Membuat kebijakan dan aturan firewall jaringan regional (original) (raw)

Langsung ke konten utama

• Area teknologi

  • Ringkasan
  • Panduan
  • Referensi
  • Referensi

• Alat cross product

• Konsol

• Temukan

• Ringkasan produk

• Tingkat Cloud NGFW

• Mulai

• Menggunakan kebijakan firewall jaringan untuk mengizinkan traffic masuk

• Menggunakan kebijakan firewall hierarkis untuk mengizinkan traffic keluar

• Istilah utama

• Membuat kebijakan firewall untuk jaringan VPC

• Aturan yang telah ditentukan sebelumnya

• Membuat kebijakan firewall untuk jaringan RDMA

• Kelola

• Optimalkan

• Menyiapkan pemeriksaan lapisan aplikasi

• Ringkasan pemeriksaan lapisan aplikasi

• Mengonfigurasi aturan firewall VPC

• Ringkasan aturan firewall VPC

• Menggunakan aturan firewall VPC

• Memantau

• Informasi logging audit

• Memigrasikan

• Mengontrol akses

• Mengelola resource aturan firewall VPC menggunakan batasan kustom

• Mengelola resource kebijakan firewall menggunakan batasan kustom

• Memecahkan masalah

• Pemeriksaan lapisan aplikasi

• Kebijakan firewall untuk profil jaringan RoCE

• Log aturan kebijakan firewall

Membuat kebijakan dan aturan firewall jaringan regional

Untuk mengelola traffic jaringan dalam region tertentu di jaringan Virtual Private Cloud (VPC), konfigurasikan kebijakan dan aturan firewall jaringan regional. Halaman ini menjelaskan cara membuat kebijakan firewall jaringan regional, mengaitkannya dengan jaringan dan region VPC tertentu, lalu menentukan aturan. Aturan ini mengontrol traffic masuk dan keluar untuk instance mesin virtual (VM) dan load balancer internal.

Sebelum membaca halaman ini, pastikan Anda memahami konsep yang dijelaskan dalamKebijakan firewall jaringan regional.

Saat membuat kebijakan firewall jaringan regional menggunakan konsol Google Cloud , Anda dapat mengaitkan kebijakan dengan region dan jaringan VPC selama pembuatan. Jika membuat kebijakan menggunakan Google Cloud CLI, Anda harus mengaitkan kebijakan dengan region dan jaringan setelah membuat kebijakan.

Jaringan VPC yang terkait dengan kebijakan firewall jaringan regional harus berada dalam project yang sama dengan kebijakan firewall jaringan regional.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

• compute.regionFirewallPolicies.create

Peran

• Compute Security Admin (roles/compute.securityAdmin) di project tempat Anda ingin membuat kebijakan

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.
   Buka Firewall policies
2. Di menu pemilih project, pilih project Anda dalam organisasi Anda.
3. Klik Create firewall policy.
4. Di kolom Policy name, masukkan nama kebijakan.
5. Untuk Policy type, pilih VPC policy atau RDMA RoCE policy.
6. Untuk Cakupan deployment, pilih Regional. Pilih region tempat Anda ingin membuat kebijakan firewall ini.
7. Untuk membuat aturan bagi kebijakan Anda, klik Lanjutkan.
8. Di bagian Tambahkan aturan, klik Buat aturan firewall. Untuk mengetahui informasi selengkapnya tentang cara membuat aturan firewall, lihat artikel berikut:
   • Membuat aturan ingress untuk target VM
   • Buat aturan ingress untuk target Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal
   • Membuat aturan keluar untuk target VM
9. Jika Anda ingin mengaitkan kebijakan dengan jaringan, klikLanjutkan.
10. Di bagian Kaitkan kebijakan dengan jaringan, klikKaitkan.
    Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
11. Klik Create.

gcloud

gcloud compute network-firewall-policies create
NETWORK_FIREWALL_POLICY_NAME
--description DESCRIPTION
--policy-type POLICY_TYPE
--region=REGION_NAME

Ganti kode berikut:

• NETWORK_FIREWALL_POLICY_NAME: nama kebijakan
• DESCRIPTION: deskripsi kebijakan
• POLICY_TYPE: jenis kebijakan firewall jaringan. Untuk mengetahui informasi selengkapnya, lihat Spesifikasi.
• REGION_NAME: region untuk kebijakan

Mengaitkan kebijakan dengan jaringan

Anda dapat mengaitkan kebijakan firewall jaringan regional dengan region jaringan VPC dan menerapkan aturan dalam kebijakan ke region jaringan tersebut.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

• compute.regionFirewallPolicies.use
• compute.networks.setFirewallPolicy

Peran

• Compute Network Admin (roles/compute.networkAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall atau
• Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.
   Buka Firewall policies
2. Di menu pemilih project, pilih project Anda yang berisi kebijakan Anda.
3. Klik kebijakan Anda.
4. Klik tab Pengaitan.
5. Klik Tambahkan pengaitan.
6. Pilih jaringan dalam project.
7. Klik Kaitkan.

gcloud

gcloud compute network-firewall-policies associations create
--firewall-policy POLICY_NAME
--firewall-policy-region=POLICY_REGION
--network NETWORK_NAME
--name ASSOCIATION_NAME

Ganti kode berikut:

• POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan.
• POLICY_REGION: region kebijakan yang berisi aturan.
• NETWORK_NAME: nama jaringan terkait.
• ASSOCIATION_NAME: nama opsional untuk asosiasi. Jika tidak ditentukan, nama akan ditetapkan ke network-NETWORK_NAME.

Menambahkan aturan dalam kebijakan firewall jaringan regional

Bagian ini menjelaskan cara menambahkan aturan dalam kebijakan firewall jaringan regional.

Membuat aturan traffic masuk untuk target VM

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

• compute.regionFirewallPolicies.update

Peran

• Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Bagian ini menjelaskan cara membuat aturan ingress yang berlaku untuk antarmuka jaringan instance Compute Engine.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.
   Buka Firewall policies
2. Dalam daftar pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.
3. Di bagian Network firewall policies, klik nama kebijakan firewall jaringan regional tempat Anda ingin membuat aturan.
4. Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:
   1. Prioritas: urutan evaluasi numerik aturan.
      Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
   2. Deskripsi: berikan deskripsi opsional.
   3. Direction of traffic: pilih Ingress.
   4. Action on match: pilih salah satu opsi berikut:
      • Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
      • Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
      • Lanjutkan ke berikutnya: untuk melanjutkan proses evaluasi aturan firewall.
   5. Logs: pilih On untuk mengaktifkan logging aturan firewall atau Offuntuk menonaktifkan logging aturan firewall untuk aturan ini.
   6. Target: pilih salah satu opsi berikut:
      • Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
      • Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan:
        * Di bagian Cakupan akun layanan, pilih Di project ini > Akun layanan target. Tindakan ini dilakukan untuk menentukan akun layanan dalam project yang sama dengan kebijakan firewall jaringan regional.
        * Di bagian Service account scope, pilih In another project > Target service account. Tindakan ini dilakukan untuk menentukan akun layanan di project layanan VPC Bersama.
      • Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. KlikPilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan lebih banyak nilai tag, klik Tambahkan tag.
   7. Konteks jaringan sumber: tentukankonteks jaringan:
      • Untuk melewati pemfilteran traffic masuk menurut konteks jaringan, pilihSemua konteks jaringan.
      • Untuk memfilter traffic masuk ke konteks jaringan tertentu, pilihKonteks jaringan tertentu, lalu pilih konteks jaringan:
        * Internet: traffic masuk harus cocok dengan konteks jaringan Internet untuk paket masuk.
        * Non-internet: traffic masuk harus cocok dengankonteks jaringan Non-internet untuk paket masuk.
        * Intra VPC: traffic masuk harus cocok denganKriteria untuk konteks jaringan intra-VPC.
        * Jaringan VPC: traffic masuk harus cocok denganKriteria untuk konteks jaringan VPC. Anda harus memilih minimal satu jaringan VPC:
        * Pilih project saat ini: memungkinkan Anda menambahkan satu atau beberapa jaringan VPC dari project yang berisi kebijakan firewall.
        * Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan VPC secara manual.
        * Pilih project: memungkinkan Anda memilih project yang akan digunakan untuk memilih jaringan VPC.
   8. Filter sumber: tentukan parameter sumber tambahan. Beberapa parameter sumber tidak dapat digunakan bersama, dan pilihan konteks jaringan sumber membatasi parameter sumber yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan ingressdan Kombinasi sumber aturan ingress.
      • Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan0.0.0.0/0 untuk sumber IPv4 apa pun.
      • Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan::/0 untuk sumber IPv6 apa pun.
      • Untuk memfilter traffic masuk menurut nilai tag aman sumber, pilihPilih cakupan untuk tag di bagian Tag aman. Kemudian, berikan kunci tag dan nilai tag. Untuk menambahkan lebih banyak nilai tag, klikTambahkan tag.
      • Untuk memfilter traffic masuk menurut FQDN sumber, masukkan FQDN di kolomFQDNs. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
      • Untuk memfilter traffic masuk menurut geolokasi sumber, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
      • Untuk memfilter traffic masuk menurut grup alamat sumber, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
      • Untuk memfilter traffic masuk menurut daftar Google Threat Intelligence sumber, pilih satu atau beberapa daftar Google Threat Intelligence dari kolom Google Cloud Threat Intelligence. Untuk mengetahui informasi selengkapnya, lihatGoogle Threat Intelligence untuk aturan kebijakan firewall.
   9. Tujuan: tentukan parameter tujuan opsional. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
      • Untuk melewati pemfilteran traffic masuk menurut alamat IP tujuan, pilihTidak ada.
      • Untuk memfilter traffic masuk berdasarkan alamat IP tujuan, pilihIPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 sumber atau rentang IPv6 sumber.
   10. Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
   11. Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:
       • Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
       • Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.
5. Klik Create.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION
--description=DESCRIPTION
--direction=INGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
[--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS]
[--layer4-configs=LAYER_4_CONFIGS]
[--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS]
[--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES]
[--dest-ip-ranges=DEST_IP_RANGES]

Ganti kode berikut:

• PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
• POLICY_NAME: nama kebijakan firewall jaringan regional tempat Anda ingin membuat aturan.
• PROJECT_ID: project ID yang berisi kebijakan firewall jaringan regional.
• POLICY_REGION: region kebijakan.
• DESCRIPTION: deskripsi opsional untuk aturan baru.
• ACTION: tentukan salah satu tindakan berikut:
  • allow: mengizinkan koneksi yang cocok dengan aturan.
  • deny: menolak koneksi yang cocok dengan aturan.
  • goto_next: melanjutkan proses evaluasi aturan firewall.
• Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan logging aturan firewall VPC.
• Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
• Tentukan target:
  • Jika Anda tidak menyertakan flag --target-secure-tags dan--target-service-accounts, Cloud NGFW akan menggunakantarget instance terluas.
  • TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.
  • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
• LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
  • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
  • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
  • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
• Tentukan sumber untuk aturan ingress. Untuk mengetahui informasi selengkapnya, lihat Kombinasi sumber aturan ingress:
  • SRC_NETWORK_CONTEXT: menentukan konteks jaringan sumber yang akan digunakan bersama dengan parameter sumber lain yang didukung untuk menghasilkan kombinasi sumber. Nilai yang valid saat --target-type=INSTANCES adalah: INTERNET, NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihatKonteks jaringan.
  • SRC_VPC_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh ID URL-nya. Tentukan flag ini hanya jika --src-network-context adalah VPC_NETWORKS.
  • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
  • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
  • SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan flag --src-secure-tags jika --src-network-context adalah INTERNET.
  • SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan flag --src-region-codes jika --src-network-context adalahNON_INTERNET, VPC_NETWORKS, atau INTRA_VPC.
  • SRC_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall. Anda tidak dapat menggunakan flag --src-threat-intelligence jika--src-network-context adalah NON_INTERNET, VPC_NETWORKS, atau INTRA_VPC.
• Secara opsional, tentukan tujuan untuk aturan ingress:
  • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Membuat aturan ingress untuk target load balancer internal

Untuk membatasi akses ke satu atau beberapa aturan penerusan Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal, buat minimal dua aturan ingress dengan --target-type=INTERNAL_MANAGED_LB. Hal ini diperlukan karenatindakan tersiratuntuk target Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal memungkinkan ingress. Aturan yang diperlukan untuk membatasi akses adalah:

• Aturan firewall penolakan ingress dengan prioritas yang lebih rendah dengan --src-ip-ranges=0.0.0.0/0.
• Aturan firewall izinkan masuk dengan prioritas yang lebih tinggi dan parameter sumber yang Anda tentukan.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

• compute.regionFirewallPolicies.update

Peran

• Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Bagian ini menjelaskan cara membuataturan ingressuntuk target Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION
--description=DESCRIPTION
--direction=INGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
--target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES]
[--layer4-configs=LAYER_4_CONFIGS]
[--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS]
[--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES]
[--dest-ip-ranges=DEST_IP_RANGES]

Ganti kode berikut:

• PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
• POLICY_NAME: nama kebijakan firewall jaringan regional tempat Anda ingin membuat aturan.
• PROJECT_ID: project ID yang berisi kebijakan firewall jaringan regional.
• POLICY_REGION: region kebijakan.
• DESCRIPTION: deskripsi opsional untuk aturan baru.
• ACTION: tentukan salah satu tindakan berikut:
  • allow: mengizinkan koneksi yang cocok dengan aturan.
  • deny: menolak koneksi yang cocok dengan aturan.
  • goto_next: melanjutkan proses evaluasi aturan firewall.
• Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan logging aturan firewall VPC.
• Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
• Tentukan target:
  • Jika Anda menghapus tanda --target-forwarding-rules, Cloud NGFW akan menggunakan target load balancer terluas.
  • TARGET_FORWARDING_RULES: satu aturan penerusan untuk Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal yang ditentukan dalam target format aturan penerusan. Parameter ini mempersempit target load balancer terluas ke Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal tertentu.
• LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
  • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
  • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
  • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
• Tentukan sumber untuk aturan ingress. Untuk mengetahui informasi selengkapnya, lihat Kombinasi sumber aturan ingress:
  • SRC_NETWORK_CONTEXT: menentukan konteks jaringan sumber yang akan digunakan bersama dengan parameter sumber lain yang didukung untuk menghasilkan kombinasi sumber. Nilai yang valid saat --target-type=INTERNAL_MANAGED_LB adalah VPC_NETWORKS atau INTRA_VPC. Untuk mengetahui informasi selengkapnya, lihatKonteks jaringan.
  • SRC_VPC_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh ID URL-nya. Tentukan flag ini hanya jika --src-network-context adalah VPC_NETWORKS.
  • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.
  • SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
• Secara opsional, tentukan tujuan untuk aturan ingress:
  • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Membuat aturan keluar untuk target VM

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut atau salah satu peran IAM berikut.

Izin

• compute.regionFirewallPolicies.update

Peran

• Compute Security Admin (roles/compute.securityAdmin) di kebijakan firewall atau project yang berisi kebijakan firewall

Petunjuk berikut menunjukkan cara membuat aturan egress. Aturan keluar hanya berlaku untuk target yang merupakan antarmuka jaringan instance Compute Engine.

Konsol

1. Di konsol Google Cloud , buka halaman Firewall policies.
   Buka Firewall policies
2. Dalam daftar pemilih project, pilih project yang berisi kebijakan firewall jaringan regional.
3. Di bagian Network firewall policies, klik nama kebijakan firewall jaringan regional tempat Anda ingin membuat aturan.
4. Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:
   1. Prioritas: urutan evaluasi numerik aturan.
      Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
   2. Deskripsi: berikan deskripsi opsional.
   3. Direction of traffic: pilih Egress.
   4. Action on match: pilih salah satu opsi berikut:
      • Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
      • Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
      • Lanjutkan ke berikutnya: untuk melanjutkan proses evaluasi aturan firewall.
   5. Logs: pilih On untuk mengaktifkan logging aturan firewall atau Offuntuk menonaktifkan logging aturan firewall untuk aturan ini.
   6. Target: pilih salah satu opsi berikut:
      • Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
      • Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan:
        * Di bagian Cakupan akun layanan, pilih Di project ini > Akun layanan target. Tindakan ini dilakukan untuk menentukan akun layanan dalam project yang sama dengan kebijakan firewall jaringan regional.
        * Di bagian Service account scope, pilih In another project > Target service account. Tindakan ini dilakukan untuk menentukan akun layanan di project layanan VPC Bersama.
      • Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. KlikPilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan lebih banyak nilai tag, klik Tambahkan tag.
   7. Konteks jaringan tujuan: tentukankonteks jaringan:
      • Untuk melewati pemfilteran traffic keluar berdasarkan konteks jaringan, pilihSemua konteks jaringan.
      • Untuk memfilter traffic keluar ke konteks jaringan tertentu, pilihKonteks jaringan tertentu, lalu pilih konteks jaringan:
        * Internet: traffic keluar harus cocok dengan konteks jaringan Internet untuk paket keluar.
        * Non-internet: traffic keluar harus cocok denganKonteks jaringan non-internet untuk paket keluar.
   8. Filter tujuan: tentukan parameter tujuan tambahan. Beberapa parameter tujuan tidak dapat digunakan bersama, dan pilihan konteks jaringan tujuan membatasi filter tujuan yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan egress dan Kombinasi tujuan aturan egress.
      • Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan 0.0.0.0/0 untuk tujuan IPv4 apa pun.
      • Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan ::/0 untuk tujuan IPv6 apa pun.
      • Untuk memfilter traffic keluar menurut FQDN tujuan, masukkan FQDN di kolom FQDN. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
      • Untuk memfilter traffic keluar menurut geolokasi tujuan, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihatObjek geolokasi.
      • Untuk memfilter traffic keluar menurut grup alamat tujuan, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihatGrup alamat untuk kebijakan firewall.
      • Untuk memfilter traffic keluar menurut daftar Google Threat Intelligence tujuan, pilih satu atau beberapa daftar Google Threat Intelligence dari kolom Google Cloud Threat Intelligence. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
   9. Sumber: tentukan parameter sumber opsional. Untuk mengetahui informasi selengkapnya, lihatSumber untuk aturan egress.
      • Untuk melewati pemfilteran traffic keluar menurut alamat IP sumber, pilih Tidak ada.
      • Untuk memfilter traffic keluar menurut alamat IP sumber, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 tujuan atau rentang IPv6 tujuan.
   10. Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
   11. Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:
       • Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
       • Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.
5. Klik Create.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY
--firewall-policy=POLICY_NAME
--project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION
--description=DESCRIPTION
--direction=EGRESS
--action=ACTION
[--enable-logging | --no-enable-logging]
[--disabled | --no-disabled]
[--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS]
[--layer4-configs=LAYER_4_CONFIGS]
[--dest-network-context=DEST_NETWORK_CONTEXT]
[--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES]
[--src-ip-ranges=SRC_IP_RANGES]

Ganti kode berikut:

• PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya, 100, 200, 300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.
• POLICY_NAME: nama kebijakan firewall jaringan regional tempat Anda ingin membuat aturan.
• PROJECT_ID: project ID yang berisi kebijakan firewall jaringan regional.
• POLICY_REGION: region kebijakan.
• DESCRIPTION: deskripsi opsional untuk aturan baru.
• ACTION: tentukan salah satu tindakan berikut:
  • allow: mengizinkan koneksi yang cocok dengan aturan.
  • deny: menolak koneksi yang cocok dengan aturan.
  • goto_next: melanjutkan proses evaluasi aturan firewall.
• Flag --enable-logging dan --no-enable-logging mengaktifkan atau menonaktifkan logging aturan firewall VPC.
• Flag --disabled dan --no-disabled mengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan).
• Tentukan target:
  • Jika Anda tidak menyertakan flag --target-secure-tags dan--target-service-accounts, Cloud NGFW akan menggunakantarget instance terluas.
  • TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.
  • TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
• LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:
  • Nama protokol IP (tcp) atau nomor protokol IP IANA (17) tanpa port tujuan.
  • Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua (tcp:80).
  • Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir (tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
• Tentukan tujuan untuk aturan keluar. Untuk mengetahui informasi selengkapnya, lihat Kombinasi tujuan aturan egress:
  • DEST_NETWORK_CONTEXT: menentukan konteks jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan. Nilai yang valid adalah INTERNET dan NON_INTERNET. Untuk mengetahui informasi selengkapnya, lihatKonteks jaringan.
  • DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
  • DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya.
  • DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.
  • DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
  • DEST_THREAT_LIST_NAMES: daftar nama daftar Google Threat Intelligence yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
• Secara opsional, tentukan sumber untuk aturan keluar:
  • SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.

Langkah berikutnya

• Kebijakan firewall jaringan regional
• Kebijakan firewall hierarkis
• Membuat kebijakan dan aturan firewall jaringan global

Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.

Terakhir diperbarui pada 2026-06-16 UTC.