Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Stratégies de pare-feu hiérarchiques. Pour consulter des exemples d'implémentations de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.
Limites
- Les règles de pare-feu hiérarchiques ne sont pas compatibles avec les tags sources ni avec les comptes de service sources.
- Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau VPC cible ou un compte de service cible.
- Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
- Une seule stratégie de pare-feu peut être associée à une ressource (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de ressources complète au-dessus de la VM.
- La journalisation des règles de pare-feu est compatible avec les règles
allow
etdeny
, mais pas avec les règlesgoto_next
. - Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.
Tâches liées aux stratégies de pare-feu
Créer des règles de pare-feu
Vous pouvez créer une stratégie sur n'importe quelle ressource (organisation ou dossier) de votre hiérarchie. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quelle ressource de votre organisation. Une fois associée, les règles de la stratégie deviennent actives pour les VM situées sous la ressource associée dans la hiérarchie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Attribuez un nom à la stratégie.
Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer > Ajouter une règle.
Pour en savoir plus, consultez la section Créer des règles de pare-feu.
Si vous souhaitez associer la stratégie à une ressource, cliquez sur Continuer > Associer la stratégie à des ressources.
Pour en savoir plus, consultez la section Associer une stratégie à l'organisation ou à un dossier.
Cliquez sur Créer.
gcloud
gcloud compute firewall-policies create \ [--organization ORG_ID] | --folder FOLDER_ID] \ --short-name SHORT_NAME
Remplacez l'élément suivant :
ORG_ID
: ID de votre organisation.
Spécifiez cet ID si vous créez la stratégie au niveau de l'organisation. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie à la ressource de l'organisation.FOLDER_ID
: ID d'un dossier.
Spécifiez cet ID si vous créez la stratégie dans un dossier donné. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au dossier.SHORT_NAME
: nom de la stratégie
Une stratégie créée en utilisant Google Cloud CLI possède deux noms : un nom généré par le système et un nom court que vous spécifiez. Lorsque vous mettez à jour une stratégie existante en utilisant Google Cloud CLI, vous pouvez indiquer le nom généré par le système ou utiliser le nom court accompagné de l'ID d'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.
Créer des règles de pare-feu
Les règles des stratégies de pare-feu hiérarchiques doivent être créées dans une stratégie de pare-feu hiérarchique. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à une ressource.
Chaque règle de stratégie de pare-feu hiérarchique peut inclure des plages IPv4 ou IPv6, mais pas les deux.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur le nom de votre stratégie.
Cliquez sur Ajouter une règle.
Renseignez les champs de la règle :
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100
,200
,300
). - Définissez la collecte de journaux sur Activée ou Désactivée.
- Sous Sens du trafic, indiquez si cette règle est une règle d'entrée ou de sortie.
Pour Action en cas de correspondance, choisissez l'une des options suivantes :
- Autoriser : autorise les connexions correspondant à la règle.
- Refuser : refuse les connexions correspondant à la règle.
- Passer à la suivante : l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante dans la hiérarchie.
- Procéder à l'inspection L7 : envoie les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.
- Dans la liste Groupe de profils de sécurité, sélectionnez le nom d'un groupe de profils de sécurité.
- Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
Pour en savoir plus sur la manière dont les règles et les actions correspondantes sont évaluées pour chaque interface réseau de la VM, consultez la section Ordre d'évaluation des stratégies et des règles.
Facultatif : vous pouvez limiter la règle à certains réseaux en les spécifiant dans le champ Réseau cible. Cliquez sur AJOUTER UN RÉSEAU, puis sélectionnez le projet et le réseau. Vous pouvez ajouter plusieurs réseaux cibles à une règle.
Facultatif : vous pouvez limiter la règle aux VM en cours d'exécution qui ont accès à certains comptes de service en spécifiant ces comptes dans le champ Comptes de service cibles.
Pour une règle d'entrée, spécifiez le filtre source :
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle source IPv6.
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
Pour une règle de sortie, spécifiez le filtre de destination :
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle destination IPv6.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.
Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Google Threat Intelligence, consultez la page Google Threat Intelligence pour les règles de stratégie de pare-feu.
Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez
0.0.0.0/0
pour n'importe quelle destination IPv4. - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez
::/0
pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez
Facultatif: pour une règle Sortie, spécifiez le filtre Source:
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle source IPv4. - Pour filtrer le trafic sortant par plage IPv6 source, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
Pour spécifier le protocole ICMP IPv4, utilisez
icmp
ou le numéro de protocole1
. Pour spécifier le protocole ICMP IPv6, utilisez le numéro de protocole58
. Pour en savoir plus sur les protocoles, consultez la page Protocoles et ports.Cliquez sur Créer.
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
Cliquez sur Ajouter une règle pour ajouter une règle.
Cliquez sur Continuer > Associer la règle aux ressources pour associer la règle aux ressources, ou sur Créer pour créer la règle.
gcloud
gcloud compute firewall-policies rules create PRIORITY \ [--organization ORG_ID] \ --firewall-policy POLICY_NAME \ [--direction DIRECTION] \ [--src-network-scope SRC_NETWORK_SCOPE] \ [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \ [--dest-network-scope DEST_NETWORK_SCOPE] \ [--src-ip-ranges IP_RANGES] \ [--dest-ip-ranges IP_RANGES ] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] --action ACTION \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no--tls-inspect] \ [--layer4-configs PROTOCOL_PORT] \ [--target-resources NETWORKS] \ [--target-service-accounts SERVICE_ACCOUNTS] \ [--enable-logging | --no-enable-logging] \ [--disabled]
Remplacez les éléments suivants :
PRIORITY
: ordre d'évaluation numérique de la règle.Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100
,200
,300
).ORG_ID
: ID de votre organisation.POLICY_NAME
: le nom court ou le nom généré par le système de la stratégieDIRECTION
: indique si la règle est une règleINGRESS
(par défaut) ouEGRESS
.- Incluez
--src-ip-ranges
pour spécifier les plages d'adresses IP de la source du trafic. - Incluez
--dest-ip-ranges
pour spécifier les plages d'adresses IP pour la destination du trafic.
Pour en savoir plus, consultez les sections cibles, source et destination.
- Incluez
SRC_NETWORK_SCOPE
: indique la portée du trafic réseau source auquel la règle d'entrée s'applique. Vous pouvez définir cet argument sur l'une des valeurs suivantes:INTERNET
NON_INTERNET
VPC_NETWORKS
INTRA_VPC
Pour effacer la valeur de cet argument, utilisez une chaîne vide. Une valeur vide indique toutes les portées réseau. Pour en savoir plus, consultez Comprendre les types de portée réseau.
SRC_VPC_NETWORK
: liste de réseaux VPC séparés par une virguleVous ne pouvez utiliser
--src-networks
que lorsque--src-network-scope
est défini surVPC_NETWORKS
.DEST_NETWORK_SCOPE
: indique la portée du trafic réseau de destination auquel la règle de sortie s'applique. Vous pouvez définir cet argument sur l'une des valeurs suivantes:INTERNET
NON_INTERNET
Pour effacer la valeur de cet argument, utilisez une chaîne vide. Une valeur vide indique toutes les portées réseau.
Pour en savoir plus, consultez Comprendre les types de portée réseau.
IP_RANGES
: liste de plages d'adresses IP au format CIDR séparées par une virgule (plages IPv4 ou IPv6, mais pas les deux simultanément). Exemples :--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE
: liste de codes pays à deux lettres, séparés par une virgule- Pour la direction entrante, spécifiez les codes pays de la source dans l'indicateur
--src-region-code
. Vous ne pouvez pas utiliser l'option--src-region-code
pour la direction de sortie ni lorsque--src-network-scope
est défini surNON_INTERNET
,VPC_NETWORK
ouINTRA_VPC
. - Pour la direction sortante, spécifiez les codes pays de destination dans l'indicateur
--dest-region-code
. Vous ne pouvez pas utiliser l'option--dest-region-code
pour la direction d'entrée ni lorsque--dest-network-scope
est défini surNON_INTERNET
.
- Pour la direction entrante, spécifiez les codes pays de la source dans l'indicateur
LIST_NAMES
: liste de noms des listes Google Threat Intelligence, séparés par une virgule- Pour la direction entrante, spécifiez les listes Google Threat Intelligence sources dans l'indicateur
--src-threat-intelligence
. Vous ne pouvez pas utiliser l'option--src-threat-intelligence
pour la direction de sortie ni lorsque--src-network-scope
est défini surNON_INTERNET
,VPC_NETWORK
ouINTRA_VPC
. - Pour la direction sortante, spécifiez les listes Google Threat Intelligence de destination dans l'indicateur
--dest-threat-intelligence
. Vous ne pouvez pas utiliser l'option--dest-threat-intelligence
pour la direction d'entrée ni lorsque--dest-network-scope
est défini surNON_INTERNET
.
- Pour la direction entrante, spécifiez les listes Google Threat Intelligence sources dans l'indicateur
ADDR_GRP_URL
: identifiant d'URL unique du groupe d'adresses- Pour la direction entrante, spécifiez les groupes d'adresses sources dans l'indicateur
--src-address-groups
. vous ne pouvez pas utiliser l'indicateur--src-address-groups
pour la direction sortante. - Pour la direction sortante, spécifiez les groupes d'adresses de destination dans l'indicateur
--dest-address-groups
. vous ne pouvez pas utiliser l'indicateur--dest-address-groups
pour la direction entrante.
- Pour la direction entrante, spécifiez les groupes d'adresses sources dans l'indicateur
DOMAIN_NAME
: liste de noms de domaines séparés par une virgule au format décrit dans la section Format des noms de domaine.- Pour la direction entrante, spécifiez les noms de domaine sources dans l'indicateur
--src-fqdns
. vous ne pouvez pas utiliser l'indicateur--src-fqdns
pour la direction sortante. - Pour la direction sortante, spécifiez les groupes d'adresses de destination dans l'indicateur
--dest-fqdns
. vous ne pouvez pas utiliser l'indicateur--dest-fqdns
pour la direction entrante.
- Pour la direction entrante, spécifiez les noms de domaine sources dans l'indicateur
ACTION
: l'une des actions suivantes :allow
: autorise les connexions correspondant à la règle.deny
: refuse les connexions correspondant à la règle.apply_security_profile_group
: envoie de manière transparente les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.goto_next
: transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
Pour en savoir plus sur la manière dont les règles et les actions correspondantes sont évaluées pour chaque interface réseau de la VM, consultez la section Ordre d'évaluation des stratégies et des règles.
SECURITY_PROFILE_GROUP
: nom d'un groupe de profils de sécurité utilisé pour l'inspection de couche 7. Ne spécifiez cet argument que lorsque l'actionapply_security_profile_group
est sélectionnée.--tls-inspect
: inspecte le trafic TLS à l'aide de la règle d'inspection TLS lorsque l'actionapply_security_profile_group
est sélectionnée dans la règle. Par défaut, l'inspection TLS est désactivée, ou vous pouvez spécifier--no-tls-inspect
PROTOCOL_PORT
: liste de noms ou de numéros de protocole séparés par une virgule (tcp,17
), les protocoles et les ports de destination (tcp:80
), ou les protocoles et plages de ports de destination (tcp:5000-6000
)Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
.Pour spécifier le protocole ICMP IPv4, utilisez
icmp
ou le numéro de protocole1
. Pour spécifier ICMP IPv6, utilisez le numéro de protocole58
. Pour en savoir plus, consultez la section Protocoles et ports.NETWORKS
: liste d'URL de ressources réseau VPC séparées par des virgules au formathttps://www.googleapis.com/compute/v1/projects/
PROJECT_ID/global/networks/
NETWORK_NAME, où PROJECT_ID correspond à l'ID du projet qui contient le réseau VPC, et NETWORK_NAME est le nom du réseau. En cas d'omission, la règle s'applique à tous les réseaux VPC de la ressource.Pour plus d'informations, consultez la section Cibles pour les règles de stratégie de pare-feu hiérarchique.
SERVICE_ACCOUNTS
: liste de comptes de service séparés par une virgule. La règle n'est appliquée qu'aux VM en cours d'exécution qui ont accès au compte de service spécifié.Pour plus d'informations, consultez la section Cibles pour les règles de stratégie de pare-feu hiérarchique.
--enable-logging
et--no-enable-logging
: activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.--disabled
: indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. Le fait d'ignorer cette option a pour effet d'activer la règle. Vous pouvez également spécifier--no-disabled
.
Associer une stratégie à l'organisation ou au dossier
Associez une stratégie à une ressource pour activer les règles de la stratégie pour toutes les VM situées sous la ressource de la hiérarchie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.
Cliquez sur Ajouter.
gcloud
gcloud compute firewall-policies associations create \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [ --folder FOLDER_ID ] \ [ --name ASSOCIATION_NAME ] \ [ --replace-association-on-target ]
Remplacez les éléments suivants :
POLICY_NAME
: le nom court ou le nom généré par le système de la stratégieORG_ID
: ID de votre organisation.FOLDER_ID
: si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.ASSOCIATION_NAME
: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisationORG_ID
" ou "dossierFOLDER_ID
".--replace-association-on-target
Par défaut, si vous essayez d'insérer une association à une organisation ou un dossier déjà associé, la méthode échoue. Si vous spécifiez cette option, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que la ressource se retrouve sans stratégie pendant la transition.
Déplacer une stratégie d'une ressource à une autre
Le déplacement d'une stratégie a pour effet de modifier la ressource propriétaire de la stratégie. Pour déplacer une stratégie, vous devez disposer des autorisations move
sur l'ancienne et la nouvelle ressource.
Le déplacement d'une stratégie n'a aucune incidence sur les associations de stratégies existantes ou sur l'évaluation des règles existantes, mais il peut affecter les utilisateurs autorisés à modifier ou à associer la stratégie après le déplacement.
Console
Utilisez Google Cloud CLI pour cette procédure.
gcloud
gcloud compute firewall-policies move POLICY_NAME \ --organization ORG_ID \ [--folder FOLDER_ID]
Remplacez les éléments suivants :
POLICY_NAME
: nom court ou nom généré par le système de la stratégie que vous déplacez.ORG_ID
: ID de votre organisation. Spécifiez cet ID seulement si vous déplacez la stratégie vers l'organisation (ne spécifiez pas de dossier).FOLDER_ID
: si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.
Mettre à jour la description d'une stratégie
Seul le champ Description peut être mis à jour pour la stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Modifiez la description.
Cliquez sur Enregistrer.
gcloud
gcloud compute firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --organization ORG_ID
Règles de liste
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Pour une organisation, la section Stratégies de pare-feu associées à cette organisation affiche les stratégies associées. La section Stratégies de pare-feu situées dans cette organisation répertorie les stratégies appartenant à l'organisation.
Pour un dossier, la section Stratégies de pare-feu associées à ce dossier ou dont ce dossier a hérité affiche les stratégies associées ou dont le dossier a hérité. La section Stratégies de pare-feu situées dans ce dossier répertorie les stratégies appartenant au dossier.
gcloud
gcloud compute firewall-policies list \ [--organization ORG_ID | --folder FOLDER_ID]
Décrire une stratégie
Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs figurent dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans une limite définie par stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Supprimer une stratégie
Vous devez supprimer toutes les associations d'une stratégie de pare-feu d'organisation avant de pouvoir la supprimer.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Répertoriez toutes les ressources associées à une stratégie de pare-feu :
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID
Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle
compute.orgSecurityResourceAdmin
sur la ressource associée ou sur l'ancêtre de cette ressource.gcloud compute firewall-policies associations delete RESOURCE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Supprimez la stratégie :
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
Répertorier les associations pour une ressource
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Pour la ressource sélectionnée (organisation ou dossier), la liste des règles associées et héritées s'affiche.
gcloud
gcloud compute firewall-policies associations list \ [--organization ORG_ID | --folder FOLDER_ID]
Répertorier les associations pour une stratégie
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Les associations sont répertoriées dans le tableau.
gcloud
gcloud compute firewall-policies describe POLICY_ID
Supprimer une association
Pour arrêter l'application d'une stratégie de pare-feu sur l'organisation ou un dossier, supprimez l'association.
Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, il n'est pas nécessaire de supprimer d'abord l'association existante, car il y aurait alors une période pendant laquelle aucune stratégie n'est appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer les associations.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID
Tâches liées aux règles des stratégies de pare-feu
Créer une règle dans une stratégie de pare-feu existante
Consultez la section Créer des règles de pare-feu.
Répertorier toutes les règles d'une stratégie
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie. Les règles sont répertoriées dans l'onglet Règles de pare-feu.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \ --organization ORG_ID
Décrire une règle
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Remplacez les éléments suivants :
PRIORITY
: priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.ORG_ID
: ID de votre organisation.POLICY_NAME
: le nom court ou le nom généré par le système de la stratégie contenant la règle
Mettre à jour une règle
Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs comme souhaité.
Cliquez sur Enregistrer.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \ --firewall-policy POLICY_NAME \ --organization ORG_ID \ [...fields you want to modify...]
Copier des règles d'une stratégie à une autre
Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie dont vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Cliquez sur Continuer > Associer la stratégie à des ressources si vous souhaitez associer la nouvelle stratégie immédiatement.
Cliquez sur Clone (Cloner).
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \ --organization ORG_ID \ --source-firewall-policy SOURCE_POLICY
Remplacez l'élément suivant :
POLICY_NAME
: stratégie destinée à recevoir les règles copiées.ORG_ID
: ID de votre organisation.SOURCE_POLICY
: stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).
Supprimer une règle d'une stratégie
Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \ --organization ORG_ID \ --firewall-policy POLICY_NAME
Remplacez l'élément suivant :
PRIORITY
: priorité de la règle que vous souhaitez supprimer de la stratégie.ORG_ID
: ID de votre organisation.POLICY_NAME
: stratégie qui contient la règle.
Obtenir des règles de pare-feu efficaces pour un réseau
Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles de stratégies de pare-feu réseau mondiales appliquées à un réseau VPC spécifié.
Console
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Cliquez sur Stratégies de pare-feu.
Développez chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Remplacez l'élément suivant :
NETWORK_NAME
: réseau pour lequel vous souhaitez obtenir des règles efficaces.
Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
Obtenir des règles de pare-feu efficaces pour une interface de VM
Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles de stratégies de pare-feu réseau mondiales appliquées à une interface de VM Compute Engine spécifiée.
Console
Dans la console Google Cloud, accédez à la page Instances de VM.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur l'interface.
Les règles de pare-feu efficaces apparaissent sous Détails des pare-feu et des routes.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE] \ [--zone ZONE]
Remplacez l'élément suivant :
INSTANCE_NAME
: VM pour laquelle vous souhaitez obtenir des règles efficaces. Si aucune interface n'est spécifiée, les règles correspondant à l'interface principale s'affichent (nic0
).INTERFACE
: interface de VM pour laquelle vous souhaitez obtenir des règles efficaces. La valeur par défaut estnic0
.ZONE
: zone de la VM. Cette option est facultative si la zone choisie est déjà définie comme valeur par défaut.
Dépannage
Cette section contient des explications sur les messages d'erreur que vous pouvez rencontrer.
FirewallPolicy may not specify a name. One will be provided.
Vous ne pouvez pas spécifier de nom de stratégie. Les "noms" de stratégies de pare-feu hiérarchique sont des ID numériques générés par Google Cloud lors de la création de la stratégie. Toutefois, vous pouvez spécifier un nom court plus convivial, qui agit comme un alias dans de nombreux contextes.
FirewallPolicy may not specify associations on creation.
Les associations ne peuvent être créées qu'après la création des stratégies de pare-feu hiérarchiques.
Can not move firewall policy to a different organization.
Les déplacements de stratégies de pare-feu hiérarchiques doivent rester au sein de la même organisation.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.
Si une ressource est déjà associée à une stratégie de pare-feu hiérarchique, l'opération de rattachement échoue sauf si l'option de remplacement des associations existantes est définie sur "true".
Cannot have rules with the same priorities.
Les priorités des règles doivent être uniques au sein d'une stratégie de pare-feu hiérarchique.
Direction must be specified on firewall policy rule.
Lorsque vous créez des règles des stratégies de pare-feu hiérarchiques en envoyant directement des requêtes REST, vous devez spécifier la direction de la règle. Lorsque vous utilisez la Google Cloud CLI et qu'aucune direction n'est spécifiée, la valeur par défaut est
INGRESS
.Can not specify enable_logging on a goto_next rule.
La journalisation du pare-feu n'est pas autorisée pour les règles ayant une action goto_next, car les actions goto_next sont utilisées pour représenter l'ordre d'évaluation des différentes stratégies de pare-feu. Elles ne sont pas des actions de terminal telles que ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.
L'indicateur
layer4Configs
de la règle de stratégie de pare-feu doit spécifier au moins un protocole ou un protocole et un port de destination.Pour en savoir plus sur la résolution des problèmes liés aux règles des stratégies de pare-feu, consultez la page Dépannage des règles de pare-feu VPC.