Pour inspecter le trafic réseau des consommateurs, vous utilisez des stratégies de pare-feu afin de rediriger le trafic vers le groupe de points de terminaison d'interception du VPC. Le trafic passe ensuite par le groupe de déploiement d'interception du producteur vers ses ressources de calcul.
Cette page explique comment configurer et gérer les stratégies et les règles de pare-feu réseau au niveau mondial. Si vous souhaitez créer des stratégies et des règles de pare-feu hiérarchiques, consultez la page Utiliser des règles et des stratégies de pare-feu hiérarchiques.
Avant de commencer
Activez l' API Compute Engine dans votre Google Cloud projet.
Activez l' API Network Security dans votre Google Cloud projet.
Installer gcloud CLI.
Créer un groupe de profils de sécurité.
Rôles
Pour créer, afficher ou supprimer des règles de pare-feu, demandez à votre administrateur de vous accorder les rôles Identity and Access Management (IAM) nécessaires dans votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre
rôle utilisateur dispose des rôles suivants au niveau du projet : administrateur de la sécurité Compute
(roles/compute.securityAdmin), administrateur du réseau Compute
(roles/compute.networkAdmin) et lecteur Compute (roles/compute.viewer)
:
compute.networks.getcompute.networks.listcompute.firewallPolicies.createcompute.firewallPolicies.updatecompute.firewallPolicies.removeAssociation
Créer des stratégies et des règles de pare-feu
Vous créez une stratégie de pare-feu et une règle avec l'action APPLY_SECURITY_PROFILE_GROUP.
Console
Pour créer une stratégie de pare-feu réseau, procédez comme suit :
Dans la Google Cloud console, accédez à la page Règles de pare-feu.
Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom, saisissez un nom pour la stratégie.
Pour le Champ d'application du déploiement, sélectionnez Mondial.
Pour créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.
- Dans le champ Priorité, définissez le numéro de commande de la règle, où
0correspond à la priorité la plus élevée. - Pour le Sens du trafic, sélectionnez Entrée.
- Dans le champ Action en cas de correspondance, sélectionnez Passer à l'inspection L7.
- Dans le champ Objectif, sélectionnez NSI in-band.
- Pour Groupe de profils de sécurité, sélectionnez le groupe de profils de sécurité d'interception personnalisé.
- Pour Type de cible, spécifiez la cible de la règle.
- Pour Filtres sources, spécifiez le filtre source.
- Pour Destinations, spécifiez les filtres de destination.
- Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
- Cliquez sur Créer.
- Dans le champ Priorité, définissez le numéro de commande de la règle, où
Cliquez sur Ajouter une règle pour ajouter une règle.
Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux VPC.
Cliquez sur Créer.
Pour en savoir plus, consultez Créer des règles de pare-feu réseau au niveau mondial.
gcloud
Pour créer une stratégie de pare-feu réseau, utilisez la
gcloud compute firewall-policies create
commande :
gcloud compute network-firewall-policies create FIREWALL_POLICY
Pour créer une règle de pare-feu, utilisez la
gcloud compute network-firewall-policies rules create
commande :
gcloud compute network-firewall-policies rules create PRIORITY \
--action APPLY_SECURITY_PROFILE_GROUP \
--firewall-policy FIREWALL_POLICY \
--security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
--direction DIRECTION \
--layer4-configs LAYER4_CONIFG \
--src-ip-ranges SRC_IP_RANGE \
[--dest-ip-ranges DEST_IP_RANGE] \
--global-firewall-policy
Remplacez les éléments suivants :
PRIORITY: priorité de la règle à ajouter.FIREWALL_POLICY: ID de la stratégie de pare-feu avec laquelle créer une règle.ORGANIZATION_ID: ID de l'organisation dans laquelle le groupe de profils de sécurité est créé.SECURITY_PROFILE_GROUP_ID: ID du groupe de profils de sécurité qui comporte une actioncustom-intercept-profile.DIRECTION: indique si la règle est une règleingressouegress. Si le sens n'est pas spécifié, la règle s'applique par défaut au trafic entrant. Pour le trafic entrant, vous ne pouvez pas spécifier de plages de destination. Pour le trafic sortant, vous ne pouvez pas spécifier de plages sources ni de tags sources.LAYER4_CONFIG: liste des protocoles et ports de destination auxquels la règle de pare-feu s'applique.SRC_IP_RANGE: plages d'adresses IP sources. Cette valeur n'est spécifiée que siDIRECTIONestingress.DEST_IP_RANGE: plages d'adresses IP de destination. Cette valeur n'est spécifiée que siDIRECTIONestegress.
Terraform
Pour créer une stratégie de pare-feu, vous pouvez utiliser une ressource google_compute_firewall_policy.
Pour créer une règle de stratégie de pare-feu, vous pouvez utiliser une ressource google_compute_network_firewall_policy_rule.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
Décrire les stratégies et les règles de pare-feu
Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le sélecteur de projets, sélectionnez le projet contenant la stratégie de pare-feu de réseau au niveau mondial.
Cliquez sur la stratégie.
Pour afficher les détails d'une règle, cliquez sur sa priorité.
gcloud
Pour décrire une stratégie de pare-feu, utilisez la
gcloud compute network-firewall-policies describe
commande :
gcloud compute network-firewall-policies describe FIREWALL_POLICY
Pour décrire une règle de pare-feu, utilisez la
gcloud compute network-firewall-policies rules describe
commande :
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy FIREWALL_POLICY
Remplacez FIREWALL_POLICY par l'ID de la stratégie de pare-feu dans laquelle la règle est définie.
Supprimer des stratégies et des règles de pare-feu
Vous pouvez supprimer une stratégie et ses règles de pare-feu. Vous devez supprimer toutes les associations d'une stratégie de pare-feu d'organisation avant de pouvoir la supprimer.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le sélecteur de projets, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Pour supprimer une règle de pare-feu, utilisez la
gcloud compute network-firewall-policies rules delete
commande :
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy FIREWALL_POLICY
Remplacez FIREWALL_POLICY par l'ID de la stratégie de pare-feu dans laquelle la règle est définie.
Pour supprimer une stratégie de pare-feu, utilisez la
gcloud compute network-firewall-policies delete
commande :
gcloud compute network-firewall-policies delete FIREWALL_POLICY