Utiliser des stratégies et des règles de pare-feu de réseau régionales

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu de sélection du projet, sélectionnez votre projet au sein de votre organisation.

3. Cliquez sur Créer une stratégie de pare-feu.

4. Dans le champ Nom de la règle, saisissez un nom de règle.

5. Pour le Champ d'application du déploiement, sélectionnez Régional. Sélectionnez la région dans laquelle vous souhaitez créer cette stratégie de pare-feu.

6. Pour créer des règles pour votre stratégie, cliquez sur Continuer.

7. Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu.

   Pour en savoir plus, consultez Créer une règle.

8. Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer.

9. Dans la section Associer la stratégie à des réseaux, cliquez sur Associer.

   Pour en savoir plus, consultez Associer une règle à un réseau.

10. Cliquez sur Créer.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Remplacez les éléments suivants :

• NETWORK_FIREWALL_POLICY_NAME : nom de la règle
• DESCRIPTION : description de la règle
• REGION_NAME : région de la règle

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie.

4. Cliquez sur l'onglet Associations.

5. Cliquez sur Ajouter une association.

6. Sélectionnez les réseaux dans le projet.

7. Cliquez sur Associer.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

Remplacez les éléments suivants :

• POLICY_NAME : nom court ou nom généré par le système pour la stratégie.
• NETWORK_NAME : nom du réseau associé.
• ASSOCIATION_NAME : nom facultatif de l'association. Si aucun nom n'est spécifié, il est défini sur network-NETWORK_NAME.
• REGION_NAME : région de la règle.

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.

3. Cliquez sur la stratégie.

4. Cliquez sur l'onglet Associations.

5. Sélectionnez l'association que vous souhaitez supprimer.

6. Cliquez sur Supprimer l'association.

gcloud

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.

3. Cliquez sur la stratégie.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau régional.

3. Cliquez sur la stratégie.

4. Cliquez sur Modifier.

5. Dans le champ Description, modifiez la description.

6. Cliquez sur Enregistrer.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

   La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.

gcloud

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie que vous souhaitez supprimer.

4. Cliquez sur l'onglet Associations.

5. Sélectionnez toutes les associations.

6. Cliquez sur Supprimer l'association.

7. Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

Exécutez la commande suivante pour supprimer la règle :

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur le nom de votre règle régionale.

4. Pour Règles de pare-feu, cliquez sur Créer une règle de pare-feu.

5. Renseignez les champs de la règle :

   1. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
   2. Définissez la collecte de journaux sur Activée ou Désactivée.
   3. Sélectionnez Entrée ou Sortie pour l'option Direction du trafic.
   4. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).

   5. Spécifiez la Cible de la règle.

      • Si vous souhaitez que la règle s'applique à toutes les instances du réseau, sélectionnez Appliquer à toutes.
      • Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction du compte de service associé, sélectionnez Comptes de service, et indiquez si le compte de service se trouve dans le projet en cours ou dans un autre projet dans le champ Champ d'application du compte de service. Choisissez ou saisissez ensuite le nom du compte de service dans le champ Compte de service cible.

      • Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction de tags sécurisés, sélectionnez Tags sécurisés.

        • Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des paires clé/valeur de tags sécurisés. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer.
        • Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.

   6. Pour une règle d'entrée, spécifiez le type de réseau source :

      • Pour filtrer le trafic entrant appartenant à n'importe quel type de réseau, sélectionnez Tous les types de réseaux.
      • Pour filtrer le trafic entrant appartenant à un type de réseau spécifique, sélectionnez Type de réseau spécifique.
        • Pour filtrer le trafic entrant appartenant au type de réseau Internet (INTERNET), sélectionnez Internet.
        • Pour filtrer le trafic entrant appartenant au type de réseau non Internet (NON-INTERNET), sélectionnez Non Internet.
        • Pour filtrer le trafic entrant appartenant au type de réseau intra-VPC (INTRA_VPC), sélectionnez Intra-VPC.
        • Pour filtrer le trafic entrant appartenant au type de réseaux VPC (VPC_NETWORKS), sélectionnez Réseaux VPC, puis spécifiez un ou plusieurs réseaux à l'aide du bouton suivant :
          • Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux du projet actuel.
          • Spécifier le réseau manuellement : vous permet de saisir manuellement un projet et un réseau.
          • Sélectionner un projet : vous permet de choisir un projet à partir duquel vous pouvez sélectionner un réseau. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.

   7. Pour une règle de sortie, spécifiez le type de réseau de destination :

      • Pour filtrer le trafic sortant appartenant à n'importe quel type de réseau, sélectionnez Tous les types de réseau.
      • Pour filtrer le trafic sortant appartenant à un type de réseau spécifique, sélectionnez Type de réseau spécifique.
        • Pour filtrer le trafic sortant appartenant au type de réseau Internet (INTERNET), sélectionnez Internet.
        • Pour filtrer le trafic sortant appartenant au type de réseau non Internet (NON-INTERNET), sélectionnez Non Internet. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.

   8. Pour une règle d'entrée, spécifiez le filtre source :

      • Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
      • Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle source IPv6.

      • Pour limiter la source par tags sécurisés, cliquez sur Sélectionner le champ d'application des tags dans la section Tags sécurisés.

        • Sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags. Saisissez les paires clé/valeur auxquelles la règle doit s'appliquer.
        • Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.

   9. Pour une règle de sortie, spécifiez le filtre de destination :

      • Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
      • Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle destination IPv6.

   10. Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.

   11. Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.

   12. Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez Groupes d'adresses pour les stratégies de pare-feu.

   13. Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Google Threat Intelligence, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

   14. Facultatif: pour une règle Ingress, spécifiez les filtres Destination:

       • Pour filtrer le trafic entrant par plages IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
       • Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez ::/0 pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.

   15. Facultatif : Pour une règle Sortie, spécifiez le filtre Source :

       • Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
       • Pour filtrer le trafic sortant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.

   16. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.

   17. Cliquez sur Créer.

6. Cliquez sur Créer une règle de pare-feu pour ajouter une règle.

gcloud

Pour créer une règle d'entrée, utilisez la commande suivante :

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Remplacez les éléments suivants :

• PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
• POLICY_NAME : nom de la stratégie de pare-feu réseau régional contenant la nouvelle règle.
• POLICY_REGION : région de la règle contenant la nouvelle règle.
• DESCRIPTION : description facultative de la nouvelle règle
• ACTION : spécifiez l'une des actions suivantes :
  • allow : autorise les connexions correspondant à la règle.
  • deny : refuse les connexions correspondant à la règle.
  • goto_next : passe à l'étape suivante du processus d'évaluation des règles de pare-feu.
• Les paramètres --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu.
• Les paramètres --disabled et --no-disabled déterminent si la règle est désactivée (non appliquée) ou activée (appliquée).
• Spécifiez une cible :
  • TARGET_SECURE_TAGS : liste de tags sécurisés séparés par une virgule
  • TARGET_SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule.
  • Si vous omettez les paramètres --target-secure-tags et --target-service-accounts, la règle s'applique à la cible la plus large.
• LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
  • Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
  • Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
  • Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
• Spécifiez une source pour la règle d'entrée :
  • SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
  • SRC_ADDRESS_GROUPS : liste de groupes d'adresses séparés par des virgules et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.
  • SRC_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
  • SRC_SECURE_TAGS : liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le paramètre --src-secure-tags si --src-network-type est défini sur INTERNET.
  • SRC_COUNTRY_CODES : liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser le paramètre --src-region-codes si --src-network-type est défini sur NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
  • SRC_THREAT_LIST_NAMES : liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. Vous ne pouvez pas utiliser le paramètre --src-threat-intelligence si --src-network-type est défini sur NON_INTERNET, VPC_NETWORK ou INTRA_VPC.
  • SRC_NETWORK_TYPE : définit les types de réseau source à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destination spécifique. Les valeurs valides sont INTERNET, NON_INTERNET, VPC_NETWORK ou INTRA_VPC. Pour en savoir plus, consultez Types de réseaux.
  • SRC_VPC_NETWORK : liste de réseaux VPC séparés par une virgule et spécifiés par leurs identifiants d'URL. Spécifiez ce paramètre uniquement lorsque --src-network-type est défini sur VPC_NETWORKS.
• Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
  • DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.

Pour créer une règle de sortie, utilisez la commande suivante :

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Remplacez les éléments suivants :

• PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
• POLICY_NAME : nom de la stratégie de pare-feu réseau régional contenant la nouvelle règle.
• POLICY_REGION : région de la règle contenant la nouvelle règle.
• DESCRIPTION : description facultative de la nouvelle règle
• ACTION : spécifiez l'une des actions suivantes :
  • allow : autorise les connexions correspondant à la règle.
  • deny : refuse les connexions correspondant à la règle.
  • goto_next : passe à l'étape suivante du processus d'évaluation des règles de pare-feu.
• Les paramètres --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu.
• Les paramètres --disabled et --no-disabled déterminent si la règle est désactivée (non appliquée) ou activée (appliquée).
• Spécifiez une cible :
  • TARGET_SECURE_TAGS : liste de tags sécurisés séparés par une virgule
  • TARGET_SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule.
  • Si vous omettez les paramètres --target-secure-tags et --target-service-accounts, la règle s'applique à la cible la plus large.
• LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
  • Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
  • Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
  • Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
• Vous pouvez éventuellement spécifier une source pour la règle de sortie :
  • SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
• Spécifiez une destination pour la règle de sortie :
  • DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
  • DEST_ADDRESS_GROUPS : liste de groupes d'adresses séparés par des virgules et spécifiés par leurs identifiants d'URL uniques.
  • DEST_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
  • DEST_COUNTRY_CODES : liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.
  • DEST_THREAT_LIST_NAMES : liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
  • DEST_NETWORK_TYPE : définit un type de réseau de destination à utiliser avec un autre paramètre de destination compatible pour produire une combinaison de destinations spécifique. Les valeurs valides sont INTERNET et NON_INTERNET. Pour en savoir plus, consultez Types de réseaux.

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie.

4. Cliquez sur la priorité de la règle.

5. Cliquez sur Modifier.

6. Modifiez les indicateurs que vous souhaitez modifier.

7. Cliquez sur Enregistrer.

gcloud

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie.

4. Cliquez sur la priorité de la règle.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Remplacez les éléments suivants :

• PRIORITY : numéro de priorité qui identifie de manière unique la règle
• POLICY_NAME : nom de la stratégie qui contient la règle.
• REGION_NAME : région de la règle qui contient la stratégie.

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie.

4. Sélectionnez la règle que vous souhaitez supprimer.

5. Cliquez sur Supprimer.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Remplacez les éléments suivants :

• PRIORITY : numéro de priorité qui identifie de manière unique la règle
• POLICY_NAME : stratégie qui contient la règle.
• REGION_NAME : région de la règle qui contient la stratégie.

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie dont vous souhaitez copier les règles.

4. Cliquez sur Cloner en haut de l'écran.

5. Indiquez le nom d'une stratégie cible.

6. Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer > Associer.

7. Sur la page Associer la stratégie à des réseaux VPC, sélectionnez les réseaux, puis cliquez sur Associer.

8. Cliquez sur Continuer.

9. Cliquez sur Clone (Cloner).

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

Remplacez les éléments suivants :

• TARGET_POLICY : nom de la stratégie cible
• TARGET_POLICY_REGION : région de la règle cible
• SOURCE_POLICY : URL de la stratégie source

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Remplacez les éléments suivants :

• REGION_NAME : région pour laquelle vous souhaitez afficher les règles en vigueur.
• NETWORK_NAME : réseau pour lequel vous souhaitez afficher les règles en vigueur.