Komponen aturan kebijakan firewall

Halaman ini menjelaskan komponen aturan firewall yang Anda buat di salah satu kebijakan firewall berikut yang berlaku untuk jaringan Virtual Private Cloud (VPC) reguler:

Untuk mengetahui detail tentang aturan firewall dan profil jaringan Remote Direct Memory Access (RDMA), lihat Cloud NGFW untuk jaringan VPC RoCE.

Setiap aturan kebijakan firewall berlaku untuk koneksi masuk (ingress) atau keluar (egress), bukan keduanya. Saat membuat aturan kebijakan firewall, Anda menentukan komponen yang menentukan tindakan yang dilakukan aturan. Selain arah, Anda dapat menentukan karakteristik sumber, tujuan, dan Lapisan 4 seperti protokol dan port tujuan (jika protokol menggunakan port).

Prioritas

Setiap aturan dalam kebijakan firewall harus memiliki prioritas yang unik.

Pertimbangkan panduan berikut saat menetapkan prioritas ke aturan kebijakan firewall:

  • Prioritas adalah bilangan bulat dari 0 hingga 2,147,483,547, inklusif.
  • Dalam kebijakan firewall, setiap aturan harus memiliki nomor prioritas yang unik. Aturan kebijakan firewall tidak memiliki nama.
  • Nomor prioritas 0 adalah prioritas tertinggi dan 2,147,483,547 adalah prioritas terendah. Prioritas menurun seiring bertambahnya angka. Dalam kebijakan firewall, jika paket cocok dengan beberapa aturan, hanya aturan yang cocok dengan prioritas tertinggi yang diterapkan.

Pertimbangkan contoh berikut di mana ada dua aturan kebijakan firewall dalam kebijakan firewall jaringan global yang terkait dengan jaringan VPC Anda:

  • Aturan traffic masuk dari sumber 0.0.0.0/0 (alamat IPv4 apa pun) yang berlaku untuk semua target, semua protokol, dan semua port tujuan, dengan tindakan deny dan prioritas 1000.

  • Aturan ingress dari sumber 0.0.0.0/0 (alamat IPv4 apa pun) yang berlaku untuk target tertentu dengan tag aman tagKeys/123/tagValues/456 (shortName kunci tag role dan nilai tag webserver), untuk traffic di TCP 80, dengan tindakan allow.

Prioritas aturan kedua menentukan apakah traffic TCP ke port 80 diizinkan untuk target webserver:

  • Jika prioritas aturan kedua ditetapkan ke angka yang lebih besar dari 1000, prioritasnya lebih rendah, sehingga aturan pertama yang menolak semua traffic akan berlaku.

  • Jika prioritas aturan kedua ditetapkan ke angka yang lebih kecil dari 1000, aturan tersebut memiliki prioritas yang lebih tinggi. Paket yang tiba untuk webserver di TCP 80 cocok dengan aturan kedua terlebih dahulu. Traffic diizinkan dan firewall berhenti melihat aturan lainnya. Aturan pertama tidak pernah diperiksa untuk paket tertentu ini.

Contoh sebelumnya menunjukkan cara Anda dapat menggunakan prioritas untuk membuat aturan allow selektif dan aturan deny global untuk menerapkan praktik terbaik keamanan dengan hak istimewa terendah.

Tindakan jika ada kecocokan

Aturan dalam kebijakan firewall dapat memiliki salah satu tindakan berikut:

Parameter tindakan Deskripsi
allow

Mengizinkan paket untuk koneksi baru. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya.

Terlepas dari arah aturan, jika protokol paket dan jenis kebijakan firewall mendukung pelacakan koneksi, aturan izinkan akan membuat entri tabel pelacakan koneksi firewall yang mengizinkan paket masuk dan keluar.
deny

Tidak mengizinkan paket untuk koneksi baru. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya.

Cloud NGFW selalu memeriksa entri tabel pelacakan koneksi firewall sebelum mengevaluasi aturan firewall. Oleh karena itu, jika aturan izinkan membuat entri tabel pelacakan koneksi, entri tabel pelacakan koneksi tersebut akan diprioritaskan.
apply_security_profile_group

Menyadap paket untuk koneksi baru, mengirimkannya ke endpoint firewall atau grup endpoint penyadapan. Berhenti mengevaluasi aturan dalam kebijakan firewall yang berisi aturan yang cocok. Tidak mengevaluasi aturan firewall lainnya.

Terlepas dari arah aturan, jika protokol paket dan jenis kebijakan firewall mendukung pelacakan koneksi, aturan dengan tindakan apply_security_profile_group akan membuat entri tabel pelacakan koneksi firewall sehingga paket masuk dan keluar dicegat oleh endpoint firewall atau grup endpoint pencegat.

Anda tidak dapat membuat aturan dengan tindakan apply_security_profile_group dalam kebijakan firewall jaringan regional. Kebijakan firewall sistem regional tidak mendukung aturan dengan tindakan ini.
goto_next

Berhenti mengevaluasi aturan lain dalam kebijakan firewall, dan mengevaluasi aturan pada langkah berikutnya dalam urutan evaluasi aturan dan kebijakan firewall.

Langkah berikutnya dalam urutan evaluasi kebijakan dan aturan firewall mungkin berupa evaluasi aturan dalam kebijakan firewall lain atau aturan firewall implisit.

Penegakan

Anda dapat memilih apakah aturan kebijakan firewall diterapkan dengan menyetel statusnya ke aktif atau nonaktif. Anda menetapkan status penegakan saat membuat aturan atau saat memperbarui aturan.

Jika Anda tidak menetapkan status penerapan saat membuat aturan firewall baru, aturan firewall akan otomatis diaktifkan.

Protocols and ports

Mirip dengan aturan firewall VPC, Anda harus menentukan satu atau beberapa batasan protokol dan port saat membuat aturan. Saat menentukan TCP atau UDP dalam aturan, Anda dapat menentukan protokol, protokol dan port tujuan, atau protokol dan rentang port tujuan; Anda tidak dapat menentukan hanya port atau rentang port. Selain itu, Anda hanya dapat menentukan port tujuan. Aturan berdasarkan port sumber tidak didukung.

Anda dapat menggunakan nama protokol berikut dalam aturan firewall: tcp, udp, icmp (untuk ICMP IPv4), esp, ah, sctp, dan ipip. Untuk semua protokol lainnya, gunakan nomor protokol IANA.

Banyak protokol menggunakan nama dan nomor yang sama di IPv4 dan IPv6, tetapi beberapa protokol, seperti ICMP, tidak. Untuk menentukan ICMP IPv4, gunakan icmp atau nomor protokol 1. Untuk menentukan ICMP IPv6, gunakan nomor protokol 58.

Aturan firewall tidak mendukung penentuan jenis dan kode ICMP, hanya protokolnya.

Protokol Hop-by-Hop IPv6 tidak didukung dalam aturan firewall.

Jika Anda tidak menentukan parameter protokol dan port, aturan akan berlaku untuk semua protokol dan port tujuan.

Logging

Logging untuk aturan kebijakan firewall berfungsi sama seperti logging aturan firewall VPC kecuali untuk hal berikut:

  • Kolom referensi mencakup ID kebijakan firewall dan angka yang menunjukkan tingkat resource tempat kebijakan dilampirkan. Misalnya, 0 berarti kebijakan diterapkan ke organisasi, dan 1 berarti kebijakan diterapkan ke folder tingkat teratas dalam organisasi.

  • Log untuk aturan kebijakan firewall mencakup kolom target_resource yang mengidentifikasi jaringan VPC tempat aturan berlaku.

  • Logging hanya dapat diaktifkan untuk aturan allow,deny, dan apply_security_profile_group; logging tidak dapat diaktifkan untuk aturan goto_next.

  • Saat Anda mengaktifkan logging untuk aturan yang menggunakan tindakan apply_security_profile_group, Cloud NGFW akan membuat satu entri log saat mencegat sesi traffic dan mengalihkan traffic ke endpoint firewall untuk pemeriksaan paket mendalam. Entri log ini mengonfirmasi bahwa aturan firewall cocok dengan traffic dan berhasil mengalihkannya ke endpoint firewall. Untuk mengetahui informasi selengkapnya, lihat Ringkasan logging aturan kebijakan firewall.

  • Endpoint firewall melakukan pemeriksaan paket mendalam, seperti layanan deteksi dan pencegahan penyusupan serta layanan pemfilteran URL, dan membuat kumpulan lognya sendiri. Log ini memberikan informasi mendetail tentang koneksi dalam sesi yang dicegat, yang mencantumkan ancaman yang terdeteksi atau tindakan pemfilteran URL. Log deep packet inspection ini dapat menghasilkan beberapa entri log per sesi.

Target, sumber, tujuan

Parameter target, sumber, dan tujuan bekerja sama untuk menentukan cakupan aturan firewall.

  • Parameter target: mengidentifikasi resource yang menerapkan aturan firewall.

  • Parameter sumber dan tujuan: menentukan kriteria traffic. Anda dapat menentukan keduanya untuk aturan ingress dan egress. Opsi yang valid untuk parameter sumber dan tujuan bergantung pada parameter target dan arah aturan firewall.

Target

Parameter target type dan satu atau beberapa parameter target menentukan target aturan firewall. Target aturan firewall ini adalah resource yang dilindungi oleh aturan firewall.

  • Jika jenis target tidak disertakan atau disetel ke INSTANCES, aturan firewall berlaku untuk antarmuka jaringan instance Compute Engine, termasuk node Google Kubernetes Engine (GKE) dan instance lingkungan fleksibel App Engine. Aturan ingress dan egress didukung.

    Untuk menentukan antarmuka jaringan VM yang menerapkan aturan firewall, gunakan parameter target:

  • Jika jenis target ditetapkan ke INTERNAL_MANAGED_LB (Pratinjau), aturan firewall berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Hanya aturan masuk yang didukung.

    • Jika Anda menghapus parameter target aturan penerusan, aturan firewall akan berlaku untuk target load balancer terluas.

    • Untuk membatasi aturan firewall ke satu load balancer, gunakan parameter aturan penerusan target. Untuk mengetahui informasi selengkapnya, lihat Target tertentu.

Target instance terluas

Target instance terluas bergantung pada jenis kebijakan firewall:

  • Target instance terluas untuk aturan dalam kebijakan firewall hierarkis: semua antarmuka jaringan VM dalam subnet di region mana pun dari jaringan VPC mana pun yang berada dalam project di bawah node Resource Manager (folder atau organisasi) yang terkait dengan kebijakan firewall hierarkis.

  • Target instance terluas untuk aturan dalam kebijakan firewall jaringan global: semua antarmuka jaringan VM dalam subnet di region mana pun dari jaringan VPC yang terkait dengan kebijakan firewall jaringan global.

  • Target instance terluas untuk aturan dalam kebijakan firewall jaringan regional: semua antarmuka jaringan VM dalam subnet di dalam region dan jaringan VPC yang terkait dengan kebijakan firewall jaringan regional.

Target load balancer terluas

Kebijakan firewall jaringan regional adalah satu-satunya kebijakan yang aturannya mendukung target load balancer. Target load balancer terluas adalah aturan penerusan untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal di region kebijakan dan jaringan VPC terkait.

Target spesifik

Tabel berikut mencantumkan parameter target, kebijakan firewall yang mendukung aturan dengan setiap parameter, dan jenis target aturan yang didukung. Jika Anda tidak menentukan parameter target, aturan akan menggunakan target instance terluas atau target load balancer terluas, berdasarkan jenis target aturan. Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Parameter target Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Menargetkan resource jaringan VPC

Daftar satu atau beberapa jaringan VPC yang ditentukan dengan menggunakan parameter target-resources. Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang berada di setidaknya salah satu jaringan VPC yang ditentukan.
Akun layanan target

Daftar satu atau beberapa akun layanan yang ditentukan menggunakan parameter target-service-accounts. Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang termasuk dalam instance VM yang terkait dengan setidaknya salah satu akun layanan yang ditentukan.
Menargetkan nilai tag aman dari kunci tag dengan tujuan jaringan data

Aturan yang menggunakan parameter target-secure-tags yang berisi daftar satu atau beberapa nilai tag dari kunci tag yang purpose-data menentukan satu jaringan VPC.

Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di jaringan VPC yang cocok dengan purpose-data kunci tag.
  • Antarmuka ini termasuk dalam VM yang terikat dengan nilai tag.

Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall.
Menargetkan nilai tag aman dari kunci tag dengan data tujuan organisasi

Aturan yang menggunakan parameter target-secure-tags yang berisi daftar satu atau beberapa nilai tag dari kunci tag yang purpose-data-nya adalah organization=auto.

Daftar ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di jaringan VPC mana pun dalam organisasi.
  • Antarmuka ini termasuk dalam VM yang terikat dengan nilai tag.

Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall.
Targetkan aturan penerusan Pratinjau

Satu aturan penerusan untuk Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal yang ditentukan dalam format aturan penerusan target. Parameter ini mempersempit target load balancer terluas ke Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal tertentu.

Kombinasi target tertentu

Aturan yang mendukung parameter target-resources dapat menggabungkannya dengan parameter target lain untuk membuat kombinasi parameter target. Tabel berikut mencantumkan kombinasi parameter target yang didukung, kebijakan firewall yang mendukung aturan dengan setiap parameter, dan jenis target aturan yang didukung. Jika Anda tidak menentukan parameter target, aturan akan menggunakan target instance terluas atau target load balancer terluas, berdasarkan jenis target aturan.

Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Kombinasi parameter target Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Kombinasi resource jaringan VPC target dan akun layanan target

Aturan yang menggunakan parameter target-resources dan target-service-accounts.

Kombinasi ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di setidaknya salah satu jaringan VPC yang ditentukan dalam target-resources.
  • Antarmuka ini termasuk dalam instance VM yang terkait dengan setidaknya salah satu akun layanan yang ditentukan.
Kombinasi resource jaringan VPC target dan nilai tag aman target

Aturan yang menggunakan parameter target-resources dan target-secure-tags. Nilai tag harus berasal dari kunci tag yang purpose-data-nya adalah organization=auto.

Kombinasi ini mempersempit target instance terluas ke antarmuka jaringan VM yang masing-masing memenuhi kedua kriteria berikut:

  • Antarmuka berada di setidaknya salah satu jaringan VPC yang ditentukan dalam target-resources.
  • Antarmuka ini termasuk dalam VM yang terikat dengan nilai tag.

Format aturan penerusan target

Jika jenis target aturan firewall ditetapkan ke INTERNAL_MANAGED_LB (Pratinjau), parameter aturan penerusan target menerima nilai dalam format berikut:

  • Untuk Load Balancer Aplikasi internal regional dan Load Balancer Jaringan proxy internal regional:

    • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
    • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

  • Untuk Load Balancer Aplikasi internal lintas region dan Load Balancer Jaringan proxy internal lintas region:

    • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
    • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Target dan alamat IP untuk aturan ingress

Jika jenis target aturan firewall tidak ada atau ditetapkan ke INSTANCES, aturan akan berlaku untuk paket yang dirutekan ke antarmuka jaringan VM target.

  • Jika aturan firewall traffic masuk mencakup rentang alamat IP tujuan, tujuan paket harus sesuai dengan salah satu rentang alamat IP tujuan yang ditentukan secara eksplisit.

  • Jika aturan firewall masuk tidak menyertakan rentang alamat IP tujuan, tujuan paket harus cocok dengan salah satu alamat IP berikut dari setiap VM target:

    • Alamat IPv4 internal utama yang ditetapkan ke NIC instance.

    • Rentang alamat IP alias yang dikonfigurasi pada NIC instance.

    • Alamat IPv4 eksternal yang dikaitkan dengan NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk load balancing passthrough, dengan instance tersebut adalah backend untuk Load Balancer Jaringan passthrough internal atau Load Balancer Jaringan passthrough eksternal.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan yang digunakan untuk penerusan protokol, tempat instance direferensikan oleh instance target.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan instance (next-hop-instance atau next-hop-address) sebagai VM next hop.

    • Alamat IP dalam rentang tujuan rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal (next-hop-ilb) sebagai next hop jika VM adalah backend untuk load balancer tersebut.

Jika jenis target aturan firewall ditetapkan ke INTERNAL_MANAGED_LB (Pratinjau), aturan tersebut akan memfilter paket yang dirutekan ke proxy Envoy terkelola yang terkait dengan Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Saat menggunakan rentang IP tujuan dalam aturan ingress, pastikan rentang tersebut mencakup alamat IP aturan penerusan load balancer yang relevan.

Target dan alamat IP untuk aturan egress

Jika jenis target aturan firewall tidak ada atau ditetapkan ke INSTANCES, aturan berlaku untuk paket yang dikeluarkan oleh antarmuka jaringan VM target.

  • Jika penerusan IP dinonaktifkan (default) di VM target, VM hanya dapat mengirim paket dengan sumber berikut:

    • Alamat IPv4 internal utama NIC instance.

    • Rentang alamat IP alias apa pun yang dikonfigurasi pada NIC instance.

    • Jika IPv6 dikonfigurasi di subnet, berarti alamat IPv6 apa pun yang ditetapkan ke NIC.

    • Alamat IP internal atau eksternal yang terkait dengan aturan penerusan, untuk load balancing passthrough atau penerusan protokol. Ini valid jika instance adalah backend untuk Load Balancer Jaringan passthrough internal, Load Balancer Jaringan passthrough eksternal, atau direferensikan oleh instance target.

    Jika aturan firewall traffic keluar mencakup rentang alamat IP sumber, VM target tetap dibatasi ke alamat IP sumber yang disebutkan sebelumnya, tetapi parameter sumber dapat digunakan untuk menyaring sumber. Penggunaan parameter sumber tanpa mengaktifkan penerusan IP tidak pernah memperluas kumpulan kemungkinan alamat sumber paket.

    Jika aturan firewall egress tidak menyertakan rentang alamat IP sumber, semua alamat IP sumber yang disebutkan sebelumnya diizinkan.

  • Jika penerusan IP diaktifkan di VM target, VM dapat mengirim paket dengan alamat sumber arbitrer. Anda dapat menggunakan parameter sumber untuk menentukan secara lebih tepat kumpulan sumber paket yang diizinkan.

Sumber

Nilai parameter sumber bergantung pada arah aturan firewall.

Sumber untuk aturan ingress

Tabel ini mencantumkan parameter sumber untuk aturan ingress, kebijakan firewall yang mendukung setiap parameter, dan jenis target aturan yang kompatibel dengan setiap parameter. Anda harus menentukan setidaknya satu parameter sumber. Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Parameter sumber aturan ingress Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Rentang alamat IP sumber

Daftar yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat sumber

Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain sumber

Daftar yang berisi satu atau beberapa nama domain sumber. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Mendapatkan nilai tag aman dari kunci tag dengan data tujuan jaringan

Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya menentukan satu jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall dan Cara tag aman sumber menyiratkan sumber paket.
Mendapatkan nilai tag aman dari kunci tag dengan data tujuan organisasi

Daftar satu atau beberapa nilai tag dari kunci tag yang data tujuannya adalah organization=auto. Untuk mengetahui informasi selengkapnya, lihat Tag aman untuk firewall dan Cara tag aman sumber menyiratkan sumber paket.
Geolokasi sumber

Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi
Daftar Google Threat Intelligence sumber

Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Konteks jaringan sumber

Batasan yang menentukan batas keamanan. Nilai yang valid bergantung pada jenis target aturan. Untuk mengetahui informasi selengkapnya, lihat Konteks jaringan.
Kombinasi sumber aturan ingress

Dalam satu aturan ingress, Anda dapat menggunakan dua atau lebih parameter sumber untuk menghasilkan kombinasi sumber. Cloud NGFW menerapkan batasan berikut pada kombinasi sumber setiap aturan ingress:

  • Rentang alamat IP sumber harus berisi CIDR IPv4 atau IPv6, bukan keduanya.
  • Grup alamat sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
  • Rentang alamat IP sumber yang berisi CIDR IPv4 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv6.
  • Rentang alamat IP sumber yang berisi CIDR IPv6 tidak dapat digunakan dengan grup alamat sumber yang berisi CIDR IPv4.
  • Konteks jaringan internet tidak dapat digunakan dengan tag aman sumber.
  • Konteks non-internet, konteks jaringan VPC, dan konteks antar-VPC tidak dapat digunakan dengan daftar Google Threat Intelligence sumber atau geolokasi sumber.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan masuk yang menggunakan kombinasi sumber:

  • Jika kombinasi sumber tidak menyertakan konteks jaringan sumber, paket akan cocok dengan aturan masuk jika cocok dengan setidaknya satu parameter sumber dalam kombinasi sumber.

  • Jika kombinasi sumber mencakup konteks jaringan sumber, paket cocok dengan aturan masuk jika cocok dengan konteks jaringan sumber dan setidaknya salah satu parameter sumber lainnya dalam kombinasi sumber.

Cara tag aman sumber menyiratkan sumber paket

Aturan firewall masuk dapat menggunakan nilai tag aman sumber jika jenis targetnya dihapus atau disetel ke INSTANCES. Nilai tag aman mengidentifikasi antarmuka jaringan, bukan karakteristik paket seperti alamat IP.

Paket yang dikirim dari antarmuka jaringan instance VM cocok dengan aturan traffic masuk yang menggunakan nilai tag aman sumber sesuai dengan aturan berikut:

  • Jika aturan ingress berada dalam kebijakan jaringan regional, instance VM harus berada di zona dengan region yang sama dengan kebijakan firewall jaringan regional. Jika tidak, instance VM dapat berada di zona mana pun.

  • Instance VM harus dikaitkan dengan nilai tag aman yang sama yang digunakan sebagai tag aman sumber dalam aturan firewall traffic masuk.

  • Nilai tag aman yang terkait dengan instance VM dan digunakan oleh aturan firewall masuk harus berasal dari kunci tag yang atribut purpose-data-nya mengidentifikasi setidaknya satu jaringan VPC yang berisi antarmuka jaringan instance VM:

    • Jika data tujuan kunci tag menentukan satu jaringan VPC, aturan firewall masuk yang menggunakan nilai tag aman sumber berlaku untuk antarmuka jaringan instance VM yang berada di jaringan VPC tersebut.

    • Jika data tujuan kunci tag menentukan organisasi, aturan firewall masuk yang menggunakan nilai tag aman sumber berlaku untuk antarmuka jaringan instance VM yang berada di jaringan VPC mana pun dalam organisasi.

  • Antarmuka jaringan VM yang diidentifikasi harus memenuhi salah satu kriteria berikut:

    • Antarmuka jaringan VM berada di jaringan VPC yang sama dengan jaringan VPC tempat kebijakan firewall diterapkan.

    • Antarmuka jaringan VM berada di jaringan VPC yang terhubung, menggunakan Peering Jaringan VPC, ke jaringan VPC tempat kebijakan firewall diterapkan.

    • Jaringan VPC yang digunakan oleh antarmuka jaringan VM dan jaringan VPC tempat kebijakan firewall diterapkan adalah keduanya merupakan spoke VPC di hub Network Connectivity Center yang sama.

Untuk mengetahui informasi selengkapnya tentang tag aman untuk firewall, lihat Spesifikasi.

Sumber untuk aturan keluar

Anda dapat menggunakan sumber berikut untuk aturan keluar dalam kebijakan firewall hierarkis dan kebijakan firewall jaringan:

  • Default—tersirat oleh target: jika Anda menghilangkan parameter sumber dari aturan keluar, sumber paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan keluar.

  • Rentang alamat IPv4 sumber: daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 sumber: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP sumber untuk aturan keluar:

  • Jika antarmuka jaringan VM diberi alamat IPv4 eksternal, atau jika tidak memiliki alamat IPv4 eksternal tetapi menggunakan gateway Cloud NAT, evaluasi firewall keluar terjadi sebelum Google Cloud mengubah sumber paket keluar dari alamat IPv4 internal menjadi alamat IPv4 eksternal. Untuk menerapkan aturan firewall traffic keluar, Anda harus menghilangkan parameter Sumber atau menyertakan alamat IPv4 internal antarmuka jaringan VM dalam parameter Sumber.

  • Jika Anda memiliki rentang alamat IP sumber dan parameter tujuan dalam aturan keluar, maka parameter tujuan di-resolve ke versi IP yang sama dengan versi IP sumber.

    Misalnya, dalam aturan keluar, Anda memiliki rentang alamat IPv4 dalam parameter sumber dan objek FQDN dalam parameter tujuan. Jika FQDN di-resolve menjadi alamat IPv4 dan IPv6, hanya alamat IPv4 yang di-resolve yang digunakan selama penerapan aturan.

Tujuan

Nilai parameter tujuan bergantung pada arah aturan firewall.

Tujuan untuk aturan ingress

Anda dapat menggunakan tujuan berikut untuk aturan firewall ingress dalam kebijakan firewall hierarkis dan jaringan:

  • Default—tersirat oleh target: jika Anda menghilangkan parameter tujuan dari aturan ingress, tujuan paket akan ditentukan secara implisit seperti yang dijelaskan dalam Target dan alamat IP untuk aturan ingress.

  • Rentang alamat IPv4 tujuan: daftar alamat IPv4 dalam format CIDR.

  • Rentang alamat IPv6 tujuan: daftar alamat IPv6 dalam format CIDR.

Ikuti panduan berikut untuk menambahkan rentang alamat IP tujuan untuk aturan ingress:

  • Jika antarmuka jaringan VM diberi alamat IPv4 eksternal, atau jika tidak memiliki alamat IPv4 eksternal tetapi menggunakan gateway Cloud NAT, evaluasi firewall masuk terjadi setelah Google Cloud mengubah tujuan paket masuk dari alamat IPv4 eksternal ke alamat IPv4 internal. Untuk menerapkan aturan firewall ingress, Anda harus menghapus parameter Tujuan atau menyertakan alamat IPv4 internal antarmuka jaringan VM dalam parameter Tujuan.

  • Jika Anda telah menentukan parameter sumber dan tujuan dalam aturan ingress, parameter sumber akan di-resolve ke versi IP yang sama dengan versi IP tujuan. Untuk mempelajari lebih lanjut cara menentukan sumber untuk aturan ingress, lihat Sumber untuk aturan ingress dalam kebijakan firewall hierarkis dan Sumber untuk aturan ingress dalam kebijakan firewall jaringan.

    Misalnya, dalam aturan ingress, Anda memiliki rentang alamat IPv6 dalam parameter tujuan dan kode negara geolokasi dalam parameter sumber. Selama penerapan aturan, hanya alamat IPv6 yang dipetakan yang digunakan untuk kode negara sumber yang ditentukan.

Tujuan untuk aturan traffic keluar

Tabel ini mencantumkan parameter tujuan untuk aturan keluar, kebijakan firewall yang mendukung setiap parameter, dan jenis target aturan yang kompatibel dengan setiap parameter. Anda harus menentukan setidaknya satu parameter tujuan. Tanda centang menunjukkan bahwa parameter didukung, dan simbol menunjukkan bahwa parameter tidak didukung.

Parameter tujuan aturan keluar Dukungan kebijakan firewall Dukungan jenis target aturan
Hierarkis Jaringan global Jaringan regional INSTANCES INTERNAL_MANAGED_LB
Rentang alamat IP tujuan

Daftar yang terdiri dari alamat IPv4 dalam format CIDR atau alamat IPv6 dalam format CIDR. Daftar ini disimpan dalam aturan kebijakan firewall itu sendiri.
Grup alamat tujuan

Kumpulan alamat IPv4 yang dapat digunakan kembali dalam format CIDR atau alamat IPv6 dalam format CIDR. Aturan kebijakan firewall mereferensikan koleksi. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.
Nama domain tujuan

Daftar yang berisi satu atau beberapa nama domain tujuan. Untuk mengetahui informasi selengkapnya, termasuk cara nama domain dikonversi menjadi alamat IP, lihat Objek FQDN.
Geolokasi tujuan

Daftar satu atau beberapa lokasi geografis sumber yang ditentukan sebagai kode negara atau wilayah dua huruf. Untuk mengetahui informasi selengkapnya, lihat Objek geolokasi.
Daftar Google Threat Intelligence tujuan

Daftar yang berisi satu atau beberapa nama daftar Google Threat Intelligence yang telah ditentukan sebelumnya. Untuk mengetahui informasi selengkapnya, lihat Google Threat Intelligence untuk aturan kebijakan firewall.
Konteks jaringan tujuan

Batasan yang menentukan batas keamanan.
Kombinasi tujuan aturan keluar

Dalam satu aturan keluar, Anda dapat menggunakan dua atau lebih parameter tujuan untuk menghasilkan kombinasi tujuan. Cloud NGFW menerapkan batasan berikut pada kombinasi tujuan setiap aturan keluar:

  • Rentang alamat IP tujuan harus berisi CIDR IPv4 atau IPv6, bukan kombinasi keduanya.
  • Anda tidak dapat menggunakan grup alamat tujuan yang berisi CIDR IPv4 dengan grup alamat tujuan yang berisi CIDR IPv6.
  • Anda tidak dapat menggunakan rentang alamat IP tujuan yang berisi CIDR IPv4 dengan grup alamat tujuan yang berisi CIDR IPv6.
  • Anda tidak dapat menggunakan rentang alamat IP tujuan yang berisi CIDR IPv6 dengan grup alamat tujuan yang berisi CIDR IPv4.
  • Anda tidak dapat menggunakan daftar Google Threat Intelligence tujuan atau geolokasi tujuan dengan konteks jaringan non-internet tujuan.

Cloud NGFW menerapkan logika berikut untuk mencocokkan paket dengan aturan keluar yang menggunakan kombinasi tujuan:

  • Jika kombinasi tujuan tidak menyertakan konteks jaringan tujuan, paket cocok dengan aturan keluar jika cocok dengan setidaknya satu parameter tujuan dalam kombinasi tujuan.

  • Jika kombinasi tujuan mencakup konteks jaringan tujuan, paket akan cocok dengan aturan keluar jika cocok dengan konteks jaringan tujuan dan setidaknya salah satu parameter tujuan lainnya dalam kombinasi tujuan.

Langkah berikutnya