Halaman ini menjelaskan cara mengontrol traffic jaringan di seluruh Cloud de Confiance by S3NS organisasi dan folder menggunakan kebijakan dan aturan firewall hierarkis. Pelajari cara menentukan kebijakan di tingkat organisasi atau folder, lalu mengaitkannya dengan resource tertentu.
Sebelum membaca halaman ini, pastikan Anda memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Batasan
- Aturan kebijakan firewall hierarkis tidak mendukung penggunaan tag jaringan untuk menentukan target. Anda harus menggunakan jaringan Virtual Private Cloud (VPC) target atau akun layanan target.
- Kebijakan firewall dapat diterapkan di tingkat folder dan organisasi, tetapi tidak di tingkat jaringan VPC. Aturan firewall VPC reguler didukung untuk jaringan VPC.
- Hanya satu kebijakan firewall yang dapat dikaitkan dengan resource (folder atau organisasi), meskipun instance virtual machine (VM) dalam folder dapat mewarisi aturan dari seluruh hierarki resource di atas VM.
- Logging aturan kebijakan firewall didukung untuk aturan
allowdandeny, tetapi tidak untuk aturangoto_next. - Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.
Tugas kebijakan firewall
Bagian ini menjelaskan cara membuat dan mengaitkan kebijakan firewall hierarkis.
Buat kebijakan firewall
Saat membuat kebijakan firewall hierarkis, Anda dapat menetapkan induknya ke organisasi atau folder dalam organisasi. Setelah membuat kebijakan, Anda dapat mengaitkan kebijakan dengan organisasi atau folder dalam organisasi.
Konsol
Di konsol Cloud de Confiance , buka halaman Firewall policies.
Di menu pemilih project, pilih ID organisasi Anda atau folder dalam organisasi Anda.
Klik Create firewall policy.
Di kolom Policy name, masukkan nama untuk kebijakan.
Opsional: Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan.
Di bagian Tambahkan aturan, klik Buat aturan firewall. Untuk mengetahui informasi selengkapnya tentang cara membuat aturan firewall, lihat artikel berikut:
Opsional: Jika Anda ingin mengaitkan kebijakan dengan resource, klik Lanjutkan.
Di bagian Associate policy with resources, klik Add.
Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan organisasi atau folder.
Klik Create.
gcloud
Jalankan perintah ini untuk membuat kebijakan firewall hierarkis yang induknya adalah organisasi:
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
Jalankan perintah ini untuk membuat kebijakan firewall hierarkis yang induknya adalah folder dalam organisasi:
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
Ganti kode berikut:
ORG_ID: ID organisasi AndaTentukan ID organisasi untuk membuat kebijakan yang induknya adalah organisasi. Kebijakan dapat dikaitkan dengan organisasi atau folder dalam organisasi.
SHORT_NAME: nama kebijakanKebijakan yang dibuat menggunakan Google Cloud CLI memiliki dua nama: nama yang dibuat sistem dan nama singkat yang Anda berikan. Saat menggunakan gcloud CLI untuk mengupdate kebijakan yang ada, Anda dapat memberikan nama yang dibuat sistem atau nama pendek dan ID organisasi. Saat menggunakan API untuk memperbarui kebijakan, Anda harus memberikan nama yang dibuat sistem.
FOLDER_ID: ID folderTentukan ID folder untuk membuat kebijakan yang induknya adalah folder. Kebijakan dapat dikaitkan dengan organisasi yang berisi folder atau folder apa pun dalam organisasi tersebut.
Mengaitkan kebijakan dengan organisasi atau folder
Saat Anda mengaitkan kebijakan firewall hierarkis dengan organisasi atau folder dalam organisasi, aturan kebijakan firewall—kecuali aturan yang dinonaktifkan dan tunduk pada target setiap aturan—berlaku untuk resource di jaringan VPC dalam project organisasi atau folder terkait.
Konsol
Di konsol Cloud de Confiance , buka halaman Firewall policies.
Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik kebijakan Anda.
Klik tab Pengaitan.
Klik Tambahkan Pengaitan.
Pilih root organisasi atau pilih folder dalam organisasi.
Klik Tambahkan.
gcloud
Secara default, jika Anda mencoba menyisipkan objek atribusi ke organisasi atau folder yang sudah memiliki objek atribusi, metode akan gagal. Jika Anda
menentukan tanda --replace-association-on-target, pengaitan yang ada
akan dihapus pada saat yang sama dengan pembuatan pengaitan baru. Hal ini
mencegah resource tidak memiliki kebijakan selama transisi.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
Ganti kode berikut:
POLICY_NAME: nama pendek atau nama yang dibuat sistem untuk kebijakanORG_ID: ID organisasi AndaFOLDER_ID: jika Anda mengaitkan kebijakan dengan folder, tentukan di sini; hilangkan jika Anda mengaitkan kebijakan ke tingkat organisasiASSOCIATION_NAME: nama opsional untuk asosiasi; jika tidak ditentukan, nama ditetapkan ke "organisasiORG_ID" atau "folderFOLDER_ID"
Tugas aturan kebijakan firewall
Bagian ini menjelaskan cara membuat aturan kebijakan firewall hierarkis.
Membuat aturan traffic masuk untuk target VM
Bagian ini menjelaskan cara membuat aturan ingress yang berlaku untuk antarmuka jaringan instance Compute Engine.
Konsol
Di konsol Cloud de Confiance , buka halaman Firewall policies.
Dalam daftar pemilih project, pilih organisasi atau folder yang berisi kebijakan firewall hierarkis.
Jika perlu, di bagian Indeks hierarki, pilih folder turunan.
Di bagian Firewall policies, klik nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.
Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:
Prioritas: urutan evaluasi numerik aturan.
Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan
0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya,100,200,300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.Deskripsi: berikan deskripsi opsional.
Direction of traffic: pilih Ingress.
Action on match: pilih salah satu opsi berikut:
- Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
- Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
- Lanjutkan ke berikutnya: untuk melanjutkan proses evaluasi aturan firewall.
- Terapkan grup profil keamanan: mengirimkan paket ke
endpoint firewall atau
grup endpoint pencegatan
berdasarkan Tujuan yang Anda pilih.
- Untuk mengirim paket ke endpoint firewall Cloud NGFW, pilih Cloud NGFW Enterprise, lalu pilih Grup profil keamanan. Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
- Untuk mengirim paket ke grup endpoint pencegat Network Security Integration untuk integrasi dalam band, pilih NSI In-Band, lalu pilih Security profile group.
Logs: pilih On untuk mengaktifkan logging aturan firewall atau Off untuk menonaktifkan logging aturan firewall untuk aturan ini.
Jaringan target: opsional, agar kebijakan firewall berlaku untuk target di jaringan VPC tertentu, klik Tambahkan jaringan, lalu pilih Project dan Jaringan.
Target: pilih salah satu opsi berikut:
- Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
- Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan di Target akun layanan.
- Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. Klik Pilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan lebih banyak nilai tag, klik Tambahkan tag.
Konteks jaringan sumber: tentukan konteks jaringan:
- Untuk melewati pemfilteran traffic masuk menurut konteks jaringan, pilih Semua konteks jaringan.
- Untuk memfilter traffic masuk ke konteks jaringan tertentu, pilih
Konteks jaringan tertentu, lalu pilih konteks jaringan:
- Internet: traffic masuk harus cocok dengan konteks jaringan Internet untuk paket masuk.
- Non-internet: traffic masuk harus cocok dengan konteks jaringan Non-internet untuk paket masuk.
- Intra VPC: traffic masuk harus cocok dengan Kriteria untuk konteks jaringan intra-VPC.
- Jaringan VPC: traffic masuk harus cocok dengan
Kriteria untuk konteks jaringan VPC.
Anda harus memilih minimal satu jaringan VPC:
- Pilih project saat ini: memungkinkan Anda menambahkan satu atau beberapa jaringan VPC dari project yang berisi kebijakan firewall.
- Masukkan jaringan secara manual: memungkinkan Anda memasukkan project dan jaringan VPC secara manual.
- Pilih project: memungkinkan Anda memilih project yang akan digunakan untuk memilih jaringan VPC.
Filter sumber: tentukan parameter sumber tambahan. Beberapa parameter sumber tidak dapat digunakan bersama, dan pilihan konteks jaringan sumber membatasi parameter sumber yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan ingress dan Kombinasi sumber aturan ingress.
- Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
0.0.0.0/0untuk sumber IPv4 apa pun. - Untuk memfilter traffic masuk menurut rentang IPv6 sumber, pilih IPv6,
lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan
::/0untuk sumber IPv6 apa pun. - Untuk memfilter traffic masuk menurut nilai tag aman sumber, pilih Pilih cakupan untuk tag di bagian Tag aman. Kemudian, berikan kunci tag dan nilai tag. Untuk menambahkan lebih banyak nilai tag, klik Tambahkan tag.
- Untuk memfilter traffic masuk menurut FQDN sumber, masukkan FQDN di kolom FQDNs. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
- Untuk memfilter traffic masuk menurut geolokasi sumber, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
- Untuk memfilter traffic masuk menurut grup alamat sumber, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
- Untuk memfilter traffic masuk menurut rentang IPv4 sumber, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
Tujuan: tentukan parameter tujuan opsional. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan ingress.
- Untuk melewati pemfilteran traffic masuk menurut alamat IP tujuan, pilih Tidak ada.
- Untuk memfilter traffic masuk berdasarkan alamat IP tujuan, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 sumber atau rentang IPv6 sumber.
Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:
- Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
- Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.
Klik Create.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Ganti kode berikut:
PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya,100,200,300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.POLICY_NAME: nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis, jika induknya adalah organisasi.FOLDER_ID: ID folder yang berisi kebijakan firewall hierarkis, jika induknya adalah folder.DESCRIPTION: deskripsi opsional untuk aturan baru.-
ACTION: tentukan salah satu tindakan berikut:allow: mengizinkan koneksi yang cocok dengan aturan.deny: menolak koneksi yang cocok dengan aturan.goto_next: melanjutkan proses evaluasi aturan firewall.
apply_security_profile_group: mengirim paket ke endpoint firewall atau grup endpoint intersepsi.- Jika tindakan adalah
apply_security_profile_group, Anda harus menyertakan--security-profile-group SECURITY_PROFILE_GROUP, denganSECURITY_PROFILE_GROUPadalah nama grup profil keamanan. - Profil keamanan grup profil keamanan dapat mereferensikan endpoint firewall Cloud NGFW atau grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band.
- Jika profil keamanan grup profil keamanan mereferensikan
endpoint firewall Cloud NGFW, sertakan
--tls-inspectatau--no-tls-inspectuntuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
- Jika tindakan adalah
- Flag
--enable-loggingdan--no-enable-loggingmengaktifkan atau menonaktifkan logging aturan firewall VPC. - Flag
--disableddan--no-disabledmengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan). -
Tentukan target:
- Jika Anda menghapus flag
--target-resources,--target-secure-tags, dan--target-service-accounts, Cloud NGFW akan menggunakan target instance terluas. TARGET_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh URL resource jaringan dalam bentukhttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. Flag--target-resourcesdapat digunakan sendiri atau bersama dengan satu flag target lainnya. Untuk mengetahui informasi selengkapnya, lihat Kombinasi target tertentu.TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
- Jika Anda menghapus flag
LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:- Nama protokol IP (
tcp) atau nomor protokol IP IANA (17) tanpa port tujuan. - Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua
(
tcp:80). - Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua
menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir
(
tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
- Nama protokol IP (
-
Tentukan sumber untuk aturan ingress.
Untuk mengetahui informasi selengkapnya, lihat Kombinasi sumber aturan ingress:
SRC_NETWORK_CONTEXT: menentukan konteks jaringan sumber yang akan digunakan bersama dengan parameter sumber lain yang didukung untuk menghasilkan kombinasi sumber. Nilai yang valid saat--target-type=INSTANCESadalah:INTERNET,NON_INTERNET,VPC_NETWORKS, atauINTRA_VPC. Untuk mengetahui informasi selengkapnya, lihat Konteks jaringan.SRC_VPC_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh ID URL-nya. Tentukan flag ini hanya jika--src-network-contextadalahVPC_NETWORKS.SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.SRC_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya. Grup alamat dalam daftar harus berisi semua alamat IPv4 atau semua alamat IPv6, bukan kombinasi keduanya.SRC_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.SRC_SECURE_TAGS: daftar Tag yang dipisahkan koma. Anda tidak dapat menggunakan flag--src-secure-tagsjika--src-network-contextadalahINTERNET.SRC_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi. Anda tidak dapat menggunakan flag--src-region-codesjika--src-network-contextadalahNON_INTERNET,VPC_NETWORKS, atauINTRA_VPC.
-
Secara opsional, tentukan tujuan untuk aturan ingress:
DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.
Membuat aturan keluar untuk target VM
Petunjuk berikut menunjukkan cara membuat aturan egress. Aturan keluar hanya berlaku untuk target yang merupakan antarmuka jaringan instance Compute Engine.
Konsol
Di konsol Cloud de Confiance , buka halaman Firewall policies.
Dalam daftar pemilih project, pilih organisasi atau folder yang berisi kebijakan firewall hierarkis.
Jika perlu, di bagian Indeks hierarki, pilih folder turunan.
Di bagian Firewall policies, klik nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.
Di bagian Firewall rules, klik Create firewall rule dan tentukan parameter konfigurasi berikut:
Prioritas: urutan evaluasi numerik aturan.
Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan
0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari hanya selisih satu (misalnya,100,200,300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.Deskripsi: berikan deskripsi opsional.
Direction of traffic: pilih Egress.
Action on match: pilih salah satu opsi berikut:
- Izinkan: untuk mengizinkan koneksi yang cocok dengan parameter aturan.
- Tolak: untuk memblokir koneksi yang cocok dengan parameter aturan.
- Lanjutkan ke berikutnya: untuk melanjutkan proses evaluasi aturan firewall.
- Terapkan grup profil keamanan: mengirimkan paket ke
endpoint firewall atau
grup endpoint pencegatan
berdasarkan Tujuan yang Anda pilih.
- Untuk mengirim paket ke endpoint firewall Cloud NGFW, pilih Cloud NGFW Enterprise, lalu pilih Grup profil keamanan. Untuk mengaktifkan pemeriksaan TLS pada paket, pilih Aktifkan pemeriksaan TLS.
- Untuk mengirim paket ke grup endpoint pencegat Network Security Integration untuk integrasi dalam band, pilih NSI In-Band, lalu pilih Security profile group.
Logs: pilih On untuk mengaktifkan logging aturan firewall atau Off untuk menonaktifkan logging aturan firewall untuk aturan ini.
Jaringan target: opsional, agar kebijakan firewall berlaku untuk target di jaringan VPC tertentu, klik Tambahkan jaringan, lalu pilih Project dan Jaringan.
Target: pilih salah satu opsi berikut:
- Terapkan ke semua: Cloud NGFW menggunakan target instance terluas.
- Akun layanan: mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan akun layanan yang Anda tentukan di Target akun layanan.
- Tag aman: mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman yang Anda tentukan. Klik Pilih cakupan untuk tag dan pilih organisasi atau project yang berisi nilai tag yang akan dicocokkan. Untuk menambahkan lebih banyak nilai tag, klik Tambahkan tag.
Konteks jaringan tujuan: tentukan konteks jaringan:
- Untuk melewati pemfilteran traffic keluar menurut konteks jaringan, pilih Semua konteks jaringan.
- Untuk memfilter traffic keluar ke konteks jaringan tertentu, pilih
Konteks jaringan tertentu, lalu pilih
konteks jaringan:
- Internet: traffic keluar harus cocok dengan konteks jaringan Internet untuk paket keluar.
- Non-internet: traffic keluar harus cocok dengan Konteks jaringan non-internet untuk paket keluar.
Filter tujuan: tentukan parameter tujuan tambahan. Beberapa parameter tujuan tidak dapat digunakan bersama, dan pilihan konteks jaringan tujuan membatasi filter tujuan yang dapat Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Tujuan untuk aturan egress dan Kombinasi tujuan aturan egress.
- Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
0.0.0.0/0untuk tujuan IPv4 apa pun. - Untuk memfilter traffic keluar menurut rentang IPv6 tujuan, pilih IPv6, lalu masukkan blok CIDR ke kolom IPv6 ranges. Gunakan
::/0untuk tujuan IPv6 apa pun. - Untuk memfilter traffic keluar menurut FQDN tujuan, masukkan FQDN di kolom FQDN. Untuk mengetahui informasi selengkapnya, lihat objek FQDN.
- Untuk memfilter traffic keluar menurut geolokasi tujuan, pilih satu atau beberapa lokasi dari kolom Geolokasi. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
- Untuk memfilter traffic keluar menurut grup alamat tujuan, pilih satu atau beberapa grup alamat dari kolom Grup alamat. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
- Untuk memfilter traffic keluar menurut rentang IPv4 tujuan, pilih IPv4, lalu masukkan blok CIDR di kolom Rentang IP. Gunakan
Sumber: tentukan parameter sumber opsional. Untuk mengetahui informasi selengkapnya, lihat Sumber untuk aturan egress.
- Untuk melewati pemfilteran traffic keluar menurut alamat IP sumber, pilih Tidak Ada.
- Untuk memfilter traffic keluar menurut alamat IP sumber, pilih IPv4 atau IPv6, lalu masukkan satu atau beberapa CIDR menggunakan format yang sama dengan yang digunakan untuk rentang IPv4 tujuan atau rentang IPv6 tujuan.
Protocols and ports: tentukan protokol dan port tujuan untuk traffic yang cocok dengan aturan. Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
Penerapan: tentukan apakah aturan firewall diterapkan atau tidak:
- Diaktifkan: membuat aturan dan mulai menerapkan aturan pada koneksi baru.
- Dinonaktifkan: membuat aturan, tetapi tidak menerapkan aturan pada koneksi baru.
Klik Create.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Ganti kode berikut:
PRIORITY: urutan evaluasi numerik aturan dalam kebijakan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan0adalah prioritas tertinggi. Prioritas harus unik untuk setiap aturan. Sebaiknya pisahkan nilai prioritas aturan dengan lebih dari sekadar selisih satu (misalnya,100,200,300) sehingga Anda dapat membuat aturan baru di antara aturan yang ada nanti.POLICY_NAME: nama kebijakan firewall hierarkis tempat Anda ingin membuat aturan.ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis, jika induknya adalah organisasi.FOLDER_ID: ID folder yang berisi kebijakan firewall hierarkis, jika induknya adalah folder.DESCRIPTION: deskripsi opsional untuk aturan baru.-
ACTION: tentukan salah satu tindakan berikut:allow: mengizinkan koneksi yang cocok dengan aturan.deny: menolak koneksi yang cocok dengan aturan.goto_next: melanjutkan proses evaluasi aturan firewall.
apply_security_profile_group: mengirim paket ke endpoint firewall atau grup endpoint intersepsi.- Jika tindakan adalah
apply_security_profile_group, Anda harus menyertakan--security-profile-group SECURITY_PROFILE_GROUP, denganSECURITY_PROFILE_GROUPadalah nama grup profil keamanan. - Profil keamanan grup profil keamanan dapat mereferensikan endpoint firewall Cloud NGFW atau grup endpoint pencegat Integrasi Keamanan Jaringan untuk integrasi dalam band.
- Jika profil keamanan grup profil keamanan mereferensikan
endpoint firewall Cloud NGFW, sertakan
--tls-inspectatau--no-tls-inspectuntuk mengaktifkan atau menonaktifkan pemeriksaan TLS.
- Jika tindakan adalah
- Flag
--enable-loggingdan--no-enable-loggingmengaktifkan atau menonaktifkan logging aturan firewall VPC. - Flag
--disableddan--no-disabledmengontrol apakah aturan dinonaktifkan (tidak diterapkan) atau diaktifkan (diterapkan). -
Tentukan target:
- Jika Anda menghapus flag
--target-resources,--target-secure-tags, dan--target-service-accounts, Cloud NGFW akan menggunakan target instance terluas. TARGET_NETWORKS: daftar jaringan VPC yang dipisahkan koma yang ditentukan oleh URL resource jaringan dalam bentukhttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. Flag--target-resourcesdapat digunakan sendiri atau bersama dengan satu flag target lainnya. Untuk mengetahui informasi selengkapnya, lihat Kombinasi target tertentu.TARGET_SECURE_TAGS: daftar nilai tag aman yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang terikat ke setidaknya salah satu nilai tag aman.TARGET_SERVICE_ACCOUNTS: daftar akun layanan yang dipisahkan koma yang mempersempit target instance terluas ke antarmuka jaringan instance VM yang menggunakan salah satu akun layanan.
- Jika Anda menghapus flag
LAYER_4_CONFIGS: daftar konfigurasi Layer 4 yang dipisahkan koma. Setiap konfigurasi Lapisan 4 dapat berupa salah satu hal berikut:- Nama protokol IP (
tcp) atau nomor protokol IP IANA (17) tanpa port tujuan. - Nama protokol IP dan port tujuan yang dipisahkan dengan titik dua
(
tcp:80). - Nama protokol IP dan rentang port tujuan yang dipisahkan dengan titik dua
menggunakan tanda hubung untuk memisahkan port tujuan awal dan akhir
(
tcp:5000-6000). Untuk mengetahui informasi selengkapnya, lihat Protokol dan port.
- Nama protokol IP (
-
Tentukan tujuan untuk aturan keluar.
Untuk mengetahui informasi selengkapnya, lihat Kombinasi tujuan aturan egress:
DEST_NETWORK_CONTEXT: menentukan konteks jaringan tujuan yang akan digunakan bersama dengan parameter tujuan lain yang didukung untuk menghasilkan kombinasi tujuan. Nilai yang valid adalahINTERNETdanNON_INTERNET. Untuk mengetahui informasi selengkapnya, lihat Konteks jaringan.DEST_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.DEST_ADDRESS_GROUPS: daftar grup alamat yang dipisahkan koma yang ditentukan oleh ID URL uniknya.DEST_DOMAIN_NAMES: daftar objek FQDN yang dipisahkan koma yang ditentukan dalam nama domain format.DEST_COUNTRY_CODES: daftar kode negara dua huruf yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
-
Secara opsional, tentukan sumber untuk aturan keluar:
SRC_IP_RANGES: daftar rentang alamat IP yang dipisahkan koma dalam format CIDR. Semua rentang dalam daftar harus berupa CIDR IPv4 atau CIDR IPv6, bukan kombinasi keduanya.