Stratégies de pare-feu

Les stratégies de pare-feu vous permettent de regrouper plusieurs règles de pare-feu afin de pouvoir les mettre à jour en une seule fois, efficacement contrôlées par les rôles IAM (Identity and Access Management). Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, tout comme les règles de pare-feu du cloud privé virtuel (VPC).

Stratégies de pare-feu hiérarchiques

Les stratégies de pare-feu hiérarchiques vous permettent de regrouper des règles dans un objet de stratégie pouvant s'appliquer à de nombreux réseaux VPC dans un ou plusieurs projets. Vous pouvez associer des stratégies de pare-feu hiérarchiques à l'ensemble d'une organisation ou à des dossiers individuels.

Pour en savoir plus sur les spécifications des stratégies de pare-feu hiérarchiques, consultez la page Stratégies de pare-feu hiérarchiques.

Règles de pare-feu réseau mondiales

Les stratégies de pare-feu de réseau au niveau mondial vous permettent de regrouper des règles dans un objet de stratégie applicable à toutes les régions (au niveau mondial). Une stratégie de pare-feu ne prend effet que lorsqu'elle est associée à un réseau VPC. Pour associer une stratégie de pare-feu réseau mondiale à un réseau, consultez Associer une stratégie au réseau. Une fois que vous avez associé une stratégie de pare-feu de réseau au niveau mondial à un réseau VPC, les règles de la stratégie peuvent s'appliquer aux ressources du réseau VPC. Vous ne pouvez associer une stratégie de pare-feu réseau qu'à un réseau VPC.

Pour en savoir plus sur les spécifications des stratégies de pare-feu de réseau au niveau mondial, consultez la page Stratégies de pare-feu de réseau au niveau mondial.

Stratégies de pare-feu de réseau régionales

Les stratégies de pare-feu de réseau régionales vous permettent de regrouper des règles dans un objet de stratégie applicable à une région spécifique. Une stratégie de pare-feu réseau régionale ne prend effet que lorsqu'elle est associée à un réseau VPC dans la même région. Pour associer une stratégie de pare-feu réseau régionale à un réseau, consultez Associer une stratégie au réseau. Une fois que vous avez associé une stratégie de pare-feu de réseau régionale à un réseau VPC, les règles de la stratégie peuvent s'appliquer aux ressources de cette région du réseau VPC.

Pour en savoir plus sur les spécifications des stratégies de pare-feu régionales, consultez la page Stratégies de pare-feu de réseau régionales.

Appliquer des règles et des stratégies de pare-feu à un réseau

Les réseaux VPC standards sont compatibles avec les règles de pare-feu dans les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau mondiales, les stratégies de pare-feu réseau régionales et les règles de pare-feu VPC. Toutes les règles de pare-feu sont programmées dans la pile de virtualisation de réseau Andromeda.

Pour les réseaux VPC RoCE, consultez Cloud NGFW pour les réseaux VPC RoCE au lieu de cette section.

Ordre d'application des règles de stratégie de pare-feu réseau

Chaque réseau VPC standard possède un ordre d'application des stratégies de pare-feu réseau qui contrôle le moment où les règles des stratégies de pare-feu réseau mondiales et régionales sont évaluées.

  • AFTER_CLASSIC_FIREWALL (par défaut) : Cloud NGFW évalue les règles de pare-feu VPC avant d'évaluer les règles des stratégies de pare-feu réseau mondiales et régionales.

  • BEFORE_CLASSIC_FIREWALL : Cloud NGFW évalue les règles des stratégies de pare-feu réseau mondiales et régionales avant d'évaluer les règles de pare-feu VPC.

Pour modifier l'ordre d'application des stratégies de pare-feu réseau, procédez de l'une des manières suivantes :

  • Utilisez la méthode networks.patch et définissez l'attribut networkFirewallPolicyEnforcementOrder du réseau VPC.

  • Exécutez la commande gcloud compute networks update avec l'option --network-firewall-policy-enforcement-order.

    Exemple :

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processus d'évaluation des règles de pare-feu

Pour un paquet donné, Cloud NGFW évalue les règles suivantes exclusivement en fonction du sens du trafic :

  • Règles de pare-feu d'Ingress si une ressource cible reçoit le paquet.
  • Règles de pare-feu de sortie si une ressource cible envoie le paquet.

Cloud NGFW évalue les règles de pare-feu dans un ordre spécifique. L'ordre dépend de l'ordre d'application de la stratégie de pare-feu réseau, qui peut être AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

Ordre d'évaluation des règles dans l'ordre d'application AFTER_CLASSIC_FIREWALL

Dans l'AFTER_CLASSIC_FIREWALL ordre d'application des stratégies de pare-feu réseau, Cloud NGFW évalue les règles de pare-feu VPC après avoir évalué les règles des stratégies de pare-feu hiérarchiques. Il s'agit de l'ordre d'évaluation par défaut.

Les règles de pare-feu sont évaluées dans l'ordre suivant :

  1. Stratégies de pare-feu hiérarchiques

    Cloud NGFW évalue les stratégies de pare-feu hiérarchiques dans l'ordre suivant :

    1. Stratégie de pare-feu hiérarchique associée à l'organisation contenant la ressource cible.
    2. Stratégies de pare-feu hiérarchiques associées aux ancêtres de dossier, du dossier de premier niveau au dossier contenant le projet de la ressource cible.

    Lors de l'évaluation des règles dans chaque stratégie de pare-feu hiérarchique, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu hiérarchique, au maximum une règle peut correspondre au trafic. L'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation de la règle se poursuit avec l'une des options suivantes :
      • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
      • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

    Si aucune règle d'une stratégie de pare-feu hiérarchique ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation vers l'un des éléments suivants :

    • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
    • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

  2. Règles de pare-feu VPC.

    Lors de l'évaluation des règles de pare-feu VPC, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Lorsqu'une ou deux règles de pare-feu VPC correspondent au trafic, l'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.

    Si deux règles correspondent, elles doivent avoir la même priorité, mais des actions différentes. Dans ce cas, Cloud NGFW applique la règle de pare-feu VPC deny et ignore la règle de pare-feu VPC allow.

    Si aucune règle de pare-feu VPC ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite pour passer à l'étape suivante de l'ordre d'évaluation.

  3. Stratégie de pare-feu de réseau au niveau mondial

    Lorsque Cloud NGFW évalue les règles d'une stratégie de pare-feu réseau mondiale, il procède comme suit :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu de réseau au niveau mondial, une seule règle au maximum peut correspondre au trafic. L'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation des règles se poursuit à l'étape de la stratégie de pare-feu réseau régionale dans l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu de réseau au niveau mondial ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation à l'étape de la stratégie de pare-feu réseau régionale dans l'ordre d'évaluation.

  4. Stratégies de pare-feu de réseau régionales

    Cloud NGFW évalue les règles des stratégies de pare-feu réseau régionales associées à la région et au réseau VPC de la ressource cible.

    Lors de l'évaluation des règles d'une stratégie de pare-feu réseau régionale, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu réseau régionale, une seule règle au maximum peut correspondre au trafic. L'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • goto_next : l'évaluation de la règle passe à l'étape suivante de l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu réseau régionale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation à l'étape suivante de l'ordre d'évaluation.

  5. Règles de pare-feu implicites.

    Cloud NGFW applique les règles de pare-feu implicites suivantes lorsque toutes les règles correspondant au trafic ont une action goto_next explicite ou lorsque l'évaluation des règles s'est poursuivie en suivant des actions goto_next implicites.

    • Sortie autorisée implicite
    • Entrée interdite implicite

Le schéma suivant illustre l'ordre d'évaluation lorsque l'ordre d'application de la stratégie de pare-feu réseau est AFTER_CLASSIC_FIREWALL :

Flux de résolution des règles de pare-feu.
Figure 1. Flux de résolution des règles de pare-feu si l'ordre d'application des stratégies de pare-feu réseau est AFTER_CLASSIC_FIREWALL (cliquez pour agrandir).

Ordre d'évaluation des règles dans l'ordre d'application BEFORE_CLASSIC_FIREWALL

Dans l'ordre d'application des stratégies de pare-feu réseau BEFORE_CLASSIC_FIREWALL, Cloud NGFW évalue les règles de pare-feu VPC après avoir évalué les règles des stratégies de pare-feu réseau.

Les règles de pare-feu sont évaluées dans l'ordre suivant :

  1. Stratégies de pare-feu hiérarchiques

    Cloud NGFW évalue les stratégies de pare-feu hiérarchiques dans l'ordre suivant :

    1. Stratégie de pare-feu hiérarchique associée à l'organisation contenant la ressource cible.
    2. Stratégies de pare-feu hiérarchiques associées aux ancêtres de dossier, du dossier de premier niveau au dossier contenant le projet de la ressource cible.

    Lors de l'évaluation des règles dans chaque stratégie de pare-feu hiérarchique, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu hiérarchique, au maximum une règle peut correspondre au trafic. L'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation de la règle se poursuit avec l'une des options suivantes :
      • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
      • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

    Si aucune règle d'une stratégie de pare-feu hiérarchique ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation vers l'un des éléments suivants :

    • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
    • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

  2. Stratégie de pare-feu de réseau au niveau mondial

    Lorsque Cloud NGFW évalue les règles d'une stratégie de pare-feu réseau mondiale, il procède comme suit :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu de réseau au niveau mondial, une seule règle au maximum peut correspondre au trafic. L'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation des règles se poursuit à l'étape de la stratégie de pare-feu réseau régionale dans l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu de réseau au niveau mondial ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation à l'étape de la stratégie de pare-feu réseau régionale dans l'ordre d'évaluation.

  3. Stratégies de pare-feu de réseau régionales

    Cloud NGFW évalue les règles des stratégies de pare-feu de réseau régionales associées à la région et au réseau VPC de la ressource cible. Si plusieurs règles sont associées à la même région et au même réseau, celle dont la priorité d'association est la plus élevée est évaluée en premier.

    Lors de l'évaluation des règles d'une stratégie de pare-feu réseau régionale, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu réseau régionale, une seule règle au maximum peut correspondre au trafic. L'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • goto_next : l'évaluation de la règle passe à l'étape suivante de l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu réseau régionale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation à l'étape suivante de l'ordre d'évaluation.

  4. Règles de pare-feu VPC.

    Lors de l'évaluation des règles de pare-feu VPC, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ignorer toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Lorsqu'une ou deux règles de pare-feu VPC correspondent au trafic, l'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.

    Si deux règles correspondent, elles doivent avoir la même priorité, mais des actions différentes. Dans ce cas, Cloud NGFW applique la règle de pare-feu VPC deny et ignore la règle de pare-feu VPC allow.

    Si aucune règle de pare-feu VPC ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite pour passer à l'étape suivante de l'ordre d'évaluation.

  5. Règles de pare-feu implicites.

    Cloud NGFW applique les règles de pare-feu implicites suivantes lorsque toutes les règles correspondant au trafic ont une action goto_next explicite ou lorsque l'évaluation des règles s'est poursuivie en suivant des actions goto_next implicites.

    • Sortie autorisée implicite
    • Entrée interdite implicite

Le schéma suivant illustre l'ordre d'évaluation lorsque l'ordre d'application des règles de pare-feu réseau est défini sur BEFORE_CLASSIC_FIREWALL :

Flux de résolution des règles de pare-feu.
Figure 2. Flux de résolution des règles de pare-feu si l'ordre d'application de la stratégie de pare-feu réseau est BEFORE_CLASSIC_FIREWALL (cliquez pour agrandir).

Règles de pare-feu efficaces

Les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC, et les règles des stratégies de pare-feu réseau globales et régionales contrôlent les connexions. Il peut être utile d'afficher toutes les règles de pare-feu qui affectent un réseau individuel ou une interface de VM.

Règles de pare-feu efficaces du réseau

Vous pouvez afficher toutes les règles de pare-feu appliquées à un réseau VPC. La liste inclut tous les types de règles suivants :

  • Règles héritées des stratégies de pare-feu hiérarchiques
  • Règles de pare-feu VPC
  • Règles appliquées à partir des stratégies de pare-feu réseau globales et régionales

Règles de pare-feu efficaces pour l'instance

Vous pouvez afficher toutes les règles de pare-feu appliquées à l'interface réseau d'une VM. La liste inclut tous les types de règles suivants :

  • Règles héritées des stratégies de pare-feu hiérarchiques
  • Règles appliquées à partir du pare-feu VPC de l'interface
  • Règles appliquées à partir des stratégies de pare-feu réseau globales et régionales

Les règles sont triées en commençant par le niveau de l'organisation pour finir par le niveau du réseau VPC. Seules les règles qui s'appliquent à l'interface de la VM s'affichent. Les règles des autres stratégies ne sont pas affichées.

Pour afficher les règles de stratégies de pare-feu efficaces dans une région, consultez la section Obtenir des stratégies de pare-feu régionales efficaces pour un réseau.

Règles prédéfinies

Lorsque vous créez une stratégie de pare-feu hiérarchique, une stratégie de pare-feu de réseau globale ou une stratégie de pare-feu de réseau régionale, Cloud NGFW ajoute des règles prédéfinies à la stratégie. Les règles prédéfinies que Cloud NGFW ajoute à la stratégie dépendent de la manière dont vous créez la stratégie.

Si vous créez une stratégie de pare-feu à l'aide de la console Google Cloud , Cloud NGFW ajoute les règles suivantes à la nouvelle stratégie :

  1. Règles "goto-next" pour les plages IPv4 privées
  2. Règles de refus prédéfinies pour Google Threat Intelligence
  3. Règles de refus prédéfinies pour la géolocalisation
  4. Règles "goto-next" de priorité la plus faible possible

Si vous créez une stratégie de pare-feu à l'aide de Google Cloud CLI ou de l'API, Cloud NGFW n'ajoute que les règles "goto-next" de priorité la plus faible possible à la stratégie.

Toutes les règles prédéfinies dans une nouvelle stratégie de pare-feu utilisent intentionnellement des priorités faibles (nombres de priorité importants) pour que vous puissiez les remplacer en créant des règles avec des priorités plus élevées. Vous pouvez également personnaliser les règles prédéfinies, à l'exception des règles "goto-next" de priorité la plus faible possible.

Règles "goto-next" pour les plages IPv4 privées

  • Une règle de sortie avec les plages IPv4 de destination 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité 1000 et une action goto_next.

  • Une règle d'entrée avec les plages IPv4 sources 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité 1001 et une action goto_next.

Règles de refus prédéfinies pour Google Threat Intelligence

  • Une règle d'entrée avec la liste Google Threat Intelligence source iplist-tor-exit-nodes, une priorité 1002 et une action deny.

  • Une règle d'entrée avec la liste Google Threat Intelligence source iplist-known-malicious-ips, une priorité 1003 et une action deny.

  • Une règle de sortie avec la liste Google Threat Intelligence de destination iplist-known-malicious-ips, une priorité 1004 et une action deny.

Pour en savoir plus sur Google Threat Intelligence, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

Règles de refus prédéfinies pour la géolocalisation

  • Une règle d'entrée avec des géolocalisations correspondantes sources CU, IR, KP, SY, XC et XD, une priorité 1005 et une action deny.

Pour en savoir plus sur les géolocalisations, consultez la section Objets de géolocalisation.

Règles "goto-next" de priorité la plus faible possible

Vous ne pouvez ni modifier, ni supprimer les règles suivantes :

  • Une règle de sortie avec la plage IPv6 de destination ::/0, une priorité de 2147483644 et une action goto_next.

  • Une règle d'entrée avec la plage IPv6 source ::/0, une priorité 2147483645 et une action goto_next.

  • Une règle de sortie avec la plage IPv4 de destination 0.0.0.0/0, une priorité 2147483646 et une action goto_next.

  • Une règle d'entrée avec la plage IPv4 source 0.0.0.0/0, une priorité 2147483647 et une action goto_next.

Étapes suivantes