Aturan kebijakan firewall

Saat membuat aturan kebijakan firewall, Anda menentukan serangkaian komponen yang menentukan tindakan yang dilakukan aturan. Komponen ini menentukan arah traffic, sumber, tujuan, dan karakteristik Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).

Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya.

Aturan traffic masuk

Arah masuk mengacu pada koneksi masuk yang dikirim dari sumber tertentu ke Google Cloud target. Aturan ingress berlaku untuk paket masuk, dengan tujuan paket adalah target.

Aturan ingress dengan tindakan deny melindungi semua instance dengan memblokir koneksi masuk ke instance tersebut. Aturan prioritas yang lebih tinggi mungkin mengizinkan akses masuk. Jaringan default yang dibuat secara otomatis mencakup beberapa aturan firewall VPC yang sudah terisi otomatis, yang mengizinkan traffic masuk untuk jenis traffic tertentu.

Aturan keluar

Arah keluar mengacu pada traffic keluar yang dikirim dari target ke tujuan. Aturan traffic keluar berlaku untuk paket untuk koneksi baru yang sumber paketnya adalah target.

Aturan keluar dengan tindakan allow memungkinkan instance mengirim traffic ke tujuan yang ditentukan dalam aturan. Traffic keluar dapat ditolak oleh aturan firewall deny dengan prioritas yang lebih tinggi. Google Cloud juga memblokir atau membatasi jenis traffic tertentu.

Komponen aturan kebijakan firewall

Aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional menggunakan komponen yang dijelaskan di bagian ini. Istilah kebijakan firewall mengacu pada salah satu dari tiga jenis kebijakan ini. Untuk mengetahui informasi selengkapnya tentang jenis kebijakan firewall, lihat Kebijakan firewall.

Aturan kebijakan firewall umumnya berfungsi sama seperti aturan firewall VPC, tetapi ada beberapa perbedaan seperti yang dijelaskan di bagian berikut.

Prioritas

Prioritas aturan dalam kebijakan firewall adalah bilangan bulat dari 0 hingga 2.147.483.647, inklusif. Bilangan bulat yang lebih rendah menunjukkan prioritas yang lebih tinggi. Prioritas aturan dalam kebijakan firewall mirip dengan prioritas aturan firewall VPC, dengan perbedaan berikut:

• Setiap aturan dalam kebijakan firewall harus memiliki prioritas yang unik.
• Prioritas aturan dalam kebijakan firewall berfungsi sebagai ID unik aturan. Aturan dalam kebijakan firewall tidak menggunakan nama untuk identifikasi.
• Prioritas aturan dalam kebijakan firewall menentukan urutan evaluasi dalam kebijakan firewall itu sendiri. Aturan firewall VPC dan aturan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional dievaluasi seperti yang dijelaskan dalam Urutan evaluasi kebijakan dan aturan.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:

• allow mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.
• deny tidak mengizinkan traffic dan menghentikan evaluasi aturan lebih lanjut.

• apply_security_profile_group secara transparan mencegat traffic dan mengirimkannya ke endpoint firewall yang dikonfigurasi untuk pemeriksaan Lapisan 7.

• goto_next melanjutkan proses evaluasi aturan.

Penegakan

Anda dapat memilih apakah aturan kebijakan firewall diterapkan dengan menyetel statusnya ke aktif atau nonaktif. Anda menetapkan status penerapan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.

Protocols and ports

Mirip dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58.

Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokolnya.

Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Logging

Logging untuk aturan kebijakan firewall berfungsi sama seperti Logging Aturan Firewall VPC, kecuali untuk hal berikut:

• Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan tingkat resource tempat kebijakan dilampirkan. Misalnya, 0 berarti kebijakan diterapkan ke organisasi, dan 1 berarti kebijakan diterapkan ke folder tingkat teratas dalam organisasi.

• Log untuk aturan kebijakan firewall mencakup kolom target_resource yang mengidentifikasi jaringan VPC tempat aturan berlaku.

• Logging hanya dapat diaktifkan untuk aturan allow,deny, dan apply_security_profile_group; logging tidak dapat diaktifkan untuk aturan goto_next.

Target, sumber, tujuan

Parameter target mengidentifikasi antarmuka jaringan instance yang menerapkan aturan firewall.

Anda dapat menentukan parameter sumber dan parameter tujuan yang berlaku untuk sumber atau tujuan paket untuk aturan firewall masuk dan keluar. Arah aturan firewall menentukan kemungkinan nilai untuk parameter sumber dan tujuan.

Parameter target, sumber, dan tujuan bekerja bersama.

Target

Parameter target mengidentifikasi antarmuka jaringan instance Compute Engine, termasuk node Google Kubernetes Engine dan instance lingkungan fleksibel App Engine.

Anda dapat menentukan target untuk aturan masuk atau keluar. Opsi target yang valid bergantung pada jenis kebijakan firewall.

Target untuk aturan kebijakan firewall hierarkis

Aturan kebijakan firewall hierarkis mendukung target berikut:

• Target terluas default: jika Anda tidak menyertakan spesifikasi target dalam aturan kebijakan firewall hierarkis, aturan firewall akan berlaku untuk semua instance di semua jaringan VPC dalam semua project di bawah node Resource Manager (folder atau organisasi) yang terkait dengan kebijakan firewall. Ini adalah kumpulan target terluas.

• Jaringan tertentu: jika Anda menentukan satu atau beberapa jaringan VPC menggunakan parameter target-resources, set target terluas akan dipersempit menjadi VM dengan antarmuka jaringan di setidaknya salah satu jaringan VPC yang ditentukan.

• Instance yang diidentifikasi oleh akun layanan: jika Anda menentukan satu atau beberapa akun layanan menggunakan parameter target-service-accounts, set target terluas akan dipersempit menjadi VM yang menggunakan salah satu akun layanan yang ditentukan.

• Jaringan dan instance tertentu yang diidentifikasi oleh akun layanan: jika Anda menentukan parameter target-resources dan target-service-accounts, set target terluas akan dipersempit ke VM yang memenuhi kedua kriteria berikut:

  • VM memiliki antarmuka jaringan di salah satu jaringan VPC yang ditentukan.
  • VM menggunakan salah satu akun layanan yang ditentukan.

Target untuk aturan kebijakan firewall jaringan global

Aturan kebijakan firewall jaringan global mendukung target berikut:

• Target default—semua instance dalam jaringan VPC: jika Anda tidak menyertakan spesifikasi target dalam aturan kebijakan firewall jaringan global, aturan firewall akan berlaku untuk instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan tersebut. Instance dapat berada di region mana pun. Ini adalah kumpulan target terluas.

• Instance menurut target tag aman: jika Anda menentukan tag target dengan parameter target-secure-tags, set target terluas akan dipersempit untuk hanya menyertakan VM yang terikat ke tag tersebut.

• Instance menurut akun layanan target: jika Anda menentukan akun layanan dengan parameter target-service-accounts, set target terluas akan dipersempit untuk hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.

Target untuk aturan kebijakan firewall jaringan regional

Aturan kebijakan firewall jaringan regional mendukung target berikut:

• Target default—semua instance di region dan jaringan VPC: jika Anda tidak menyertakan spesifikasi target dalam aturan kebijakan firewall jaringan regional, aturan firewall akan berlaku untuk instance yang memiliki antarmuka jaringan di jaringan VPC yang terkait dengan kebijakan. Instance harus berada di region yang sama dengan kebijakan. Ini adalah kumpulan target yang paling luas.

• Instance menurut target tag aman: jika Anda menentukan tag target dengan parameter target-secure-tags, set target terluas akan dipersempit untuk hanya menyertakan VM yang terikat ke tag tersebut.

• Instance menurut akun layanan target: jika Anda menentukan akun layanan dengan parameter target-service-accounts, set target terluas akan dipersempit untuk hanya menyertakan VM yang menggunakan salah satu akun layanan yang ditentukan.

Target dan alamat IP untuk aturan masuk

Paket yang dirutekan ke antarmuka jaringan VM target diproses berdasarkan kondisi berikut:

• Jika aturan firewall traffic masuk mencakup rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.

• Jika aturan firewall traffic masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut:

  • Alamat IPv4 internal utama yang ditetapkan ke NIC instance.

  • Rentang alamat IP alias yang dikonfigurasi pada NIC instance.

  • Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.

  • Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.

  • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.

  • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, tempat instance direferensikan oleh instance target.

  • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (next-hop-instance atau next-hop-address) sebagai VM next hop.

  • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (next-hop-ilb) sebagai next hop jika VM adalah backend untuk load balancer tersebut.

Target dan alamat IP untuk aturan keluar

Pemrosesan paket yang dikeluarkan dari antarmuka jaringan target bergantung pada konfigurasi penerusan IP di VM target. Penerusan IP dinonaktifkan secara default.

• Jika penerusan IP dinonaktifkan di VM target, VM dapat mengeluarkan paket dengan sumber berikut:

  • Alamat IPv4 internal utama NIC instance.

  • Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.

  • Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.

  • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol. Ini valid jika instance adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.

  Jika aturan firewall keluar mencakup rentang alamat IP sumber, VM target masih dibatasi ke alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk mempersempit set tersebut. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak memperluas kumpulan kemungkinan alamat sumber paket.

  Jika aturan firewall traffic keluar tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.

• Jika penerusan IP diaktifkan pada VM target, VM dapat mengirimkan paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan kumpulan sumber paket yang diizinkan secara lebih tepat.

Sumber

Nilai parameter sumber bergantung pada hal berikut:

• Jenis kebijakan firewall yang berisi aturan firewall
• Arah aturan firewall

Sumber untuk aturan masuk

Tabel berikut mencantumkan parameter sumber yang dapat digunakan satu per satu atau bersama-sama dalam satu aturan kebijakan firewall ingress. Cloud NGFW mengharuskan Anda menentukan setidaknya satu parameter sumber.

Parameter sumber aturan traffic masuk	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Rentang alamat IP sumber Daftar sederhana yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat sumber Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Tag aman sumber Daftar satu atau beberapa tag aman sumber. Untuk mengetahui informasi selengkapnya, lihat Cara tag aman sumber menyiratkan sumber paket.
Geolokasi sumber Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence sumber Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Jenis jaringan sumber Batasan yang menentukan batas keamanan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Dalam satu aturan ingress, Anda dapat menggunakan dua atau lebih parameter sumber untuk menghasilkan kombinasi sumber. Cloud NGFW menerapkan batasan berikut pada kombinasi sumber setiap aturan ingress:

• Rentang alamat IP sumber harus berisi CIDR IPv4 atau IPv6, bukan keduanya.
• Grup alamat sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
• Rentang alamat IP sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
• Rentang alamat IP sumber yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv4.
• Jenis jaringan internet tidak dapat digunakan dengan tag aman sumber.
• Jenis non-internet, jenis jaringan VPC, dan jenis antar-VPC tidak dapat digunakan dengan daftar Google Threat Intelligence sumber atau geolokasi sumber.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan masuk yang menggunakan kombinasi sumber:

• Jika kombinasi sumber tidak menyertakan jenis jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan setidaknya satu parameter sumber dalam kombinasi sumber.

• Jika kombinasi sumber mencakup jenis jaringan sumber, paket akan cocok dengan aturan ingress jika cocok dengan jenis jaringan sumber dan setidaknya salah satu parameter sumber lainnya dalam kombinasi sumber.

Cara tag aman sumber menyiratkan sumber paket

Aturan ingress dalam kebijakan firewall jaringan global dan regional dapat menentukan sumber menggunakan tag aman. Setiap tag aman dikaitkan dengan satu jaringan VPC, dan tag aman hanya dapat terikat ke VM yang memiliki antarmuka jaringan di jaringan VPC yang dikaitkan dengan tag aman.

Paket yang dikirim dari antarmuka jaringan VM cocok dengan aturan traffic masuk yang menggunakan sumber Tag yang aman jika kondisi berikut terpenuhi:

• VM harus dikaitkan dengan Tag aman.

• Jika aturan ingress berada dalam kebijakan jaringan regional, VM harus berada di zona region kebijakan firewall jaringan. Jika aturan ingress berada dalam kebijakan firewall jaringan global, VM dapat berada di zona mana pun.

• Antarmuka jaringan VM yang mengirim paket memenuhi salah satu kriteria berikut:

  • Antarmuka jaringan VM berada di jaringan VPC yang sama dengan jaringan VPC yang menerapkan kebijakan firewall jaringan global atau regional.
  • Antarmuka jaringan VM berada di jaringan VPC yang terhubung, menggunakan Peering Jaringan VPC, ke jaringan VPC tempat kebijakan firewall jaringan global atau regional diterapkan.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan keluar dalam kebijakan firewall hierarkis dan kebijakan firewall jaringan:

• Default—tersirat oleh target: jika Anda menghilangkan parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.

• Rentang alamat IPv4 sumber: daftar alamat IPv4 dalam format CIDR.

• Rentang alamat IPv6 sumber: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:

• Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

• Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan keluar, parameter tujuan akan diselesaikan ke versi IP yang sama dengan versi IP sumber.

  Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 dalam parameter sumber dan objek FQDN dalam parameter tujuan. Jika FQDN diselesaikan menjadi alamat IPv4 dan IPv6, hanya alamat IPv4 yang diselesaikan yang digunakan selama penegakan aturan.

Tujuan

Tujuan dapat ditentukan dengan menggunakan rentang alamat IP, yang didukung oleh aturan masuk dan keluar dalam kebijakan firewall hierarkis dan jaringan. Perilaku tujuan default bergantung pada arah aturan.

Tujuan untuk aturan traffic masuk

Anda dapat menggunakan tujuan berikut untuk aturan firewall ingress dalam kebijakan firewall hierarkis dan jaringan:

• Default—tersirat oleh target: jika Anda menghilangkan parameter tujuan dari aturan ingress, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan ingress.

• Rentang alamat IPv4 tujuan: daftar alamat IPv4 dalam format CIDR.

• Rentang alamat IPv6 tujuan: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP tujuan untuk aturan masuk:

• Jika antarmuka VM memiliki alamat IPv4 internal dan eksternal yang ditetapkan, hanya alamat IPv4 internal yang digunakan selama evaluasi aturan.

• Jika Anda telah menentukan parameter sumber dan tujuan dalam aturan ingress, parameter sumber akan diselesaikan ke versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan ingress, lihat Sumber untuk aturan ingress dalam kebijakan firewall hierarkis dan Sumber untuk aturan ingress dalam kebijakan firewall jaringan.

  Misalnya, dalam aturan ingress, Anda memiliki rentang alamat IPv6 di parameter tujuan dan kode negara geolokasi di parameter sumber. Selama penegakan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.

Tujuan untuk aturan traffic keluar

Tabel berikut mencantumkan parameter tujuan yang dapat digunakan secara terpisah atau bersama-sama dalam satu aturan kebijakan firewall keluar. Cloud NGFW mengharuskan Anda menentukan setidaknya satu parameter tujuan.

Parameter tujuan aturan keluar	Dukungan dalam kebijakan firewall hierarkis	Dukungan dalam kebijakan firewall jaringan global dan regional
Rentang alamat IP tujuan Daftar sederhana yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat tujuan Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan kebijakan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain tujuan Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Geolokasi tujuan Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence tujuan Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Jenis jaringan tujuan Batasan yang menentukan batas keamanan. Untuk mengetahui informasi selengkapnya, lihat Jenis jaringan.

Dalam satu aturan keluar, Anda dapat menggunakan dua atau lebih parameter tujuan untuk menghasilkan kombinasi tujuan. Cloud NGFW menerapkan batasan berikut pada kombinasi tujuan setiap aturan keluar:

• Rentang alamat IP tujuan harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
• Grup alamat tujuan yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv6.
• Rentang alamat IP tujuan yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv6.
• Rentang alamat IP tujuan yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat tujuan yang berisi CIDR IPv4.
• Tujuan Daftar Google Threat Intelligence atau tujuan geolokasi tidak dapat digunakan dengan jenis jaringan non-internet tujuan.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan keluar yang menggunakan kombinasi tujuan:

• Jika kombinasi tujuan tidak menyertakan jenis jaringan tujuan, paket cocok dengan aturan keluar jika cocok dengan setidaknya satu parameter tujuan dalam kombinasi tujuan.

• Jika kombinasi tujuan mencakup jenis jaringan tujuan, paket akan cocok dengan aturan keluar jika cocok dengan jenis jaringan tujuan dan setidaknya salah satu parameter tujuan lainnya dalam kombinasi tujuan.

Jenis jaringan

Jenis jaringan membantu Anda mencapai tujuan keamanan dengan menggunakan lebih sedikit aturan kebijakan firewall secara lebih efisien. Cloud NGFW mendukung empat jenis jaringan yang dapat digunakan untuk membuat kombinasi sumber atau kombinasi tujuan dalam aturan kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Tabel berikut mencantumkan empat jenis jaringan dan apakah jenis jaringan dapat digunakan dalam kombinasi sumber aturan ingress, dalam kombinasi tujuan aturan egress, atau dalam keduanya.

Jenis jaringan	Sumber untuk aturan masuk	Tujuan untuk aturan traffic keluar
Internet (INTERNET)
Non-internet (NON_INTERNET)
Jaringan VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Jenis jaringan internet dan non-internet tidak dapat terjadi bersamaan. Jaringan VPC dan jenis jaringan intra-VPC adalah subset dari jenis jaringan non-internet.

Jenis jaringan internet

Jenis jaringan internet (INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress atau sebagai bagian dari kombinasi tujuan aturan egress:

• Untuk aturan ingress, tentukan sumber jenis internet dan setidaknya satu parameter sumber lainnya, kecuali untuk sumber tag aman. Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan cocok dengan parameter sumber jenis internet.

• Untuk aturan keluar, tentukan tujuan jenis internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lainnya dan cocok dengan parameter tujuan jenis internet.

Bagian selanjutnya dalam bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan internet.

Jenis jaringan internet untuk paket masuk

Paket ingress yang dirutekan ke antarmuka jaringan VM oleh Maglev Google dianggap termasuk dalam jenis jaringan internet. Paket dirutekan oleh Maglev ke antarmuka jaringan VM jika tujuan paket cocok dengan salah satu dari berikut ini:

• Alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal.
• Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket tidak dirutekan menggunakan rute subnet yang diimpor oleh Peering Jaringan VPC atau dari spoke VPC di hub Network Connectivity Center.

Untuk mengetahui informasi selengkapnya tentang paket yang dirutekan oleh Maglev ke VM backend untuk Load Balancer Jaringan passthrough eksternal atau penerusan protokol eksternal, lihat Jalur untuk Load Balancer Jaringan passthrough eksternal dan penerusan protokol eksternal.

Jenis jaringan internet untuk paket keluar

Paket keluar yang dikirim oleh antarmuka jaringan VM dan dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default dianggap termasuk dalam jenis jaringan internet. Namun, jika alamat IP tujuan paket keluar ini adalah untuk Google API dan layanan Google, paket ini dianggap termasuk dalam jenis jaringan non-internet. Untuk mengetahui informasi selengkapnya tentang konektivitas ke Google API dan layanan Google, lihat Jenis jaringan non-internet.

Saat paket dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default, setiap paket yang dikirim oleh antarmuka jaringan VM ke tujuan berikut dianggap termasuk dalam jenis internet:

• Tujuan alamat IP eksternal di luar jaringan Google.
• Tujuan alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv4 dan IPv6 eksternal global dari aturan penerusan load balancer eksternal global.

Paket yang dikirim oleh antarmuka jaringan VM ke gateway Cloud VPN dan Cloud NAT dianggap termasuk dalam jenis internet:

• Paket keluar yang dikirim dari antarmuka jaringan VM yang menjalankan software VPN ke alamat IPv4 eksternal regional gateway Cloud VPN dianggap termasuk dalam jenis internet.
• Paket keluar yang dikirim dari satu gateway Cloud VPN ke gateway Cloud VPN lainnya tidak dianggap termasuk dalam jenis jaringan apa pun karena aturan firewall hanya berlaku untuk VM.
• Untuk NAT Publik, paket respons yang dikirim dari antarmuka jaringan VM ke alamat IPv4 eksternal regional gateway Cloud NAT dianggap termasuk dalam jenis internet.

Jika jaringan VPC terhubung menggunakan Peering Jaringan VPC atau jika jaringan VPC berpartisipasi sebagai spoke VPC di hub Network Connectivity Center yang sama, rute subnet IPv6 dapat menyediakan konektivitas ke tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, dan aturan penerusan protokol eksternal. Jika konektivitas ke tujuan alamat IPv6 eksternal regional tersebut disediakan menggunakan rute subnet, tujuan tersebut berada di jenis jaringan non-internet.

Jenis jaringan non-internet

Jenis jaringan non-internet (NON-INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress atau sebagai bagian dari kombinasi tujuan aturan egress:

• Untuk aturan ingress, tentukan sumber jenis non-internet dan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar intelijen ancaman atau sumber geolokasi. Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan cocok dengan parameter sumber jenis non-internet.

• Untuk aturan keluar, tentukan tujuan jenis non-internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lainnya dan cocok dengan parameter tujuan jenis non-internet.

Bagian selanjutnya menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan non-internet.

Jenis jaringan non-internet untuk paket masuk

Paket masuk yang dirutekan ke antarmuka jaringan VM menggunakan next hop dalam jaringan VPC atau dari Google API dan layanan Google dianggap termasuk dalam jenis jaringan non-internet.

Paket dirutekan menggunakan next hop dalam jaringan VPC atau dari Google API dan layanan Google dalam skenario berikut:

• Tujuan paket cocok dengan salah satu dari berikut:

  • Alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough internal, atau aturan penerusan untuk penerusan protokol internal.
  • Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket dirutekan menggunakan rute subnet lokal, rute subnet peering, atau rute subnet Network Connectivity Center.
  • Alamat apa pun dalam rentang tujuan rute statis tempat VM penerima adalah VM next hop atau VM backend dari Load Balancer Jaringan passthrough internal next hop.

• Sumber paket cocok dengan salah satu hal berikut:

  • Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
  • Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
  • Alamat IP Front End Google yang digunakan oleh Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal global, atau Load Balancer Jaringan proxy klasik. Untuk mengetahui informasi selengkapnya, lihat Jalur antara backend dan Frontend Google.
  • Alamat IP pemeriksa health check. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk health check.
  • Alamat IP yang digunakan oleh Identity-Aware Proxy untuk penerusan TCP. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Identity-Aware Proxy (IAP).
  • Alamat IP yang digunakan oleh Cloud DNS atau Service Directory. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Cloud DNS dan Service Directory.
  • Alamat IP yang digunakan oleh Akses VPC Serverless. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Akses VPC Serverless.
  • Alamat IP endpoint Private Service Connect untuk Google API global. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk endpoint Private Service Connect untuk Google API global.

Jenis jaringan non-internet untuk paket keluar

Paket keluar yang dikirim oleh antarmuka jaringan VM dan dirutekan dalam jaringan VPC atau dikirim ke Google API dan layanan Google dianggap termasuk dalam jenis jaringan non-internet.

Paket dirutekan menggunakan next hop dalam jaringan VPC atau ke Google API dan layanan Google dalam skenario berikut:

• Paket dirutekan menggunakan rute subnet, yang mencakup tujuan berikut:
  • Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
  • Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Paket dirutekan menggunakan rute dinamis.
• Paket dirutekan menggunakan rute statis yang menggunakan next hop yang bukan gateway internet default.
• Paket dirutekan ke Google API dan layanan Google global yang diakses menggunakan rute statis dengan next hop gateway internet default. Tujuan layanan dan API Google global mencakup alamat IP untuk domain default dan alamat IP untuk private.googleapis.com dan restricted.googleapis.com.
• Tujuan untuk layanan Google yang diakses menggunakan salah satu jalur berikut:
  • Jalur antara Google Front End dan backend
  • Jalur untuk health check
  • Jalur untuk Identity-Aware Proxy (IAP)
  • Jalur untuk Cloud DNS dan Service Directory
  • Jalur untuk Akses VPC Serverless
  • Jalur untuk endpoint Private Service Connect untuk Google API global

Jenis jaringan VPC

Jenis jaringan VPC (VPC_NETWORKS) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress. Anda tidak dapat menggunakan jenis jaringan VPC sebagai bagian dari kombinasi tujuan aturan keluar.

Untuk menggunakan jenis jaringan VPC sebagai bagian dari kombinasi sumber aturan ingress, lakukan hal berikut:

1. Anda harus menentukan daftar jaringan VPC sumber:

   • Daftar jaringan sumber harus berisi setidaknya satu jaringan VPC. Anda dapat menambahkan maksimum 250 jaringan VPC ke daftar jaringan sumber.
   • Jaringan VPC harus ada sebelum Anda dapat menambahkannya ke daftar jaringan sumber.
   • Anda dapat menambahkan jaringan menggunakan ID URL sebagian atau lengkap.
   • Jaringan VPC yang Anda tambahkan ke daftar jaringan sumber tidak perlu terhubung satu sama lain. Setiap jaringan VPC dapat berada di project mana pun.
   • Jika jaringan VPC dihapus setelah ditambahkan ke daftar jaringan sumber, referensi ke jaringan yang dihapus akan tetap ada dalam daftar. Cloud NGFW mengabaikan jaringan VPC yang dihapus saat menerapkan aturan masuk. Jika semua jaringan VPC dalam daftar jaringan sumber dihapus, aturan masuk yang mengandalkan daftar tersebut tidak akan efektif karena tidak cocok dengan paket apa pun.

2. Anda harus menentukan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar informasi ancaman atau sumber geolokasi .

Paket cocok dengan aturan ingress yang menggunakan jenis jaringan VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di salah satu jaringan VPC sumber.

• Jaringan VPC sumber dan jaringan VPC yang diterapkan kebijakan firewall yang berisi aturan masuk adalah jaringan VPC yang sama, atau terhubung menggunakan Peering Jaringan VPC atau sebagai spoke VPC di hub Network Connectivity Center.

Resource berikut terletak di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless

Jenis jaringan intra-VPC

Jenis jaringan intra-VPC (INTRA_VPC) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress. Anda tidak dapat menggunakan jenis jaringan intra-VPC sebagai bagian dari kombinasi tujuan aturan keluar.

Untuk menggunakan jenis intra-VPC sebagai bagian dari kombinasi sumber aturan masuk, Anda harus menentukan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar informasi ancaman atau sumber geolokasi .

Paket cocok dengan aturan ingress yang menggunakan jenis intra-VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di jaringan VPC yang kebijakan firewall-nya berisi aturan ingress yang berlaku.

Resource berikut terletak di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless

Objek geolokasi

Gunakan objek geolokasi dalam aturan kebijakan firewall untuk memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi atau wilayah geografis tertentu.

Anda dapat menerapkan aturan dengan objek geolokasi ke traffic masuk dan keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan kode negara dicocokkan dengan sumber atau tujuan traffic.

• Anda dapat mengonfigurasi objek geolokasi untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

• Untuk menambahkan geolokasi ke aturan kebijakan firewall, gunakan kode negara atau wilayah dua huruf sebagaimana ditentukan dalam kode negara alpha-2 ISO 3166.

  Misalnya, jika Anda ingin mengizinkan traffic masuk hanya dari Amerika Serikat ke jaringan, buat aturan kebijakan firewall masuk dengan kode negara sumber ditetapkan ke US dan tindakan ditetapkan ke allow. Demikian pula, jika Anda ingin mengizinkan traffic keluar hanya ke Amerika Serikat, konfigurasi aturan kebijakan firewall keluar dengan kode negara tujuan ditetapkan ke US dan tindakan ditetapkan ke allow.

• Cloud NGFW memungkinkan Anda mengonfigurasi aturan firewall untuk wilayah berikut yang tunduk pada sanksi komprehensif AS:

  Wilayah	Kode yang ditetapkan
  Krimea	XC
  Wilayah yang Disebut sebagai Republik Rakyat Donetsk dan Republik Rakyat Luhansk	XD

• Jika ada kode negara duplikat yang disertakan dalam satu aturan firewall, hanya satu entri untuk kode negara tersebut yang dipertahankan. Entri duplikat dihapus. Misalnya, dalam daftar kode negara ca,us,us, hanya ca,us yang dipertahankan.

• Google mengelola database dengan pemetaan alamat IP dan kode negara. FirewallGoogle Cloud menggunakan database ini untuk memetakan alamat IP traffic sumber dan tujuan ke kode negara, lalu menerapkan aturan kebijakan firewall yang cocok dengan objek geolokasi.

• Terkadang, penetapan alamat IP dan kode negara berubah karena kondisi berikut:

  • Perpindahan alamat IP di seluruh lokasi geografis
  • Pembaruan pada standar kode negara ISO 3166 alpha-2

  Karena perubahan ini memerlukan waktu untuk diterapkan di database Google, Anda mungkin melihat beberapa gangguan traffic dan perubahan perilaku untuk traffic tertentu yang diblokir atau diizinkan.

Menggunakan objek geolokasi dengan filter aturan kebijakan firewall lainnya

Anda dapat menggunakan objek geolokasi bersama dengan filter sumber atau tujuan lainnya. Bergantung pada arah aturan, aturan kebijakan firewall diterapkan ke traffic masuk atau keluar yang cocok dengan gabungan semua filter yang ditentukan.

Untuk mengetahui informasi tentang cara kerja objek geolokasi dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja objek geolokasi dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Google Threat Intelligence untuk aturan kebijakan firewall

Aturan kebijakan firewall memungkinkan Anda mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Intelijen Ancaman Google. Data Google Threat Intelligence mencakup daftar alamat IP berdasarkan kategori berikut:

• Node keluar Tor: Tor adalah software open source yang memungkinkan komunikasi anonim. Untuk mengecualikan pengguna yang menyembunyikan identitas mereka, blokir alamat IP node keluar Tor (endpoint tempat traffic keluar dari jaringan Tor).
• Alamat IP berbahaya yang diketahui: Alamat IP yang diketahui sebagai asal serangan aplikasi web. Untuk meningkatkan kualitas keamanan aplikasi Anda, blokir alamat IP ini.
• Mesin telusur: Alamat IP yang dapat Anda izinkan untuk mengaktifkan pengindeksan situs.
• Rentang alamat IP cloud publik: kategori ini dapat diblokir untuk mencegah alat otomatis berbahaya menjelajahi aplikasi web atau diizinkan jika layanan Anda menggunakan cloud publik lainnya. Kategori ini dibagi lagi menjadi subkategori berikut:
  • Rentang alamat IP yang digunakan oleh Amazon Web Services
  • Rentang alamat IP yang digunakan oleh Microsoft Azure
  • Rentang alamat IP yang digunakan oleh Google Cloud
  • Rentang alamat IP yang digunakan oleh layanan Google

Daftar data Google Threat Intelligence dapat mencakup alamat IPv4, alamat IPv6, atau keduanya. Untuk mengonfigurasi Google Threat Intelligence dalam aturan kebijakan firewall, gunakan nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya berdasarkan kategori yang ingin Anda izinkan atau blokir. Daftar ini terus diperbarui, sehingga melindungi layanan dari ancaman baru tanpa langkah konfigurasi tambahan. Nama daftar yang valid adalah sebagai berikut.

Nama daftar	Deskripsi
iplist-tor-exit-nodes	Mencocokkan alamat IP node keluar TOR
iplist-known-malicious-ips	Mencocokkan alamat IP yang diketahui menyerang aplikasi web
iplist-search-engines-crawlers	Mencocokkan alamat IP crawler mesin telusur
iplist-vpn-providers	Mencocokkan alamat IP yang termasuk dalam penyedia VPN bereputasi rendah
iplist-anon-proxies	Mencocokkan alamat IP yang termasuk dalam proxy anonim terbuka
iplist-crypto-miners	Mencocokkan alamat IP yang termasuk dalam situs penambangan mata uang kripto
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	Mencocokkan alamat IP milik cloud publik Mencocokkan rentang alamat IP yang digunakan oleh Amazon Web Services Mencocokkan rentang alamat IP yang digunakan oleh Microsoft Azure Mencocokkan rentang alamat IP yang digunakan oleh Google Cloud Mencocokkan rentang alamat IP yang digunakan oleh layanan Google

Menggunakan Google Threat Intelligence dengan filter aturan kebijakan firewall lainnya

Untuk menentukan aturan kebijakan firewall dengan Google Threat Intelligence, ikuti panduan berikut:

• Untuk aturan keluar, tentukan tujuan menggunakan satu atau beberapa daftar Google Threat Intelligence tujuan.

• Untuk aturan masuk, tentukan sumber menggunakan satu atau beberapa daftar Google Threat Intelligence sumber.

• Anda dapat mengonfigurasi daftar Kecerdasan Ancaman Google untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

• Anda dapat menggunakan daftar ini bersama dengan komponen filter aturan sumber atau tujuan lainnya.

  Untuk mengetahui informasi tentang cara kerja daftar Google Threat Intelligence dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

  Untuk mengetahui informasi tentang cara kerja daftar Google Threat Intelligence dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

• Logging firewall dilakukan di tingkat aturan. Untuk mempermudah Anda men-debug dan menganalisis efek aturan firewall, jangan sertakan beberapa daftar Google Threat Intelligence dalam satu aturan firewall.

• Anda dapat menambahkan beberapa daftar Google Threat Intelligence ke aturan kebijakan firewall. Setiap nama daftar yang disertakan dalam aturan dihitung sebagai satu atribut, terlepas dari jumlah alamat IP atau rentang alamat IP yang disertakan dalam daftar tersebut. Misalnya, jika Anda telah menyertakan nama daftar iplist-tor-exit-nodes, iplist-known-malicious-ips, dan iplist-search-engines-crawlers dalam aturan kebijakan firewall, jumlah atribut aturan per kebijakan firewall akan bertambah tiga. Untuk mengetahui informasi selengkapnya tentang jumlah atribut aturan, lihat Kuota dan batas.

Membuat pengecualian untuk daftar Google Threat Intelligence

Jika memiliki aturan yang berlaku untuk daftar Google Threat Intelligence, Anda dapat menggunakan teknik berikut untuk membuat aturan pengecualian yang berlaku untuk alamat IP tertentu dalam daftar Google Threat Intelligence:

• Aturan firewall izin selektif: misalkan Anda memiliki aturan firewall masuk atau keluar yang menolak paket dari atau ke daftar Google Threat Intelligence. Untuk mengizinkan paket dari atau ke alamat IP yang dipilih dalam daftar Google Threat Intelligence tersebut, buat aturan firewall izinkan traffic masuk atau keluar terpisah dengan prioritas lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

• Aturan firewall penolakan selektif: misalkan Anda memiliki aturan firewall masuk atau keluar yang mengizinkan paket dari atau ke daftar Google Threat Intelligence. Untuk menolak paket dari atau ke alamat IP yang dipilih dalam daftar Google Threat Intelligence tersebut, buat aturan firewall tolak masuk atau keluar dengan prioritas yang lebih tinggi yang menentukan alamat IP pengecualian sebagai sumber atau tujuan.

Grup alamat untuk kebijakan firewall

Grup alamat adalah kumpulan logis dari rentang alamat IPv4 atau rentang alamat IPv6 dalam format CIDR. Anda dapat menggunakan grup alamat untuk menentukan sumber atau tujuan yang konsisten yang dirujuk oleh banyak aturan firewall. Grup alamat dapat diperbarui tanpa mengubah aturan firewall yang menggunakannya. Untuk mengetahui informasi selengkapnya tentang grup alamat, lihat Grup alamat untuk kebijakan firewall.

Anda dapat menentukan grup alamat sumber dan tujuan untuk aturan firewall masuk dan keluar.

Untuk mengetahui informasi tentang cara kerja grup alamat sumber dengan filter sumber lainnya dalam aturan masuk, lihat Sumber untuk aturan masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja grup alamat tujuan dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Objek FQDN

Gunakan objek nama domain yang sepenuhnya memenuhi syarat (FQDN) dalam aturan kebijakan firewall untuk memfilter traffic masuk atau keluar dari atau ke domain tertentu.

Anda dapat menerapkan aturan kebijakan firewall yang menggunakan objek FQDN ke traffic masuk dan traffic keluar. Berdasarkan arah traffic, alamat IP yang terkait dengan nama domain dicocokkan dengan sumber atau tujuan traffic.

• Anda dapat mengonfigurasi objek FQDN dalam aturan kebijakan firewall untuk kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional.

• Anda harus menentukan objek FQDN dalam sintaksis FQDN standar.

  Untuk mengetahui informasi selengkapnya tentang format nama domain, lihat Format nama domain.

• Pada interval berkala, Cloud NGFW memperbarui aturan kebijakan firewall yang berisi objek FQDN dengan hasil resolusi nama domain terbaru.

• Nama domain yang ditentukan dalam aturan kebijakan firewall diselesaikan menjadi alamat IP berdasarkan urutan resolusi nama VPC Cloud DNS. Cloud DNS memberi tahu Cloud NGFW jika ada perubahan pada hasil resolusi nama domain, yang juga dikenal sebagai data domain name system (DNS).

• Jika dua nama domain di-resolve ke alamat IP yang sama, aturan kebijakan firewall berlaku untuk alamat IP tersebut, bukan hanya satu domain. Dengan kata lain, objek FQDN adalah entitas Layer 3.

• Jika objek FQDN dalam aturan kebijakan firewall keluar menyertakan domain yang memiliki CNAME dalam data DNS, Anda harus mengonfigurasi aturan kebijakan firewall keluar dengan semua nama domain yang dapat dikueri oleh VM Anda—termasuk semua alias potensial—untuk membantu memastikan perilaku aturan firewall yang andal. Jika VM Anda membuat kueri CNAME yang tidak dikonfigurasi dalam aturan kebijakan firewall keluar, kebijakan mungkin tidak berfungsi selama perubahan data DNS.

• Anda juga dapat menggunakan nama DNS internal Compute Engine dalam aturan kebijakan firewall jaringan. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif dalam kebijakan server keluar.

• Jika ingin menambahkan nama domain kustom dalam aturan kebijakan firewall jaringan, Anda dapat menggunakan zona terkelola Cloud DNS untuk resolusi nama domain. Namun, pastikan jaringan Anda tidak dikonfigurasi untuk menggunakan server nama alternatif dalam kebijakan server keluar. Untuk mengetahui informasi selengkapnya tentang pengelolaan zona, lihat Membuat, mengubah, dan menghapus zona.

Batasan

Batasan berikut berlaku untuk aturan firewall masuk dan keluar yang menggunakan objek FQDN:

• Objek FQDN tidak mendukung karakter pengganti (*) dan nama domain level teratas (root). Misalnya, *.example.com. dan .org tidak didukung.

• Objek FQDN tidak kompatibel dengan DNS64 Cloud DNS. Jika Anda mengaktifkan DNS64 dengan FQDN, VM tidak akan menerima alamat IPv6 yang diterjemahkan NAT.

Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall ingress. Anda harus mempertimbangkan batasan berikut saat menentukan objek FQDN untuk aturan ingress:

• Nama domain dapat di-resolve ke maksimum 32 alamat IPv4 dan 32 alamat IPv6. Kueri DNS yang di-resolve ke lebih dari 32 alamat IPv4 dan 32 alamat IPv6 dipangkas untuk hanya menyertakan 32 alamat IPv4 atau IPv6 dari alamat IP yang di-resolve tersebut. Oleh karena itu, jangan sertakan nama domain yang di-resolve ke lebih dari 32 alamat IPv4 dan IPv6 dalam aturan kebijakan firewall masuk.

• Beberapa kueri nama domain memiliki jawaban unik berdasarkan lokasi klien yang membuat permintaan. Lokasi tempat resolusi DNS aturan kebijakan firewall dilakukan adalah Google Cloud region yang berisi VM tempat aturan kebijakan firewall berlaku.

• Jangan gunakan aturan ingress yang menggunakan objek FQDN jika hasil resolusi nama domain sangat bervariasi atau resolusi nama domain menggunakan bentuk load balancing berbasis DNS. Misalnya, banyak nama domain Google menggunakan skema penyeimbangan beban berbasis DNS.

Anda dapat menggunakan objek FQDN dalam aturan kebijakan firewall keluar, tetapi sebaiknya jangan menggunakan objek FQDN dengan data A DNS yang memiliki TTL (time-to-live) kurang dari 90 detik.

Menggunakan objek FQDN dengan filter aturan kebijakan firewall lainnya

Dalam aturan kebijakan firewall, Anda dapat menentukan objek FQDN bersama dengan filter sumber atau tujuan lainnya.

Untuk mengetahui informasi tentang cara kerja objek FQDN dengan filter sumber lainnya dalam aturan traffic masuk, lihat Sumber untuk aturan traffic masuk dalam kebijakan firewall hierarkis dan Sumber untuk aturan traffic masuk dalam kebijakan firewall jaringan.

Untuk mengetahui informasi tentang cara kerja objek FQDN dengan filter tujuan lainnya dalam aturan traffic keluar, lihat Tujuan untuk aturan traffic keluar.

Format nama domain

Firewall VPC mendukung format nama domain seperti yang ditentukan dalam RFC 1035 , RFC 1123 , dan RFC 4343.

Untuk menambahkan nama domain ke aturan kebijakan firewall, ikuti panduan pemformatan berikut:

• Nama domain harus berisi setidaknya dua label yang dijelaskan sebagai berikut:

  • Setiap label cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut: [a-z]([-a-z0-9][a-z0-9])?..
  • Panjang setiap label adalah 1-63 karakter.
  • Label digabungkan dengan sebuah titik (.).

• Panjang nama domain yang dienkode maksimum tidak boleh melebihi 255 byte (oktet).

• Anda juga dapat menambahkan nama domain internasional (IDN) ke aturan kebijakan firewall.

• Nama domain harus dalam format Unicode atau Punycode.

• Jika Anda menentukan IDN dalam format Unicode, Google Cloud firewall akan mengonversinya ke format Punycode sebelum diproses. Atau, Anda dapat menggunakan alat konverter IDN untuk mendapatkan representasi Punycode dari IDN.

• Firewall Google Cloud tidak mendukung nama domain yang setara dalam aturan kebijakan firewall yang sama. Setelah mengonversi nama domain ke Punycode, jika kedua nama domain hanya berbeda pada titik di bagian akhir, keduanya dianggap setara.

Skenario pengecualian FQDN

Saat menggunakan objek FQDN dalam aturan kebijakan firewall, Anda mungkin mengalami pengecualian berikut selama resolusi nama DNS:

• Nama domain yang salah: jika Anda menentukan satu atau beberapa nama domain yang menggunakan format tidak valid saat membuat aturan kebijakan firewall, Anda akan menerima error. Aturan kebijakan firewall tidak dapat dibuat kecuali semua nama domain diformat dengan benar.

• Nama domain tidak ada (NXDOMAIN): jika nama domain tidak ada, Google Cloud mengabaikan objek FQDN dari aturan kebijakan firewall.

• Tidak ada resolusi alamat IP: jika nama domain tidak di-resolve ke alamat IP mana pun, objek FQDN akan diabaikan.

• Server Cloud DNS tidak dapat dijangkau: jika server DNS tidak dapat dijangkau, aturan kebijakan firewall yang menggunakan objek FQDN hanya berlaku jika hasil resolusi DNS yang di-cache sebelumnya tersedia. Objek FQDN aturan diabaikan jika tidak ada hasil resolusi DNS yang di-cache atau hasil DNS yang di-cache telah berakhir masa berlakunya.

Langkah berikutnya

• Kebijakan firewall hierarkis
• Kebijakan firewall jaringan global
• Kebijakan firewall jaringan regional