Créer et gérer des règles de pare-feu

Pour inspecter le trafic réseau des consommateurs, vous utilisez des stratégies de pare-feu afin de rediriger le trafic vers le groupe de points de terminaison d'interception du VPC. Le trafic passe ensuite par le groupe de déploiement d'interception du producteur pour accéder à ses ressources de calcul.

Cette page explique comment configurer et gérer les règles et les stratégies de pare-feu de réseau mondiales. Si vous souhaitez créer des règles et des stratégies de pare-feu hiérarchiques, consultez Utiliser des règles et des stratégies de pare-feu hiérarchiques.

Avant de commencer

Rôles

Pour créer, afficher ou supprimer des règles de pare-feu, demandez à votre administrateur de vous accorder les rôles Identity and Access Management (IAM) nécessaires sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des rôles Administrateur de sécurité Compute (roles/compute.securityAdmin), Administrateur de réseau Compute (roles/compute.networkAdmin) et Lecteur Compute (roles/compute.viewer) au niveau du projet :

  • compute.networks.get
  • compute.networks.list
  • compute.firewallPolicies.create
  • compute.firewallPolicies.update
  • compute.firewallPolicies.removeAssociation

Créer des règles et des stratégies de pare-feu

Vous créez une stratégie de pare-feu et une règle avec l'action APPLY_SECURITY_PROFILE_GROUP.

Console

Pour créer une stratégie de pare-feu réseau, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Dans le champ Nom, saisissez un nom pour la règle.

  5. Pour le Champ d'application du déploiement, sélectionnez Mondial.

  6. Pour créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.

    1. Dans le champ Priorité, définissez le numéro de commande de la règle, où 0 correspond à la priorité la plus élevée.
    2. Pour Direction du trafic, sélectionnez Entrée.
    3. Dans le champ Action en cas de correspondance, sélectionnez Passer à l'inspection L7.
    4. Dans le champ Objectif, sélectionnez NSI in-band.
    5. Pour Groupe de profils de sécurité, sélectionnez le groupe de profils de sécurité d'interception personnalisée.
    6. Pour Type de cible, spécifiez la cible de la règle.
    7. Pour Filtres sources, spécifiez le filtre source.
    8. Pour Destinations, spécifiez les filtres de destination.
    9. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
    10. Cliquez sur Créer.

  7. Cliquez sur Ajouter une règle pour ajouter une règle.

  8. Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux VPC.

  9. Cliquez sur Créer.

Pour en savoir plus, consultez Créer des règles de pare-feu de réseau au niveau mondial.

gcloud

Pour créer une stratégie de pare-feu réseau, utilisez la commande gcloud compute firewall-policies create :

gcloud compute network-firewall-policies create FIREWALL_POLICY

Pour créer une règle de pare-feu, utilisez la commande gcloud compute network-firewall-policies rules create :

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle à ajouter.

  • FIREWALL_POLICY : ID de la stratégie de pare-feu avec laquelle créer une règle.

  • ORGANIZATION_ID : ID de l'organisation dans laquelle le groupe de profils de sécurité est créé.

  • SECURITY_PROFILE_GROUP_ID : ID du groupe de profils de sécurité qui comporte une action custom-intercept-profile.

  • DIRECTION : indique si la règle est une règle ingress ou egress. Si la direction n'est pas spécifiée, la règle s'applique par défaut au trafic entrant. Pour le trafic entrant, vous ne pouvez pas spécifier de plages de destination. Pour le trafic sortant, vous ne pouvez pas spécifier de plages ni de tags sources.

  • LAYER4_CONFIG : liste des protocoles et ports de destination auxquels la règle de pare-feu s'applique.

  • SRC_IP_RANGE : plages d'adresses IP sources. Cette valeur n'est spécifiée que si DIRECTION est défini sur ingress.

  • DEST_IP_RANGE : plages d'adresses IP de destination. Cette valeur n'est spécifiée que si DIRECTION est défini sur egress.

Terraform

Pour créer une règle de pare-feu, vous pouvez utiliser une ressource google_compute_firewall_policy.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

Pour créer une règle de stratégie de pare-feu, vous pouvez utiliser une ressource google_compute_network_firewall_policy_rule.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Décrire les règles et les stratégies de pare-feu

Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le sélecteur de projets, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.

  3. Cliquez sur la stratégie.

  4. Pour afficher les détails d'une règle, cliquez sur sa priorité.

gcloud

Pour décrire une stratégie de pare-feu, utilisez la commande gcloud compute network-firewall-policies describe :

gcloud compute network-firewall-policies describe FIREWALL_POLICY

Pour décrire une règle de pare-feu, utilisez la commande gcloud compute network-firewall-policies rules describe :

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

Remplacez FIREWALL_POLICY par l'ID de la règle de pare-feu dans laquelle la règle est définie.

Supprimer des règles et des stratégies de pare-feu

Vous pouvez supprimer une stratégie et ses règles de pare-feu. Vous devez supprimer toutes les associations d'une stratégie de pare-feu d'organisation avant de pouvoir la supprimer.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le sélecteur de projets, sélectionnez le projet contenant la règle.

  3. Cliquez sur la stratégie.

  4. Sélectionnez la règle que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

  6. Cliquez sur l'onglet Associations.

  7. Sélectionnez l'association que vous souhaitez supprimer.

  8. Cliquez sur Supprimer les associations.

  9. Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

Pour supprimer une règle de pare-feu, utilisez la commande gcloud compute network-firewall-policies rules delete :

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

Remplacez FIREWALL_POLICY par l'ID de la règle de pare-feu dans laquelle la règle est définie.

Pour supprimer une règle de pare-feu, utilisez la commande gcloud compute network-firewall-policies delete :

gcloud compute network-firewall-policies delete FIREWALL_POLICY