Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans les stratégies de pare-feu réseau régionales.
Tâches liées aux stratégies de pare-feu
Cette section explique comment créer, associer et gérer des stratégies de pare-feu réseau régionales.
Créer une stratégie de pare-feu réseau régionales
Lorsque vous créez une stratégie de pare-feu réseau régionale à l'aide de la console Google Cloud , vous pouvez associer la stratégie à une région et à un réseau de cloud privé virtuel (VPC) lors de la création. Si vous créez la règle à l'aide de Google Cloud CLI, vous devez l'associer à une région et à un réseau après l'avoir créée.
Le réseau VPC auquel la stratégie de pare-feu réseau régionale est associée doit se trouver dans le même projet que la stratégie de pare-feu réseau régionale.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom de la règle, saisissez un nom de règle.
Pour le Champ d'application du déploiement, sélectionnez Régional. Sélectionnez la région dans laquelle vous souhaitez créer cette stratégie de pare-feu.
Pour créer des règles pour votre stratégie, cliquez sur Continuer.
Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu.
Pour en savoir plus, consultez Créer une règle.
Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer.
Dans la section Associer la stratégie à des réseaux, cliquez sur Associer.
Pour en savoir plus, consultez Associer une règle à un réseau.
Cliquez sur Créer.
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Remplacez les éléments suivants :
NETWORK_FIREWALL_POLICY_NAME: nom de la règleDESCRIPTION: description de la règleREGION_NAME: région de la règle
Associer une stratégie à un réseau
Vous pouvez associer une stratégie de pare-feu de réseau régionale à une région d'un réseau VPC et appliquer les règles de la stratégie à cette région du réseau.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez les réseaux dans le projet.
Cliquez sur Associer.
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
--name ASSOCIATION_NAME \
--firewall-policy-region=REGION_NAME
Remplacez les éléments suivants :
POLICY_NAME: nom court ou nom généré par le système pour la stratégie.NETWORK_NAME: nom du réseau associé.ASSOCIATION_NAME: nom facultatif de l'association. Si aucun nom n'est spécifié, il est défini surnetwork-NETWORK_NAME.REGION_NAME: région de la règle.
Supprimer une association
Pour arrêter l'application d'une stratégie de pare-feu sur un réseau, supprimez l'association.
Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, vous n'avez pas besoin de supprimer l'association existante. Si vous supprimez cette association, aucune période ne sera appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.
Pour supprimer une association entre une stratégie de pare-feu réseau régionale et une région d'un réseau VPC, suivez les étapes décrites dans cette section. Les règles de la stratégie de pare-feu de réseau régionale ne s'appliquent pas aux nouvelles connexions une fois l'association supprimée.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer l'association.
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region REGION_NAME
Décrire une stratégie de pare-feu réseau régionale
Vous pouvez afficher des informations sur une stratégie de pare-feu de réseau régionale, y compris les règles de la stratégie et les attributs de règle associés. Tous ces attributs de règle sont comptabilisés dans le quota d'attributs de règle. Pour en savoir plus, consultez "Attributs de règle par stratégie de pare-feu de réseau régional" dans le tableau Par stratégie de pare-feu. Vous pouvez également afficher les priorités des associations de réseaux VPC existantes.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.
Cliquez sur la stratégie.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
Mettre à jour la description d'une stratégie de pare-feu réseau régionale
Seul le champ Description peut être mis à jour pour la stratégie.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Dans le champ Description, modifiez la description.
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
Répertorier les stratégies de pare-feu réseau régionales
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
Supprimer une stratégie de pare-feu réseau régionale
Avant de pouvoir supprimer une stratégie de pare-feu réseau régionale, vous devez supprimer toutes ses associations.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer l'association.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Exécutez la commande suivante pour supprimer la règle :
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
Tâches liées aux règles des stratégies de pare-feu
Cette section explique comment créer et gérer des règles de stratégie de pare-feu réseau régionales.
Créer une règle
Chaque règle d'une stratégie de pare-feu réseau régionale est une règle d'entrée ou de sortie avec une priorité unique. Pour en savoir plus sur les autres paramètres d'une règle, y compris les combinaisons de sources et de destinations valides, consultez Règles de stratégie de pare-feu.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur le nom de votre règle régionale.
Pour Règles de pare-feu, cliquez sur Créer une règle de pare-feu.
Renseignez les champs de la règle :
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes. - Définissez la collecte de journaux sur Activée ou Désactivée.
- Pour Direction du trafic, sélectionnez Entrée ou Sortie.
- Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).
Spécifiez la Cible de la règle.
- Si vous souhaitez que la règle s'applique à toutes les instances du réseau, sélectionnez Appliquer à toutes.
- Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction du compte de service associé, sélectionnez Comptes de service, et indiquez si le compte de service se trouve dans le projet en cours ou dans un autre projet dans le champ Champ d'application du compte de service. Choisissez ou saisissez ensuite le nom du compte de service dans le champ Compte de service cible.
Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction de tags sécurisés, sélectionnez Tags sécurisés.
- Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des paires clé/valeur de tags sécurisés. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer.
- Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.
Pour une règle d'entrée, spécifiez le type de réseau source (Aperçu) :
- Pour filtrer le trafic entrant appartenant à n'importe quel type de réseau, sélectionnez Tous les types de réseaux.
- Pour filtrer le trafic entrant appartenant à un type de réseau spécifique, sélectionnez Type de réseau spécifique.
- Pour filtrer le trafic entrant appartenant au type de réseau Internet (
INTERNET), sélectionnez Internet. - Pour filtrer le trafic entrant appartenant au type de réseau non Internet (
NON-INTERNET), sélectionnez Non Internet. - Pour filtrer le trafic entrant appartenant au type de réseau intra-VPC (
INTRA_VPC), sélectionnez Intra-VPC. - Pour filtrer le trafic entrant appartenant au type de réseaux VPC (
VPC_NETWORKS), sélectionnez Réseaux VPC, puis spécifiez un ou plusieurs réseaux à l'aide du bouton suivant :- Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux du projet actuel.
- Spécifier le réseau manuellement : vous permet de saisir manuellement un projet et un réseau.
- Sélectionner un projet : vous permet de choisir un projet à partir duquel vous pouvez choisir un réseau. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.
- Pour filtrer le trafic entrant appartenant au type de réseau Internet (
Pour une règle de sortie, spécifiez le type de réseau de destination :
- Pour filtrer le trafic sortant appartenant à n'importe quel type de réseau, sélectionnez Tous les types de réseau.
- Pour filtrer le trafic sortant appartenant à un type de réseau spécifique, sélectionnez Type de réseau spécifique.
- Pour filtrer le trafic sortant appartenant au type de réseau Internet (
INTERNET), sélectionnez Internet. - Pour filtrer le trafic sortant appartenant au type de réseau non Internet (
NON-INTERNET), sélectionnez Non Internet. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.
- Pour filtrer le trafic sortant appartenant au type de réseau Internet (
Pour une règle d'entrée, spécifiez le filtre source :
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle source IPv6. Pour limiter la source par tags sécurisés, cliquez sur Sélectionner le champ d'application des tags dans la section Tags sécurisés.
- Sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags. Saisissez les paires clé/valeur auxquelles la règle doit s'appliquer.
- Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Pour une règle de sortie, spécifiez le filtre de destination :
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle destination IPv6.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez Objets de nom de domaine complet.
Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez Groupes d'adresses pour les stratégies de pare-feu.
Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Google Threat Intelligence, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
- Pour filtrer le trafic entrant par plages IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle destination IPv4. - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez
::/0pour n'importe quelle destination IPv6. Pour en savoir plus, consultez Destinations pour les règles d'entrée.
- Pour filtrer le trafic entrant par plages IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Facultatif : Pour une règle Sortie, spécifiez le filtre Source :
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle source IPv4. - Pour filtrer le trafic sortant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle source IPv6. Pour en savoir plus, consultez Sources pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
Cliquez sur Créer.
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
Cliquez sur Créer une règle de pare-feu pour ajouter une règle.
gcloud
Pour créer une règle d'entrée, utilisez la commande suivante :
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu réseau régional contenant la nouvelle règle.POLICY_REGION: région de la règle contenant la nouvelle règle.DESCRIPTION: description facultative de la nouvelle règleACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.goto_next: passe à l'étape suivante du processus d'évaluation des règles de pare-feu.
- Les indicateurs
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu. - Les indicateurs
--disabledet--no-disableddéterminent si la règle est désactivée (non appliquée) ou activée (appliquée). - Spécifiez une cible :
TARGET_SECURE_TAGS: liste de tags sécurisés séparés par une virguleTARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule.- Si vous omettez les indicateurs
--target-secure-tagset--target-service-accounts, la règle s'applique à la cible la plus large.
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
- Spécifiez une source pour la règle d'entrée :
SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.SRC_ADDRESS_GROUPS: liste de groupes d'adresses séparés par des virgules et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.SRC_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.SRC_SECURE_TAGS: liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le flag--src-secure-tagssi--src-network-typeest défini surINTERNET.SRC_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser l'option--src-region-codessi--src-network-typeest défini surNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_THREAT_LIST_NAMES: liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. Vous ne pouvez pas utiliser l'option--src-threat-intelligencesi--src-network-typeest défini surNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_NETWORK_TYPE: définit les types de réseaux sources à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destination spécifique. Les valeurs valides sontINTERNET,NON_INTERNET,VPC_NETWORKouINTRA_VPC. Pour en savoir plus, consultez Types de réseaux.SRC_VPC_NETWORK: liste de réseaux VPC séparés par une virgule et spécifiés par leurs identifiants d'URL. Spécifiez cette option uniquement lorsque--src-network-typeestVPC_NETWORKS.
- Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
Pour créer une règle de sortie, utilisez la commande suivante :
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu réseau régional contenant la nouvelle règle.POLICY_REGION: région de la règle contenant la nouvelle règle.DESCRIPTION: description facultative de la nouvelle règleACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.goto_next: passe à l'étape suivante du processus d'évaluation des règles de pare-feu.
- Les indicateurs
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu. - Les indicateurs
--disabledet--no-disableddéterminent si la règle est désactivée (non appliquée) ou activée (appliquée). - Spécifiez une cible :
TARGET_SECURE_TAGS: liste de tags sécurisés séparés par une virguleTARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule.- Si vous omettez les indicateurs
--target-secure-tagset--target-service-accounts, la règle s'applique à la cible la plus large.
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
- Vous pouvez éventuellement spécifier une source pour la règle de sortie :
SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
- Spécifiez une destination pour la règle de sortie :
DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.DEST_ADDRESS_GROUPS: liste de groupes d'adresses séparés par des virgules et spécifiés par leurs identifiants d'URL uniques.DEST_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.DEST_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.DEST_THREAT_LIST_NAMES: liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.DEST_NETWORK_TYPE: définit les types de réseau de destination à utiliser avec un autre paramètre de destination compatible pour produire une combinaison de destination spécifique. Les valeurs valides sontINTERNETetNON_INTERNET. Pour en savoir plus, consultez Types de réseaux.
Créer des règles de pare-feu pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes
Vous pouvez créer des règles de trafic entrant dans une règle de pare-feu réseau régionale qui s'appliquent aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Ces proxys se trouvent dans des sous-réseaux proxy réservés d'une région d'un réseau VPC.
Lorsque vous créez des règles qui s'appliquent aux équilibreurs de charge, tenez compte des points suivants :
Cibles : la règle de pare-feu peut s'appliquer à un équilibreur de charge ou à des instances de machine virtuelle (VM), mais pas aux deux en même temps. Lorsque vous définissez l'indicateur
--target-typesurINTERNAL_MANAGED_LBet que vous configurez des règles de pare-feu qui s'appliquent aux équilibreurs de charge, vous ne pouvez utiliser que l'indicateur--target-forwarding-rules. Les autres indicateurs cibles ne sont pas acceptés.Direction : lorsque vous définissez
--target-typesurINTERNAL_MANAGED_LB, définissez la direction surINGRESS. Le trafic sortant est autorisé par défaut. Vous ne pouvez pas créer de règle de pare-feu de sortie lorsque le flag--target-typeest défini surINTERNAL_MANAGED_LB.Toutes les destinations pour les règles d'entrée sont acceptées.
Toutes les sources pour les règles d'entrée sont acceptées, sauf les suivantes :
- Valeurs des tags sécurisés sources (
--src-secure-tags) - Géolocalisations sources (
--src-region-codes) - Listes Google Threat Intelligence sources (
--src-threat-intelligence)
- Valeurs des tags sécurisés sources (
Lorsque vous définissez l'indicateur
--target-typesurINTERNAL_MANAGED_LB, les proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes autorisent tout le trafic entrant par défaut. Pour restreindre l'accès à une ou plusieurs règles de transfert d'équilibreur de charge, créez au moins deux règles avec l'indicateur--target-typedéfini surINTERNAL_MANAGED_LB:- Règle de pare-feu d'entrée de priorité inférieure avec
--src-ip-ranges=0.0.0.0/0. - Une règle de pare-feu autorisant le trafic entrant de priorité supérieure avec
--src-ip-rangesdéfini sur les plages d'adresses IP sources approuvées.
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
--target-type INTERNAL_MANAGED_LB \
--direction INGRESS \
[--target-forwarding-rules FORWARDING_RULE_NAME] \
--firewall-policy-region=REGION_NAME
[...other fields you want to add...]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100,200,300).ACTION: l'une des actions suivantes : *allow: autorise les connexions correspondant à la règle *deny: refuse les connexions correspondant à la règle *goto_next: transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.POLICY_NAME: nom de la stratégie de pare-feu réseau régionaleFORWARDING_RULE_NAME: nom d'une règle de transfert unique d'équilibreur de charge d'application interne ou d'équilibreur de charge réseau proxy interne. Vous devez spécifier le nom dans un format compatible.Si vous définissez
--target-typesurINTERNAL_MANAGED_LBet que vous omettez l'indicateur--target-forwarding-rules, la règle de pare-feu s'applique à toutes les règles de transfert d'équilibreur de charge d'application interne et d'équilibreur de charge réseau proxy interne de la région et du réseau VPC.REGION_NAME: région de la règle.
Pour appliquer la règle de pare-feu aux proxys Envoy gérés, définissez --target-type sur INTERNAL_MANAGED_LB. Si vous omettez --target-type, la règle de pare-feu s'applique aux instances de VM.
Pour en savoir plus sur les autres indicateurs que vous pouvez utiliser, consultez Créer une règle. Pour obtenir une procédure détaillée, consultez Utiliser des règles de pare-feu réseau régionales pour protéger les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes.
Créer des règles de pare-feu pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes
Vous pouvez créer des règles de trafic entrant dans une règle de pare-feu réseau régionale qui s'appliquent aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Ces proxys se trouvent dans des sous-réseaux proxy réservés d'une région d'un réseau VPC.
Lorsque vous créez des règles qui s'appliquent aux équilibreurs de charge, tenez compte des points suivants :
Cibles : la règle de pare-feu peut s'appliquer à un équilibreur de charge ou à des instances de VM, mais pas aux deux à la fois. Lorsque vous définissez l'indicateur
--target-typesurINTERNAL_MANAGED_LBet que vous configurez des règles de pare-feu qui s'appliquent aux équilibreurs de charge, vous ne pouvez utiliser que l'indicateur--target-forwarding-rules. Les autres indicateurs de cibles ne sont pas acceptés.Direction : lorsque vous définissez
--target-typesurINTERNAL_MANAGED_LB, définissez la direction surINGRESS. Le trafic sortant est autorisé par défaut. Vous ne pouvez pas créer de règle de pare-feu de sortie lorsque l'indicateur--target-typeest défini surINTERNAL_MANAGED_LB.Créez au moins deux règles avec
--target-typedéfini surINTERNAL_MANAGED_LB:Toutes les destinations pour les règles d'entrée sont acceptées.
Toutes les sources pour les règles d'entrée sont acceptées, sauf les suivantes :
- Valeurs des tags sécurisés sources (
--src-secure-tags) - Géolocalisations sources (
--src-region-codes) - Listes Google Threat Intelligence sources (
--src-threat-intelligence)
- Valeurs des tags sécurisés sources (
Lorsque vous définissez l'indicateur
--target-typesurINTERNAL_MANAGED_LB, les proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes autorisent tout le trafic entrant par défaut. Pour restreindre l'accès à une ou plusieurs règles de transfert d'équilibreur de charge,- Règle de pare-feu d'entrée de priorité inférieure avec
--src-ip-ranges=0.0.0.0/0. - Une règle de pare-feu autorisant le trafic entrant de priorité supérieure avec
--src-ip-rangesdéfini sur les plages d'adresses IP sources approuvées.
gcloud
gcloud beta compute network-firewall-policies rules create PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
--target-type INTERNAL_MANAGED_LB \
--direction INGRESS \
[--target-forwarding-rules FORWARDING_RULE_NAME] \
--firewall-policy-region=REGION_NAME
[...other fields you want to add...]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100,200,300).ACTION: l'une des actions suivantes : *allow: autorise les connexions correspondant à la règle *deny: refuse les connexions correspondant à la règle *goto_next: transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.POLICY_NAME: nom de la stratégie de pare-feu réseau régionaleFORWARDING_RULE_NAME: nom d'une règle de transfert unique d'équilibreur de charge d'application interne ou d'équilibreur de charge réseau proxy interne. Vous devez spécifier le nom dans un format compatible.Si vous définissez
--target-typesurINTERNAL_MANAGED_LBet que vous omettez l'indicateur--target-forwarding-rules, la règle de pare-feu s'applique à toutes les règles de transfert d'équilibreur de charge d'application interne et d'équilibreur de charge réseau proxy interne de la région et du réseau VPC.REGION_NAME: région de la règle.
Pour appliquer la règle de pare-feu aux proxys Envoy gérés, définissez --target-type sur INTERNAL_MANAGED_LB. Si vous omettez --target-type, la règle de pare-feu s'applique aux instances de VM.
Pour obtenir la description des autres indicateurs que vous pouvez utiliser, consultez Créer une règle. Pour obtenir une procédure détaillée, consultez Utiliser des règles de pare-feu réseau régionales pour protéger les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes.
Mettre à jour une règle
Pour obtenir une description des indicateurs, consultez Créer une règle.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les indicateurs que vous souhaitez modifier.
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME \
[...flags you want to modify...]
Mettre à jour les règles de pare-feu pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes
Vous pouvez mettre à jour les règles d'entrée d'une règle de pare-feu réseau régional qui s'appliquent aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Ces proxys Envoy gérés se trouvent dans des sous-réseaux proxy réservés d'une région d'un réseau VPC. Pour en savoir plus sur les combinaisons d'indicateurs compatibles, consultez Créer des règles de pare-feu pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes.
gcloud
gcloud beta compute network-firewall-policies rules update PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
--target-type INTERNAL_MANAGED_LB \
--direction INGRESS \
[--target-forwarding-rules FORWARDING_RULE_NAME] \
--firewall-policy-region=REGION_NAME
[...fields you want to modify...]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100,200,300).ACTION: l'une des actions suivantes : *allow: autorise les connexions correspondant à la règle *deny: refuse les connexions correspondant à la règle *goto_next: transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.POLICY_NAME: nom de la stratégie de pare-feu réseau régionale.FORWARDING_RULE_NAME: nom de la règle de transfert de l'équilibreur de charge dans l'un des formats acceptés si vous avez spécifié--target-typecommeINTERNAL_MANAGED_LB. Vous ne pouvez spécifier qu'une seule règle de transfert.REGION_NAME: région à laquelle vous souhaitez appliquer la règle.
Pour appliquer la règle de pare-feu aux proxys Envoy gérés, définissez --target-type sur INTERNAL_MANAGED_LB. Si vous omettez --target-type, la règle de pare-feu s'applique aux instances de VM.
Pour obtenir la description des autres indicateurs que vous pouvez utiliser, consultez Créer des règles de pare-feu réseau. Pour obtenir une procédure détaillée, consultez Utiliser des règles de pare-feu réseau régionales pour protéger les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes.
Décrire une règle
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
Remplacez les éléments suivants :
PRIORITY: numéro de priorité qui identifie de manière unique la règlePOLICY_NAME: nom de la stratégie qui contient la règle.REGION_NAME: région de la stratégie qui contient la règle.
Supprimer une règle
Si vous supprimez une règle d'une stratégie, elle ne s'appliquera plus aux nouvelles connexions vers ou depuis la cible de la règle.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
Remplacez les éléments suivants :
PRIORITY: numéro de priorité qui identifie de manière unique la règlePOLICY_NAME: stratégie qui contient la règle.REGION_NAME: région de la stratégie qui contient la règle.
Copier des règles d'une stratégie à une autre
Le clonage copie les règles d'une stratégie source vers une stratégie cible, en remplaçant toutes les règles existantes dans la stratégie cible.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie dont vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer > Associer.
Sur la page Associer la stratégie à des réseaux VPC, sélectionnez les réseaux, puis cliquez sur Associer.
Cliquez sur Continuer.
Cliquez sur Clone (Cloner).
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy SOURCE_POLICY
Remplacez les éléments suivants :
TARGET_POLICY: nom de la stratégie cibleTARGET_POLICY_REGION: région de la règle cibleSOURCE_POLICY: URL de la stratégie source
Obtenir des règles de pare-feu efficaces pour une région d'un réseau
Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC, les règles des stratégies de pare-feu réseau mondiales et les règles des stratégies de pare-feu réseau régionales qui s'appliquent à une région spécifique d'un réseau VPC.
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
Remplacez les éléments suivants :
REGION_NAME: région pour laquelle vous souhaitez afficher les règles en vigueur.NETWORK_NAME: réseau pour lequel vous souhaitez afficher les règles en vigueur.