Créer des stratégies et des règles de pare-feu de réseau régionales

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu de sélection du projet, sélectionnez votre projet au sein de votre organisation.

3. Cliquez sur Créer une stratégie de pare-feu.

4. Dans le champ Nom de la règle, saisissez un nom de règle.

5. Pour Type de règle, sélectionnez Règle de VPC ou Règle RDMA RoCE.

6. Pour le Champ d'application du déploiement, sélectionnez Régional. Sélectionnez la région dans laquelle vous souhaitez créer cette stratégie de pare-feu.

7. Pour créer des règles pour votre stratégie, cliquez sur Continuer.

8. Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu. Pour en savoir plus sur la création de règles de pare-feu, consultez les ressources suivantes :

   • Créer une règle d'entrée pour les cibles de VM
   • Créer une règle d'entrée pour les cibles d'équilibreur de charge d'application interne et d'équilibreur de charge réseau proxy interne
   • Créer une règle de sortie pour les cibles de VM

9. Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer.

10. Dans la section Associer la stratégie à des réseaux, cliquez sur Associer.

    Pour en savoir plus, consultez Associer une règle à un réseau.

11. Cliquez sur Créer.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --policy-type POLICY_TYPE \
    --region=REGION_NAME

Remplacez les éléments suivants :

• NETWORK_FIREWALL_POLICY_NAME : nom de la règle
• DESCRIPTION : description de la règle
• POLICY_TYPE : type de stratégie de pare-feu réseau. Pour en savoir plus, consultez Spécifications.
• REGION_NAME : région de la règle

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.

3. Cliquez sur la stratégie.

4. Cliquez sur l'onglet Associations.

5. Cliquez sur Ajouter une association.

6. Sélectionnez les réseaux dans le projet.

7. Cliquez sur Associer.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME

Remplacez les éléments suivants :

• POLICY_NAME : nom court ou nom généré par le système pour la stratégie.
• POLICY_REGION : région de la stratégie qui contient la règle.
• NETWORK_NAME : nom du réseau associé.
• ASSOCIATION_NAME : nom facultatif de l'association. Si aucun nom n'est spécifié, il est défini sur network-NETWORK_NAME.

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans la liste des sélecteurs de projet, sélectionnez un projet contenant une stratégie de pare-feu de réseau régional.

3. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom d'une stratégie de pare-feu de réseau régionale dans laquelle vous souhaitez créer une règle.

4. Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :

   1. Priorité : ordre d'évaluation numérique de la règle.

      Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.

   2. Description : vous pouvez éventuellement indiquer une description.

   3. Sens du trafic : sélectionnez Entrée.

   4. Action en cas de correspondance : sélectionnez l'une des options suivantes :

      • Autoriser : autorise les connexions correspondant aux paramètres de la règle.
      • Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
      • Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.

   5. Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.

   6. Cible : sélectionnez l'une des options suivantes :

      • Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
      • Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez :
        • Dans la section Champ d'application du compte de service, sélectionnez Dans ce projet > Compte de service cible. Cela permet de spécifier un compte de service dans le même projet que la stratégie de pare-feu de réseau régionale.
        • Dans la section Champ d'application du compte de service, sélectionnez Dans un autre projet > Compte de service cible. Cela permet de spécifier un compte de service dans un projet de service VPC partagé.
      • Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.

   7. Contexte du réseau source : spécifiez un contexte de réseau :

      • Pour ignorer le filtrage du trafic entrant par contexte réseau, sélectionnez Tous les contextes de réseau.
      • Pour filtrer le trafic entrant vers un contexte réseau spécifique, sélectionnez Contexte de réseau spécifique, puis sélectionnez un contexte réseau :
        • Internet : le trafic entrant doit correspondre au contexte réseau Internet pour les paquets d'entrée.
        • Hors Internet : le trafic entrant doit correspondre au contexte réseau hors Internet pour les paquets entrants.
        • Intra-VPC : le trafic entrant doit correspondre aux critères du contexte réseau intra-VPC.
        • Réseaux VPC : le trafic entrant doit correspondre aux critères du contexte des réseaux VPC. Vous devez sélectionner au moins un réseau VPC :
          • Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux VPC à partir du projet contenant la stratégie de pare-feu.
          • Spécifier le réseau manuellement : vous permet de saisir manuellement un projet et un réseau VPC.
          • Sélectionner un projet : vous permet de sélectionner un projet à partir duquel vous pouvez sélectionner un réseau VPC.

   8. Filtres sources : spécifiez des paramètres sources supplémentaires. Certains paramètres sources ne peuvent pas être utilisés ensemble. De plus, le contexte de réseau source que vous choisissez limite les paramètres sources que vous pouvez utiliser. Pour en savoir plus, consultez Sources pour les règles d'entrée et Combinaisons de sources pour les règles d'entrée.

      • Pour filtrer le trafic entrant par plages IPv4 sources, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
      • Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle source IPv6.
      • Pour filtrer le trafic entrant par valeurs de tags sécurisés sources, sélectionnez Sélectionner le champ d'application des tags dans la section Tags sécurisés. Indiquez ensuite les clés et les valeurs de tag. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
      • Pour filtrer le trafic entrant par nom de domaine complet source, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez la section Objets de nom de domaine complet.
      • Pour filtrer le trafic entrant par géolocalisation source, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
      • Pour filtrer le trafic entrant par groupe d'adresses sources, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
      • Pour filtrer le trafic entrant par listes Google Threat Intelligence sources, sélectionnez une ou plusieurs listes Google Threat Intelligence dans le champ Google Cloud Threat Intelligence. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

   9. Destination : spécifiez les paramètres de destination facultatifs. Pour en savoir plus, consultez Destinations des règles d'entrée.

      • Pour ne pas filtrer le trafic entrant par adresse IP de destination, sélectionnez Aucune.
      • Pour filtrer le trafic entrant par adresse IP de destination, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR au même format que celui utilisé pour les plages IPv4 ou IPv6 sources.

   10. Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.

   11. Application : indiquez si la règle de pare-feu est appliquée ou non :

       • Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
       • Désactivée : crée la règle, mais ne l'applique pas aux nouvelles connexions.

5. Cliquez sur Créer.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Remplacez les éléments suivants :

• PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
• POLICY_NAME : nom de la stratégie de pare-feu de réseau régionale dans laquelle vous souhaitez créer la règle.
• PROJECT_ID : ID du projet contenant la stratégie de pare-feu de réseau régional.
• POLICY_REGION : région de la règle.
• DESCRIPTION : description facultative de la nouvelle règle.
• ACTION : spécifiez l'une des actions suivantes :
  • allow : autorise les connexions correspondant à la règle.
  • deny : refuse les connexions correspondant à la règle.
  • goto_next : poursuit le processus d'évaluation des règles de pare-feu.
• Les indicateurs --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu VPC.
• Les indicateurs --disabled et --no-disabled permettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée).
• Spécifiez une cible :
  • Si vous omettez les indicateurs --target-secure-tags et --target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges.
  • TARGET_SECURE_TAGS : liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instances les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tags sécurisés.
  • TARGET_SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
• LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
  • Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
  • Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
  • Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
• Spécifiez une source pour la règle d'entrée. Pour en savoir plus, consultez Combinaisons de sources de règles d'entrée :
  • SRC_NETWORK_CONTEXT : définit des contextes de réseau source à utiliser conjointement avec un autre paramètre source compatible pour produire une combinaison de sources. Les valeurs valides lorsque --target-type=INSTANCES sont INTERNET, NON_INTERNET, VPC_NETWORKS ou INTRA_VPC. Pour en savoir plus, consultez Contextes réseau.
  • SRC_VPC_NETWORKS : liste de réseaux VPC séparés par des virgules et spécifiés par leurs identifiants d'URL. Spécifiez cet indicateur uniquement lorsque --src-network-context est VPC_NETWORKS.
  • SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
  • SRC_ADDRESS_GROUPS : liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.
  • SRC_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
  • SRC_SECURE_TAGS : liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le flag --src-secure-tags si --src-network-context est défini sur INTERNET.
  • SRC_COUNTRY_CODES : liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser l'option --src-region-codes si --src-network-context est défini sur NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
  • SRC_THREAT_LIST_NAMES : liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. Vous ne pouvez pas utiliser l'option --src-threat-intelligence si --src-network-context est défini sur NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
• Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
  • DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.

gcloud

gcloud beta compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --target-type=INTERNAL_MANAGED_LB \
    [--target-forwarding-rules=TARGET_FORWARDING_RULES] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Remplacez les éléments suivants :

• PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
• POLICY_NAME : nom de la stratégie de pare-feu de réseau régionale dans laquelle vous souhaitez créer la règle.
• PROJECT_ID : ID du projet contenant la stratégie de pare-feu de réseau régional.
• POLICY_REGION : région de la règle.
• DESCRIPTION : description facultative de la nouvelle règle.
• ACTION : spécifiez l'une des actions suivantes :
  • allow : autorise les connexions correspondant à la règle.
  • deny : refuse les connexions correspondant à la règle.
  • goto_next : poursuit le processus d'évaluation des règles de pare-feu.
• Les indicateurs --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu VPC.
• Les indicateurs --disabled et --no-disabled permettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée).
• Spécifiez une cible :
  • Si vous omettez l'option --target-forwarding-rules, Cloud NGFW utilise les cibles d'équilibreur de charge les plus larges.
  • TARGET_FORWARDING_RULES : règle de transfert unique pour un équilibreur de charge d'application interne ou un équilibreur de charge réseau proxy interne spécifié au format des règles de transfert cible. Ce paramètre permet de limiter les cibles d'équilibreur de charge les plus larges à un équilibreur de charge d'application interne ou à un équilibreur de charge réseau proxy interne spécifique.
• LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
  • Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
  • Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
  • Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
• Spécifiez une source pour la règle d'entrée. Pour en savoir plus, consultez Combinaisons de sources de règles d'entrée :
  • SRC_NETWORK_CONTEXT : définit des contextes de réseau source à utiliser conjointement avec un autre paramètre source compatible pour produire une combinaison de sources. Les valeurs valides lorsque --target-type=INTERNAL_MANAGED_LB sont VPC_NETWORKS ou INTRA_VPC. Pour en savoir plus, consultez Contextes réseau.
  • SRC_VPC_NETWORKS : liste de réseaux VPC séparés par des virgules et spécifiés par leurs identifiants d'URL. Spécifiez cet indicateur uniquement lorsque --src-network-context est VPC_NETWORKS.
  • SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
  • SRC_ADDRESS_GROUPS : liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.
  • SRC_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
• Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
  • DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.

Console

1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

   Accéder à la page Règles de pare-feu

2. Dans la liste des sélecteurs de projet, sélectionnez un projet contenant une stratégie de pare-feu de réseau régional.

3. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom d'une stratégie de pare-feu de réseau régionale dans laquelle vous souhaitez créer une règle.

4. Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :

   1. Priorité : ordre d'évaluation numérique de la règle.

      Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.

   2. Description : vous pouvez éventuellement indiquer une description.

   3. Sens du trafic : sélectionnez Sortie.

   4. Action en cas de correspondance : sélectionnez l'une des options suivantes :

      • Autoriser : autorise les connexions correspondant aux paramètres de la règle.
      • Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
      • Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.

   5. Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.

   6. Cible : sélectionnez l'une des options suivantes :

      • Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
      • Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez :
        • Dans la section Champ d'application du compte de service, sélectionnez Dans ce projet > Compte de service cible. Cela permet de spécifier un compte de service dans le même projet que la stratégie de pare-feu de réseau régionale.
        • Dans la section Champ d'application du compte de service, sélectionnez Dans un autre projet > Compte de service cible. Cela permet de spécifier un compte de service dans un projet de service VPC partagé.
      • Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.

   7. Contexte du réseau de destination : spécifiez un contexte de réseau :

      • Pour ignorer le filtrage du trafic sortant par contexte réseau, sélectionnez Tous les contextes de réseau.
      • Pour filtrer le trafic sortant vers un contexte réseau spécifique, sélectionnez Contexte réseau spécifique, puis sélectionnez un contexte réseau :
        • Internet : le trafic sortant doit correspondre au contexte réseau Internet pour les paquets de sortie.
        • Non Internet : le trafic sortant doit correspondre au contexte réseau non Internet pour les paquets sortants.

   8. Filtres de destination : spécifiez des paramètres de destination supplémentaires. Certains paramètres de destination ne peuvent pas être utilisés ensemble. De plus, le contexte de réseau de destination que vous choisissez limite les filtres de destination que vous pouvez utiliser. Pour en savoir plus, consultez Destinations pour les règles de sortie et Combinaisons de destinations pour les règles de sortie.

      • Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
      • Pour filtrer le trafic sortant par plages IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle destination IPv6.
      • Pour filtrer le trafic sortant par nom de domaine complet de destination, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez la section Objets de nom de domaine complet.
      • Pour filtrer le trafic sortant par géolocalisation de destination, sélectionnez une ou plusieurs zones géographiques dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
      • Pour filtrer le trafic sortant par groupe d'adresses de destination, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
      • Pour filtrer le trafic sortant par listes Google Threat Intelligence de destination, sélectionnez une ou plusieurs listes Google Threat Intelligence dans le champ Google Cloud Threat Intelligence. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

   9. Source : spécifiez les paramètres de source facultatifs. Pour en savoir plus, consultez Sources pour les règles de sortie.

      • Pour ne pas filtrer le trafic sortant par adresse IP source, sélectionnez Aucun.
      • Pour filtrer le trafic sortant par adresse IP source, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR en utilisant le même format que pour les plages IPv4 de destination ou les plages IPv6 de destination.

   10. Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.

   11. Application : indiquez si la règle de pare-feu est appliquée ou non :

       • Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
       • Désactivée : crée la règle, mais ne l'applique pas aux nouvelles connexions.

5. Cliquez sur Créer.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --project=PROJECT_ID \
    --firewall-policy-region=POLICY_REGION \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Remplacez les éléments suivants :

• PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
• POLICY_NAME : nom de la stratégie de pare-feu de réseau régionale dans laquelle vous souhaitez créer la règle.
• PROJECT_ID : ID du projet contenant la stratégie de pare-feu de réseau régional.
• POLICY_REGION : région de la règle.
• DESCRIPTION : description facultative de la nouvelle règle.
• ACTION : spécifiez l'une des actions suivantes :
  • allow : autorise les connexions correspondant à la règle.
  • deny : refuse les connexions correspondant à la règle.
  • goto_next : poursuit le processus d'évaluation des règles de pare-feu.
• Les indicateurs --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu VPC.
• Les indicateurs --disabled et --no-disabled permettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée).
• Spécifiez une cible :
  • Si vous omettez les indicateurs --target-secure-tags et --target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges.
  • TARGET_SECURE_TAGS : liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instances les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tags sécurisés.
  • TARGET_SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
• LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
  • Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
  • Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
  • Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
• Spécifiez une destination pour la règle de sortie. Pour en savoir plus, consultez Combinaisons de destinations pour les règles de sortie :
  • DEST_NETWORK_CONTEXT : définit des contextes de réseau de destination à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destinations. Les valeurs valides sont INTERNET et NON_INTERNET. Pour en savoir plus, consultez Contextes réseau.
  • DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
  • DEST_ADDRESS_GROUPS : liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques.
  • DEST_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
  • DEST_COUNTRY_CODES : liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.
  • DEST_THREAT_LIST_NAMES : liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
• Vous pouvez également spécifier une source pour la règle de sortie :
  • SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.