Mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke FQDN

Pelajari cara membuat dan mengonfigurasi kebijakan firewall jaringan global untuk mengizinkan traffic keluar ke nama domain tertentu yang sepenuhnya memenuhi syarat (FQDN) menggunakan Konsol Google Cloud. Kebijakan firewall akan memblokir semua traffic keluar lainnya yang berasal dari jaringan Anda. Panduan memulai ini membuat jaringan Virtual Private Cloud (VPC) dengan subnet, membuat instance virtual machine (VM) di jaringan VPC, menyiapkan kebijakan firewall yang menggunakan aturan traffic keluar, lalu menguji kebijakan firewall dari VM.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

    5.

  5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  6. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

    8.
  8. Pastikan Anda memiliki peran Admin Jaringan Compute (roles/compute.networkAdmin).

Membuat jaringan VPC kustom dengan subnet IPv4

Buat jaringan VPC mode kustom dengan subnet IPv4.

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Untuk Name, masukkan vpc-fw-policy-egress.

  4. Untuk Mode pembuatan subnet, klik Kustom.

  5. Di bagian Subnet baru, tentukan parameter konfigurasi berikut untuk subnet:

    • Nama: Masukkan subnet-1.
    • Region: Pilih us-central1.
    • Rentang IPv4: Masukkan 10.0.0.0/24.

  6. Klik Done.

  7. Klik Create.

Membuat VM

Buat VM di subnet yang telah Anda konfigurasi di bagian sebelumnya.

  1. Di konsol Google Cloud, buka halaman Create an instance.

    Buka Create an instance

  2. Untuk Name, masukkan instance-1-us.

  3. Untuk Region, pilih us-central1 (Iowa).

  4. Luaskan Advanced options, lalu luaskan Networking.

  5. Di bagian Network interfaces, perluas antarmuka jaringan yang ada dan tentukan parameter konfigurasi berikut:

    • Network: Pilih vpc-fw-policy-egress.
    • Subnetwork: Pilih subnet-1 IPv4 (10.0.0.0/24).
    • External IPv4 address: Pilih None.

  6. Klik Done.

  7. Klik Create.

Membuat Cloud Router dan gateway Cloud NAT

Di bagian sebelumnya, Anda telah membuat VM tanpa alamat IP eksternal. Agar VM dapat mengakses internet publik, buat Cloud Router dan gateway Cloud NAT untuk region dan subnet yang sama tempat Anda membuat VM.

  1. Di Konsol Google Cloud, buka halaman Cloud NAT.

    Buka Cloud NAT

  2. Klik Get started atau Create Cloud NAT gateway.

    Catatan: Jika ini adalah gateway Cloud NAT pertama yang Anda buat, klik Get started. Jika Anda sudah memiliki gateway yang ada, Google Cloud akan menampilkan tombol gateway Create Cloud NAT. Untuk membuat gateway lain, klik Create Cloud NAT.

  3. Untuk Gateway name, masukkan fw-egress-nat-gw.

  4. Untuk jenis NAT, pilih Publik.

  5. Di bagian Pilih Cloud Router, tentukan parameter konfigurasi berikut:

    • Network: Pilih vpc-fw-policy-egress.
    • Region: Pilih us-central1 (Iowa).
    • Cloud Router: Klik Create new router.
      1. Untuk Name, masukkan fw-egress-router.
      2. Klik Create.

  6. Klik Create.

Buat kebijakan firewall jaringan global untuk mengaktifkan IAP

Untuk mengaktifkan Identity-Aware Proxy untuk VM di jaringan Anda, buat kebijakan firewall jaringan global dan tambahkan aturan firewall ke kebijakan tersebut. IAP memungkinkan akses admin ke VM.

Aturan firewall harus memiliki karakteristik berikut:

  • Berlaku untuk semua VM yang ingin dapat diakses dengan menggunakan penerusan TCP IAP.
  • Mengizinkan traffic masuk dari rentang alamat IP 35.235.240.0/20. Rentang ini berisi semua alamat IP yang digunakan IAP untuk penerusan TCP.
  • Mengizinkan koneksi ke semua port yang ingin Anda akses menggunakan penerusan TCP IAP, misalnya, port 22 untuk SSH.

Untuk mengaktifkan akses IAP ke semua VM di jaringan vpc-fw-policy-egress, ikuti langkah-langkah berikut:

  1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  2. Klik Create firewall policy.

  3. Di bagian Configure policy, untuk Policy name, masukkan fw-egress-policy.

  4. Untuk Cakupan deployment, pilih Global, lalu klik Continue.

  5. Untuk membuat aturan bagi kebijakan Anda, di bagian Tambahkan aturan, klik Tambahkan aturan.

    1. Untuk Priority, masukkan 100.
    2. Untuk Direction of traffic, pilih Ingress.
    3. Untuk Action on match, pilih Allow.
    4. Untuk Log, pilih Aktif.
    5. Di bagian Target, untuk Jenis target, pilih Semua instance di jaringan.
    6. Di bagian Sumber, untuk rentang IP, masukkan 35.235.240.0/20.
    7. Di bagian Protocol and ports, pilih Specified protocols and ports.
    8. Pilih kotak centang TCP, dan untuk Ports, masukkan 22.
    9. Klik Create.

  6. Klik Lanjutkan.

  7. Untuk mengaitkan jaringan VPC dengan kebijakan tersebut, di bagian Associate policy with VPC networks, klik Associate.

  8. Centang kotak vpc-fw-policy-egress, lalu klik Kaitkan.

  9. Klik Lanjutkan.

  10. Klik Create.

Tambahkan aturan firewall untuk menolak traffic keluar ke semua tujuan

Untuk menolak traffic keluar ke semua tujuan, Anda dapat menambahkan aturan firewall ke fw-egress-policy.

  1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  2. Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.

  3. Klik Buat aturan.

  4. Untuk Priority, masukkan 700.

  5. Untuk Direction of traffic, pilih Traffic keluar.

  6. Untuk Tindakan pada kecocokan, pilih Tolak.

  7. Untuk Log, pilih Aktif.

  8. Di bagian Destination, untuk IP rentang, masukkan 0.0.0.0/0.

  9. Klik Create.

Tambahkan aturan firewall untuk mengizinkan traffic keluar hanya ke FQDN tertentu

Untuk mengizinkan traffic keluar hanya ke FQDN tertentu, ads.google.com, tambahkan aturan firewall di fw-egress-policy.

  1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  2. Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.

  3. Klik Buat aturan.

  4. Untuk Priority, masukkan 600.

  5. Untuk Direction of traffic, pilih Traffic keluar.

  6. Untuk Action on match, pilih Allow.

  7. Untuk Log, pilih Aktif.

  8. Di bagian Destination, untuk FQDN, masukkan ads.google.com.

  9. Klik Create.

Menguji kebijakan firewall jaringan global

Setelah mengonfigurasi kebijakan firewall jaringan global, ikuti langkah-langkah berikut untuk menguji kebijakan tersebut:

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Di kolom Connect untuk VM instance-1-us, klik SSH.

  3. Pada dialog SSH-in-browser, klik Authorize dan tunggu hingga koneksi berhasil dibuat.

  4. Untuk memverifikasi bahwa traffic keluar ke https://ads.google.com diizinkan, jalankan perintah berikut:

      curl -I https://ads.google.com

    Perintah sebelumnya menampilkan informasi header https://ads.google.com, yang berarti koneksi keluar diizinkan.

  5. Untuk memverifikasi bahwa traffic keluar diblokir ke tujuan lain, tentukan FQDN apa pun dan jalankan perintah berikut:

      curl -m 2 -I https://mail.yahoo.com

    Perintah sebelumnya menampilkan pesan Connection timed out, yang diharapkan karena Anda membuat aturan firewall untuk menolak traffic keluar ke semua tujuan kecuali https://ads.google.com.

Melihat log

Anda dapat memverifikasi bahwa aturan firewall telah diterapkan ke traffic keluar dengan mengakses log. Untuk melihat detail log, ikuti langkah-langkah berikut:

  1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  2. Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.

  3. Di kolom Jumlah hit, klik angka untuk aturan yang Anda buat di bagian Create a global network firewall policy. Halaman Logs explorer akan terbuka.

  4. Untuk melihat aturan firewall yang diterapkan ke traffic keluar, luaskan log individual. Anda dapat melihat detail koneksi, disposisi, lokasi jarak jauh, dan aturan dengan meluaskan bagian yang relevan.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam panduan memulai ini, hapus project yang berisi resource tersebut, atau simpan project tersebut dan hapus resource individual.

Untuk menghapus resource yang dibuat dalam panduan memulai ini, selesaikan tugas-tugas berikut.

Menghapus kebijakan firewall

  1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  2. Pada bagian Kebijakan firewall jaringan, klik fw-egress-policy.

  3. Klik tab Pengaitan.

  4. Centang kotak vpc-fw-policy-egress, lalu klik Hapus atribusi.

  5. Pada dialog Remove a firewall policy attribution, klik Remove.

  6. Klik Delete.

  7. Pada dialog Delete a firewall policy, klik Delete.

Menghapus VM

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Pilih kotak centang untuk VM instance-1-us.

  3. Klik Delete.

  4. Pada dialog Hapus instance-1-us, klik Hapus.

Menghapus gateway Cloud NAT dan Cloud Router

  1. Di konsol Google Cloud, buka halaman Cloud routers.

    Buka Cloud router

  2. Pilih kotak centang untuk fw-egress-router.

  3. Klik Delete.

  4. Pada dialog Delete fw-egress-router, klik Delete.

Saat Anda menghapus Cloud Router, gateway Cloud NAT terkait juga akan dihapus.

Menghapus jaringan VPC dan subnetnya

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Di kolom Nama, klik vpc-fw-policy-egress.

  3. Klik Delete VPC network.

  4. Pada dialog Hapus jaringan, klik Hapus.

Saat Anda menghapus jaringan VPC, subnetnya juga akan dihapus.

Langkah selanjutnya