Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu hiérarchiques. Pour consulter des exemples de mises en œuvre de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.
Limites
- Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau de cloud privé virtuel (VPC) cible ou un compte de service cible.
- Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
- Une seule stratégie de pare-feu peut être associée à une ressource (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de ressources complète au-dessus de la VM.
- La journalisation des règles de pare-feu est compatible avec les règles
allowetdeny, mais pas avec les règlesgoto_next. - Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.
Tâches liées aux stratégies de pare-feu
Cette section explique comment créer et gérer des règles de pare-feu hiérarchiques.
Pour vérifier la progression d'une opération résultant d'une tâche listée dans cette section, assurez-vous que votre compte principal IAM dispose des autorisations ou des rôles suivants en plus de ceux requis pour chaque tâche.
Créer des règles de pare-feu
Lorsque vous créez une stratégie de pare-feu hiérarchique, vous pouvez définir son parent sur l'organisation ou sur un dossier de l'organisation. Après avoir créé la stratégie, vous pouvez l'associer à l'organisation ou à un dossier de l'organisation.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom de la règle, saisissez un nom pour la règle.
Facultatif : Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer.
Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu.
Pour en savoir plus, consultez Créer une règle.
Facultatif : Si vous souhaitez associer la stratégie à une ressource, cliquez sur Continuer.
Dans la section Associer la stratégie à des ressources, cliquez sur Ajouter.
Pour en savoir plus, consultez Associer une stratégie à l'organisation ou au dossier.
Cliquez sur Créer.
gcloud
Exécutez ces commandes pour créer une stratégie de pare-feu hiérarchique dont le parent est une organisation :
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
Exécutez ces commandes pour créer une stratégie de pare-feu hiérarchique dont le parent est un dossier au sein d'une organisation :
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
Remplacez les éléments suivants :
ORG_ID: ID de votre organisation.Spécifiez un ID d'organisation pour créer une règle dont le parent est une organisation. La règle peut être associée à l'organisation ou à un dossier de l'organisation.
SHORT_NAME: nom de la règleUne stratégie créée en utilisant Google Cloud CLI possède deux noms : un nom généré par le système et un nom court que vous spécifiez. Lorsque vous mettez à jour une stratégie existante à l'aide de gcloud CLI, vous pouvez indiquer le nom généré par le système ou le nom court et l'ID de l'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.
FOLDER_ID: ID d'un dossierSpécifiez un ID de dossier pour créer une stratégie dont le parent est un dossier. La stratégie peut être associée à l'organisation contenant le dossier ou à n'importe quel dossier de cette organisation.
Associer une stratégie à l'organisation ou au dossier
Lorsque vous associez une stratégie de pare-feu hiérarchique à une organisation ou à un dossier d'une organisation, les règles de la stratégie de pare-feu (à l'exception des règles désactivées et en fonction de la cible de chaque règle) s'appliquent aux ressources des réseaux VPC dans les projets de l'organisation ou du dossier associés.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.
Cliquez sur Ajouter.
gcloud
Par défaut, si vous essayez d'insérer une association à une organisation ou un dossier déjà associé, la méthode échoue. Si vous spécifiez l'option --replace-association-on-target, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que la ressource se retrouve sans stratégie pendant la transition.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
Remplacez les éléments suivants :
POLICY_NAME: le nom court ou le nom généré par le système de la stratégieORG_ID: ID de votre organisation.FOLDER_ID: si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.ASSOCIATION_NAME: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisationORG_ID" ou "dossierFOLDER_ID".
Déplacer une stratégie d'une ressource à une autre
Déplacer une règle ne modifie que son parent. Si vous modifiez le parent de la stratégie, vous risquez de modifier les entités principales IAM qui peuvent créer et mettre à jour des règles dans la stratégie, ainsi que celles qui peuvent créer des associations à l'avenir.
Le déplacement d'une stratégie n'a aucune incidence sur les associations de stratégies existantes ni sur l'évaluation des règles de la stratégie.
Console
Utilisez Google Cloud CLI pour cette procédure.
gcloud
Exécutez les commandes suivantes pour déplacer la stratégie de pare-feu hiérarchique vers une organisation :
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID
Exécutez ces commandes pour déplacer la stratégie de pare-feu hiérarchique vers un dossier d'une organisation :
gcloud compute firewall-policies move POLICY_NAME \
--folder FOLDER_ID
Remplacez les éléments suivants :
POLICY_NAME: nom court ou nom généré par le système de la stratégie que vous déplacez.ORG_ID: ID de l'organisation vers laquelle la règle est déplacéeFOLDER_ID: ID du dossier vers lequel la règle est déplacée
Mettre à jour la description d'une stratégie
Seul le champ Description peut être mis à jour pour la stratégie.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Modifiez la description.
Cliquez sur Enregistrer.
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
Règles de liste
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Pour une organisation, la section Stratégies de pare-feu associées à cette organisation affiche les stratégies associées. La section Stratégies de pare-feu situées dans cette organisation répertorie les stratégies appartenant à l'organisation.
Pour un dossier, la section Stratégies de pare-feu associées à ce dossier ou dont ce dossier a hérité affiche les stratégies associées ou dont le dossier a hérité. La section Stratégies de pare-feu situées dans ce dossier répertorie les stratégies appartenant au dossier.
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
Décrire une stratégie
Vous pouvez afficher des informations sur une stratégie de pare-feu hiérarchique, y compris les règles de la stratégie et les attributs de règle associés. Tous ces attributs de règle sont comptabilisés dans le quota d'attributs de règle. Pour en savoir plus, consultez "Attributs de règle par stratégie de pare-feu hiérarchique" dans le tableau Par stratégie de pare-feu.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
Supprimer une stratégie
Avant de pouvoir supprimer une stratégie de pare-feu hiérarchique, vous devez supprimer toutes ses associations.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer l'association.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Exécutez la commande suivante pour supprimer la règle :
gcloud compute firewall-policies delete POLICY_NAME \
--organization ORG_ID
Répertorier les associations pour une ressource
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Pour la ressource sélectionnée (organisation ou dossier), la liste des règles associées et héritées s'affiche.
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
Supprimer une association
Si vous devez modifier la stratégie de pare-feu hiérarchique associée à une organisation ou à un dossier, nous vous recommandons d'associer une nouvelle stratégie au lieu de supprimer une stratégie associée existante. Vous pouvez associer une nouvelle stratégie en une seule étape, ce qui permet de s'assurer qu'une stratégie de pare-feu hiérarchique est toujours associée à l'organisation ou au dossier.
Pour supprimer l'association entre une stratégie de pare-feu hiérarchique et une organisation ou un dossier, suivez les étapes décrites dans cette section. Les règles de la stratégie de pare-feu hiérarchique ne s'appliquent pas aux nouvelles connexions une fois son association supprimée.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer l'association.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
Tâches liées aux règles des stratégies de pare-feu
Cette section explique comment créer et gérer des règles de stratégie de pare-feu hiérarchique.
Créer une règle
Les règles des stratégies de pare-feu hiérarchiques doivent être créées dans une stratégie de pare-feu hiérarchique. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à une ressource.
Chaque règle de stratégie de pare-feu hiérarchique peut inclure des plages IPv4 ou IPv6, mais pas les deux.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur le nom de votre stratégie.
Cliquez sur Créer une règle de pare-feu.
Renseignez les champs de la règle :
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement des règles entre les règles existantes. - Définissez la collecte de journaux sur Activée ou Désactivée.
- Sous Sens du trafic, indiquez si cette règle est une règle d'entrée ou de sortie.
- Pour Action en cas de correspondance, choisissez l'une des options suivantes :
- Autoriser : autorise les connexions correspondant à la règle.
- Refuser : refuse les connexions correspondant à la règle.
- Passer à la suivante : transmet l'évaluation de la connexion à la règle de pare-feu inférieure suivante dans la hiérarchie.
- Appliquer le groupe de profils de sécurité : envoie les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.
- Dans la liste Groupe de profils de sécurité, sélectionnez le nom d'un groupe de profils de sécurité.
- Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS. Pour en savoir plus sur la manière dont les règles et les actions correspondantes sont évaluées pour chaque interface réseau de la VM, consultez la section Ordre d'évaluation des stratégies et des règles.
- Facultatif : vous pouvez limiter la règle à certains réseaux en les spécifiant dans le champ Réseau cible. Cliquez sur Ajouter un réseau, puis sélectionnez le projet et le réseau. Vous pouvez ajouter plusieurs réseaux cibles à une règle.
- Facultatif : vous pouvez limiter la règle aux VM en cours d'exécution qui ont accès à certains comptes de service en spécifiant ces comptes dans le champ Comptes de service cibles.
Facultatif : Vous pouvez sélectionner Tags sécurisés pour spécifier des sources pour les règles d'entrée et des cibles pour les règles d'entrée ou de sortie dans une règle. Pour en savoir plus, consultez Créer et gérer des tags sécurisés.
Pour une règle d'entrée, spécifiez le type de réseau source :
- Pour filtrer le trafic entrant appartenant à n'importe quel type de réseau, sélectionnez Tous les types de réseaux.
- Pour filtrer le trafic entrant appartenant à un type de réseau spécifique, sélectionnez Type de réseau spécifique.
- Pour filtrer le trafic entrant appartenant au type de réseau Internet (
INTERNET), sélectionnez Internet. - Pour filtrer le trafic entrant appartenant au type de réseau non Internet (
NON-INTERNET), sélectionnez Non Internet. - Pour filtrer le trafic entrant appartenant au type de réseau intra-VPC (
INTRA_VPC), sélectionnez Intra-VPC. - Pour filtrer le trafic entrant appartenant au type de réseaux VPC (
VPC_NETWORKS), sélectionnez Réseaux VPC, puis spécifiez un ou plusieurs réseaux à l'aide du bouton suivant :- Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux du projet actuel.
- Spécifier le réseau manuellement : vous permet de saisir manuellement un projet et un réseau.
- Sélectionner un projet : vous permet de choisir un projet à partir duquel vous pouvez sélectionner un réseau. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.
- Pour filtrer le trafic entrant appartenant au type de réseau Internet (
Pour une règle de sortie, spécifiez le type de réseau de destination :
- Pour filtrer le trafic sortant appartenant à n'importe quel type de réseau, sélectionnez Tous les types de réseau.
- Pour filtrer le trafic sortant appartenant à un type de réseau spécifique, sélectionnez Type de réseau spécifique.
- Pour filtrer le trafic sortant appartenant au type de réseau Internet (
INTERNET), sélectionnez Internet. - Pour filtrer le trafic sortant appartenant au type de réseau non Internet (
NON-INTERNET), sélectionnez Non Internet. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.
- Pour filtrer le trafic sortant appartenant au type de réseau Internet (
Pour une règle d'entrée, spécifiez le filtre source :
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle source IPv6.
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Pour une règle de sortie, spécifiez le filtre de destination :
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle destination IPv6.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Facultatif : Si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la section Objets de nom de domaine complet.
Facultatif : Si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
Facultatif : Si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez Groupes d'adresses pour les stratégies de pare-feu.
Facultatif : Si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Google Threat Intelligence, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle destination IPv4. - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez
::/0pour n'importe quelle destination IPv6. Pour en savoir plus, consultez Destinations pour les règles d'entrée.
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Facultatif : Pour une règle Sortie, spécifiez le filtre Source :
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle source IPv4. - Pour filtrer le trafic sortant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle source IPv6. Pour en savoir plus, consultez Sources pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
Pour spécifier le protocole ICMP IPv4, utilisez
icmpou le numéro de protocole1. Pour spécifier le protocole ICMP IPv6, utilisez le numéro de protocole58. Pour en savoir plus sur les protocoles, consultez la page Protocoles et ports.Cliquez sur Créer.
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
Cliquez sur Créer une règle de pare-feu pour ajouter une règle.
gcloud
Pour créer une règle d'entrée, utilisez la commande suivante :
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources TARGET_NETWORKS] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu réseau hiérarchique contenant la nouvelle règle.ORG_ID: ID de l'organisation contenant la stratégie de pare-feu hiérarchique.DESCRIPTION: description facultative de la nouvelle règleACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.apply_security_profile_group: envoie de manière transparente les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7. Lorsque l'action estapply_security_profile_group:- Vous devez inclure
--security-profile-group SECURITY_PROFILE_GROUP, où SECURITY_PROFILE_GROUP est le nom d'un groupe de profils de sécurité utilisé pour l'inspection de couche 7. - Incluez
--tls-inspectou--no-tls-inspectpour activer ou désactiver l'inspection TLS.
- Vous devez inclure
goto_next: passe à l'étape suivante du processus d'évaluation des règles de pare-feu.
- Les paramètres
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu. - Les paramètres
--disabledet--no-disableddéterminent si la règle est désactivée (non appliquée) ou activée (appliquée). - Spécifiez une cible :
TARGET_NETWORKS: liste de réseaux VPC séparés par des virgules, spécifiés par leurs URL de ressources réseau au formathttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.TARGET_SECURE_TAGS: liste de tags sécurisés séparés par une virgule Les valeurs de tags sécurisés cibles doivent provenir d'une clé de tag sécurisé contenant des données sur l'objectif de l'organisation.TARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule.- Si vous omettez les paramètres
target-resources,--target-secure-tagset--target-service-accounts, la règle s'applique à la cible la plus large.
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
- Spécifiez une source pour la règle d'entrée :
SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.SRC_ADDRESS_GROUPS: liste de groupes d'adresses séparés par des virgules et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.SRC_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.SRC_SECURE_TAGS: liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le paramètre--src-secure-tagssi--src-network-typeest défini surINTERNET.SRC_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser le paramètre--src-region-codessi--src-network-typeest défini surNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_THREAT_LIST_NAMES: liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. Vous ne pouvez pas utiliser le paramètre--src-threat-intelligencesi--src-network-typeest défini surNON_INTERNET,VPC_NETWORKouINTRA_VPC.SRC_NETWORK_TYPE: définit les types de réseau source à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destination spécifique. Les valeurs valides sontINTERNET,NON_INTERNET,VPC_NETWORKouINTRA_VPC. Pour en savoir plus, consultez Types de réseaux.SRC_VPC_NETWORK: liste de réseaux VPC séparés par une virgule et spécifiés par leurs identifiants d'URL. Spécifiez ce paramètre uniquement lorsque--src-network-typeest défini surVPC_NETWORKS.
- Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
Pour créer une règle de sortie, utilisez la commande suivante :
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources TARGET_NETWORKS] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu réseau hiérarchique contenant la nouvelle règle.ORG_ID: ID de l'organisation contenant la stratégie de pare-feu hiérarchique.DESCRIPTION: description facultative de la nouvelle règleACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.apply_security_profile_group: envoie de manière transparente les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7. Lorsque l'action estapply_security_profile_group:- Vous devez inclure
--security-profile-group SECURITY_PROFILE_GROUP, où SECURITY_PROFILE_GROUP est le nom d'un groupe de profils de sécurité utilisé pour l'inspection de couche 7. - Incluez
--tls-inspectou--no-tls-inspectpour activer ou désactiver l'inspection TLS.
- Vous devez inclure
goto_next: passe à l'étape suivante du processus d'évaluation des règles de pare-feu.
- Les paramètres
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu. - Les paramètres
--disabledet--no-disableddéterminent si la règle est désactivée (non appliquée) ou activée (appliquée). - Spécifiez une cible :
TARGET_NETWORKS: liste de réseaux VPC séparés par des virgules, spécifiés par leurs URL de ressources réseau au formathttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.TARGET_SECURE_TAGS: liste de tags sécurisés séparés par une virgule Les valeurs de tags sécurisés cibles doivent provenir d'une clé de tag sécurisé contenant des données sur l'objectif de l'organisation.TARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule.- Si vous omettez les paramètres
target-resources,--target-secure-tagset--target-service-accounts, la règle s'applique à la cible la plus large.
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
- Vous pouvez éventuellement spécifier une source pour la règle de sortie :
SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.
- Spécifiez une destination pour la règle de sortie :
DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou des CIDR IPv6, et non une combinaison des deux.DEST_ADDRESS_GROUPS: liste de groupes d'adresses séparés par des virgules et spécifiés par leurs identifiants d'URL uniques.DEST_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.DEST_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.DEST_THREAT_LIST_NAMES: liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.DEST_NETWORK_TYPE: définit un type de réseau de destination à utiliser avec un autre paramètre de destination compatible pour produire une combinaison de destinations spécifique. Les valeurs valides sontINTERNETetNON_INTERNET. Pour en savoir plus, consultez Types de réseaux.
Répertorier toutes les règles d'une stratégie
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie. Les règles sont répertoriées dans l'onglet Règles de pare-feu.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
Décrire une règle
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
Remplacez les éléments suivants :
PRIORITY: priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.ORG_ID: ID de votre organisation.POLICY_NAME: le nom court ou le nom généré par le système de la stratégie contenant la règle
Mettre à jour une règle
Pour obtenir une description des champs, consultez Créer une règle.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs comme souhaité.
Cliquez sur Enregistrer.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
Copier des règles d'une stratégie à une autre
Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie dont vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer pour ouvrir la section Associer la stratégie à des ressources.
Cliquez sur Clone (Cloner).
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
Remplacez l'élément suivant :
POLICY_NAME: stratégie destinée à recevoir les règles copiées.ORG_ID: ID de votre organisation.SOURCE_POLICY: stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).
Supprimer une règle
Si vous supprimez une règle d'une stratégie, elle ne s'appliquera plus aux nouvelles connexions vers ou depuis la cible de la règle.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
Remplacez l'élément suivant :
PRIORITY: priorité de la règle que vous souhaitez supprimer de la stratégie.ORG_ID: ID de votre organisation.POLICY_NAME: stratégie qui contient la règle.
Obtenir des règles de pare-feu efficaces pour un réseau
Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau au niveau mondial qui s'appliquent à toutes les régions d'un réseau VPC.
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Cliquez sur Pare-feu.
Développez chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Remplacez NETWORK_NAME par le réseau pour lequel vous souhaitez afficher les règles effectives.
Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
Obtenir des règles de pare-feu efficaces pour une interface de VM
Vous pouvez afficher toutes les règles de pare-feu (issues de toutes les stratégies de pare-feu et règles de pare-feu VPC applicables) qui s'appliquent à une interface réseau d'une VM Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Instances de VM.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur l'interface.
Les règles de pare-feu efficaces apparaissent dans l'onglet Pare-feu de la section Analyse de la configuration réseau.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
Remplacez les éléments suivants :
INSTANCE_NAME: VM pour laquelle vous souhaitez afficher les règles en vigueur. Si aucune interface n'est spécifiée, la commande renvoie des règles pour l'interface principale (nic0).INTERFACE: interface de VM pour laquelle vous souhaitez afficher les règles en vigueur. La valeur par défaut estnic0.ZONE: zone de la VM. Cette ligne est facultative si la zone choisie est déjà définie comme valeur par défaut.
Dépannage
Cette section contient des explications sur les messages d'erreur que vous pouvez rencontrer.
FirewallPolicy may not specify a name. One will be provided.Vous ne pouvez pas spécifier de nom de stratégie. Les "noms" de stratégies de pare-feu hiérarchique sont des ID numériques générés par Google Cloud lors de la création de la stratégie. Toutefois, vous pouvez spécifier un nom court plus convivial, qui agit comme un alias dans de nombreux contextes.
FirewallPolicy may not specify associations on creation.Les associations ne peuvent être créées qu'après la création des stratégies de pare-feu hiérarchiques.
Can not move firewall policy to a different organization.Les déplacements de stratégies de pare-feu hiérarchiques doivent rester au sein de la même organisation.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.Si une ressource est déjà associée à une stratégie de pare-feu hiérarchique, l'opération de rattachement échoue sauf si l'option de remplacement des associations existantes est définie sur "true".
Cannot have rules with the same priorities.Les priorités des règles doivent être uniques au sein d'une stratégie de pare-feu hiérarchique.
Direction must be specified on firewall policy rule.Lorsque vous créez des règles des stratégies de pare-feu hiérarchiques en envoyant directement des requêtes REST, vous devez spécifier la direction de la règle. Lorsque vous utilisez la Google Cloud CLI et qu'aucune direction n'est spécifiée, la valeur par défaut est
INGRESS.Can not specify enable_logging on a goto_next rule.La journalisation du pare-feu n'est pas autorisée pour les règles ayant une action goto_next, car les actions goto_next sont utilisées pour représenter l'ordre d'évaluation des différentes stratégies de pare-feu. Elles ne sont pas des actions de terminal telles que ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.L'indicateur
layer4Configsde la règle de stratégie de pare-feu doit spécifier au moins un protocole ou un protocole et un port de destination.Pour en savoir plus sur la résolution des problèmes liés aux règles des stratégies de pare-feu, consultez la page Dépannage des règles de pare-feu VPC.