Mengelola kebijakan dan aturan firewall hierarkis

Kebijakan firewall hierarkis memberikan kontrol terperinci atas traffic jaringan Anda. Halaman ini menjelaskan cara mengelola kebijakan firewall hierarkis dan aturannya untuk mengamankan resource Anda. Google Cloud

Sebelum membaca halaman ini, pastikan Anda memahami konsep yang dijelaskan dalam Ringkasan kebijakan firewall hierarkis. Untuk melihat contoh penerapan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Tugas kebijakan firewall

Bagian ini menjelaskan cara mengelola kebijakan firewall hierarkis.

Untuk memeriksa progres operasi yang dihasilkan dari tugas yang tercantum di bagian ini, pastikan pokok IAM Anda memiliki izin atau peran berikut selain izin atau peran yang diperlukan untuk setiap tugas.

Menjelaskan kebijakan

Anda dapat melihat detail tentang kebijakan firewall hierarkis, termasuk aturan kebijakan dan atribut aturan terkait. Semua atribut aturan ini dihitung sebagai bagian dari kuota atribut aturan. Untuk mengetahui informasi selengkapnya, lihat "Atribut aturan per kebijakan firewall hierarkis" dalam tabel Per kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

gcloud 

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Mencantumkan kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

    Untuk organisasi, bagian Kebijakan firewall yang terkait dengan organisasi ini menampilkan kebijakan terkait. Bagian Kebijakan firewall yang ada di organisasi ini mencantumkan kebijakan yang dimiliki oleh organisasi.

    Untuk folder, bagian Kebijakan firewall yang terkait dengan folder ini atau diwarisi oleh folder ini menampilkan kebijakan yang terkait atau diwarisi oleh folder. Bagian Kebijakan firewall yang ada di folder ini mencantumkan kebijakan yang dimiliki oleh folder.

gcloud 

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Mencantumkan pengaitan untuk resource

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Untuk resource yang dipilih (organisasi atau folder), daftar kebijakan terkait dan diwariskan akan muncul.

gcloud 

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Memindahkan kebijakan dari satu resource ke resource lain

Memindahkan kebijakan hanya akan mengubah induk kebijakan. Mengubah induk kebijakan dapat mengubah akun utama IAM yang dapat membuat dan memperbarui aturan dalam kebijakan serta akun utama IAM yang dapat membuat asosiasi di masa mendatang.

Memindahkan kebijakan tidak akan mengubah asosiasi kebijakan yang ada atau evaluasi aturan dalam kebijakan.

Konsol

Gunakan Google Cloud CLI untuk prosedur ini.

gcloud

Jalankan perintah ini untuk memindahkan kebijakan firewall hierarkis ke organisasi:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Jalankan perintah ini untuk memindahkan kebijakan firewall hierarkis ke folder dalam organisasi:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Ganti kode berikut:

  • POLICY_NAME: nama singkat atau nama yang dibuat sistem untuk kebijakan yang Anda pindahkan
  • ORG_ID: ID organisasi tempat kebijakan dipindahkan
  • FOLDER_ID: ID folder tempat kebijakan dipindahkan

Memperbarui deskripsi kebijakan

Satu-satunya kolom kebijakan yang dapat diperbarui adalah kolom Deskripsi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik Edit.

  5. Ubah deskripsi.

  6. Klik Simpan.

gcloud 

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Menghapus kaitan

Jika Anda perlu mengubah kebijakan firewall hierarkis yang terkait dengan organisasi atau folder, sebaiknya kaitkan kebijakan baru daripada menghapus kebijakan terkait yang ada. Anda dapat mengaitkan kebijakan baru dalam satu langkah, yang membantu memastikan bahwa kebijakan firewall hierarkis selalu dikaitkan dengan organisasi atau folder.

Untuk menghapus pengaitan antara kebijakan firewall hierarkis dan organisasi atau folder, ikuti langkah-langkah yang disebutkan di bagian ini. Aturan dalam kebijakan firewall hierarkis tidak berlaku untuk koneksi baru setelah asosiasinya dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik tab Pengaitan.

  5. Pilih pengaitan yang ingin Anda hapus.

  6. Klik Hapus atribusi.

gcloud 

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Menghapus kebijakan

Sebelum dapat menghapus kebijakan firewall hierarkis, Anda harus menghapus semua asosiasinya.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda hapus.

  4. Klik tab Pengaitan.

  5. Pilih semua pengaitan.

  6. Klik Hapus atribusi.

  7. Setelah semua asosiasi dihapus, klik Hapus.

gcloud

Gunakan perintah berikut untuk menghapus kebijakan:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Tugas aturan kebijakan firewall

Bagian ini menjelaskan cara mengelola aturan kebijakan firewall hierarkis.

Meng-clone aturan dari satu kebijakan ke kebijakan lain

Hapus semua aturan dari kebijakan target dan ganti dengan aturan dalam kebijakan sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan yang ingin Anda salin aturannya.

  4. Klik Clone di bagian atas layar.

  5. Berikan nama kebijakan target.

  6. Opsional: Jika Anda ingin mengaitkan kebijakan baru secara langsung, klik Lanjutkan untuk membuka bagian Kaitkan kebijakan dengan resource.

  7. Klik Clone.

gcloud 

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Ganti kode berikut:

  • POLICY_NAME: kebijakan untuk menerima aturan yang disalin
  • SOURCE_POLICY: kebijakan untuk menyalin aturan; harus berupa URL resource
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Mendeskripsikan aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Klik prioritas aturan.

gcloud 

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan firewall hierarkis yang berisi aturan baru.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Mencantumkan semua aturan dalam kebijakan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda. Aturan dicantumkan di tab Aturan firewall.

gcloud 

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan firewall hierarkis yang berisi aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Memperbarui aturan

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih organisasi atau folder yang berisi kebijakan firewall hierarkis.

  3. Klik nama kebijakan firewall hierarkis yang berisi aturan yang akan diperbarui.

  4. Klik prioritas aturan.

  5. Klik Edit.

  6. Ubah kolom aturan firewall yang ingin Anda ubah. Untuk deskripsi setiap kolom, lihat salah satu hal berikut:

  7. Klik Simpan.

gcloud 

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Ganti kode berikut:

  • PRIORITY: nomor prioritas yang mengidentifikasi aturan secara unik.
  • POLICY_NAME: nama kebijakan yang berisi aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Berikan tanda yang ingin Anda ubah. Untuk deskripsi tanda, lihat salah satu hal berikut:

Menghapus aturan

Menghapus aturan dari kebijakan akan menyebabkan aturan tidak lagi berlaku untuk koneksi baru ke atau dari target aturan.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan.

  3. Klik kebijakan Anda.

  4. Pilih aturan yang ingin Anda hapus.

  5. Klik Hapus.

gcloud 

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang ingin Anda hapus dari kebijakan.
  • POLICY_NAME: nama kebijakan firewall hierarkis yang berisi aturan.
  • ORG_ID: ID organisasi yang berisi kebijakan firewall hierarkis.

Mendapatkan aturan firewall efektif untuk jaringan

Anda dapat melihat semua aturan kebijakan firewall hierarkis, aturan firewall VPC, dan aturan kebijakan firewall jaringan global yang berlaku untuk semua region jaringan VPC.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik jaringan yang ingin Anda lihat aturan kebijakan firewall-nya.

  3. Klik Firewalls.

  4. Perluas setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Ganti NETWORK_NAME dengan jaringan yang ingin Anda lihat aturan efektifnya.

Anda juga dapat melihat aturan firewall yang berlaku untuk jaringan dari halaman Firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Kebijakan firewall tercantum di bagian Kebijakan firewall yang diwarisi oleh project ini.

  3. Klik setiap kebijakan firewall untuk melihat aturan yang berlaku untuk jaringan ini.

Mendapatkan aturan firewall efektif untuk antarmuka VM

Anda dapat melihat semua aturan firewall—dari semua kebijakan firewall dan aturan firewall VPC yang berlaku—yang berlaku untuk antarmuka jaringan VM Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Di menu pemilih project, pilih project yang berisi VM.

  3. Klik VM.

  4. Untuk Network interfaces, klik antarmuka.

  5. Aturan firewall yang efektif muncul di tab Firewall yang tersedia di bagian Analisis konfigurasi jaringan.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Ganti kode berikut:

  • INSTANCE_NAME: VM yang aturan efektifnya ingin Anda lihat; jika tidak ada antarmuka yang ditentukan, perintah akan menampilkan aturan untuk antarmuka utama (nic0).
  • INTERFACE: antarmuka VM yang ingin Anda lihat aturan efektifnya; nilai defaultnya adalah nic0.
  • ZONE: zona VM; baris ini bersifat opsional jika zona yang dipilih sudah ditetapkan sebagai default.

Pemecahan masalah

Bagian ini berisi penjelasan untuk pesan error yang mungkin Anda temui saat membuat kebijakan firewall hierarkis.

  • FirewallPolicy may not specify a name. One will be provided.

    Anda tidak dapat menentukan nama kebijakan. "Nama" kebijakan firewall hierarkis adalah ID numerik yang dibuat oleh Google Cloud saat kebijakan dibuat. Namun, Anda dapat menentukan nama pendek yang lebih mudah diingat yang berfungsi sebagai alias dalam banyak konteks.

  • FirewallPolicy may not specify associations on creation.

    Asosiasi hanya dapat dibuat setelah kebijakan firewall hierarkis dibuat.

  • Can't move firewall policy to a different organization.

    Pemindahan kebijakan firewall hierarkis harus tetap berada dalam organisasi yang sama.

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    Jika resource sudah dilampirkan dengan kebijakan firewall hierarkis, operasi lampiran akan gagal kecuali jika opsi untuk mengganti asosiasi yang ada disetel ke benar (true).

  • Can't have rules with the same priorities.

    Prioritas aturan harus unik dalam kebijakan firewall hierarkis.

  • Direction must be specified for a firewall policy rule.

    Saat membuat aturan kebijakan firewall hierarkis dengan mengirim permintaan REST secara langsung, arah aturan harus ditentukan. Saat menggunakan Google Cloud CLI dan tidak ada arah yang ditentukan, defaultnya adalah INGRESS.

  • Can't specify enable_logging on a goto_next rule.

    Pencatatan Log Firewall tidak diizinkan untuk aturan dengan tindakan goto_next karena tindakan goto_next digunakan untuk merepresentasikan urutan evaluasi berbagai kebijakan firewall dan bukan tindakan terminal—misalnya, ALLOW atau DENY.

  • Must specify at least one destination on Firewall policy rule.

    Flag layer4Configs dalam aturan kebijakan firewall harus menentukan setidaknya satu protokol atau protokol dan port tujuan.

    Untuk mengetahui informasi selengkapnya tentang pemecahan masalah aturan kebijakan firewall, lihat Pemecahan masalah aturan firewall VPC.

Langkah berikutnya