Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu réseau au niveau mondial.
Tâches liées aux stratégies de pare-feu
Cette section explique comment créer et gérer des stratégies de pare-feu de réseau mondial.
Créer une stratégie de pare-feu de réseau au niveau mondial
Lorsque vous créez une stratégie de pare-feu réseau mondiale à l'aide de la console Google Cloud , vous pouvez associer la stratégie à un réseau cloud privé virtuel (VPC) lors de la création. Si vous créez la règle à l'aide de Google Cloud CLI, vous devez l'associer à un réseau après l'avoir créée.
Le réseau VPC auquel la stratégie de pare-feu réseau mondiale est associée doit se trouver dans le même projet que la stratégie de pare-feu réseau mondiale.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom de la règle, saisissez un nom pour la règle.
Pour le Champ d'application du déploiement, sélectionnez Mondial.
Pour créer des règles pour votre stratégie, cliquez sur Continuer.
Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu. Pour en savoir plus sur la création de règles de pare-feu, consultez les ressources suivantes :
Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer.
Dans la section Associer la stratégie à des réseaux, cliquez sur Associer.
Pour en savoir plus, consultez Associer une règle à un réseau.
Cliquez sur Créer.
gcloud
gcloud compute network-firewall-policies create NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--global
Remplacez les éléments suivants :
NETWORK_FIREWALL_POLICY_NAME: nom de la règleDESCRIPTION: description de la règle
Associer une stratégie à un réseau
Lorsque vous associez une stratégie de pare-feu à un réseau VPC, toutes les règles de la stratégie de pare-feu, à l'exception de celles qui sont désactivées, s'appliquent au réseau VPC.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez les réseaux dans le projet.
Cliquez sur Associer.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
Remplacez les éléments suivants :
POLICY_NAME: nom court ou nom généré par le système pour la stratégie.NETWORK_NAME: nom de votre réseau.ASSOCIATION_NAME: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini surnetwork-NETWORK_NAME.
Supprimer une association
Si vous devez modifier la stratégie de pare-feu réseau au niveau mondial associée à un réseau VPC, nous vous recommandons d'abord d'associer une nouvelle stratégie au lieu de supprimer une stratégie associée existante. Vous pouvez associer une nouvelle stratégie en une seule étape, ce qui permet de s'assurer qu'une stratégie de pare-feu réseau mondiale est toujours associée au réseau VPC.
Pour supprimer une association entre une stratégie de pare-feu réseau mondiale et un réseau VPC, suivez les étapes décrites dans cette section. Les règles de la stratégie de pare-feu réseau au niveau mondial ne s'appliquent pas aux nouvelles connexions une fois l'association supprimée.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer l'association.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
Décrire une stratégie de pare-feu de réseau au niveau mondial
Vous pouvez afficher des informations sur une stratégie de pare-feu de réseau au niveau mondial, y compris les règles de la stratégie et les attributs de règle associés. Tous ces attributs de règle sont comptabilisés dans le quota d'attributs de règle. Pour en savoir plus, consultez "Attributs de règle par stratégie de pare-feu réseau au niveau mondial" dans le tableau Par stratégie de pare-feu.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur la stratégie.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
Mettre à jour la description d'une stratégie de pare-feu réseau au niveau mondial
Seul le champ Description peut être mis à jour pour la stratégie.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Dans le champ Description, modifiez le texte.
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
Regrouper les stratégies de pare-feu de réseau au niveau mondial
Vous pouvez afficher la liste des règles disponibles dans votre projet.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.
gcloud
gcloud compute network-firewall-policies list --global
Supprimer une stratégie de pare-feu de réseau au niveau mondial
Avant de pouvoir supprimer une stratégie de pare-feu réseau au niveau mondial, vous devez supprimer toutes ses associations.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer l'association.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Exécutez la commande suivante pour supprimer la règle :
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
Tâches liées aux règles des stratégies de pare-feu
Cette section explique comment créer et gérer des règles de stratégie de pare-feu de réseau mondial.
Créer une règle d'entrée pour les cibles de VM
Cette section explique comment créer une règle d'entrée qui s'applique aux interfaces réseau des instances Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans la liste du sélecteur de projet, sélectionnez un projet contenant une stratégie de pare-feu réseau au niveau mondial.
Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom d'une stratégie de pare-feu de réseau au niveau mondial dans laquelle vous souhaitez créer une règle.
Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :
Priorité : ordre d'évaluation numérique de la règle.
Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.Description : vous pouvez éventuellement indiquer une description.
Sens du trafic : sélectionnez Entrée.
Action en cas de correspondance : sélectionnez l'une des options suivantes :
- Autoriser : pour autoriser les connexions correspondant aux paramètres de la règle.
- Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
- Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.
- Appliquer un groupe de profils de sécurité : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception en fonction de la finalité que vous sélectionnez.
- Pour envoyer des paquets à un point de terminaison de pare-feu Cloud NGFW, sélectionnez Cloud NGFW Enterprise, puis un groupe de profils de sécurité. Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
- Pour envoyer des paquets à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration en bande, sélectionnez NSI In-Band (NSI en bande), puis sélectionnez un groupe de profils de sécurité.
Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.
Cible : sélectionnez l'une des options suivantes :
- Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
-
Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez :
- Dans la section Champ d'application du compte de service, sélectionnez Dans ce projet > Compte de service cible. Cela permet de spécifier un compte de service dans le même projet que la stratégie de pare-feu réseau mondiale.
- Dans la section Champ d'application du compte de service, sélectionnez Dans un autre projet > Compte de service cible. Cela permet de spécifier un compte de service dans un projet de service VPC partagé.
- Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
Type de réseau source : spécifiez un type de réseau :
- Pour ne pas filtrer le trafic entrant par type de réseau, sélectionnez Tous les types de réseaux.
- Pour filtrer le trafic entrant vers un type de réseau spécifique, sélectionnez Type de réseau spécifique, puis choisissez un type de réseau :
- Internet : le trafic entrant doit correspondre au type de réseau Internet pour les paquets entrants.
- Hors Internet : le trafic entrant doit correspondre au type de réseau hors Internet pour les paquets entrants.
- Intra-VPC : le trafic entrant doit correspondre aux critères du type de réseau intra-VPC.
- Réseaux VPC : le trafic entrant doit correspondre au type de critère "Réseaux VPC".
Vous devez sélectionner au moins un réseau VPC :
- Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux VPC à partir du projet contenant la stratégie de pare-feu.
- Saisir manuellement le réseau : vous permet de saisir manuellement un projet et un réseau VPC.
- Sélectionner un projet : vous permet de sélectionner un projet à partir duquel vous pouvez sélectionner un réseau VPC.
Filtres sources : spécifiez des paramètres sources supplémentaires. Certains paramètres de source ne peuvent pas être utilisés ensemble. De plus, le type de réseau source que vous choisissez limite les paramètres de source que vous pouvez utiliser. Pour en savoir plus, consultez Sources pour les règles d'entrée et Combinaisons de sources pour les règles d'entrée.
- Pour filtrer le trafic entrant par plages IPv4 sources, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle source IPv6. - Pour filtrer le trafic entrant par valeurs de tag sécurisé source, sélectionnez Sélectionner le champ d'application des tags dans la section Tags sécurisés. Indiquez ensuite les clés et les valeurs de tag. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
- Pour filtrer le trafic entrant par nom de domaine complet source, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez Objets de nom de domaine complet.
- Pour filtrer le trafic entrant par géolocalisation source, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
- Pour filtrer le trafic entrant par groupe d'adresses sources, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
- Pour filtrer le trafic entrant par listes Google Threat Intelligence sources, sélectionnez une ou plusieurs listes Google Threat Intelligence dans le champ Google Cloud Threat Intelligence. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
- Pour filtrer le trafic entrant par plages IPv4 sources, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Destination : spécifiez les paramètres de destination facultatifs. Pour en savoir plus, consultez Destinations des règles d'entrée.
- Pour ignorer le filtrage du trafic entrant par adresse IP de destination, sélectionnez Aucun.
- Pour filtrer le trafic entrant par adresse IP de destination, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR au même format que celui utilisé pour les plages IPv4 ou IPv6 sources.
Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.
Application : indiquez si la règle de pare-feu est appliquée ou non :
- Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
- Désactivé : crée la règle, mais ne l'applique pas aux nouvelles connexions.
Cliquez sur Créer.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-type=SRC_NETWORK_TYPE] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu réseau mondiale dans laquelle vous souhaitez créer la règle.PROJECT_ID: ID du projet contenant la stratégie de pare-feu de réseau mondial.DESCRIPTION: description facultative de la nouvelle règle.-
ACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.goto_next: poursuit le processus d'évaluation des règles de pare-feu.
apply_security_profile_group: envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception.- Lorsque l'action est
apply_security_profile_group, vous devez inclure--security-profile-group SECURITY_PROFILE_GROUP, oùSECURITY_PROFILE_GROUPest le nom d'un groupe de profils de sécurité. - Le profil de sécurité du groupe de profils de sécurité peut faire référence à un point de terminaison de pare-feu Cloud NGFW ou à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration intrabande.
- Si le profil de sécurité du groupe de profils de sécurité fait référence à un point de terminaison de pare-feu Cloud NGFW, incluez
--tls-inspectou--no-tls-inspectpour activer ou désactiver l'inspection TLS.
- Lorsque l'action est
- Les indicateurs
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu. - Les indicateurs
--disabledet--no-disabledpermettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée). -
Spécifiez une cible :
- Si vous omettez les indicateurs
--target-secure-tagset--target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges. TARGET_SECURE_TAGS: liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé.TARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
- Si vous omettez les indicateurs
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
-
Spécifiez une source pour la règle d'entrée.
Pour en savoir plus, consultez Combinaisons de sources pour les règles d'entrée :
SRC_NETWORK_TYPE: définit les types de réseaux sources à utiliser conjointement avec un autre paramètre de source compatible pour produire une combinaison de sources. Les valeurs valides lorsque--target-type=INSTANCESest défini sontINTERNET,NON_INTERNET,VPC_NETWORKSouINTRA_VPC. Pour en savoir plus, consultez Types de réseaux.SRC_VPC_NETWORKS: liste de réseaux VPC séparés par des virgules et spécifiés par leurs identifiants d'URL. Spécifiez cet indicateur uniquement lorsque--src-network-typeestVPC_NETWORKS.SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.SRC_ADDRESS_GROUPS: liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.SRC_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.SRC_SECURE_TAGS: liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le flag--src-secure-tagssi--src-network-typeest défini surINTERNET.SRC_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser l'option--src-region-codessi--src-network-typeest défini surNON_INTERNET,VPC_NETWORKSouINTRA_VPC.SRC_THREAT_LIST_NAMES: liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. Vous ne pouvez pas utiliser l'option--src-threat-intelligencesi--src-network-typeest défini surNON_INTERNET,VPC_NETWORKSouINTRA_VPC.
-
Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
Créer une règle de sortie pour les cibles de VM
Les instructions suivantes expliquent comment créer une règle de sortie. Les règles de sortie ne s'appliquent qu'aux cibles qui sont des interfaces réseau d'instances Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans la liste du sélecteur de projet, sélectionnez un projet contenant une stratégie de pare-feu réseau au niveau mondial.
Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom d'une stratégie de pare-feu de réseau au niveau mondial dans laquelle vous souhaitez créer une règle.
Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :
Priorité : ordre d'évaluation numérique de la règle.
Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.Description : vous pouvez éventuellement indiquer une description.
Sens du trafic : sélectionnez Sortie.
Action en cas de correspondance : sélectionnez l'une des options suivantes :
- Autoriser : pour autoriser les connexions correspondant aux paramètres de la règle.
- Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
- Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.
- Appliquer un groupe de profils de sécurité : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception en fonction de la finalité que vous sélectionnez.
- Pour envoyer des paquets à un point de terminaison de pare-feu Cloud NGFW, sélectionnez Cloud NGFW Enterprise, puis un groupe de profils de sécurité. Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
- Pour envoyer des paquets à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration en bande, sélectionnez NSI In-Band (NSI en bande), puis sélectionnez un groupe de profils de sécurité.
Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.
Cible : sélectionnez l'une des options suivantes :
- Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
-
Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez :
- Dans la section Champ d'application du compte de service, sélectionnez Dans ce projet > Compte de service cible. Cela permet de spécifier un compte de service dans le même projet que la stratégie de pare-feu réseau mondiale.
- Dans la section Champ d'application du compte de service, sélectionnez Dans un autre projet > Compte de service cible. Cela permet de spécifier un compte de service dans un projet de service VPC partagé.
- Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
Type de réseau de destination : spécifiez un type de réseau :
- Pour ne pas filtrer le trafic sortant par type de réseau, sélectionnez Tous les types de réseaux.
- Pour filtrer le trafic sortant vers un type de réseau spécifique, sélectionnez Type de réseau spécifique, puis sélectionnez un type de réseau :
- Internet : le trafic sortant doit correspondre au type de réseau Internet pour les paquets de sortie.
- Non Internet : le trafic sortant doit correspondre au type de réseau non Internet pour les paquets de sortie.
Filtres de destination : spécifiez des paramètres de destination supplémentaires. Certains paramètres de destination ne peuvent pas être utilisés ensemble. De plus, le type de réseau de destination que vous choisissez limite les filtres de destination que vous pouvez utiliser. Pour en savoir plus, consultez Destinations pour les règles de sortie et Combinaisons de destinations pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plages IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle destination IPv6. - Pour filtrer le trafic sortant par nom de domaine complet de destination, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez Objets de nom de domaine complet.
- Pour filtrer le trafic sortant par géolocalisation de destination, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
- Pour filtrer le trafic sortant par groupe d'adresses de destination, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
- Pour filtrer le trafic sortant par listes Google Threat Intelligence de destination, sélectionnez une ou plusieurs listes Google Threat Intelligence dans le champ Google Cloud Threat Intelligence. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Source : spécifiez les paramètres de source facultatifs. Pour en savoir plus, consultez Sources pour les règles de sortie.
- Pour ne pas filtrer le trafic sortant par adresse IP source, sélectionnez Aucun.
- Pour filtrer le trafic sortant par adresse IP source, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR en utilisant le même format que pour les plages IPv4 ou IPv6 de destination.
Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.
Application : indiquez si la règle de pare-feu est appliquée ou non :
- Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
- Désactivé : crée la règle, mais ne l'applique pas aux nouvelles connexions.
Cliquez sur Créer.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--project=PROJECT_ID \
--global-firewall-policy \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-type=DEST_NETWORK_TYPE] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu réseau mondiale dans laquelle vous souhaitez créer la règle.PROJECT_ID: ID du projet contenant la stratégie de pare-feu de réseau mondial.DESCRIPTION: description facultative de la nouvelle règle.-
ACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.goto_next: poursuit le processus d'évaluation des règles de pare-feu.
apply_security_profile_group: envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception.- Lorsque l'action est
apply_security_profile_group, vous devez inclure--security-profile-group SECURITY_PROFILE_GROUP, oùSECURITY_PROFILE_GROUPest le nom d'un groupe de profils de sécurité. - Le profil de sécurité du groupe de profils de sécurité peut faire référence à un point de terminaison de pare-feu Cloud NGFW ou à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration intrabande.
- Si le profil de sécurité du groupe de profils de sécurité fait référence à un point de terminaison de pare-feu Cloud NGFW, incluez
--tls-inspectou--no-tls-inspectpour activer ou désactiver l'inspection TLS.
- Lorsque l'action est
- Les indicateurs
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu. - Les indicateurs
--disabledet--no-disabledpermettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée). -
Spécifiez une cible :
- Si vous omettez les indicateurs
--target-secure-tagset--target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges. TARGET_SECURE_TAGS: liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé.TARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
- Si vous omettez les indicateurs
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
-
Spécifiez une destination pour la règle de sortie.
Pour en savoir plus, consultez Combinaisons de destinations pour les règles de sortie :
DEST_NETWORK_TYPE: définit les types de réseaux de destination à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destinations. Les valeurs valides sontINTERNETetNON_INTERNET. Pour en savoir plus, consultez Types de réseaux.DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.DEST_ADDRESS_GROUPS: liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques.DEST_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.DEST_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.DEST_THREAT_LIST_NAMES: liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
-
Vous pouvez également spécifier une source pour la règle de sortie :
SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
Mettre à jour une règle
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur le nom de la stratégie de pare-feu réseau mondiale contenant la règle à modifier.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs de la règle de pare-feu que vous souhaitez modifier. Pour obtenir la description de chaque champ, consultez l'une des ressources suivantes :
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy \
[...other flags that you want to modify...]
Remplacez les éléments suivants :
PRIORITY: numéro de priorité qui identifie de manière unique la règle.POLICY_NAME: nom de la stratégie qui contient la règle.
Indiquez les indicateurs que vous souhaitez modifier. Pour obtenir une description des indicateurs, consultez l'une des ressources suivantes :
Décrire une règle
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
Remplacez les éléments suivants :
PRIORITY: numéro de priorité qui identifie de manière unique la règle.POLICY_NAME: nom de la stratégie qui contient la règle.
Supprimer une règle
Si vous supprimez une règle d'une stratégie, elle ne s'appliquera plus aux nouvelles connexions vers ou depuis la cible de la règle.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
Remplacez les éléments suivants :
PRIORITY: numéro de priorité qui identifie de manière unique la règle.POLICY_NAME: nom de la stratégie qui contient la règle.
Copier des règles d'une stratégie à une autre
Le clonage copie les règles d'une stratégie source vers une stratégie cible, en remplaçant toutes les règles existantes dans la stratégie cible.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie à partir de laquelle vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer > Associer.
Sur la page Associer la stratégie à des réseaux VPC, sélectionnez les réseaux, puis cliquez sur Associer.
Cliquez sur Continuer.
Cliquez sur Clone (Cloner).
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
Remplacez les éléments suivants :
TARGET_POLICY: nom de la stratégie cible.SOURCE_POLICY: URL de la stratégie source.
Obtenir des règles de pare-feu efficaces pour un réseau
Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau au niveau mondial qui s'appliquent à toutes les régions d'un réseau VPC.
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Sur la page Détails du réseau VPC, cliquez sur l'onglet Pare-feu.
Pour afficher les règles qui s'appliquent à ce réseau, cliquez sur l'onglet Affichage des règles de pare-feu.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Remplacez NETWORK_NAME par le réseau pour lequel vous souhaitez afficher les règles effectives.
Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
Obtenir des règles de pare-feu efficaces pour une interface de VM
Vous pouvez afficher toutes les règles de pare-feu (issues de toutes les stratégies de pare-feu et règles de pare-feu VPC applicables) qui s'appliquent à une interface réseau d'une VM Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Instances de VM.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur le nom de l'interface.
Dans la section Analyse de la configuration réseau, cliquez sur l'onglet Pare-feu.
Pour afficher les règles de pare-feu efficaces, cliquez sur l'onglet Affichage des règles de pare-feu.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Remplacez les éléments suivants :
INSTANCE_NAME: VM pour laquelle vous souhaitez afficher les règles en vigueur. Si aucune interface n'est spécifiée, la commande renvoie des règles pour l'interface principale (nic0).INTERFACE: interface de VM pour laquelle vous souhaitez afficher les règles en vigueur. La valeur par défaut estnic0.ZONE: zone de la VM. Cette ligne est facultative si la zone choisie est déjà définie comme valeur par défaut.