Menggunakan kebijakan dan aturan firewall jaringan regional

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall jaringan regional.

Tugas kebijakan firewall

Bagian ini menjelaskan cara membuat, mengaitkan, dan mengelola kebijakan firewall jaringan regional serta aturannya.

Membuat kebijakan firewall jaringan regional

Anda dapat membuat kebijakan untuk jaringan Virtual Private Cloud (VPC) apa pun dalam Google Cloud project. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan jaringan VPC mana pun dalam project Anda. Setelah dikaitkan, aturan kebijakan akan aktif di jaringan yang dikaitkan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Nama, masukkan nama kebijakan.

  5. Untuk Cakupan deployment, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.

  6. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall jaringan.

  7. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Kaitkan kebijakan dengan jaringan VPC.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.

  8. Klik Buat.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Ganti kode berikut:

  • NETWORK_FIREWALL_POLICY_NAME: nama untuk kebijakan
  • DESCRIPTION: deskripsi untuk kebijakan
  • REGION_NAME: region untuk kebijakan

Mengaitkan kebijakan dengan jaringan

Anda dapat mengaitkan kebijakan firewall jaringan regional dengan region jaringan VPC dan menerapkan aturan dalam kebijakan ke region jaringan tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Pengaitan.

  6. Pilih jaringan dalam project.

  7. Klik Kaitkan.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • POLICY_NAME: nama pendek atau nama yang dibuat sistem untuk kebijakan.
  • NETWORK_NAME: nama jaringan terkait.
  • ASSOCIATION_NAME: nama opsional untuk asosiasi. Jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.
  • REGION_NAME: region untuk kebijakan.

Menjelaskan kebijakan firewall jaringan regional

Anda dapat mendeskripsikan kebijakan untuk melihat detail berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Memperbarui deskripsi kebijakan firewall jaringan regional

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan firewall jaringan regional.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Di kolom Deskripsi, ubah deskripsi.

  6. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Mencantumkan kebijakan firewall jaringan regional

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

    Bagian Kebijakan firewall jaringan menampilkan kebijakan yang tersedia di project Anda.

gcloud 

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Menghapus kebijakan firewall jaringan regional

Anda harus menghapus semua asosiasi pada kebijakan firewall jaringan sebelum Anda dapat menghapusnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus Pengaitan.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

  1. Mencantumkan semua jaringan yang terkait dengan kebijakan firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Menghapus asosiasi individu. Untuk menghapus asosiasi, Anda harus memiliki peran Admin Keamanan Compute (roles/compute.SecurityAdmin) di jaringan Virtual Private Cloud (VPC) yang terkait.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. Hapus kebijakan:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Menghapus kaitan

Untuk menghentikan penerapan kebijakan firewall pada jaringan, hapus pengaitan.

Namun, jika Anda ingin menukar satu kebijakan firewall dengan kebijakan firewall lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan menyebabkan tidak ada kebijakan yang diterapkan selama jangka waktu tertentu. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus Pengaitan.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tugas aturan kebijakan firewall

Membuat aturan firewall jaringan

Aturan kebijakan firewall jaringan harus dibuat dalam kebijakan firewall jaringan regional. Aturan tidak aktif hingga Anda mengaitkan kebijakan yang berisi aturan tersebut ke jaringan VPC.

Setiap aturan kebijakan firewall jaringan dapat mencakup rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project yang berisi kebijakan Anda.

  3. Klik nama kebijakan regional Anda.

  4. Untuk Firewall Rules, klik Create.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan di kemudian hari (seperti 100, 200, 300).
    2. Setel pengumpulan Logs ke On atau Off.
    3. Untuk Direction of traffic, pilih ingress atau egress.
    4. Untuk Tindakan saat kecocokan, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Izinkan), ditolak (Tolak), atau apakah evaluasi koneksi diteruskan ke aturan firewall berikutnya yang lebih rendah dalam hierarki (Lanjutkan ke berikutnya).
    5. Tentukan Target aturan.
      • Jika Anda ingin aturan berlaku untuk semua instance di jaringan, pilih All instances in the network.
      • Jika Anda ingin aturan diterapkan ke instance tertentu menurut Tag, pilih Tag aman. Klik PILIH CAKUPAN, lalu pilih organisasi atau project tempat Anda ingin membuat pasangan nilai kunci Tag. Masukkan pasangan nilai kunci yang akan menerapkan aturan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.
      • Jika Anda ingin aturan diterapkan ke instance tertentu berdasarkan akun layanan terkait, pilih Akun layanan, tunjukkan apakah akun layanan berada di project saat ini atau project lain di Cakupan akun layanan, lalu pilih atau ketik nama akun layanan di kolom Akun layanan target.

    6. Untuk aturan Ingress, tentukan Source filter:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.
      • Untuk membatasi sumber menurut Tag, klik PILIH CAKUPAN di bagian Tag. Pilih organisasi atau project tempat Anda ingin membuat Tag. Masukkan pasangan nilai kunci yang akan diterapkan aturan. Untuk menambahkan pasangan nilai kunci lainnya, klik TAMBAHKAN TAG.

    7. Untuk aturan Egress, tentukan Filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom IP range. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    8. Opsional: Jika Anda membuat aturan Ingress, tentukan FQDN sumber yang akan diterapkan aturan ini. Jika Anda membuat aturan Egress, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek nama domain.

    9. Opsional: Jika Anda membuat aturan Ingress, pilih Geolokasi sumber yang menjadi cakupan aturan ini. Jika Anda membuat aturan Egress, pilih Geolokasi tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    10. Opsional: Jika Anda membuat aturan Ingress, pilih Grup alamat sumber yang akan menerapkan aturan ini. Jika Anda membuat aturan Egress, pilih Grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    11. Opsional: Jika Anda membuat aturan Ingress, pilih daftar Google Cloud Threat Intelligence sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan Egress, pilih daftar Google Cloud Threat Intelligence tujuan yang berlaku untuk aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    12. Opsional: Untuk aturan Ingress, tentukan filter Tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih Rentang IPv6 dan masukkan blok CIDR ke dalam kolom Rentang IPv6 tujuan. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    13. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR di kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.

    14. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang berlaku.

    15. Klik Buat.

  6. Klik Tambahkan aturan untuk menambahkan aturan lain. Klik Lanjutkan > Kaitkan kebijakan dengan jaringan VPC untuk mengaitkan kebijakan dengan jaringan, atau klik Buat untuk membuat kebijakan.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan nanti (seperti 100, 200, 300).

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan

    • goto_next: beralih ke kebijakan berikutnya dalam urutan evaluasi.

      Jika jaringan VPC memiliki beberapa kebijakan firewall jaringan regional yang terkait dengannya, evaluasi akan berpindah ke kebijakan berikutnya dalam urutan evaluasi dalam kebijakan regional tersebut.

      Misalnya, jika dua kebijakan firewall jaringan regional dikaitkan dengan jaringan VPC dan kebijakan dengan prioritas lebih tinggi menggunakan goto_next, evaluasi akan berpindah ke kebijakan regional dengan prioritas lebih rendah, melewati aturan firewall VPC dan kebijakan jaringan global.

  • POLICY_NAME: nama kebijakan firewall jaringan

  • PROTOCOL_PORT: daftar nama atau angka protokol yang dipisahkan koma (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya:

    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Untuk mengetahui informasi selengkapnya, lihat protokol dan port.

  • TARGET_SECURE_TAG: daftar tag aman yang dipisahkan koma untuk menentukan target

  • SERVICE_ACCOUNT: daftar akun layanan yang dipisahkan koma untuk menentukan target

  • DIRECTION: menunjukkan apakah aturan adalah aturan INGRESS atau EGRESS; defaultnya adalah INGRESS

    • Sertakan --src-ip-ranges untuk menentukan rentang IP untuk sumber traffic
    • Sertakan --dest-ip-ranges untuk menentukan rentang IP bagi tujuan traffic

    Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.

  • SRC_NETWORK_TYPE: menunjukkan jenis traffic jaringan sumber yang aturan masuknya diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua jenis jaringan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

  • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma

    Anda dapat menggunakan --src-networks hanya jika --src-network-type disetel ke VPC_NETWORKS.

  • DEST_NETWORK_TYPE: menunjukkan jenis traffic jaringan tujuan yang akan menerapkan aturan keluar. Anda dapat menyetel argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua jenis jaringan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

  • IP_RANGES: daftar rentang IP berformat CIDR yang dipisahkan koma, baik semua rentang IPv4 atau semua rentang IPv6—contoh:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: daftar Tag yang dipisahkan koma.

    Anda tidak dapat menggunakan tag aman sumber jika jenis jaringan disetel ke INTERNET.

  • COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma

    • Untuk arah masuk, tentukan kode negara sumber dalam tanda --src-region-code. Anda tidak dapat menggunakan flag --src-region-code untuk arah keluar, atau saat --src-network-type ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah traffic keluar, tentukan kode negara tujuan dalam flag --dest-region-code; Anda tidak dapat menggunakan flag --dest-region-code untuk arah traffic masuk

  • LIST_NAMES: daftar nama yang dipisahkan koma dari daftar Google Threat Intelligence

    • Untuk arah ingress, tentukan daftar Google Threat Intelligence sumber di tanda --src-threat-intelligence. Anda tidak dapat menggunakan flag --src-threat-intelligence untuk arah keluar, atau saat --src-network-type ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan dalam flag --dest-threat-intelligence; Anda tidak dapat menggunakan flag --dest-threat-intelligence untuk arah masuk

  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah ingress, tentukan grup alamat sumber dalam flag --src-address-groups; Anda tidak dapat menggunakan flag --src-address-groups untuk arah egress
    • Untuk arah traffic keluar, tentukan grup alamat tujuan dalam flag --dest-address-groups; Anda tidak dapat menggunakan flag --dest-address-groups untuk arah traffic masuk

  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain

    • Untuk arah ingress, tentukan nama domain sumber dalam flag --src-fqdns; Anda tidak dapat menggunakan flag --src-fqdns untuk arah egress
    • Untuk arah traffic keluar, tentukan grup alamat tujuan dalam flag --dest-fqdns; Anda tidak dapat menggunakan flag --dest-fqdns untuk arah traffic masuk

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Firewall Rules Logging untuk aturan tertentu

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak boleh dipertimbangkan saat memproses koneksi; menghilangkan tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

  • REGION_NAME: region tempat kebijakan diterapkan

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall jaringan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini secara unik mengidentifikasi suatu aturan
  • POLICY_NAME: nama kebijakan yang berisi aturan
  • REGION_NAME: region tempat kebijakan diterapkan.

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • POLICY_NAME: kebijakan yang berisi aturan
  • REGION_NAME: region tempat kebijakan diterapkan

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih project Anda yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Klik Lanjutkan > Kaitkan kebijakan jaringan dengan resource jika Anda ingin mengaitkan kebijakan baru segera.

  7. Klik Clone.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • SOURCE_POLICY: kebijakan untuk menyalin aturan; harus berupa URL resource
  • REGION_NAME: region tempat kebijakan diterapkan

Mendapatkan kebijakan firewall jaringan regional yang efektif

Anda dapat melihat semua aturan firewall yang berlaku untuk region jaringan VPC menggunakan perintah berikut. Perintah ini menampilkan aturan yang berasal dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, kebijakan firewall jaringan regional, dan aturan firewall VPC.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ganti kode berikut:

  • REGION_NAME: region yang ingin Anda lihat aturan efektifnya.
  • NETWORK_NAME: jaringan yang ingin Anda lihat aturan efektifnya.