dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas pada aturan yang memungkinkan penyisipan berikutnya (seperti 100, 200, 300).

  • ORG_ID: ID organisasi Anda

  • POLICY_NAME: nama pendek atau nama kebijakan yang dibuat sistem

  • DIRECTION: menunjukkan apakah aturan adalah aturan INGRESS (default) atau EGRESS

    • Menyertakan --src-ip-ranges untuk menentukan rentang IP untuk sumber traffic.
    • Sertakan --dest-ip-ranges untuk menentukan rentang IP untuk tujuan traffic.

    Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.

  • IP_RANGES: daftar yang dipisahkan koma untuk rentang IP berformat CIDR, baik semua rentang IPv4 maupun semua rentang IPv6—contoh:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE: daftar yang dipisahkan koma untuk kode negara dua huruf

    • Untuk arah masuk, tentukan kode negara sumber dalam parameter --src-region-code; Anda tidak dapat menggunakan parameter --src-region-code untuk arah keluar
    • Untuk rute keluar, tentukan kode negara tujuan dalam parameter --dest-region-code; Anda tidak dapat menggunakan parameter --dest-region-code untuk arah masuk

  • LIST_NAMES: daftar yang dipisahkan koma untuk nama daftar Threat Intelligence

    • Untuk arah masuk, tentukan daftar Kecerdasan Ancaman sumber dalam parameter --src-threat-intelligence; Anda tidak dapat menggunakan parameter --src-threat-intelligence untuk arah keluar
    • Untuk arah keluar, tentukan daftar Kecerdasan Ancaman tujuan di parameter --dest-threat-intelligence; Anda tidak dapat menggunakan parameter --dest-threat-intelligence untuk arah masuk

  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah masuk, tentukan grup alamat sumber dalam parameter --src-address-groups; Anda tidak dapat menggunakan parameter --src-address-groups untuk arah keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam parameter --dest-address-groups; Anda tidak dapat menggunakan parameter --dest-address-groups untuk arah masuk

  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan dalam Format nama domain

    • Untuk arah masuk, tentukan nama domain sumber dalam parameter --src-fqdns; Anda tidak dapat menggunakan parameter --src-fqdns untuk arah keluar
    • Untuk arah keluar, tentukan grup alamat tujuan dalam parameter --dest-fqdns; Anda tidak dapat menggunakan parameter --dest-fqdns untuk arah masuk

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • apply_security_profile_group: secara transparan mengirimkan paket ke endpoint firewall yang dikonfigurasi untuk pemeriksaan lapisan 7
    • goto_next: meneruskan evaluasi koneksi ke level berikutnya dalam hierarki, baik folder maupun jaringan

    Untuk mempelajari lebih lanjut cara mengevaluasi aturan dan tindakan terkait untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang digunakan untuk pemeriksaan lapisan 7; menentukan parameter ini hanya saat tindakan apply_security_profile_group dipilih

  • --tls-inspect: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakan apply_security_profile_group dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan --no-tls-inspect

  • PROTOCOL_PORT: daftar nama atau nomor protokol yang dipisahkan koma (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi lebih lanjut, baca bagian Protokol dan port.

  • NETWORKS: daftar URL resource jaringan VPC yang dipisahkan koma dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, dengan PROJECT_ID sebagai project ID project yang berisi jaringan VPC, dan NETWORK_NAME adalah nama jaringan. Jika dihilangkan, aturan akan berlaku untuk semua jaringan VPC di bawah node.

    Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.

  • SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma; aturan ini hanya berlaku untuk VM yang berjalan dengan akses ke akun layanan yang ditentukan

    Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Logging Aturan Firewall untuk aturan yang ditentukan

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak perlu dipertimbangkan saat memproses koneksi; menghilangkan flag ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

Mengaitkan kebijakan dengan organisasi atau folder

Kaitkan kebijakan dengan node untuk mengaktifkan aturan kebijakan bagi setiap VM yang berada di bawah node dalam hierarki.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Pengaitan.

  6. Pilih root organisasi atau pilih folder di dalam organisasi.

  7. Klik Tambahkan.

gcloud 

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ganti kode berikut:

  • POLICY_NAME: nama pendek atau nama kebijakan yang dibuat sistem
  • ORG_ID: ID organisasi Anda
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; abaikan jika Anda mengaitkan kebijakan ke tingkat organisasi
  • ASSOCIATION_NAME: nama opsional untuk pengaitan; jika tidak ditentukan, nama akan ditetapkan ke "organisasi ORG_ID" atau "folder FOLDER_ID"
  • --replace-association-on-target
    Secara default, jika Anda mencoba menyisipkan pengaitan ke node organisasi atau folder yang sudah memiliki pengaitan, metode tersebut akan gagal. Jika Anda menentukan tanda ini, atribusi yang ada akan dihapus pada saat yang sama dengan atribusi baru yang dibuat. Hal ini akan mencegah node tanpa kebijakan selama transisi.

Memindahkan kebijakan dari satu node ke node lainnya

Memindahkan kebijakan akan mengubah node mana yang memiliki kebijakan. Untuk memindahkan kebijakan, Anda harus memiliki izin move pada node lama dan baru.

Pemindahan kebijakan tidak memengaruhi pengaitan kebijakan yang ada atau evaluasi aturan yang ada, tetapi dapat memengaruhi siapa yang memiliki izin untuk mengubah atau mengaitkan kebijakan tersebut setelah pemindahan.

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud 

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Ganti kode berikut:

  • POLICY_NAME: nama pendek atau nama buatan sistem dari kebijakan yang Anda pindahkan
  • ORG_ID: ID organisasi Anda; jika Anda memindahkan kebijakan ke node organisasi, tentukan ID ini, tetapi jangan tentukan folder
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; abaikan jika Anda mengaitkan kebijakan ke node organisasi

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Description.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah Description.

  6. Klik Simpan.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Membuat daftar kebijakan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

    Bagian Kebijakan firewall yang terkait dengan node ini atau diwarisi oleh node menunjukkan kebijakan yang terkait dengan node ini dalam hierarki resource Anda.

    Bagian Kebijakan firewall yang berada dalam node ini mencantumkan kebijakan yang dimiliki oleh node ini dalam hierarki resource. Kebijakan tersebut mungkin tidak dikaitkan dengan node ini, tetapi dapat dikaitkan dengan node ini atau node lainnya.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Jelaskan kebijakan

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini diperhitungkan dalam batas per kebijakan.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Anda harus menghapus semua pengaitan di kebijakan firewall organisasi sebelum dapat menghapusnya.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin dihapus.

  4. Klik tab Pengaitan.

  5. Pilih semua atribusi.

  6. Klik Hapus Atribusi.

  7. Setelah semua pengaitan dihapus, klik Hapus.

gcloud

  1. Menampilkan daftar semua node yang terkait dengan kebijakan firewall:

    gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

  2. Menghapus pengaitan satu per satu. Untuk menghapus pengaitan, Anda harus memiliki peran compute.orgSecurityResourceAdmin pada node atau ancestor node terkait.

    gcloud compute firewall-policies associations delete NODE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

  3. Hapus kebijakan:

    gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mencantumkan pengaitan untuk node

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Kebijakan terkait dan diwariskan tercantum dalam Kebijakan firewall yang terkait dengan node ini atau diwarisi oleh node.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mencantumkan pengaitan untuk kebijakan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pengaitan tercantum dalam tabel.

gcloud 

gcloud compute firewall-policies describe POLICY_ID

Menghapus atribusi

Untuk menghentikan penerapan kebijakan firewall pada organisasi atau folder, hapus pengaitan.

Namun, jika Anda ingin menukar satu kebijakan firewall dengan kebijakan lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Jika tidak ada kebijakan yang diterapkan, akan ada jangka waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih atribusi yang ingin dihapus.

  6. Klik Hapus Atribusi.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Membuat aturan dalam kebijakan firewall yang ada

Lihat Membuat aturan firewall.

Mencantumkan semua aturan dalam kebijakan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda. Aturan dicantumkan di tab Aturan firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Menjelaskan aturan

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini mengidentifikasi aturan secara unik
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: nama pendek atau nama buatan sistem kebijakan yang berisi aturan tersebut

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin diubah.

  7. Klik Simpan.

gcloud 

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Buat clone aturan dari satu kebijakan ke kebijakan lainnya

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Berikan nama kebijakan target.

  6. Klik Continue > Associate policy with resources jika Anda ingin segera mengaitkan kebijakan baru.

  7. Klik Clone.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • ORG_ID: ID organisasi Anda
  • SOURCE_POLICY: kebijakan untuk menyalin aturan; harus berupa URL resource

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pull-down pemilih project, pilih ID organisasi Anda atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin dihapus.

  5. Klik Delete.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: kebijakan yang berisi aturan

Mendapatkan aturan firewall yang efektif untuk jaringan

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan pada jaringan VPC yang ditentukan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik jaringan yang aturan kebijakan firewall-nya ingin Anda lihat.

  3. Klik Kebijakan firewall.

  4. Luaskan setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

  • NETWORK_NAME: jaringan untuk mendapatkan aturan yang efektif untuk

Anda juga dapat melihat aturan firewall yang efektif untuk suatu jaringan dari halaman Firewall.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall yang efektif untuk antarmuka VM

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan pada antarmuka VM Compute Engine yang ditentukan.

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Di menu pull-down pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Aturan firewall yang efektif akan muncul di Detail firewall dan rute.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM untuk mendapatkan aturan yang efektif; jika tidak ada antarmuka yang ditentukan, akan menampilkan aturan untuk antarmuka utama (nic0)
  • INTERFACE: antarmuka VM untuk mendapatkan aturan yang efektif; defaultnya adalah nic0
  • ZONE: zona VM; opsional jika zona yang dipilih sudah ditetapkan sebagai default

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda temui.

  • FirewallPolicy may not specify a name. One will be provided.

    Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dibuat oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah digunakan dan berfungsi sebagai alias dalam banyak konteks.

  • FirewallPolicy may not specify associations on creation.

    Pengaitan hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.

  • Can not move firewall policy to a different organization.

    Pemindahan kebijakan {i>firewall<i} secara hierarkis harus tetap berada dalam organisasi yang sama.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Jika node sudah ditambahkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi untuk mengganti pengaitan yang ada ditetapkan ke true.

  • Cannot have rules with the same priorities.

    Prioritas aturan harus unik dalam kebijakan firewall hierarkis.

  • Direction must be specified on firewall policy rule.

    Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, defaultnya adalah INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    Firewall Logging tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk mewakili urutan evaluasi kebijakan firewall yang berbeda dan bukan merupakan tindakan terminal—misalnya, ALLOW atau DENY.

  • Must specify at least one destination on Firewall policy rule.

    Parameter layer4Configs dalam aturan kebijakan firewall harus menentukan minimal satu protokol atau protokol dan port tujuan.

    Untuk mengetahui detail lebih lanjut tentang cara memecahkan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.

Langkah selanjutnya