Menggunakan kebijakan dan aturan firewall hierarkis

Halaman ini mengasumsikan bahwa Anda telah memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Batasan

  • Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Anda harus menggunakan jaringan Virtual Private Cloud (VPC) target atau akun layanan target.
  • Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
  • Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
  • Logging Aturan Firewall didukung untuk aturan allow dan deny, tetapi tidak untuk aturan goto_next.
  • Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Tugas kebijakan firewall

Buat kebijakan firewall

Anda dapat membuat kebijakan di resource (organisasi atau folder) mana pun dalam hierarki organisasi Anda. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan resource organisasi Anda. Setelah dikaitkan, aturan kebijakan akan aktif untuk VM di resource terkait dalam hierarki.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi Anda atau folder dalam organisasi Anda.

  3. Klik Create firewall policy.

  4. Di kolom Nama, masukkan nama untuk kebijakan.

  5. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan > Tambahkan aturan.

    Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall.

  6. Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan > Kaitkan kebijakan dengan resource.

    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.

  7. Klik Buat.

gcloud 

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Ganti kode berikut:

  • ORG_ID: ID organisasi Anda

    Tentukan ID ini jika Anda membuat kebijakan di tingkat organisasi. ID ini hanya menunjukkan tempat kebijakan berada; ID ini tidak secara otomatis mengaitkan kebijakan dengan resource organisasi.

  • FOLDER_ID: ID folder

    Tentukan ID ini jika Anda membuat kebijakan di folder tertentu. ID ini hanya menunjukkan tempat kebijakan berada; ID tidak secara otomatis mengaitkan kebijakan dengan folder tersebut.

  • SHORT_NAME: nama untuk kebijakan

    Kebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang Anda berikan. Saat menggunakan gcloud CLI untuk mengupdate kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.

Membuat aturan firewall

Aturan kebijakan firewall hierarkis harus dibuat dalam kebijakan firewall hierarkis. Aturan tidak aktif hingga Anda mengaitkan kebijakan yang memuatnya ke resource.

Setiap aturan kebijakan firewall hierarkis dapat menyertakan rentang IPv4 atau IPv6, tetapi tidak keduanya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda.

  4. Klik Tambahkan Aturan.

  5. Isi kolom aturan:

    1. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Praktik yang baik adalah memberikan nomor prioritas aturan yang memungkinkan penyisipan di kemudian hari (seperti 100, 200, 300).
    2. Setel pengumpulan Logs ke On atau Off.
    3. Untuk Direction of traffic, tentukan apakah aturan ini adalah aturan Ingress atau Egress.
    4. Untuk Action on match, pilih salah satu opsi berikut:
      1. Izinkan: mengizinkan koneksi yang cocok dengan aturan.
      2. Deny: menolak koneksi yang cocok dengan aturan.
      3. Go to next: meneruskan evaluasi koneksi ke aturan firewall yang lebih rendah berikutnya dalam hierarki.
      4. Lanjutkan ke inspeksi L7: mengirimkan paket ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7.
        • Dalam daftar Grup profil keamanan, pilih nama grup profil keamanan.
        • Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS. Untuk mengetahui informasi selengkapnya tentang cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.
    5. Opsional: Anda dapat membatasi aturan ke jaringan tertentu dengan menentukannya di kolom Jaringan target. Klik ADD NETWORK, lalu pilih Project dan Network. Anda dapat menambahkan beberapa jaringan target ke aturan.
    6. Opsional: Anda dapat membatasi aturan ke VM yang berjalan dengan akses ke akun layanan tertentu dengan menentukan akun di kolom Akun layanan target.

    7. Untuk aturan Ingress, tentukan filter Source:

      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun.

    8. Untuk aturan Egress, tentukan Filter tujuan:

      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom IP range. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom IP range. Gunakan ::/0 untuk tujuan IPv6 apa pun.

    9. Opsional: Jika Anda membuat aturan ingress, tentukan FQDN sumber yang aturan ini berlaku untuknya. Jika Anda membuat aturan keluar, pilih FQDN tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang objek nama domain, lihat Objek FQDN.

    10. Opsional: Jika Anda membuat aturan masuk, pilih geolokasi sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan keluar, pilih geolokasi tujuan yang berlaku untuk aturan ini. Untuk mengetahui informasi selengkapnya tentang objek geolokasi, lihat Objek geolokasi.

    11. Opsional: Jika Anda membuat aturan ingress, pilih grup alamat sumber yang berlaku untuk aturan ini. Jika Anda membuat aturan keluar, pilih grup alamat tujuan yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

    12. Opsional: Jika Anda membuat aturan ingress, pilih daftar sumber Google Cloud Threat Intelligence yang berlaku untuk aturan ini. Jika Anda membuat aturan keluar, pilih daftar tujuan Google Cloud Threat Intelligence yang akan menerapkan aturan ini. Untuk mengetahui informasi selengkapnya tentang Google Threat Intelligence, lihat Google Threat Intelligence untuk aturan kebijakan firewall.

    13. Opsional: Untuk aturan Ingress, tentukan filter Tujuan:

      • Untuk memfilter traffic masuk menurut rentang IPv4 tujuan, pilih IPv4 dan masukkan blok CIDR ke kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 tujuan, pilih Rentang IPv6 dan masukkan blok CIDR ke dalam kolom Rentang IPv6 tujuan. Gunakan ::/0 untuk tujuan IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.

    14. Opsional: Untuk aturan Egress, tentukan filter Source:

      • Untuk memfilter traffic keluar menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke dalam kolom IP range. Gunakan ::/0 untuk sumber IPv6 apa pun. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan traffic keluar.

    15. Untuk Protocols and ports, tentukan apakah aturan berlaku untuk semua protokol dan semua port tujuan atau tentukan protokol dan port tujuan yang menjadi target aturan.

      Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya tentang protokol, lihat Protokol dan port.

    16. Klik Buat.

  6. Klik Tambahkan aturan untuk menambahkan aturan lain.

  7. Klik Lanjutkan > Kaitkan kebijakan dengan resource untuk mengaitkan kebijakan dengan resource, atau klik Buat untuk membuat kebijakan.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
    [--dest-network-type DEST_NETWORK_TYPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Ganti kode berikut:

  • PRIORITY: urutan evaluasi numerik aturan

    Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya beri nomor prioritas aturan yang memungkinkan penyisipan di kemudian hari (seperti 100, 200, 300).

  • ORG_ID: ID organisasi Anda

  • POLICY_NAME: nama pendek atau nama yang dibuat sistem untuk kebijakan

  • DIRECTION: menunjukkan apakah aturan adalah aturan INGRESS (default) atau EGRESS

    • Sertakan --src-ip-ranges untuk menentukan rentang IP untuk sumber traffic.
    • Sertakan --dest-ip-ranges untuk menentukan rentang IP bagi tujuan traffic.

    Untuk mengetahui informasi selengkapnya, lihat target, sumber, dan tujuan.

  • SRC_NETWORK_TYPE: menunjukkan jenis traffic jaringan sumber yang aturan masuknya diterapkan. Anda dapat menetapkan argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua jenis jaringan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

  • SRC_VPC_NETWORK: daftar jaringan VPC yang dipisahkan koma

    Anda dapat menggunakan --src-networks hanya jika --src-network-type disetel ke VPC_NETWORKS.

  • DEST_NETWORK_TYPE: menunjukkan jenis traffic jaringan tujuan yang akan menerapkan aturan keluar. Anda dapat menyetel argumen ini ke salah satu nilai berikut:

    • INTERNET
    • NON_INTERNET

    Untuk menghapus nilai argumen ini, gunakan string kosong. Nilai kosong menunjukkan semua jenis jaringan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

  • IP_RANGES: daftar rentang IP berformat CIDR yang dipisahkan koma, baik semua rentang IPv4 atau semua rentang IPv6—contoh:

    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE: daftar kode negara dua huruf yang dipisahkan koma

    • Untuk arah masuk, tentukan kode negara sumber dalam tanda --src-region-code. Anda tidak dapat menggunakan flag --src-region-code untuk arah keluar, atau saat --src-network-type ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah traffic keluar, tentukan kode negara tujuan dalam flag --dest-region-code; Anda tidak dapat menggunakan flag --dest-region-code untuk arah traffic masuk

  • LIST_NAMES: daftar nama list Google Threat Intelligence yang dipisahkan koma

    • Untuk arah ingress, tentukan daftar Google Threat Intelligence sumber di tanda --src-threat-intelligence. Anda tidak dapat menggunakan flag --src-threat-intelligence untuk arah keluar, atau saat --src-network-type ditetapkan ke NON_INTERNET, VPC_NETWORK, atau INTRA_VPC.
    • Untuk arah keluar, tentukan daftar Google Threat Intelligence tujuan dalam flag --dest-threat-intelligence; Anda tidak dapat menggunakan flag --dest-threat-intelligence untuk arah masuk

  • ADDR_GRP_URL: ID URL unik untuk grup alamat

    • Untuk arah ingress, tentukan grup alamat sumber dalam flag --src-address-groups; Anda tidak dapat menggunakan flag --src-address-groups untuk arah egress
    • Untuk arah traffic keluar, tentukan grup alamat tujuan dalam flag --dest-address-groups; Anda tidak dapat menggunakan flag --dest-address-groups untuk arah traffic masuk

  • DOMAIN_NAME: daftar nama domain yang dipisahkan koma dalam format yang dijelaskan di Format nama domain

    • Untuk arah ingress, tentukan nama domain sumber dalam flag --src-fqdns; Anda tidak dapat menggunakan flag --src-fqdns untuk arah egress
    • Untuk arah traffic keluar, tentukan grup alamat tujuan dalam flag --dest-fqdns; Anda tidak dapat menggunakan flag --dest-fqdns untuk arah traffic masuk

  • ACTION: salah satu tindakan berikut:

    • allow: mengizinkan koneksi yang cocok dengan aturan
    • deny: menolak koneksi yang cocok dengan aturan
    • apply_security_profile_group: mengirimkan paket secara transparan ke endpoint firewall yang dikonfigurasi untuk inspeksi Lapisan 7
    • goto_next: meneruskan evaluasi koneksi ke tingkat berikutnya dalam hierarki, baik folder maupun jaringan

    Untuk mengetahui informasi selengkapnya tentang cara aturan dan tindakan yang sesuai dievaluasi untuk setiap antarmuka jaringan VM, lihat Urutan evaluasi kebijakan dan aturan.

  • SECURITY_PROFILE_GROUP: nama grup profil keamanan yang digunakan untuk inspeksi Layer 7; tentukan argumen ini hanya jika tindakan apply_security_profile_group dipilih

  • --tls-inspect: memeriksa traffic TLS menggunakan kebijakan pemeriksaan TLS saat tindakan apply_security_profile_group dipilih dalam aturan; secara default, pemeriksaan TLS dinonaktifkan, atau Anda dapat menentukan --no-tls-inspect

  • PROTOCOL_PORT: daftar nama atau angka protokol yang dipisahkan koma (tcp,17), protokol dan port tujuan (tcp:80), atau protokol dan rentang port tujuan (tcp:5000-6000)

    Anda tidak dapat menentukan port atau rentang port tanpa protokol. Untuk ICMP, Anda tidak dapat menentukan port atau rentang port—misalnya: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.

  • NETWORKS: daftar URL resource jaringan VPC yang dipisahkan koma dalam bentuk https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.

    Ganti kode berikut:

    • PROJECT_ID: project ID project yang berisi jaringan VPC
    • NETWORK_NAME: nama jaringan; jika tidak ada, aturan berlaku untuk semua jaringan VPC dalam resource

    Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.

  • SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma; aturan hanya diterapkan ke VM yang berjalan dengan akses ke akun layanan yang ditentukan

    Untuk mengetahui informasi selengkapnya, lihat Target untuk aturan kebijakan firewall hierarkis.

  • --enable-logging dan --no-enable-logging: mengaktifkan atau menonaktifkan Firewall Rules Logging untuk aturan tertentu

  • --disabled: menunjukkan bahwa aturan firewall, meskipun ada, tidak boleh dipertimbangkan saat memproses koneksi; menghilangkan tanda ini akan mengaktifkan aturan, atau Anda dapat menentukan --no-disabled

Mengaitkan kebijakan dengan organisasi atau folder

Kaitkan kebijakan dengan resource untuk mengaktifkan aturan kebijakan bagi VM apa pun di bawah resource dalam hierarki.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Klik Tambahkan Pengaitan.

  6. Pilih root organisasi atau pilih folder dalam organisasi.

  7. Klik Tambahkan.

gcloud

Secara default, jika Anda mencoba menyisipkan objek atribusi ke organisasi atau folder yang sudah memiliki objek atribusi, metode akan gagal. Jika Anda menentukan tanda --replace-association-on-target, pengaitan yang ada akan dihapus pada saat yang sama dengan pembuatan pengaitan baru. Hal ini mencegah resource tidak memiliki kebijakan selama transisi.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Ganti kode berikut:

  • POLICY_NAME: nama pendek atau nama yang dibuat sistem untuk kebijakan
  • ORG_ID: ID organisasi Anda
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hilangkan jika Anda mengaitkan kebijakan ke tingkat organisasi
  • ASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama akan ditetapkan ke "organisasi ORG_ID" atau "folder FOLDER_ID"

Memindahkan kebijakan dari satu resource ke resource lain

Memindahkan kebijakan akan mengubah resource yang memiliki kebijakan tersebut. Untuk memindahkan kebijakan, Anda harus memiliki izin move pada resource sebelumnya dan yang baru.

Memindahkan kebijakan tidak memengaruhi asosiasi kebijakan yang ada atau evaluasi aturan yang ada, tetapi dapat memengaruhi siapa yang memiliki izin untuk mengubah atau mengaitkan kebijakan setelah pemindahan.

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud 

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Ganti kode berikut:

  • POLICY_NAME: nama pendek atau nama yang dibuat sistem untuk kebijakan yang Anda pindahkan
  • ORG_ID: ID organisasi Anda; jika Anda memindahkan kebijakan ke organisasi, tentukan ID ini, tetapi jangan tentukan folder
  • FOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hapus jika Anda mengaitkan kebijakan dengan organisasi

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah deskripsi.

  6. Klik Simpan.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mencantumkan kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

    Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.

    Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Menjelaskan kebijakan

Anda dapat melihat semua detail kebijakan, termasuk semua aturan firewall-nya. Selain itu, Anda dapat melihat banyak atribut yang ada di semua aturan dalam kebijakan. Atribut ini dihitung dalam batas per kebijakan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Anda harus menghapus semua asosiasi pada kebijakan firewall organisasi sebelum Anda dapat menghapusnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus Pengaitan.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

  1. Mencantumkan semua resource yang terkait dengan kebijakan firewall:

    gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

  2. Menghapus asosiasi individu. Untuk menghapus asosiasi, Anda harus memiliki peran Compute Organization Resource Admin (roles/compute.orgSecurityResourceAdmin) di resource yang terkait atau ancestor resource tersebut.

    gcloud compute firewall-policies associations delete RESOURCE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

  3. Hapus kebijakan:

    gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mencantumkan pengaitan untuk resource

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan diwariskan akan muncul.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mencantumkan pengaitan untuk kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pengaitan tercantum dalam tabel.

gcloud 

gcloud compute firewall-policies describe POLICY_ID

Menghapus kaitan

Untuk menghentikan penerapan kebijakan firewall pada organisasi atau folder, hapus pengaitan.

Namun, jika Anda ingin menukar satu kebijakan firewall dengan kebijakan firewall lainnya, Anda tidak perlu menghapus pengaitan yang ada terlebih dahulu. Menghapus pengaitan tersebut akan menyisakan jangka waktu saat tidak ada kebijakan yang diterapkan. Sebagai gantinya, ganti kebijakan yang ada saat Anda mengaitkan kebijakan baru.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus Pengaitan.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Membuat aturan dalam kebijakan firewall yang ada

Lihat Membuat aturan firewall.

Mencantumkan semua aturan dalam kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda. Aturan tercantum di tab Aturan firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda lihat; karena setiap aturan harus memiliki prioritas unik, setelan ini secara unik mengidentifikasi suatu aturan
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: nama singkat atau nama yang dibuat sistem dari kebijakan yang berisi aturan

Memperbarui aturan

Untuk deskripsi kolom, lihat Membuat aturan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom yang ingin Anda ubah.

  7. Klik Simpan.

gcloud 

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Masukkan nama kebijakan target.

  6. Klik Lanjutkan > Kaitkan kebijakan dengan resource jika Anda ingin mengaitkan kebijakan baru secara langsung.

  7. Klik Clone.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • ORG_ID: ID organisasi Anda
  • SOURCE_POLICY: kebijakan untuk menyalin aturan; harus berupa URL resource

Menghapus aturan dari kebijakan

Menghapus aturan dari kebijakan akan menghapus aturan dari semua VM yang mewarisi aturan tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan
  • ORG_ID: ID organisasi Anda
  • POLICY_NAME: kebijakan yang berisi aturan

Mendapatkan aturan firewall efektif untuk jaringan

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke jaringan VPC tertentu.

Konsol

  1. Di Google Cloud konsol, buka halaman VPC networks.

    Buka jaringan VPC

  2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

  3. Klik Firewall policies.

  4. Perluas setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti kode berikut:

  • NETWORK_NAME: jaringan untuk mendapatkan aturan yang berlaku

Anda juga dapat melihat aturan firewall yang efektif untuk jaringan dari halaman Firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall efektif untuk antarmuka VM

Menampilkan semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang diterapkan ke antarmuka VM Compute Engine tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Di menu pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Aturan firewall yang efektif muncul di Detail firewall dan rute.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM untuk mendapatkan aturan efektif; jika tidak ada antarmuka yang ditentukan, akan menampilkan aturan untuk antarmuka utama (nic0)
  • INTERFACE: antarmuka VM untuk mendapatkan aturan efektif; defaultnya adalah nic0
  • ZONE: zona VM; opsional jika zona yang dipilih sudah ditetapkan sebagai default

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda temui.

  • FirewallPolicy may not specify a name. One will be provided.

    Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dibuat oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah diingat yang berfungsi sebagai alias dalam banyak konteks.

  • FirewallPolicy may not specify associations on creation.

    Pengaitan hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.

  • Can not move firewall policy to a different organization.

    Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi untuk mengganti asosiasi yang ada disetel ke benar (true).

  • Cannot have rules with the same priorities.

    Prioritas aturan harus unik dalam kebijakan firewall hierarkis.

  • Direction must be specified on firewall policy rule.

    Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, nilai defaultnya adalah INGRESS.

  • Can not specify enable_logging on a goto_next rule.

    Pencatatan Log Firewall tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk merepresentasikan urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.

  • Must specify at least one destination on Firewall policy rule.

    Flag layer4Configs dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.

    Untuk mengetahui informasi selengkapnya tentang pemecahan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.

Langkah berikutnya