Cette page explique comment contrôler le trafic réseau dans votre organisation et vos dossiersCloud de Confiance by S3NS à l'aide de règles et de stratégies de pare-feu hiérarchiques. Découvrez comment définir des règles au niveau de l'organisation ou d'un dossier, puis les associer à des ressources spécifiques.
Avant de lire cette page, assurez-vous de maîtriser les concepts décrits dans la présentation des stratégies de pare-feu hiérarchiques. Pour consulter des exemples de mises en œuvre de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.
Limites
- Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau de cloud privé virtuel (VPC) cible ou un compte de service cible.
- Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
- Une seule stratégie de pare-feu peut être associée à une ressource (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de ressources complète au-dessus de la VM.
- La journalisation des règles de stratégie de pare-feu est compatible avec les règles
allowetdeny, mais pas avec les règlesgoto_next. - Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.
Tâches liées aux stratégies de pare-feu
Cette section explique comment créer et associer des stratégies de pare-feu hiérarchiques.
Créer des règles de pare-feu
Lorsque vous créez une stratégie de pare-feu hiérarchique, vous pouvez définir son parent sur l'organisation ou sur un dossier de l'organisation. Après avoir créé la stratégie, vous pouvez l'associer à l'organisation ou à un dossier de l'organisation.
Console
Dans la console Cloud de Confiance , accédez à la page Règles de pare-feu.
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom de la règle, saisissez un nom pour la règle.
Facultatif : Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer.
Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu. Pour en savoir plus sur la création de règles de pare-feu, consultez les ressources suivantes :
Facultatif : Si vous souhaitez associer la stratégie à une ressource, cliquez sur Continuer.
Dans la section Associer la stratégie à des ressources, cliquez sur Ajouter.
Pour en savoir plus, consultez Associer une stratégie à l'organisation ou à un dossier.
Cliquez sur Créer.
gcloud
Exécutez ces commandes pour créer une stratégie de pare-feu hiérarchique dont le parent est une organisation :
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
Exécutez ces commandes pour créer une stratégie de pare-feu hiérarchique dont le parent est un dossier au sein d'une organisation :
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
Remplacez les éléments suivants :
ORG_ID: ID de votre organisation.Spécifiez un ID d'organisation pour créer une règle dont le parent est une organisation. La stratégie peut être associée à l'organisation ou à un dossier de l'organisation.
SHORT_NAME: nom de la règleUne stratégie créée en utilisant Google Cloud CLI possède deux noms : un nom généré par le système et un nom court que vous spécifiez. Lorsque vous mettez à jour une stratégie existante à l'aide de gcloud CLI, vous pouvez indiquer le nom généré par le système ou le nom court et l'ID de l'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.
FOLDER_ID: ID d'un dossierSpécifiez un ID de dossier pour créer une stratégie dont le parent est un dossier. La stratégie peut être associée à l'organisation contenant le dossier ou à n'importe quel dossier de cette organisation.
Associer une stratégie à l'organisation ou au dossier
Lorsque vous associez une stratégie de pare-feu hiérarchique à une organisation ou à un dossier d'une organisation, les règles de la stratégie de pare-feu (à l'exception des règles désactivées et en fonction de la cible de chaque règle) s'appliquent aux ressources des réseaux VPC dans les projets de l'organisation ou du dossier associés.
Console
Dans la console Cloud de Confiance , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.
Cliquez sur Ajouter.
gcloud
Par défaut, si vous essayez d'insérer une association à une organisation ou un dossier déjà associé, la méthode échoue. Si vous spécifiez l'option --replace-association-on-target, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que la ressource se retrouve sans stratégie pendant la transition.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
Remplacez les éléments suivants :
POLICY_NAME: le nom court ou le nom généré par le système de la stratégieORG_ID: ID de votre organisation.FOLDER_ID: si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.ASSOCIATION_NAME: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisationORG_ID" ou "dossierFOLDER_ID".
Tâches liées aux règles des stratégies de pare-feu
Cette section explique comment créer des règles de stratégie de pare-feu hiérarchiques.
Créer une règle d'entrée pour les cibles de VM
Cette section explique comment créer une règle d'entrée qui s'applique aux interfaces réseau des instances Compute Engine.
Console
Dans la console Cloud de Confiance , accédez à la page Règles de pare-feu.
Dans la liste des sélecteurs de projet, sélectionnez une organisation ou un dossier contenant une stratégie de pare-feu hiérarchique.
Si nécessaire, dans la section Index de hiérarchie, sélectionnez un dossier enfant.
Dans la section Stratégies de pare-feu, cliquez sur le nom d'une stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer une règle.
Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :
Priorité : ordre d'évaluation numérique de la règle.
Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.Description : vous pouvez éventuellement indiquer une description.
Sens du trafic : sélectionnez Entrée.
Action en cas de correspondance : sélectionnez l'une des options suivantes :
- Autoriser : autorise les connexions correspondant aux paramètres de la règle.
- Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
- Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.
- Appliquer un groupe de profils de sécurité : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception en fonction de la finalité que vous sélectionnez.
- Pour envoyer des paquets à un point de terminaison de pare-feu Cloud NGFW, sélectionnez Cloud NGFW Enterprise, puis un groupe de profils de sécurité. Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
- Pour envoyer des paquets à un groupe de points de terminaison d'interception Network Security Integration pour l'intégration en bande, sélectionnez NSI In-Band (NSI en bande), puis sélectionnez un groupe de profils de sécurité.
Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.
Réseaux cibles : si vous le souhaitez, pour que la stratégie de pare-feu s'applique aux cibles de réseaux VPC spécifiques, cliquez sur Ajouter un réseau, puis sélectionnez le projet et le réseau.
Cible : sélectionnez l'une des options suivantes :
- Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
- Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez dans Compte de service cible.
- Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
Contexte du réseau source : spécifiez un contexte de réseau :
- Pour ignorer le filtrage du trafic entrant par contexte réseau, sélectionnez Tous les contextes de réseau.
- Pour filtrer le trafic entrant vers un contexte réseau spécifique, sélectionnez Contexte de réseau spécifique, puis sélectionnez un contexte réseau :
- Internet : le trafic entrant doit correspondre au contexte réseau Internet pour les paquets d'entrée.
- Hors Internet : le trafic entrant doit correspondre au contexte réseau hors Internet pour les paquets entrants.
- Intra-VPC : le trafic entrant doit correspondre aux critères du contexte réseau intra-VPC.
- Réseaux VPC : le trafic entrant doit correspondre aux critères du contexte des réseaux VPC.
Vous devez sélectionner au moins un réseau VPC :
- Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux VPC à partir du projet contenant la stratégie de pare-feu.
- Spécifier le réseau manuellement : vous permet de saisir manuellement un projet et un réseau VPC.
- Sélectionner un projet : vous permet de sélectionner un projet à partir duquel vous pouvez sélectionner un réseau VPC.
Filtres sources : spécifiez des paramètres sources supplémentaires. Certains paramètres sources ne peuvent pas être utilisés ensemble. De plus, le contexte de réseau source que vous choisissez limite les paramètres sources que vous pouvez utiliser. Pour en savoir plus, consultez Sources pour les règles d'entrée et Combinaisons de sources pour les règles d'entrée.
- Pour filtrer le trafic entrant par plages IPv4 sources, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle source IPv6. - Pour filtrer le trafic entrant par valeurs de tags sécurisés sources, sélectionnez Sélectionner le champ d'application des tags dans la section Tags sécurisés. Indiquez ensuite les clés et les valeurs de tag. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
- Pour filtrer le trafic entrant par nom de domaine complet source, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez la section Objets de nom de domaine complet.
- Pour filtrer le trafic entrant par géolocalisation source, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
- Pour filtrer le trafic entrant par groupe d'adresses sources, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
- Pour filtrer le trafic entrant par plages IPv4 sources, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Destination : spécifiez les paramètres de destination facultatifs. Pour en savoir plus, consultez Destinations des règles d'entrée.
- Pour ne pas filtrer le trafic entrant par adresse IP de destination, sélectionnez Aucune.
- Pour filtrer le trafic entrant par adresse IP de destination, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR au même format que celui utilisé pour les plages IPv4 ou IPv6 sources.
Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.
Application : indiquez si la règle de pare-feu est appliquée ou non :
- Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
- Désactivée : crée la règle, mais ne l'applique pas aux nouvelles connexions.
Cliquez sur Créer.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=INGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--src-network-context=SRC_NETWORK_CONTEXT] \
[--src-networks=SRC_VPC_NETWORKS] \
[--src-ip-ranges=SRC_IP_RANGES] \
[--src-address-groups=SRC_ADDRESS_GROUPS] \
[--src-fqdns=SRC_DOMAIN_NAMES] \
[--src-secure-tags=SRC_SECURE_TAGS] \
[--src-region-codes=SRC_COUNTRY_CODES] \
[--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
[--dest-ip-ranges=DEST_IP_RANGES]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer la règle.ORG_ID: ID de l'organisation contenant la stratégie de pare-feu hiérarchique, si son parent est une organisation.FOLDER_ID: ID du dossier contenant la stratégie de pare-feu hiérarchique, si son parent est un dossier.DESCRIPTION: description facultative de la nouvelle règle.-
ACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.goto_next: poursuit le processus d'évaluation des règles de pare-feu.
apply_security_profile_group: envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception.- Lorsque l'action est
apply_security_profile_group, vous devez inclure--security-profile-group SECURITY_PROFILE_GROUP, oùSECURITY_PROFILE_GROUPest le nom d'un groupe de profils de sécurité. - Le profil de sécurité du groupe de profils de sécurité peut faire référence à un point de terminaison de pare-feu Cloud NGFW ou à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration intrabande.
- Si le profil de sécurité du groupe de profils de sécurité fait référence à un point de terminaison de pare-feu Cloud NGFW, incluez
--tls-inspectou--no-tls-inspectpour activer ou désactiver l'inspection TLS.
- Lorsque l'action est
- Les indicateurs
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu VPC. - Les indicateurs
--disabledet--no-disabledpermettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée). -
Spécifiez une cible :
- Si vous omettez les indicateurs
--target-resources,--target-secure-tagset--target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges. TARGET_NETWORKS: liste de réseaux VPC séparés par des virgules, spécifiés par leurs URL de ressources réseau au formathttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. L'indicateur--target-resourcespeut être utilisé seul ou en combinaison avec un autre indicateur cible. Pour en savoir plus, consultez Combinaisons de cibles spécifiques.TARGET_SECURE_TAGS: liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instances les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tags sécurisés.TARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
- Si vous omettez les indicateurs
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
-
Spécifiez une source pour la règle d'entrée.
Pour en savoir plus, consultez Combinaisons de sources de règles d'entrée :
SRC_NETWORK_CONTEXT: définit des contextes de réseau source à utiliser conjointement avec un autre paramètre source compatible pour produire une combinaison de sources. Les valeurs valides lorsque--target-type=INSTANCESsontINTERNET,NON_INTERNET,VPC_NETWORKSouINTRA_VPC. Pour en savoir plus, consultez Contextes réseau.SRC_VPC_NETWORKS: liste de réseaux VPC séparés par des virgules et spécifiés par leurs identifiants d'URL. Spécifiez cet indicateur uniquement lorsque--src-network-contextestVPC_NETWORKS.SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.SRC_ADDRESS_GROUPS: liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.SRC_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.SRC_SECURE_TAGS: liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le flag--src-secure-tagssi--src-network-contextest défini surINTERNET.SRC_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser l'option--src-region-codessi--src-network-contextest défini surNON_INTERNET,VPC_NETWORKSouINTRA_VPC.
-
Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
Créer une règle de sortie pour les cibles de VM
Les instructions suivantes expliquent comment créer une règle de sortie. Les règles de sortie ne s'appliquent qu'aux cibles qui sont des interfaces réseau d'instances Compute Engine.
Console
Dans la console Cloud de Confiance , accédez à la page Règles de pare-feu.
Dans la liste des sélecteurs de projet, sélectionnez une organisation ou un dossier contenant une stratégie de pare-feu hiérarchique.
Si nécessaire, dans la section Index de hiérarchie, sélectionnez un dossier enfant.
Dans la section Stratégies de pare-feu, cliquez sur le nom d'une stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer une règle.
Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :
Priorité : ordre d'évaluation numérique de la règle.
Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.Description : vous pouvez éventuellement indiquer une description.
Sens du trafic : sélectionnez Sortie.
Action en cas de correspondance : sélectionnez l'une des options suivantes :
- Autoriser : autorise les connexions correspondant aux paramètres de la règle.
- Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
- Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.
- Appliquer un groupe de profils de sécurité : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception en fonction de la finalité que vous sélectionnez.
- Pour envoyer des paquets à un point de terminaison de pare-feu Cloud NGFW, sélectionnez Cloud NGFW Enterprise, puis un groupe de profils de sécurité. Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
- Pour envoyer des paquets à un groupe de points de terminaison d'interception Network Security Integration pour l'intégration en bande, sélectionnez NSI In-Band (NSI en bande), puis sélectionnez un groupe de profils de sécurité.
Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.
Réseaux cibles : si vous le souhaitez, pour que la stratégie de pare-feu s'applique aux cibles de réseaux VPC spécifiques, cliquez sur Ajouter un réseau, puis sélectionnez le projet et le réseau.
Cible : sélectionnez l'une des options suivantes :
- Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
- Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez dans Compte de service cible.
- Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
Contexte du réseau de destination : spécifiez un contexte de réseau :
- Pour ignorer le filtrage du trafic sortant par contexte réseau, sélectionnez Tous les contextes de réseau.
- Pour filtrer le trafic sortant vers un contexte réseau spécifique, sélectionnez Contexte réseau spécifique, puis sélectionnez un contexte réseau :
- Internet : le trafic sortant doit correspondre au contexte réseau Internet pour les paquets de sortie.
- Non Internet : le trafic sortant doit correspondre au contexte réseau non Internet pour les paquets de sortie.
Filtres de destination : spécifiez des paramètres de destination supplémentaires. Certains paramètres de destination ne peuvent pas être utilisés ensemble. De plus, le contexte de réseau de destination que vous choisissez limite les filtres de destination que vous pouvez utiliser. Pour en savoir plus, consultez Destinations pour les règles de sortie et Combinaisons de destinations pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
0.0.0.0/0pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plages IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez
::/0pour n'importe quelle destination IPv6. - Pour filtrer le trafic sortant par nom de domaine complet de destination, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez la section Objets de nom de domaine complet.
- Pour filtrer le trafic sortant par géolocalisation de destination, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
- Pour filtrer le trafic sortant par groupe d'adresses de destination, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez
Source : spécifiez les paramètres de source facultatifs. Pour en savoir plus, consultez Sources pour les règles de sortie.
- Pour ne pas filtrer le trafic sortant par adresse IP source, sélectionnez Aucun.
- Pour filtrer le trafic sortant par adresse IP source, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR en utilisant le même format que pour les plages IPv4 de destination ou les plages IPv6 de destination.
Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.
Application : indiquez si la règle de pare-feu est appliquée ou non :
- Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
- Désactivée : crée la règle, mais ne l'applique pas aux nouvelles connexions.
Cliquez sur Créer.
gcloud
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy=POLICY_NAME \
--organization=ORG_ID | --folder=FOLDER_ID \
--description=DESCRIPTION \
--direction=EGRESS \
--action=ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources=TARGET_NETWORKS] \
[--target-secure-tags=TARGET_SECURE_TAGS] \
[--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs=LAYER_4_CONFIGS] \
[--dest-network-context=DEST_NETWORK_CONTEXT] \
[--dest-ip-ranges=DEST_IP_RANGES] \
[--dest-address-groups=DEST_ADDRESS_GROUPS] \
[--dest-fqdns=DEST_DOMAIN_NAMES] \
[--dest-region-codes=DEST_COUNTRY_CODES] \
[--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
[--src-ip-ranges=SRC_IP_RANGES]
Remplacez les éléments suivants :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où0correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple,100,200,300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.POLICY_NAME: nom de la stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer la règle.ORG_ID: ID de l'organisation contenant la stratégie de pare-feu hiérarchique, si son parent est une organisation.FOLDER_ID: ID du dossier contenant la stratégie de pare-feu hiérarchique, si son parent est un dossier.DESCRIPTION: description facultative de la nouvelle règle.-
ACTION: spécifiez l'une des actions suivantes :allow: autorise les connexions correspondant à la règle.deny: refuse les connexions correspondant à la règle.goto_next: poursuit le processus d'évaluation des règles de pare-feu.
apply_security_profile_group: envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception.- Lorsque l'action est
apply_security_profile_group, vous devez inclure--security-profile-group SECURITY_PROFILE_GROUP, oùSECURITY_PROFILE_GROUPest le nom d'un groupe de profils de sécurité. - Le profil de sécurité du groupe de profils de sécurité peut faire référence à un point de terminaison de pare-feu Cloud NGFW ou à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration intrabande.
- Si le profil de sécurité du groupe de profils de sécurité fait référence à un point de terminaison de pare-feu Cloud NGFW, incluez
--tls-inspectou--no-tls-inspectpour activer ou désactiver l'inspection TLS.
- Lorsque l'action est
- Les indicateurs
--enable-logginget--no-enable-loggingactivent ou désactivent la journalisation des règles de pare-feu VPC. - Les indicateurs
--disabledet--no-disabledpermettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée). -
Spécifiez une cible :
- Si vous omettez les indicateurs
--target-resources,--target-secure-tagset--target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges. TARGET_NETWORKS: liste de réseaux VPC séparés par des virgules, spécifiés par leurs URL de ressources réseau au formathttps://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. L'indicateur--target-resourcespeut être utilisé seul ou en combinaison avec un autre indicateur cible. Pour en savoir plus, consultez Combinaisons de cibles spécifiques.TARGET_SECURE_TAGS: liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instances les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tags sécurisés.TARGET_SERVICE_ACCOUNTS: liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
- Si vous omettez les indicateurs
LAYER_4_CONFIGS: liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :- Nom de protocole IP (
tcp) ou numéro de protocole IP IANA (17) sans port de destination. - Nom du protocole IP et port de destination séparés par un deux-points (
tcp:80). - Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (
tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
- Nom de protocole IP (
-
Spécifiez une destination pour la règle de sortie.
Pour en savoir plus, consultez Combinaisons de destinations pour les règles de sortie :
DEST_NETWORK_CONTEXT: définit des contextes de réseau de destination à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destinations. Les valeurs valides sontINTERNETetNON_INTERNET. Pour en savoir plus, consultez Contextes réseau.DEST_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.DEST_ADDRESS_GROUPS: liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques.DEST_DOMAIN_NAMES: liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.DEST_COUNTRY_CODES: liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.
-
Vous pouvez également spécifier une source pour la règle de sortie :
SRC_IP_RANGES: liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.