Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu réseau régionales.
Tâches liées aux stratégies de pare-feu
Créer une stratégie de pare-feu réseau régionales
Vous pouvez créer une règle pour tout réseau VPC au sein de votre projet. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quel réseau VPC de votre projet. Une fois associée, les règles de la stratégie deviennent actives pour les VM appartenant au réseau associé.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Attribuez un nom à la stratégie.
Pour le Champ d'application du déploiement, sélectionnez Régional. Sélectionnez la région dans laquelle vous souhaitez créer cette stratégie de pare-feu.
Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.
Pour en savoir plus, consultez la section Créer des règles de pare-feu.
Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux VPC.
Pour en savoir plus, consultez la section Associer une stratégie à un réseau VPC.
Cliquez sur Create (Créer).
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME --description DESCRIPTION \ --region=REGION_NAME
Remplacez les éléments suivants :
NETWORK_FIREWALL_POLICY_NAME
: nom de la stratégie.DESCRIPTION
: description de la stratégie.REGION_NAME
: la région que vous souhaitez appliquer à la stratégie.
Associer une stratégie au réseau
Associez une stratégie à un réseau pour activer les règles de la stratégie pour toutes les VM de ce réseau.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter des associations.
Sélectionnez les réseaux dans le projet.
Cliquez sur Associer.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ --name ASSOCIATION_NAME \ --firewall-policy-region=REGION_NAME [ --replace-association-on-target true ]
Remplacez les éléments suivants :
POLICY_NAME
: le nom court ou le nom généré par le système de la stratégieNETWORK_NAME
: nom de votre réseau.ASSOCIATION_NAME
: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisationORG_ID
" ou "dossierFOLDER_ID
".REGION_NAME
: une région pour appliquer la stratégie
Décrire une stratégie de pare-feu réseau régionale
Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs figurent dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans une limite définie par stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.
Cliquez sur la stratégie.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Mettre à jour la description d'une stratégie de pare-feu réseau régionale
Seul le champ Description peut être mis à jour pour la stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Modifiez la description.
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --region=REGION_NAME
Répertorier les stratégies de pare-feu réseau régionales
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.
gcloud
gcloud compute network-firewall-policies list --regions=LIST_OF_REGIONS
Supprimer une stratégie de pare-feu réseau régionale
Vous devez supprimer toutes les associations d'une stratégie de pare-feu réseau avant de pouvoir la supprimer.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Répertoriez tous les réseaux associés à une stratégie de pare-feu :
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME
Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle
compute.SecurityAdmin
sur le réseau VPC associé.gcloud compute network-firewall-policies associations delete \ --network-firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Supprimez la stratégie :
gcloud compute network-firewall-policies delete POLICY_NAME \ --region=REGION_NAME
Supprimer une association
Pour arrêter l'application d'une stratégie de pare-feu sur un réseau, supprimez l'association.
Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, il n'est pas nécessaire de supprimer d'abord l'association existante, car il y aurait alors une période pendant laquelle aucune stratégie n'est appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer les associations.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --firewall-policy-region REGION_NAME
Tâches liées aux règles des stratégies de pare-feu
Créer des règles de pare-feu réseau
Les règles des stratégies de pare-feu réseau doivent être créées dans une stratégie de pare-feu réseau régionale. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un réseau VPC.
Chaque règle de stratégie de pare-feu réseau peut inclure des plages IPv4 ou IPv6, mais pas les deux.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur le nom de votre règle régionale.
Pour Règles de pare-feu, cliquez sur Créer.
Renseignez les champs de la règle :
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100
,200
,300
). - Définissez la collecte de journaux sur Activée ou Désactivée.
- Sélectionnez Entrée ou Sortie pour l'option Direction du trafic.
- Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).
- Spécifiez les cibles de la règle.
- Si vous souhaitez que la règle s'applique à toutes les instances du réseau, sélectionnez Toutes les instances du réseau.
- Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction de tags, sélectionnez Tags sécurisés. Cliquez sur SÉLECTIONNER LE CHAMP D'APPLICATION et sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des paires clé/valeur de tag. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
- Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction du compte de service associé, sélectionnez Compte de service, et indiquez si le compte de service se trouve dans le projet en cours ou dans un autre projet dans Champ d'application du compte de service. Choisissez ou saisissez ensuite le nom du compte de service dans le champ Compte de service cible.
- Pour une règle d'entrée, spécifiez le filtre source :
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle source IPv6. - Pour limiter la source par tags, cliquez sur SÉLECTIONNER LE CHAMP D'APPLICATION dans la section Tags. Sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags. Saisissez les paires clé/valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
- Pour une règle de sortie, spécifiez le filtre de destination :
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle destination IPv6.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
- Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.
- Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
- Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
- Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Threat Intelligence, consultez la page Threat Intelligence pour les règles de stratégie de pare-feu.
Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez
0.0.0.0/0
pour n'importe quelle destination IPv4. - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez
::/0
pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez
Facultatif: pour une règle Sortie, spécifiez le filtre Source:
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle source IPv4. - Pour filtrer le trafic sortant par plage IPv6 source, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
Cliquez sur Créer.
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
Cliquez sur Ajouter une règle pour ajouter une règle. Cliquez sur Continuer > Associer la règle à des réseaux VPC pour associer la règle à un réseau, ou sur Créer pour créer la stratégie.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--description DESCRIPTION ]\ [--layer4-configs PROTOCOL_PORT] \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION]\ [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--enable-logging | --no-enable-logging]\ [--disabled | --no-disabled]\ --firewall-policy-region=REGION_NAME
Remplacez les éléments suivants :
PRIORITY
: ordre d'évaluation numérique de la règle.Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100
,200
,300
).ACTION
: l'une des actions suivantes :allow
: autorise les connexions correspondant à la règle.deny
: refuse les connexions correspondant à la règle.goto_next
: transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
POLICY_NAME
: nom de la stratégie de pare-feu de réseauPROTOCOL_PORT
: liste de noms ou de numéros de protocole séparés par une virgule (tcp,17
), les protocoles et les ports de destination (tcp:80
), ou les protocoles et plages de ports de destination (tcp:5000-6000
)Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Pour en savoir plus, consultez la section Protocoles et ports.
TARGET_SECURE_TAG
: liste de tags sécurisés séparés par une virgule permettant de définir des ciblesSERVICE_ACCOUNT
: liste de comptes de service séparés par une virgule pour définir des ciblesDIRECTION
: indique si la règle est une règleingress
ouegress
(la valeur par défaut estingress
).- Incluez
--src-ip-ranges
pour spécifier les plages d'adresses IP de la source du trafic. - Incluez
--dest-ip-ranges
pour spécifier les plages d'adresses IP pour la destination du trafic.
Pour en savoir plus, consultez les sections cibles, source et destination.
- Incluez
IP_RANGES
: liste de plages d'adresses IP au format CIDR séparées par une virgule (plages IPv4 ou IPv6, mais pas les deux simultanément). Exemples :--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: liste de tags séparés par une virguleCOUNTRY_CODE
: liste de codes pays à deux lettres, séparés par une virgule- Pour la direction entrante, spécifiez les codes de pays dans le paramètre
--src-region-code
. vous ne pouvez pas utiliser le paramètre--src-region-code
pour la direction sortante. - Pour la direction sortante, spécifiez les codes pays de destination dans le paramètre
--dest-region-code
. Vous ne pouvez pas utiliser le paramètre--dest-region-code
pour la direction entrante.
- Pour la direction entrante, spécifiez les codes de pays dans le paramètre
LIST_NAMES
: noms des listes Threat Intelligence, séparés par une virgule- Pour la direction entrante, spécifiez les listes sources Threat Intelligence dans le paramètre
--src-threat-intelligence
. Vous ne pouvez pas utiliser le paramètre--src-threat-intelligence
pour la direction sortante. - Pour la direction sortante, spécifiez les listes Threat Intelligence de destination dans le paramètre
--dest-threat-intelligence
. Vous ne pouvez pas utiliser le paramètre--dest-threat-intelligence
pour la direction entrante.
- Pour la direction entrante, spécifiez les listes sources Threat Intelligence dans le paramètre
ADDR_GRP_URL
: identifiant d'URL unique du groupe d'adresses- Pour la direction entrante, spécifiez les groupes d'adresses sources dans le paramètre
--src-address-groups
. vous ne pouvez pas utiliser le paramètre--src-address-groups
pour la direction sortante. - Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre
--dest-address-groups
. vous ne pouvez pas utiliser le paramètre--dest-address-groups
pour la direction entrante.
- Pour la direction entrante, spécifiez les groupes d'adresses sources dans le paramètre
DOMAIN_NAME
: liste de noms de domaines séparés par une virgule au format décrit dans la section Format des noms de domaine.- Pour la direction entrante, spécifiez les noms de domaine sources dans le paramètre
--src-fqdns
. vous ne pouvez pas utiliser le paramètre--src-fqdns
pour la direction sortante. - Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre
--dest-fqdns
. vous ne pouvez pas utiliser le paramètre--dest-fqdns
pour la direction entrante.
- Pour la direction entrante, spécifiez les noms de domaine sources dans le paramètre
--enable-logging
et--no-enable-logging
: activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.--disabled
: indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. Le fait d'ignorer cette option a pour effet d'activer la règle. Vous pouvez également spécifier--no-disabled
.REGION_NAME
: une région pour appliquer la stratégie
Mettre à jour une règle
Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs comme souhaité.
Cliquez sur Save (Enregistrer).
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME \ [...fields you want to modify...]
Décrire une règle
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Remplacez les éléments suivants :
PRIORITY
: priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.POLICY_NAME
: nom de la stratégie qui contient la règle.REGION_NAME
: une région pour appliquer la stratégie.
Supprimer une règle d'une stratégie
Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAME
Remplacez l'élément suivant :
PRIORITY
: priorité de la règle que vous souhaitez supprimer de la stratégie.POLICY_NAME
: stratégie qui contient la règle.REGION_NAME
: une région pour appliquer la stratégie
Copier des règles d'une stratégie à une autre
Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie dont vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Cliquez sur Continuer > Associer la stratégie de réseau à des ressources si vous souhaitez associer la nouvelle stratégie immédiatement.
Cliquez sur Clone (Cloner).
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --region=REGION_NAME
Remplacez l'élément suivant :
POLICY_NAME
: stratégie destinée à recevoir les règles copiées.SOURCE_POLICY
: stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).REGION_NAME
: une région pour appliquer la stratégie
Obtenir des stratégies de pare-feu réseau régionales efficaces
Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et la stratégie de pare-feu réseau appliquée à une région spécifiée.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \ --region=REGION_NAME \ --network=NETWORK_NAME
Remplacez les éléments suivants :
REGION_NAME
: région pour laquelle vous souhaitez afficher les règles en vigueur.NETWORK_NAME
: réseau pour lequel vous souhaitez afficher les règles en vigueur.