Dans Cloud Next Generation Firewall, une règle de pare-feu détermine si le trafic doit être autorisé ou refusé dans un réseau de cloud privé virtuel (VPC) en fonction de critères définis. Une stratégie de pare-feu Cloud NGFW vous permet de regrouper plusieurs règles de pare-feu afin de pouvoir les mettre à jour en une seule fois, efficacement contrôlées par les rôles IAM (Identity and Access Management).
Ce document présente les différents types de stratégies et de règles de pare-feu.
Stratégies de pare-feu
Cloud NGFW est compatible avec les types de règles de pare-feu suivants :
- Stratégies de pare-feu hiérarchiques
- Stratégies de pare-feu de réseau au niveau mondial
- Stratégies de pare-feu de réseau régionales
- Stratégies de pare-feu système régionales
Stratégies de pare-feu hiérarchiques
Les stratégies de pare-feu hiérarchiques vous permettent de regrouper des règles dans un objet de stratégie pouvant s'appliquer à de nombreux réseaux VPC dans un ou plusieurs projets. Vous pouvez associer des stratégies de pare-feu hiérarchiques à l'ensemble d'une organisation ou à des dossiers individuels.
Pour en savoir plus sur les spécifications des stratégies de pare-feu hiérarchiques, consultez la page Stratégies de pare-feu hiérarchiques.
Stratégies de pare-feu réseau mondiales
Les stratégies de pare-feu de réseau au niveau mondial vous permettent de regrouper des règles dans un objet de stratégie pouvant s'appliquer à toutes les régions d'un réseau VPC.
Pour en savoir plus sur les spécifications des stratégies de pare-feu de réseau au niveau mondial, consultez la page Stratégies de pare-feu de réseau au niveau mondial.
Règles de pare-feu réseau régionales
Les stratégies de pare-feu de réseau régionales vous permettent de regrouper des règles dans un objet de stratégie pouvant s'appliquer à une région spécifique d'un réseau VPC.
Pour en savoir plus sur les spécifications des stratégies de pare-feu régionales, consultez la page Stratégies de pare-feu de réseau régionales.
Stratégies de pare-feu système régionales
Les stratégies de pare-feu système régionales sont semblables aux stratégies de pare-feu réseau régionales, mais elles sont gérées par Google. Les stratégies de pare-feu système régionales présentent les caractéristiques suivantes :
Google Cloud évalue les règles des stratégies de pare-feu système régionales immédiatement après avoir évalué les règles des stratégies de pare-feu hiérarchiques. Pour en savoir plus, consultez Processus d'évaluation des règles de pare-feu.
Vous ne pouvez pas modifier une règle dans une stratégie de pare-feu système régionale, sauf pour activer ou désactiver la journalisation des règles de pare-feu.
Google Cloud crée une stratégie de pare-feu système régionale dans une région d'un réseau VPC lorsqu'un service Google nécessite des règles dans cette région du réseau. Google Cloud peut associer plusieurs stratégies de pare-feu système régionales à une région d'un réseau VPC en fonction des exigences des services Google.
L'évaluation des règles dans les stratégies de pare-feu système régionales n'est pas facturée.
Interaction avec le profil réseau
Les réseaux VPC standards sont compatibles avec les règles de pare-feu dans les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau mondiales, les stratégies de pare-feu réseau régionales et les règles de pare-feu VPC. Toutes les règles de pare-feu sont programmées dans la pile de virtualisation de réseau Andromeda.
Les réseaux VPC qui utilisent certains profils réseau limitent les attributs de règles et de stratégies de pare-feu que vous pouvez utiliser. Pour les réseaux VPC RoCE, consultez Cloud NGFW pour les réseaux VPC RoCE au lieu de cette page.
Règles de stratégie de pare-feu
Dans Google Cloud, une règle de stratégie de pare-feu a une direction qui détermine si elle contrôle le trafic entrant ou sortant de votre réseau. Chaque règle de stratégie de pare-feu s'applique soit aux connexions entrantes (entrée), soit aux connexions sortantes (sortie).
Règles d'entrée
La direction Ingress fait référence aux connexions entrantes envoyées depuis des sources spécifiques vers des cibles Google Cloud . Les règles Ingress s'appliquent aux paquets entrants qui arrivent sur les types de cibles suivants :
- Interfaces réseau des instances de machines virtuelles (VM)
- Proxies Envoy gérés qui alimentent les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes
Une règle d'entrée ayant une action deny protège les cibles en bloquant leurs connexions entrantes. Si une règle de priorité plus élevée autorise le trafic, le pare-feu l'autorise et ignore les règles de priorité inférieure qui pourraient refuser ce même trafic. N'oubliez pas que les règles de priorité plus élevée prévalent toujours.
Un réseau par défaut créé automatiquement inclut des règles de pare-feu VPC préremplies qui autorisent l'entrée pour certains types de trafic.
Règles de sortie
La direction sortante correspond au trafic sortant envoyé depuis une ressource cibleGoogle Cloud , telle qu'une interface réseau de VM, vers une destination.
Une règle de sortie ayant une action allow permet à une instance d'envoyer du trafic vers les destinations spécifiées dans la règle. Le trafic de sortie est bloqué s'il correspond à une règle deny de priorité élevée. Cette action prévaut sur toutes les règles de priorité inférieure qui pourraient autoriser le trafic. Google Cloud bloque ou limite également certains types de trafic.
Étapes suivantes
- Pour créer et modifier des règles et des stratégies de pare-feu hiérarchiques, consultez Utiliser des règles et des stratégies de pare-feu hiérarchiques.
- Pour créer et modifier des règles et des stratégies de pare-feu réseau globales, consultez Utiliser des stratégies et des règles de pare-feu de réseau globales.
- Pour créer et modifier des règles et des stratégies de pare-feu réseau régionales, consultez Utiliser des stratégies et des règles de pare-feu de réseau régionales.