Utiliser des stratégies et des règles de pare-feu de réseau régionales

Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu réseau régionales.

Tâches liées aux stratégies de pare-feu

Créer une stratégie de pare-feu réseau régionales

Vous pouvez créer une règle pour tout réseau VPC au sein de votre projet. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quel réseau VPC de votre projet. Une fois associée, les règles de la stratégie deviennent actives pour les VM appartenant au réseau associé.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez votre projet au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Attribuez un nom à la stratégie.

  5. Pour le Champ d'application du déploiement, sélectionnez Régional. Sélectionnez la région dans laquelle vous souhaitez créer cette stratégie de pare-feu.

  6. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.

    Pour en savoir plus, consultez la section Créer des règles de pare-feu.

  7. Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux VPC.

    Pour en savoir plus, consultez la section Associer une stratégie à un réseau VPC.

  8. Cliquez sur Créer.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Remplacez les éléments suivants :

  • NETWORK_FIREWALL_POLICY_NAME : nom de la stratégie.
  • DESCRIPTION : description de la stratégie.
  • REGION_NAME : la région que vous souhaitez appliquer à la stratégie.

Associer une stratégie au réseau

Associez une stratégie à un réseau pour activer les règles de la stratégie pour toutes les VM de ce réseau.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Cliquez sur Ajouter des associations.

  6. Sélectionnez les réseaux dans le projet.

  7. Cliquez sur Associer.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME \
    [ --replace-association-on-target true ]

Remplacez les éléments suivants :

  • POLICY_NAME : le nom court ou le nom généré par le système de la stratégie
  • NETWORK_NAME : nom de votre réseau.
  • ASSOCIATION_NAME: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur network-NETWORK_NAME.
  • REGION_NAME : une région pour appliquer la stratégie

Décrire une stratégie de pare-feu réseau régionale

Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs figurent dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans une limite définie par stratégie.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.

  3. Cliquez sur la stratégie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Mettre à jour la description d'une stratégie de pare-feu réseau régionale

Seul le champ Description peut être mis à jour pour la stratégie.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.

  3. Cliquez sur la stratégie.

  4. Cliquez sur Modifier.

  5. Modifiez la description.

  6. Cliquez sur Enregistrer.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Répertorier les stratégies de pare-feu réseau régionales

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

    La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Supprimer une stratégie de pare-feu réseau régionale

Vous devez supprimer toutes les associations d'une stratégie de pare-feu réseau avant de pouvoir la supprimer.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur la stratégie que vous souhaitez supprimer.

  4. Cliquez sur l'onglet Associations.

  5. Sélectionnez toutes les associations.

  6. Cliquez sur Supprimer les associations.

  7. Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

  1. Répertoriez tous les réseaux associés à une stratégie de pare-feu :

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --region=REGION_NAME
    
  2. Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle compute.SecurityAdmin sur le réseau VPC associé.

    gcloud compute network-firewall-policies associations delete \
        --network-firewall-policy POLICY_NAME \
        --firewall-policy-region=REGION_NAME
    
  3. Supprimez la stratégie :

    gcloud compute network-firewall-policies delete POLICY_NAME \
        --region=REGION_NAME
    

Supprimer une association

Pour arrêter l'application d'une stratégie de pare-feu sur un réseau, supprimez l'association.

Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, il n'est pas nécessaire de supprimer d'abord l'association existante, car il y aurait alors une période pendant laquelle aucune stratégie n'est appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Sélectionnez l'association que vous souhaitez supprimer.

  6. Cliquez sur Supprimer les associations.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Tâches liées aux règles des stratégies de pare-feu

Créer des règles de pare-feu réseau

Les règles des stratégies de pare-feu réseau doivent être créées dans une stratégie de pare-feu réseau régionale. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un réseau VPC.

Chaque règle de stratégie de pare-feu réseau peut inclure des plages IPv4 ou IPv6, mais pas les deux.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur le nom de votre règle régionale.

  4. Pour Règles de pare-feu, cliquez sur Créer.

  5. Renseignez les champs de la règle :

    1. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
    2. Définissez la collecte de journaux sur Activée ou Désactivée.
    3. Sélectionnez Entrée ou Sortie pour l'option Direction du trafic.
    4. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).
    5. Spécifiez les cibles de la règle.
      • Si vous souhaitez que la règle s'applique à toutes les instances du réseau, sélectionnez Toutes les instances du réseau.
      • Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction de tags, sélectionnez Tags sécurisés. Cliquez sur SÉLECTIONNER LE CHAMP D'APPLICATION et sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des paires clé/valeur de tag. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
      • Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction du compte de service associé, sélectionnez Compte de service, et indiquez si le compte de service se trouve dans le projet en cours ou dans un autre projet dans Champ d'application du compte de service. Choisissez ou saisissez ensuite le nom du compte de service dans le champ Compte de service cible.
    6. Pour une règle d'entrée, spécifiez le filtre source :
      • Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
      • Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle source IPv6.
      • Pour limiter la source par tags, cliquez sur SÉLECTIONNER LE CHAMP D'APPLICATION dans la section Tags. Sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags. Saisissez les paires clé/valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
    7. Pour une règle de sortie, spécifiez le filtre de destination :
      • Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
      • Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle destination IPv6.
    8. Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.
    9. Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
    10. Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
    11. Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Google Threat Intelligence, consultez la page Google Threat Intelligence pour les règles de stratégie de pare-feu.
    12. Facultatif: pour une règle Ingress, spécifiez les filtres Destination:

      • Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
      • Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez ::/0 pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.
    13. Facultatif: pour une règle Sortie, spécifiez le filtre Source:

      • Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
      • Pour filtrer le trafic sortant par plage IPv6 source, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.
    14. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.

    15. Cliquez sur Créer.

  6. Cliquez sur Ajouter une règle pour ajouter une règle. Cliquez sur Continuer > Associer la règle à des réseaux VPC pour associer la règle à un réseau, ou sur Créer pour créer la stratégie.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ 
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --firewall-policy-region=REGION_NAME

Remplacez les éléments suivants :

  • PRIORITY : ordre d'évaluation numérique de la règle.

    Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).

  • ACTION : l'une des actions suivantes :

    • allow : autorise les connexions correspondant à la règle.
    • deny : refuse les connexions correspondant à la règle.
    • goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
  • POLICY_NAME : nom de la stratégie de pare-feu de réseau

  • PROTOCOL_PORT: liste de noms ou de numéros de protocole séparés par une virgule (tcp,17), les protocoles et les ports de destination (tcp:80), ou les protocoles et plages de ports de destination (tcp:5000-6000)

    Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple 
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Pour en savoir plus, consultez la section Protocoles et ports.

  • TARGET_SECURE_TAG : liste de tags sécurisés séparés par une virgule permettant de définir des cibles

  • SERVICE_ACCOUNT: liste de comptes de service séparés par une virgule pour définir des cibles

  • DIRECTION : indique si la règle est une règle ingress ou egress (la valeur par défaut est ingress).

    • Incluez --src-ip-ranges pour spécifier les plages d'adresses IP de la source du trafic.
    • Incluez --dest-ip-ranges pour spécifier les plages d'adresses IP pour la destination du trafic.

    Pour en savoir plus, consultez les sections cibles, source et destination.

  • SRC_NETWORK_SCOPE: indique la portée du trafic réseau source auquel la règle d'entrée s'applique. Vous pouvez définir cet argument sur l'une des valeurs suivantes:

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    Pour effacer la valeur de cet argument, utilisez une chaîne vide. Une valeur vide indique toutes les portées réseau. Pour en savoir plus, consultez Comprendre les types de portée réseau.

  • SRC_VPC_NETWORK: liste de réseaux VPC séparés par une virgule

    Vous ne pouvez utiliser --src-networks que lorsque --src-network-scope est défini sur VPC_NETWORKS.

  • DEST_NETWORK_SCOPE: indique la portée du trafic réseau de destination auquel la règle de sortie s'applique. Vous pouvez définir cet argument sur l'une des valeurs suivantes:

    • INTERNET
    • NON_INTERNET

    Pour effacer la valeur de cet argument, utilisez une chaîne vide. Une valeur vide indique toutes les portées réseau. Pour en savoir plus, consultez Comprendre les types de portée réseau.

  • IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule (plages IPv4 ou IPv6, mais pas les deux simultanément). Exemples :
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: liste de tags séparés par une virgule.

    Vous ne pouvez pas utiliser de tags sécurisés sources si la portée du réseau est définie sur INTERNET.

  • COUNTRY_CODE: liste de codes pays à deux lettres, séparés par une virgule

    • Pour la direction entrante, spécifiez les codes pays de la source dans l'indicateur --src-region-code. Vous ne pouvez pas utiliser l'option --src-region-code pour la direction de sortie ni lorsque --src-network-scope est défini sur NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Pour la direction sortante, spécifiez les codes pays de destination dans l'indicateur --dest-region-code. Vous ne pouvez pas utiliser l'option --dest-region-code pour la direction d'entrée ni lorsque --dest-network-scope est défini sur NON_INTERNET.
  • LIST_NAMES: noms des listes Google Threat Intelligence, séparés par une virgule

    • Pour la direction entrante, spécifiez les listes Google Threat Intelligence sources dans l'indicateur --src-threat-intelligence. Vous ne pouvez pas utiliser l'option --src-threat-intelligence pour la direction de sortie ni lorsque --src-network-scope est défini sur NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
    • Pour la direction sortante, spécifiez les listes Google Threat Intelligence de destination dans l'indicateur --dest-threat-intelligence. Vous ne pouvez pas utiliser l'option --dest-threat-intelligence pour la direction d'entrée ni lorsque --dest-network-scope est défini sur NON_INTERNET.
  • ADDR_GRP_URL : identifiant d'URL unique du groupe d'adresses

    • Pour la direction entrante, spécifiez les groupes d'adresses sources dans l'indicateur --src-address-groups. vous ne pouvez pas utiliser l'indicateur --src-address-groups pour la direction sortante.
    • Pour la direction sortante, spécifiez les groupes d'adresses de destination dans l'indicateur --dest-address-groups. vous ne pouvez pas utiliser l'indicateur --dest-address-groups pour la direction entrante.
  • DOMAIN_NAME : liste de noms de domaines séparés par une virgule au format décrit dans la section Format des noms de domaine.

    • Pour la direction entrante, spécifiez les noms de domaine sources dans l'indicateur --src-fqdns. vous ne pouvez pas utiliser l'indicateur --src-fqdns pour la direction sortante.
    • Pour la direction sortante, spécifiez les groupes d'adresses de destination dans l'indicateur --dest-fqdns. vous ne pouvez pas utiliser l'indicateur --dest-fqdns pour la direction entrante.
  • --enable-logging et --no-enable-logging : activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.

  • --disabled : indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. Le fait d'ignorer cette option a pour effet d'activer la règle. Vous pouvez également spécifier --no-disabled.

  • REGION_NAME : une région pour appliquer la stratégie

Mettre à jour une règle

Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur la priorité de la règle.

  5. Cliquez sur Modifier.

  6. Modifiez les champs comme souhaité.

  7. Cliquez sur Enregistrer.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Décrire une règle

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur la priorité de la règle.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.
  • POLICY_NAME : nom de la stratégie qui contient la règle.
  • REGION_NAME : une région pour appliquer la stratégie.

Supprimer une règle d'une stratégie

Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Sélectionnez la règle que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Remplacez l'élément suivant :

  • PRIORITY : priorité de la règle que vous souhaitez supprimer de la stratégie.
  • POLICY_NAME : stratégie qui contient la règle.
  • REGION_NAME : une région pour appliquer la stratégie

Copier des règles d'une stratégie à une autre

Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.

  3. Cliquez sur la stratégie dont vous souhaitez copier les règles.

  4. Cliquez sur Cloner en haut de l'écran.

  5. Indiquez le nom d'une stratégie cible.

  6. Cliquez sur Continuer > Associer la stratégie de réseau à des ressources si vous souhaitez associer la nouvelle stratégie immédiatement.

  7. Cliquez sur Clone (Cloner).

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Remplacez l'élément suivant :

  • POLICY_NAME : stratégie destinée à recevoir les règles copiées.
  • SOURCE_POLICY : stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).
  • REGION_NAME : une région pour appliquer la stratégie

Obtenir des stratégies de pare-feu réseau régionales efficaces

Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et la stratégie de pare-feu réseau appliquée à une région spécifiée.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Remplacez les éléments suivants :

  • REGION_NAME : région pour laquelle vous souhaitez afficher les règles en vigueur.
  • NETWORK_NAME : réseau pour lequel vous souhaitez afficher les règles en vigueur.