Utiliser des stratégies et des règles de pare-feu de réseau globales

Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu réseau au niveau mondial.

Tâches liées aux stratégies de pare-feu

Créer une stratégie de pare-feu de réseau au niveau mondial

Vous pouvez créer une règle pour tout réseau VPC au sein de votre projet. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quel réseau VPC de votre projet. Une fois associée, les règles de la stratégie deviennent actives pour les VM appartenant au réseau associé.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.create

Rôles

compute.securityAdmin sur le projet dans lequel vous souhaitez créer la stratégie

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu réseau.
Attribuez un nom à la stratégie.
Pour le Champ d'application du déploiement, sélectionnez Mondial.
Pour créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.

Pour en savoir plus, consultez la section Créer des règles de pare-feu.
Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux VPC.

Pour en savoir plus, consultez Associer une règle au réseau.
Cliquez sur Créer.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION --global

Remplacez les éléments suivants :

NETWORK_FIREWALL_POLICY_NAME : nom de la stratégie.
DESCRIPTION : description de la stratégie.

Associer une stratégie au réseau

Associez une stratégie à un réseau pour activer les règles de la stratégie pour toutes les VM de ce réseau.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.addAssociation sur la stratégie de pare-feu

Rôles

compute.securityAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter des associations.
Sélectionnez les réseaux dans le projet.
Cliquez sur Associer.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Remplacez les éléments suivants :

POLICY_NAME : nom court ou nom généré par le système pour la stratégie.
NETWORK_NAME : nom de votre réseau.
ASSOCIATION_NAME : nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisation ORG_ID" ou "dossier FOLDER_ID".

Décrire une stratégie de pare-feu de réseau au niveau mondial

Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs sont présents dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans la limite de chaque limite de stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

compute.networkAdmin

compute.securityAdmin sur le projet

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur la stratégie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Mettre à jour la description d'une stratégie de pare-feu réseau au niveau mondial

Seul le champ Description peut être mis à jour pour la stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.networkAdmin ou
compute.securityAdmin sur le projet où se trouve la stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Dans le champ Description, modifiez le texte.
Cliquez sur Enregistrer.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Regrouper les stratégies de pare-feu de réseau au niveau mondial

Vous pouvez afficher la liste des règles disponibles dans votre projet.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.list

Rôles

compute.securityAdmin

compute.networkAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.

gcloud

gcloud compute network-firewall-policies list --global

Supprimer une stratégie de pare-feu de réseau au niveau mondial

Vous devez supprimer toutes les associations d'une stratégie de pare-feu réseau au niveau mondial avant de pouvoir la supprimer.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.delete

Rôles

compute.securityAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

Répertoriez tous les réseaux associés à une stratégie de pare-feu :

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle compute.SecurityAdmin sur la stratégie de pare-feu réseau au niveau mondial et du rôle compute.networkAdmin sur le réseau VPC associé.
```
gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy
```

Supprimez la stratégie :

gcloud compute network-firewall-policies delete POLICY_NAME
    --global

Supprimer une association

Pour arrêter l'application d'une stratégie de pare-feu sur un réseau, supprimez l'association.

Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, vous n'avez pas besoin de supprimer l'association existante. Si vous supprimez cette association, aucune période ne sera appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.removeAssociation

Rôles

compute.securityAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer les associations.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Tâches liées aux règles des stratégies de pare-feu

Créer des règles de pare-feu de réseau au niveau mondial

Les règles des stratégies de pare-feu de réseau au niveau mondial doivent être créées dans une stratégie de pare-feu de réseau au niveau mondial. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un réseau VPC.

Chaque règle de stratégie de pare-feu réseau au niveau mondial peut inclure des plages IPv4 ou IPv6, mais pas les deux.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.securityAdmin sur le projet contenant la stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur le nom de votre règle mondiale.
Dans l'onglet Règles de pare-feu, cliquez sur Créer.
Renseignez les champs de la règle :
1. Dans le champ Priorité, définissez le numéro de commande de la règle, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
2. Sélectionnez Entrée ou Sortie pour l'option Direction du trafic.
3. Pour Action en cas de correspondance, choisissez l'une des options suivantes :
  1. Autoriser : autorise les connexions correspondant à la règle.
  2. Refuser : refuse les connexions correspondant à la règle.
  3. Passer à la suivante : transmet l'évaluation de la connexion à la règle de pare-feu inférieure suivante dans la hiérarchie.
  4. Procéder à l'inspection L7 : envoie les paquets au point de terminaison de pare-feu configuré pour l'inspection et la prévention de la couche 7.
    - Dans la liste Groupe de profils de sécurité, sélectionnez le nom d'un groupe de profils de sécurité.
    - Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
4. Définissez la collecte de journaux sur Activée ou Désactivée.
5. Spécifiez la Cible de la règle. Sélectionnez l'une des options suivantes pour le champ Type de cible :
  - Si vous souhaitez que la règle s'applique à toutes les instances du réseau, sélectionnez Toutes les instances du réseau.
  - Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction de tags, sélectionnez Tags sécurisés. Cliquez sur SELECT SCOPE (Sélectionner le champ d'application), puis sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
  - Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction du compte de service associé, sélectionnez Compte de service, et indiquez si le compte de service se trouve dans le projet en cours ou dans un autre projet dans Champ d'application du compte de service. Choisissez ou saisissez ensuite le nom du compte de service dans le champ Compte de service cible.
6. Pour une règle d'entrée, spécifiez le filtre source :
  - Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
  - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle source IPv6.
  - Pour limiter la source par tags, cliquez sur SÉLECTIONNER LE CHAMP D'APPLICATION dans la section Tags. Sélectionnez l'organisation ou le projet pour lequel vous souhaitez créer des tags. Saisissez les paires clé/valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
7. Pour une règle de sortie, spécifiez le filtre de destination :
  - Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
  - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle destination IPv6.
8. Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.
9. Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
10. Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
11. Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Threat Intelligence, consultez la page Threat Intelligence pour les règles de stratégie de pare-feu.
12. Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
  - Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
  - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez ::/0 pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.
13. Facultatif: pour une règle Sortie, spécifiez le filtre Source:
  - Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
  - Pour filtrer le trafic sortant par plage IPv6 source, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.
14. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
15. Cliquez sur Créer.
Cliquez sur Ajouter une règle pour ajouter une règle.
Pour associer la règle à un réseau, cliquez sur Continuer > Associer la règle à des réseaux VPC ou sur Créer pour créer la règle.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --global-firewall-policy

Remplacez les éléments suivants :

PRIORITY : ordre d'évaluation numérique de la règle.

Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
ACTION : l'une des actions suivantes :
- allow : autorise les connexions correspondant à la règle.
- deny : refuse les connexions correspondant à la règle.
- apply_security_profile_group : envoie de manière transparente les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.
- goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
POLICY_NAME : nom de la stratégie de pare-feu de réseau mondial
SECURITY_PROFILE_GROUP : nom d'un groupe de profils de sécurité utilisé pour l'inspection de couche 7. Ne spécifiez ce paramètre que lorsque l'action apply_security_profile_group est sélectionnée.
--tls-inspect : inspecte le trafic TLS à l'aide de la règle d'inspection TLS lorsque l'action apply_security_profile_group est sélectionnée dans la règle. Par défaut, l'inspection TLS est désactivée, ou vous pouvez spécifier --no-tls-inspect
TARGET_SECURE_TAG : liste de tags sécurisés séparés par une virgule permettant de définir des cibles
SERVICE_ACCOUNT: liste de comptes de service séparés par une virgule pour définir des cibles
DIRECTION : indique si la règle est une règle ingress ou egress (la valeur par défaut est ingress).
- Incluez --src-ip-ranges pour spécifier les plages d'adresses IP de la source du trafic.
- Incluez --dest-ip-ranges pour spécifier les plages d'adresses IP pour la destination du trafic.
Pour en savoir plus, consultez les sections cibles, source et destination.
IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule (soit des plages d'adresses IPv4 uniquement soit des plages d'adresses IPv6 uniquement,). Exemples :
--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG : liste de tags séparés par une virgule
COUNTRY_CODE: liste de codes pays à deux lettres, séparés par une virgule
- Pour la direction entrante, spécifiez les codes de pays dans le paramètre --src-region-code. vous ne pouvez pas utiliser le paramètre --src-region-code pour la direction sortante.
- Pour la direction sortante, les codes de pays sont spécifiés dans le paramètre --dest-region-code. vous ne pouvez pas utiliser le paramètre --dest-region-code pour la direction entrante.
LIST_NAMES: liste de noms des listes Threat Intelligence, séparés par une virgule
- Pour la direction entrante, spécifiez les listes sources Threat Intelligence dans le paramètre --src-threat-intelligence. vous ne pouvez pas utiliser le paramètre --src-threat-intelligence pour la direction sortante.
- Pour la direction sortante, spécifiez les listes Threat Intelligence de destination dans le paramètre --dest-threat-intelligence. vous ne pouvez pas utiliser le paramètre --dest-threat-intelligence pour la direction entrante.
ADDR_GRP_URL : identifiant d'URL unique du groupe d'adresses
- Pour la direction entrante, spécifiez les groupes d'adresses sources dans le paramètre --src-address-groups. vous ne pouvez pas utiliser le paramètre --src-address-groups pour la direction sortante.
- Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre --dest-address-groups. vous ne pouvez pas utiliser le paramètre --dest-address-groups pour la direction entrante.
DOMAIN_NAME : liste de noms de domaines séparés par une virgule au format décrit dans la section Format des noms de domaine.
- Pour la direction entrante, spécifiez les noms de domaine sources dans le paramètre --src-fqdns. vous ne pouvez pas utiliser le paramètre --src-fqdns pour la direction sortante.
- Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre --dest-fqdns. vous ne pouvez pas utiliser le paramètre --dest-fqdns pour la direction entrante.
PROTOCOL_PORT: liste de noms ou de numéros de protocole séparés par une virgule (tcp,17), les protocoles et les ports de destination (tcp:80), ou les protocoles et plages de ports de destination (tcp:5000-6000)

Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

Pour en savoir plus, consultez la section Protocoles et ports.
--enable-logging et --no-enable-logging : activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.
--disabled : indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. Le fait d'ignorer cette option a pour effet d'activer la règle. Vous pouvez également spécifier --no-disabled.

Mettre à jour une règle

Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get
compute.firewallPolicies.update

Rôles

compute.securityAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs comme souhaité.
Cliquez sur Enregistrer.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Décrire une règle

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

compute.securityAdmin

compute.networkAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Remplacez les éléments suivants :

PRIORITY : priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.
POLICY_NAME : nom de la stratégie qui contient la règle.

Supprimer une règle d'une stratégie

Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.securityAdmin sur le projet hébergeant la stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Remplacez les éléments suivants :

PRIORITY : priorité de la règle que vous souhaitez supprimer de la stratégie.
POLICY_NAME : stratégie qui contient la règle.

Copier des règles d'une stratégie à une autre

Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.cloneRules

Rôles

compute.securityAdmin sur le projet ou sur les stratégies elles-mêmes

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie à partir de laquelle vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer > Associer la stratégie réseau à des ressources.
Cliquez sur Clone (Cloner).

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Remplacez les éléments suivants :

POLICY_NAME : stratégie cible sur laquelle vous souhaitez remplacer les règles par les règles clonées.
SOURCE_POLICY : URL de la ressource pour la stratégie source à partir de laquelle vous souhaitez cloner les règles.

Obtenir des règles de pare-feu efficaces pour un réseau

Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et la stratégie de pare-feu réseau au niveau mondial appliquée à un réseau VPC spécifié.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.networks.getEffectiveFirewalls sur le réseau

Rôles

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

Dans la console Google Cloud, accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Cliquez sur Stratégies de pare-feu.
Développez chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Remplacez les éléments suivants :

NETWORK_NAME : réseau pour lequel vous souhaitez afficher les règles en vigueur.

Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.listAssociations sur le réseau
(Facultatif) resourcemanager.folders.get et resourcemanager.organizations.get pour afficher les informations dans les colonnes Hérité de et Emplacement de, procédez comme suit :

Rôles

Pour afficher les règles de pare-feu, procédez comme suit :

compute.orgSecurityResourceAdmin
compute.viewer

(Facultatif) Pour afficher les informations dans les colonnes Hérité de et Emplacement de, procédez comme suit :

browser
resourcemanager.organizationAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.

Obtenir des règles de pare-feu efficaces pour une interface de VM

Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau au niveau mondial appliquées à une interface de VM Compute Engine spécifiée.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.instances.getEffectiveFirewalls sur le réseau

Rôles

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

Dans la console Google Cloud, accédez à la page Instances de VM.

Accéder à la page "Instances de VM"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur l'interface.
Affichez les règles de pare-feu efficaces sous Détails des pare-feu et des routes.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

Remplacez les éléments suivants :

INSTANCE_NAME : VM pour laquelle vous souhaitez afficher les règles en vigueur. Si aucune interface n'est spécifiée, la commande renvoie des règles pour l'interface principale (nic0).
INTERFACE : interface de VM pour laquelle vous souhaitez afficher les règles en vigueur. La valeur par défaut est nic0.
ZONE : zone de la VM. Cette ligne est facultative si la zone choisie est déjà définie comme valeur par défaut.